Phishing bancario
COMMENTO A CASS. CIV., SEZ. III, N. 3780 DEL 12.02.2024
Se hai subito una truffa online e ti sono state indebitamente sottratte delle somme di denaro dal tuo conto corrente bancario o postale e vuoi sapere se hai la possibilità di recuperarle, allora continua la lettura di questo articolo e troverai le risposte che cerchi!
La recente sentenza della Corte di Cassazione n. 3780/2024 offre un’interessante prospettiva sulla delicata questione della responsabilità degli istituti bancari nei casi di phishing, contribuendo a delineare con maggiore chiarezza i confini della diligenza professionale richiesta agli operatori del settore finanziario nell’era digitale.
La pronuncia si inserisce nel solco di un orientamento giurisprudenziale ormai consolidato che, muovendo dalla particolare natura del rapporto banca-cliente, impone all’istituto di credito un elevato standard di diligenza nella predisposizione e gestione dei sistemi di sicurezza per le operazioni online.
Il caso di specie riguarda una vicenda purtroppo sempre più frequente: un correntista di Poste Italiane, titolare di una carta Postepay Evolution, aveva ricevuto una mail apparentemente proveniente dall’istituto che lo invitava a modificare le proprie credenziali di accesso tramite un link contenuto nel messaggio.
Cedendo all’inganno, l’utente aveva inserito i propri dati, consentendo inconsapevolmente a terzi malintenzionati di effettuare un’operazione non autorizzata per 2.900 euro. La particolarità della vicenda risiede nel fatto che la vittima, dopo aver inutilmente richiesto il rimborso a Poste Italiane, ha deciso di agire in giudizio, dando origine a un interessante iter processuale che merita di essere analizzato nei suoi snodi fondamentali.
In primo grado, il Giudice di Pace di Paola aveva respinto la domanda del correntista, accogliendo la tesi difensiva di Poste Italiane secondo cui la responsabilità dell’accaduto era da attribuirsi unicamente all’attore, per aver questi comunicato incautamente a terzi le proprie credenziali di accesso.
La decisione è stata però riformata in appello dal Tribunale di Paola, che ha invece riconosciuto la responsabilità dell’istituto ai sensi del D.lgs. n. 196 del 2003, evidenziando come la possibilità di utilizzo fraudolento dei codici di accesso da parte di terzi rientri nel rischio professionale del prestatore di servizi di pagamento.
La Suprema Corte, chiamata a pronunciarsi sul ricorso di Poste Italiane, ha confermato la decisione di secondo grado, offrendo un’articolata motivazione che merita particolare attenzione.
Il ragionamento della Cassazione si sviluppa attorno al concetto di diligenza professionale qualificata richiesta agli istituti bancari, parametrata secondo lo standard dell’accorto banchiere. Tale diligenza, come sottolineato dalla Corte, ha natura squisitamente tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento.
Di particolare interesse è il passaggio in cui la Corte afferma che la responsabilità della banca per operazioni effettuate mediante strumenti elettronici può essere esclusa solo in presenza di una situazione di colpa grave dell’utente.
Quest’ultima potrebbe configurarsi, ad esempio, nel caso di protratta inerzia nel comunicare l’uso non autorizzato dello strumento di pagamento.
Tuttavia, il riparto degli oneri probatori segue il regime della responsabilità contrattuale: mentre il cliente è tenuto a provare solo la fonte del proprio diritto e il termine di scadenza, spetta alla banca dimostrare il fatto estintivo dell’altrui pretesa.
Nel caso di specie, la Corte ha ritenuto che Poste Italiane non abbia assolto all’onere di provare di aver adottato tutte le misure idonee a prevenire e ridurre il rischio di utilizzo fraudolento dei sistemi elettronici di pagamento.
In particolare, viene evidenziata l’importanza di implementare sistemi di sicurezza come l’invio di SMS alert per la conferma delle operazioni, in ossequio al principio di buona fede nell’esecuzione del contratto. L’assenza di tali misure di sicurezza giustifica, secondo la Corte, l’imputazione alla banca del rischio professionale derivante dalla possibilità che terzi accedano fraudolentemente ai profili dei clienti.
La decisione si pone in continuità con precedenti pronunce della Suprema Corte (richiamate nella sentenza: Cass. n. 2950/2017, Cass. n. 18045/2019 e Cass. n. 26916/2020) che hanno progressivamente delineato un sistema di tutele rafforzate per gli utenti dei servizi bancari online.
Tale orientamento si fonda sulla considerazione che la banca, quale soggetto professionale, è nella posizione migliore per predisporre adeguati sistemi di sicurezza e prevenzione delle frodi, mentre il cliente si trova in una posizione di oggettiva debolezza di fronte alle sempre più sofisticate tecniche di phishing.
La sentenza in commento risulta particolarmente significativa anche per le sue implicazioni pratiche. Essa infatti fornisce importanti indicazioni agli istituti di credito circa lo standard minimo di sicurezza richiesto per i servizi di home banking, suggerendo l’adozione di sistemi di autenticazione a due fattori e di alert in tempo reale per le operazioni sospette.
Al contempo, la pronuncia offre un importante strumento di tutela ai correntisti vittime di frodi informatiche, chiarendo che la mera negligenza nell’aver abboccato all’esca del phishing non è di per sé sufficiente ad escludere la responsabilità della banca.
Un aspetto particolarmente rilevante della decisione riguarda l’interpretazione evolutiva del concetto di diligenza professionale nel contesto digitale. La Corte sottolinea come l’evoluzione tecnologica e la crescente sofisticazione delle minacce informatiche impongano agli istituti di credito un continuo adeguamento dei propri standard di sicurezza.
Non è più sufficiente, in altri termini, limitarsi a predisporre misure di sicurezza basilari, ma è necessario implementare sistemi sempre più avanzati di prevenzione e contrasto delle frodi, in linea con l’evoluzione delle tecniche criminali.
In questo contesto, assume particolare rilievo il riferimento della Corte al principio di buona fede nell’esecuzione del contratto. Tale principio viene interpretato in modo particolarmente rigoroso nei confronti della banca, richiedendo non solo l’adozione di misure di sicurezza tecnicamente adeguate, ma anche una costante attività di monitoraggio e aggiornamento delle stesse.
La banca, in altre parole, deve farsi carico di un’attività di prevenzione proattiva, che non si limiti a reagire agli attacchi informatici ma cerchi di anticiparli attraverso l’implementazione di sistemi di sicurezza all’avanguardia.
La pronuncia della Cassazione apre inoltre interessanti scenari in relazione alla possibile evoluzione futura della responsabilità bancaria in materia di sicurezza informatica.
Se infatti il principio generale della responsabilità della banca per le operazioni fraudolente appare ormai consolidato, resta da definire quale sarà lo standard di diligenza richiesto agli istituti di credito di fronte alle nuove sfide poste dall’intelligenza artificiale e dalle tecnologie emergenti.
In questo senso, la sentenza può essere letta come un invito alla giurisprudenza a mantenere un approccio dinamico e evolutivo, capace di adattarsi al rapido mutamento del contesto tecnologico.
In conclusione, la sentenza della Cassazione rappresenta un importante tassello nella costruzione di un sistema di regole che, tenendo conto della crescente digitalizzazione dei servizi bancari, mira a bilanciare le esigenze di sicurezza con quelle di fruibilità dei servizi.
L’approccio adottato dalla Corte, che valorizza il principio della diligenza professionale qualificata e dell’obbligo di predisporre adeguati sistemi di sicurezza, appare particolarmente condivisibile in un’epoca in cui le minacce informatiche si fanno sempre più sofisticate.
La decisione, inoltre, si inserisce nel più ampio contesto della normativa europea sui servizi di pagamento (PSD2), che ha posto particolare enfasi sulla necessità di garantire elevati standard di sicurezza nelle operazioni online, confermando la crescente attenzione del legislatore e della giurisprudenza verso la tutela degli utenti dei servizi finanziari digitali.
Pertanto, se anche tu sei stato vittima di fishing bancario, rivolgiti immediatamente al tuo legale, il quale valuterà se ci sono gli estremi per richiedere al tuo istituto di credito il rimborso delle somme che ti sono state illegittimamente sottratte.
Scarica le slides in Pdf: –> 
Scarica la decisione in commento: –>
