Home
Lo studio
Risorse
Contatti
Lo studio

Decisioni

Phishing e responsabilità della banca (Cass. 2950/17)

3 febbraio 2017, Cassazione civile e Nicola Canestrini

In caso di truffa telematica – cosiddetto Phishing – ai danni di un correntista, spetta alla banca dimostrare di aver fatto tutto il possibile, secondo il criterio della diligenza professionale, per scongiurare la frode servendosi di un sistema informatico adeguato ai
rischi (Bancoposta).


REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE PRIMA CIVILE

Sentenza 3 febbraio 2017 n. 2950



Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. NAPPI Aniello - Presidente
Dott. DI MARZIO Mauro - Consigliere
Dott. LAMORGESE Antonio - Consigliere
Dott. DE MARZO Giuseppe - rel. Consigliere
Dott. FALABELLA Massimo - Consigliere

ha pronunciato la seguente:
SENTENZA

sul ricorso 10776/2012 proposto da:
(OMISSIS) C.F. (OMISSIS)), elettivamente domiciliato in (OMISSIS), presso l'avvocato (OMISSIS), rappresentato e difeso dall'avvocato (OMISSIS), giusta procura speciale per Notaio dott. (OMISSIS) di TRENTO
- Rep. n. (OMISSIS);
- ricorrente -

contro
(OMISSIS) S.P.A., in persona del legale rappresentante pro tempore, elettivamente domiciliata in (OMISSIS), presso la (OMISSIS) S.P.A., rappresentata e difesa dagli avvocati (OMISSIS), (OMISSIS), (OMISSIS), giusta procura a margine del controricorso;
(OMISSIS), elettivamente domiciliato in (OMISSIS), presso l'avvocato (OMISSIS), rappresentato e difeso dall'avvocato (OMISSIS), giusta
procura a margine del controricorso;
- controricorrenti -
contro
(OMISSIS);
- intimato -
avverso la sentenza n. 69/2011 della CORTE D'APPELLO di TRENTO,
depositata il 08/03/2011;
udita la relazione della causa svolta nella pubblica udienza del 04/10/2016 dal Consigliere Dott. GIUSEPPE DE MARZO;
udito, per il ricorrente, l'Avvocato (OMISSIS), con delega, che ha
chiesto l'accoglimento del ricorso;
udito, per il controricorrente (OMISSIS), l'Avvocato (OMISSIS), con delega, che si riporta chiede l'accoglimento del proprio ricorso;
udito, per la controricorrente (OMISSIS), l'Avvocato (OMISSIS) che si riporta e chiede il rigetto del ricorso;
udito il P.M., in persona del Sostituto Procuratore Generale Dott. SORRENTINO Federico, che ha concluso per l'accoglimento del ricorso.

SVOLGIMENTO DEL PROCESSO
1. Per quanto ancora rileva, con sentenza depositata in data 8 marzo 2011 la Corte d'appello di Trento: a) ha rigettato l'appello principale proposto da (OMISSIS) avverso la decisione di primo grado, che aveva respinto la domanda intesa ad ottenere la condanna di (OMISSIS) s.p.a. a risarcire il danno derivante da due operazioni (una di giroconto e
l'altra di bonifico), eseguite in assenza di sue disposizioni e di cessione a terzi dei codici personali di accesso al sistema che consentiva le operazioni on line; b) ha dichiarato inammissibile l'appello incidentale tardivo proposto da (OMISSIS) s.p.a. avverso il
capo della sentenza di primo grado, che l'aveva condannata al pagamento delle spese nei confronti di (OMISSIS), chiamato in giudizio, unitamente ad (OMISSIS), quale beneficiario delle operazioni, e ritualmente costituitosi.


2. La Corte territoriale ha ritenuto:

a) che, a tacere dell'assenza di prova certa, quanto all'estraneita' del (OMISSIS) rispetto al bonifico disposto in favore del (OMISSIS), comunque, secondo l'accertamento del giudice di primo grado, le misure di sicurezza on line di (OMISSIS), caratterizzate dall'utilizzo di un sistema di crittografia dei dati di riconoscimento del cliente, erano tali da escludere che l'accesso alle funzioni fosse consentito a chi non era conoscenza delle chiavi di accesso;

c) che pertanto le operazioni in questione erano state rese possibili dalla mancata custodia o comunque da un incauto comportamento del correntista, tale da consentire la sottrazione dei codici mediante tecniche fraudolente;

d) che l'appello incidentale non poteva essere proposto nel termine previsto dall'articolo 334 c.p.p., dal momento che l'impugnazione proposta da (OMISSIS) s.p.a. si correlava ad una domanda di garanzia impropria, autonoma, per soggetti e titolo, rispetto a
quella formulata dall'attore in via principale.

3. Avverso tale sentenza, il (OMISSIS) propone ricorso per cassazione affidato a due motivi. Resistono con controricorso (OMISSIS) s.p.a. e il (OMISSIS); il (OMISSIS) non ha svolto attivita' difensiva. Nell'interesse del (OMISSIS) e di (OMISSIS) s.p.a sono state depositate memorie ai sensi dell'articolo 378 c.p.c..

MOTIVI DELLA DECISIONE
1. Con il primo motivo si lamentano violazione o falsa applicazione degli articoli 1218 e 2697 c.c., nonche' vizi motivazionali, per avere la Corte territoriale omesso di applicare le regole in tema di ripartizione dell'onere probatorio. Nel caso di specie, era stata
rigettata la domanda con la quale l'attore aveva denunciato un inadempimento contrattuale della controparte, nonostante la mancanza di dimostrazione che le operazioni contestate fossero state eseguite attraverso i codici di accesso del ricorrente.

2. Con il secondo motivo si lamentano violazione o falsa applicazione degli articoli 1218, 2697, 1710, 1768, 1856 e 2050 c.c., nonche' vizi motivazionali, per avere la Corte territoriale ritenuto, in assenza di prova da parte di (OMISSIS) s.p.a., l'idoneita' del sistema di sicurezza adottato, nonostante l'attore avesse documentato le numerose frodi
informatiche subite dai clienti di (OMISSIS).


3. I due motivi, esaminabili congiuntamente per la loro stretta connessione logica, sono fondati.

E' indiscusso che, nel nostro ordinamento, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno o per l'adempimento deve provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi poi ad allegare la circostanza dell'inadempimento della controparte, mentre al debitore
convenuto spetta la prova del fatto estintivo dell'altrui pretesa, costituito dall'avvenuto adempimento (v., ad es., Cass. 20 gennaio 2015,
n. 826) ovvero dell'impossibilita' della prestazione derivante da causa a lui non imputabile. Tale generale principio ha trovato una sua specificazione, con riguardo all'utilizzazione di servizi e strumenti con funzione di pagamento, che si avvalgono di mezzi meccanici o
elettronici, in quanto si e' ritenuto che "non puo' essere omessa (...) la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire la sicurezza del servizio (...); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve
essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere" (Cass. 12 giugno 2007, n. 13777; v. anche Cass. 19 gennaio 2016, n. 806).

In tale cornice di riferimento, si osserva:

a) per un verso, che la sentenza impugnata erroneamente attribuisce rilievo, per una delle due operazioni delle quali si discute, all'assenza di prova certa dell'estraneita' del ricorrente, laddove era piuttosto necessario accertare in positivo la riconducibilita' dell'operazione a quest'ultimo;

b) per altro verso, che la possibilita' della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di
dare corso all'operazione, se essa sia effettivamente attribuibile al cliente;

c) che, pertanto, ai fini del rigetto della domanda risarcitoria, non era sufficiente dare rilievo al - peraltro presuntivamente affermato - incauto comportamento del (OMISSIS), che
avrebbe consentito la sottrazione dei codici.


Va aggiunto che, sebbene alla vicenda non sia applicabile ratione temporis (le operazioni delle quali si discute risalgono infatti al settembre 2005) la direttiva 2007/64/CE del Parlamento Europeo e del consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno, cui e' stata data attuazione con il Decreto Legislativo
27 gennaio 2010, n. 11 (v., in particolare, articolo 10 e ss.), il punto di equilibrio divisato da tale disciplina risulta essere sostanzialmente in linea con le regole generali relative alla ripartizione della prova in tema di inadempimento contrattuale e di verifica della diligenza
dell'agente professionale.


Infatti, l'impossibilita' della prestazione derivante da causa non imputabile al soggetto obbligato (articolo 1218 c.c.) richiede la dimostrazione di eventi che si collochino al di la' dello sforzo diligente richiesto al debitore.


Ne discende che, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (cio' che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento,
prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilita' delle operazioni alla volonta' del cliente, la possibilita' di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.

4. In conclusione, il ricorso principale va accolto, con conseguente cassazione della sentenza e rinvio, anche per la regolamentazione delle spese, alla Corte d'appello di Trento in diversa composizione.


P.Q.M.


Cassa la sentenza impugnata e rinvia, anche per la regolamentazione
delle spese, alla Corte d'appello di Trento in diversa composizione.