Corte di Cassazione, civile, Sentenza|12 febbraio 2024| n. 3780.
La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici
La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell’utente. (Nella specie, la S.C. in applicazione del detto principio, ha confermato la decisione di merito che aveva ritenuto gravante su Poste Italiane S.p.a., ai fini della non riferibilità al cliente delle operazioni fraudolente eseguite con la sua carta Postepay, la dimostrazione della previa adozione di mezzi di prevenzione dell’uso illecito dei sistemi elettronici di pagamento, quali, ad esempio, l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione).
Sentenza|12 febbraio 2024| n. 3780. La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici
Data udienza 12 ottobre 2023
Integrale
Tag/parola chiave: Contratti bancari – Deposito bancario – Di denaro (nozioni, caratteri, distinzioni) – Obblighi della banca operazioni effettuate a mezzo strumenti elettronici – Utilizzazione illecita dei codici del cliente da parte di terzi – Responsabilità contrattuale della banca – Onere probatorio a carico della banca – Limiti – Colpa grave dell’utente – Fattispecie.
REPUBBLICA ITALIANA
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE TERZA CIVILE
Composta dagli Ill.mi Sigg.ri Magistrati
Dott. SCARANO Luigi Alessandro – Presidente
Dott. TASSONE Stefania – Consigliere
Dott. CRICENTI Giuseppe – Consigliere
Dott. MOSCARINI Anna – Consigliere – Rel.
Dott. GORGONI Marilena – Consigliere
ha pronunciato la seguente
SENTENZA
sul ricorso 11492/2022 proposto da:
(…) Spa, in persona del Legale Rappresentante pro tempore, rappresentata e difesa dagli avvocati Al. Den. e An. Ma. Ro. Ur. e domiciliata presso la seconda nell’Area Legale Territoriale Centro (…) in Roma, viale Europa n. 190
Pec: (…) (…)
– ricorrente –
contro
Po.Ma.;
– intimato –
avverso la sentenza n. 729/2021 del Tribunale di Paola, depositata il 26/10/2021;
udita la relazione della causa svolta nella pubblica udienza del 12/10/2023 dal Cons. Anna Moscarini;
udito l’Avvocato An. Ro. Ur.;
udito il P.M. in persona del Sostituto Procuratore Generale De Matteis Stanislao che si riporta alle conclusioni scritte e chiede l’accoglimento del ricorso;
La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici
FATTI DI CAUSA
Di.An., in qualità di procuratrice di Po.Ma., convenne in giudizio, davanti al Giudice di Pace di Paola, (…) Spa chiedendo accertarsi la responsabilità contrattuale o extracontrattuale della società convenuta per la perdita patrimoniale subita dal Po. ammontante ad Euro 2900 a seguito di un’operazione posta in essere da ignoti sulla propria carta Postepay Evolution.
A sostegno della domanda rappresentò che il Po. aveva ricevuto una mail in apparenza proveniente da (…) Spa, con la quale era stato invitato ad accedere al proprio conto mediante un link contenuto nella mail inserendo le proprie credenziali per effettuare il cambio della password; che l’utente aveva effettuato la richiesta operazione ed aveva successivamente riscontrato un addebito di Euro 2900 per un’operazione a favore di (…), da lui mai compiuta.
Formulata invano richiesta di rimborso, il Po. adì il Giudice di Pace di Paola.
(…), nel costituirsi in giudizio, affermò che la responsabilità dell’accaduto era attribuibile unicamente all’attore per aver quest’ultimo comunicato incautamente a terzi la propria password ed il proprio codice segreto pin per l’accesso on line alla propria carta, rendendo in tal modo possibile ad un soggetto terzo di effettuare l’operazione con cui gli era stata sottratta la somma di Euro 2900.
Il Giudice di Pace adito rigettò la domanda compensando le spese.
A seguito di appello del Po., il Tribunale di Paola, con sentenza pubblicata in data 26/10/2021, ha accolto il gravame ritenendo che il prestatore di servizi dovesse rispondere, ai sensi del D.Lgs. n. 196 del 2003, degli effetti dannosi conseguenti all’esercizio di un’attività pericolosa implicante il trattamento di dati personali non avendo l’ente dimostrato la riconducibilità dell’operazione al cliente; rientrando infatti l’eventuale uso dei codici di accesso al sistema da parte di terzi nel rischio professionale del prestatore di servizi di pagamento, ed essendo la condotta prevedibile ed evitabile con appropriate misure tecniche, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi.
Il Tribunale pertanto, richiamando la giurisprudenza di questa Corte secondo cui la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente (Cass., 1 n. 2950 del 3/2/2017), ha accolto il gravame e condannato (…) Spa al risarcimento del danno pari alla somma attualizzata sottratta dall’operazione illecita.
La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici
Avverso la sentenza (…) Spa ha proposto ricorso per cassazione sulla base di due motivi.
L’intimato non ha svolto attività difensiva in questa sede.
La causa è stata assegnata per la trattazione in adunanza camerale ricorrendo i presupposti di cui all’art. 380-bis, 1 co. c.p.c. e successivamente rinviata per la trattazione in pubblica udienza.
Il P.G. ha formulato conclusioni scritte nel senso dell’accoglimento del ricorso.
RAGIONI DELLA DECISIONE
Con il primo motivo di ricorso – violazione e falsa applicazione dell’art. 7 co. 2 dell’art. 10 co. 2 e 12 co. 4 D.Lgs. 27/1/2010 n. 11 in riferimento all’art. 360, co. 1 n. 3 c.p.c. -la ricorrente assume che la sentenza impugnata ha violato le specifiche disposizioni che in materia configurano a carico dell’utente dei servizi telematici oneri di particolare cautela e diligenza nell’uso dei propri codici ed ha disatteso le regole disciplinanti la responsabilità di (…) Spa.
Con il secondo motivo di ricorso – omesso esame circa un fatto decisivo per il giudizio in riferimento all’art. 360 co. L. n. 5 c.p.c. – lamenta che la sentenza impugnata ha omesso di attribuire rilevanza al fatto decisivo costituito dall’avere l’utente consegnato spontaneamente a terzi dati identificativi del proprio conto, operando su un sito che non era di (…) Spa; ove tale fatto fosse stato considerato, il giudice del gravame non avrebbe potuto concludere per la sussistenza della responsabilità di Poste.
I motivi sono infondati.
La giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell’accorto banchiere (Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.
La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici
La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020).
Era pertanto onere di (…), come correttamente ritenuto dalla impugnata sentenza, a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente.
Da quanto esposto consegue il rigetto del ricorso.
Non occorre provvedere sulla spese perché l’intimata non ha svolto attività difensiva in questa sede.
La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici
P.Q.M.
La Corte rigetta il ricorso.
Nulla per le spese.
ai sensi dell’art. 13, co. 1-quater del D.P.R. n. 115 del 2002, si dà atto della sussistenza dei presupposti per il versamento, da parte della ricorrente, dell’ulteriore importo a titolo di contributo unificato pari a quello per il ricorso, a norma del comma 1bis del citato art. 13, se dovuto;
così deciso in Roma, nella Camera di Consiglio della Terza Sezione Civile della Corte di Cassazione, in data 12 ottobre 2023.
Depositato in Cancelleria il 12 febbraio 2024.
In caso di diffusione omettere le generalità e gli altri dati identificativi dei soggetti interessati nei termini indicati.
Le sentenze sono di pubblico dominio.
La diffusione dei provvedimenti giurisdizionali “costituisce fonte preziosa per lo studio e l’accrescimento della cultura giuridica e strumento indispensabile di controllo da parte dei cittadini dell’esercizio del potere giurisdizionale”.
Benchè le linee guida in materia di trattamento di dati personali nella riproduzione di provvedimenti giurisdizionali per finalità di informazione giuridica non richiedano espressamente l’anonimizzazione sistematica di tutti i provvedimenti, e solo quando espressamente le sentenze lo prevedono, si possono segnalare anomalie, richiedere oscuramenti e rimozioni, suggerire nuove funzionalità tramite l’indirizzo e-mail info@studiodisa.it, e, si provvederà immediatamente alla rimozione dei dati sensibili se per mero errore non sono stati automaticamente oscurati.
Il presente blog non è, non vuole essere, né potrà mai essere un’alternativa alle soluzioni professionali presenti sul mercato. Essendo aperta alla contribuzione di tutti, non si può garantire l’esattezza dei dati ottenuti che l’utente è sempre tenuto a verificare.
Leave a Reply