Con l’ordinanza n. 9158/2018, la Corte di Cassazione è tornata a pronunciarsi in materia di phishing, confermando il diritto del correntista a vedersi risarcito il danno causato da operazioni non autorizzate da parte del proprio Istituto di credito.

Nel caso in esame due risparmiatori titolari di un conto corrente avevano citato in giudizio l’Istituto di credito, chiedendo il risarcimento dei danni subiti, a titolo di responsabilità contrattuale od extracontrattuale, a seguito di un bonifico on line di euro 5.500,00, effettuato a favore di uno sconosciuto, in mancanza di qualunque disposizione da parte loro.

Mentre il Tribunale di primo grado aveva dichiarato la responsabilità dell’Istituto di credito, la Corte di Appello, inquadrato il caso nell’ambito della responsabilità per attività pericolosa ex art. 2050 c.c., aveva negato tale risarcimento, affermando invece la sussistenza di un comportamento imprudente dei due correntisti, che avrebbero digitato i propri codici personali, verosimilmente richiesti con una email fraudolenta.

Questa condotta avrebbe consentito al truffatore di utilizzare i codici per effettuare il bonifico on line a proprio favore.

Nessuna responsabilità, invece, si sarebbe potuta addebitare all’Istituto di credito, munito di un adeguato sistema di sicurezza, tale da impedire l’accesso ai dati personali del correntista da parte di terzi.

I correntisti avevano quindi impugnato la sentenza di secondo grado, lamentando, tra l’altro, il mancato esame del disconoscimento dell'operazione contabile di addebito, l’erronea sussunzione della fattispecie nell'ambito della responsabilità per attività pericolosa, nonché la supposizione, in assenza di alcuna prova o indizio, della responsabilità dei danneggiati per aver comunicato a terzi i codici segreti.

La Corte di Cassazione ha ritenuto di accogliere le ragioni dei ricorrenti.

In particolare, i Giudici di Piazza Cavour, riprendendo alcune precedenti pronunce, hanno ricordato che “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”.

Ne consegue che “la banca, a cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (Cass. Civ., 3 febbraio 2017, n. 2950)”.

Pertanto, al risparmiatore abilitato a svolgere operazioni on line che agisca per l’abusiva utilizzazione delle proprie credenziali informatiche, spetta soltanto la prova del danno riferibile al trattamento dei propri dati personali; la banca, invece, deve ritenersi responsabile per non avere impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d’accesso del correntista, a meno che non dimostri che l’evento dannoso non le sia imputabile perché derivante da trascuratezza, errore o frode del correntista o da forza maggiore (cfr., Cass. Civ., 23.5.2016 n. 10638).

Nel caso di specie, invece, la Corte territoriale, discostandosi dai principi enunciati dal Giudice di legittimità, non aveva verificato se sussisteva la prova della riconducibilità dell’operazione all’incauta trasmissione dei dati da parte dei correntisti, limitandosi a supporre, in mancanza di un qualunque obiettivo riscontro, pure indiziario, l’apertura di un’ipotetica email fraudolenta ed il successivo inoltro dei dati a terzi.

Per tali ragioni, la Corte di Cassazione ha accolto il ricorso, rinviando alla Corte territoriale in diversa composizione.