Se il cliente di una banca cade nella trappola del phishing e viene truffato, la responsabilità è sua e non dell’istituto di credito, il quale dunque non è tenuto al risarcimento.
Lo ha stabilito la Corte di Cassazione, con la quale precisa che la condotta del correntista che digita i propri codici personali attraverso una e-mail fraudolenta “pone in essere un comportamento che si qualifica come imprudente e negligente”, si legge nella sentenza.
Con il protocollo numero 7214 del 13 marzo 2023, Corte di Cassazione introduce un principio che rappresenta, per le banche, uno scudo di fronte alle richieste di risarcimento danni avanzate da correntisti truffati a seguito di tentativi di phishing sui conti correnti.
Il caso da cui è partito l’iter giudiziario
La vicenda è partita da un caso a Palermo: riguardava un conto Bancoposta online cointestato a un uomo e a una donna che si erano accorti della sparizione dal conto di 6.000 euro a seguito di una operazione fraudolenta di bonifico eseguita per via telematica sul proprio conto da una terza persona. I due avevano fatto causa a Poste Italiane per ottenere il rimborso della somma. Nella sentenza di primo grado, il Tribunale di Palermo aveva condannato l’intermediario a rimborsare al titolare del conto corrente la somma che era stata sottratta, ritenendo che non erano state adottate le misure di sicurezza necessarie a prevenire danni di quel tipo.
Tuttavia in secondo grado la richiesta di risarcimento del correntista è stata respinta. Questa decisione poi è stata confermata anche dalla Cassazione, che richiamando le argomentazioni della Corte d’Appello, ha dichiarato inammissibile il ricorso escludendo la responsabilità dell’intermediario.
L’associazione bancaria: il servizio online si utilizza solo con codici, non con l’email
Già l’Abi aveva commentato la sentenza d’appello con una circolare agli associati, evidenziando alcuni aspetti: il comportamento del titolare del conto è da considerarsi “imprudente e negligente” in quanto il cliente ha digitato i propri codici personali (chiesti attraverso una e-mail fraudolenta) consentendo così al truffatore di utilizzarli. Inoltre, l’Abi sottolinea che secondo i giudici della Corte d’appello l’intermediario aveva adottato un sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terze persone in quanto “i livelli di sicurezza dei sistemi informatici sono stati certificati da appositi enti certificatori, secondo i più rigorosi ed affidabili standard internazionali” e dal contenuto di tali documenti emerge che “l’utilizzazione del servizio on line può avvenire esclusivamente attraverso l’inserimento di vari codici segreti in possesso dell’utente e sconosciuti allo stesso personale” dell’intermediario.
Le motivazioni della Cassazione
I giudici hanno evidenziato anche come “sul sito internet di dell’intermediario, agevolmente consultabile dal correntista” ci fosse un apposito spazio in cui “vengono fornite le necessarie informazioni per evitare le frodi informatiche in particolare, il phishing, con l’avvertenza, in particolare, che l’intermediario non chiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali e con le indicazioni necessarie per distinguere il sito internet autentico e protetto dell’intermediario da quelli clonati, nei quali il correntista è indotto a digitare i propri codici personali”. Con riferimento all’onere probatorio, evidenzia l’Abi nella circolare, la Corte di Cassazione ha concluso che l’intermediario non era tenuto a provare che l’addebito fosse stato approvato dai correntisti, in quanto dalle “caratteristiche di sicurezza proprie del sistema informatico dell’intermediario per l’esecuzione di operazioni bancarie per via telematica, vi era la prova, derivata da presunzioni, che tali username, pin e password, che i ricorrenti affermavano di non avere utilizzato per impartire tale ordine, vennero utilizzati da un terzo, previa loro illecita captazione”.
