La Terza Sezione Civile della Corte di Cassazione, con la sentenza n. 3780 del 12 febbraio 2024 (emessa il 12 ottobre 2023), ha stabilito che gli enti di credito, nel caso di specie, Poste Italiane S.p.A., devono utilizzare delle soluzioni idonee per evitare l’uso fraudolento dei sistemi elettronici di pagamento, in base al principio di buona fede nell’esecuzione del contratto.
Le circostanze del caso
In primo grado, parte attrice aveva convenuto in giudizio Poste Italiane S.p.A. (“Poste”), chiedendo che fosse accertata la sua responsabilità in merito a una frode da € 2.900 subita sulla propria carta “Postepay Evolution”. L’istante aveva infatti subito un attacco di phishing tramite la ricezione di una e-mail - apparentemente inviata da Poste - con la quale, attraverso uno specifico link, veniva richiesto all’utente di inserire le credenziali di accesso al proprio conto. Dopo aver effettuato tale accesso, parte attrice si accorgeva che le erano state addebitate, sul proprio conto, delle spese di importo pari a € 2.900 che non aveva mai effettuato.
Nelle memorie difensive Poste affermava il principio per cui la responsabilità, in tali casi, fosse imputabile soltanto al cliente per aver comunicato, incautamente, a terzi i propri dati di accesso. In primo grado il Giudice di Pace adito, riconoscendo le ragioni di Poste, rigettava le richieste della parte attrice, la quale proponeva successivamente appello dinanzi al Tribunale di Paola.
Il giudice del secondo grado accoglieva invece il ricorso, riconoscendo, ai sensi del D. Lgs. 196/2003 (“Codice Privacy”), la responsabilità in capo al prestatore di servizi di rispondere degli effetti dannosi, causati da un’attività pericolosa, inerenti al trattamento di dati personali dei propri clienti: l’uso e l’accesso fraudolento alle credenziali di accesso da parte di terzi è dunque da includere tra i rischi professionali legati alle attività del prestatore di servizi di pagamento. Nel caso di specie Poste non aveva adottato appropriate misure tecniche volte a prevenire e evitare, o quanto meno limitare, condotte fraudolente finalizzate all’appropriazione delle credenziali della clientela.
Il Tribunale calabrese, richiamando quindi un precedente giurisprudenziale della Cassazione (Sez. I, sentenza n. 2950 del 3/2/2017), stabiliva che Poste non avesse adottato la diligenza richiesta all’accorto banchiere e doveva invece fornire prova della riconducibilità dell’operazione al cliente.
Il ricorso di Poste e la decisione della Suprema Corte
Poste ha quindi interpellato la Corte di Cassazione, ribadendo in primo luogo che fosse stato l’utente a non aver rispettato gli oneri di particolare cautela e diligenza nell’utilizzo dei propri dati. Inoltre, lamentava il fatto che era stato proprio l’utente a consegnare spontaneamente le proprie credenziali a terzi, operando peraltro su un sito non appartenente a Poste. In tal modo, non era possibile imputare a essa la responsabilità.
La Suprema Corte ha rigettato il ricorso, rimarcando il principio in base al quale il professionista deve rispettare specifici oneri di diligenza, di natura tecnica, in merito ai servizi posti in essere in favore del cliente. Il parametro di riferimento deve essere quello dell’ ”accorto banchiere”, speciale declinazione del generale principio civilistico di buona fede contrattuale (art. 1176 co. 2 cc), in base al quale l’istituto di credito, nel valutare i rischi tipici del mestiere deve esercitare un controllo tecnico, valutando la prevedibilità e l’evitabilità della condotta, in modo da essere esonerata da responsabilità solo se le azioni poste in essere vanno oltre la propria sfera di controllo. La Cassazione ha quindi ribadito che la responsabilità della banca, in tali circostanze, sia da escludere solo in presenza di una colpa grave dell’utente, mentre la banca deve provare il fatto estintivo dell’altrui pretesa, non potendo omettere la verifica dell’adozione di specifiche misure di sicurezza.
Il rischio di impresa deve dunque ricomprendere anche la possibilità di utilizzo di tecniche fraudolente come il phishing: la banca sarà esonerata da responsabilità solo se siano accaduti eventi che vadano oltre la diligenza richiesta al debitore. Nel caso di specie, Poste non aveva provato di aver adottato queste misure di sicurezza, come l’invio di un sms alert al titolare della carta per ogni singola operazione compiuta.
Possibili conseguenze
Con questa interessante pronuncia la Suprema Corte cambia approccio rispetto ai più recenti casi in materia di phishing (vd. Cass. 13 marzo 2023, n. 7214), rimarcando la necessità, per gli istituti di credito di adottare di appropriate misure di sicurezza. La Suprema Corte ha inoltre ribadito che le banche devono provare la riconducibilità dell’operazione al cliente truffato. Sicuramente l’impiego di tecniche quali gli sms alert può aiutare nell’evitare la realizzazione dell’evento fraudolento, ma questo potrebbe non bastare. Infatti, l’utilizzo di sistemi di intelligenza artificiale da parte di hacker e truffatori sta rendendo sempre più difficile l’identificazione dei messaggi di phishing: la complicata sfida ai cybercriminali è lanciata e non sarà semplice riuscire a contrastarli.
Avv. Simona Lanna e Dott. Lapo Lucani