HOME Articoli

Lo sai che? Addebiti non autorizzati: la banca deve rimborsare?

Lo sai che? Pubblicato il 13 aprile 2018

Articolo di




> Lo sai che? Pubblicato il 13 aprile 2018

Phishing  e truffa informatica: la banca deve provare che il bonifico online contestato lo ha fatto il cliente; per la cassazione, nelle operazioni con il sistema home banking, la banca ha l’onere della prova.

Hai visualizzato la lista delle più recenti operazioni eseguite dal tuo conto corrente online e ti sei accorto che ci sono degli addebiti per operazioni da te mai eseguite. Il beneficiario dei bonifici è un soggetto sconosciuto. Nulla di più semplice pensare che si sia trattato di un accesso abusivo al tuo account e che qualche criminale informatico abbia effettuato quella che comunemente viene chiamata «operazione di phishing», ossia una truffa informatica. Di tanto te ne sei accorto solo ora, quasi per caso (e fortuna vuole che non sia stato prosciugato tutto il deposito): la banca non ti ha allertato, non ti ha inviato messaggi sul cellulare né email. Se prontamente informato forse avresti potuto ridurre il danno, evitare che l’episodio si ripetesse una seconda volta, magari cambiando la password del tuo home banking o formattare il computer nel caso vi fossero dei virus. Insomma, sei convinto che per gli addebiti non autorizzati la banca deve rimborsare le somme trafugate dai criminali. È davvero così? Come fare per ottenere la restituzione del maltolto prelevato dal conto corrente? La soluzione è stata offerta dalla Cassazione con una interessante sentenza pubblicata ieri [1].

La vittima di phishing deve essere risarcita

Se il cliente della banca o delle poste contesta l’esecuzione di un bonifico eseguito sul proprio conto corrente online in favore di un soggetto sconosciuto, spetta all’istituto di credito dimostrare che l’operazione è stata effettivamente eseguita dal cliente stesso e non è quindi phishing. Gli utenti devono infatti potersi fidare delle operazioni online. Per questo la banca ha obblighi stringenti sulla sicurezza dei propri sistemi informatici. Questo comporta ciò che, in termini tecnici, si chiama «inversione dell’onere della prova»: al cliente basta contestare mentre spetta all’intermediario (la banca o la posta) provare che l’operazione è regolare. In assenza di tale dimostrazione, il correntista ha diritto al cashback ossia alla restituzione dei soldi prelevati indebitamente. La corte di cassazione, con la sentenza 9158, ha accolto il ricorso del cliente di Poste italiane Spa, che chiedeva di rientrare in possesso di oltre 5 mila euro oggetto di un bonifico, fatto con il sistema home banking, il cui beneficiario era un totale sconosciuto. Il tribunale aveva dato ragione al correntista, mentre la corte d’Appello l’aveva data alle Poste.

La banca esercita attività pericolosa: deve quindi garantire il cliente

Quali sono le ragioni della responsabilità dell’intermediario finanziario? Esiste un articolo del codice civile [2] che regola  la responsabilità per l’esercizio di attività pericolose. In base a tale norma, chi provoca un danno nell’esercitare l’attività a rischio, deve risarcire il danno al cliente salvo dimostri di avere adottato tutte le misure per evitare il pregiudizio. 

Questo significa che banca o Poste possono liberarsi dalla responsabilità oggettiva che incomba su di loro per legge solo se provano di aver adottato un adeguato sistema di sicurezza, tanto efficace da bloccare l’accesso al conto al conto a terzi. 

Non conta che il cliente sia stato sprovveduto da cadere vittima della truffa informatica cliccando su un link sospetto o inserendo le credenziali di accesso al proprio home banking (username e password) su un portale non ufficiale perché richiestigli con una mail fraudolenta. 

La banca è responsabile per gli addebiti sul conto corrente?

La decisione della Cassazione è figlia dei tempi. La battaglia volta a disincentivare l’uso del contante e ad agevolare i pagamenti elettronici (anche ai fini del contrasto dell’evasione del riciclaggio) impone di far sentire sicuri gli utenti del conto online e di “assecondare” le loro richieste di restituzione del denaro sottratto con addebiti non autorizzati sul conto. Anche se ciò è stato agevolato dall’«ignoranza informatica» dell’utente stesso. È necessario dare fiducia ai correntisti nella sicurezza delle operazioni on line. Pertanto la banca è tenuta a dotarsi di sistemi che permettano di verificare la riconducibilità delle operazioni alla volontà del cliente, evitando i rischi prevedibili, come la possibilità che estranei possano fare uso dei codici di accesso. 

In sintesi, secondo la Cassazione, la banca o le Poste sono responsabili e devono quindi risarcire il cliente per il phishing e cioè per la frode informatica mediante il furto delle credenziali di accesso al conto. Ciò a meno che l’istituto non riesca a dimostrare che il cliente faccia azioni talmente incaute da non poter essere fronteggiate in anticipo.  

Come chiedere la restituzione dei soldi sottratti dal conto?

Il cliente che si accorge dell’addebito non autorizzato dovrà innanzitutto presentare una denuncia-querela alla polizia postale. Dopodiché, allegando una copia della stessa, dovrà spedire alla propria banca una raccomandata a/r con la richiesta di restituzione del maltolto. La domanda dovrà indicare la data dell’operazione e specificando che l’operazione non è stata mai autorizzata. 

Si consiglia, comunque, di cambiare immediatamente la password di accesso al proprio conto online.

note

[1] Cass. sent. n. 9158/2018 del 12.04.2018.

[2] Art. 2050 cod. civ.

Corte di Cassazione, sez. VI Civile – 1, ordinanza 13 febbraio – 12 aprile 2018, n. 9158
Presidente Di Virgilio – Relatore Di Marzio

Ffatto e diritto

Rilevato che:
1. Con sentenza del 12 luglio 2016 la Corte d’appello di Palermo, provvedendo in totale riforma della sentenza resa tra le parti dal locale Tribunale, ha respinto la domanda spiegata da R.L.D. e P.A. nei confronti di Poste Italiane S.p.A., presso la quale erano titolari di un rapporto di conto corrente, volta ad ottenere condanna della convenuta, a titolo di responsabilità contrattuale o extracontrattuale, al pagamento dell’importo di Euro 5500,00, oltre accessori, somma che risultava bonificata, attraverso una operazione on-line, in mancanza di qualunque disposizione da parte loro in tal senso, in favore di un individuo ad essi sconosciuto, tale K.N. .
Ha in breve ritenuto la Corte territoriale:
-) che la fattispecie dovesse essere ricondotta all’ambito di applicazione dell’articolo 2050 c.c.;
-) che Poste italiane S.p.A. avesse comprovato di essersi munita di un adeguato sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terzi;
-) che doveva pertanto ritenersi che gli attori fossero stati vittime di una truffa informatica on-line consistita nel carpire loro username e password per l’accesso al conto;
-) che non sussisteva un vero e proprio obbligo contrattuale di Poste italiane S.p.A. di garantire e tutelare i clienti dalle frodi informatiche, essendo gli stessi clienti responsabili della custodia dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio;
-) che non poteva dubitarsi del comportamento decisamente imprudente e negligente degli appellati, i quali avevano digitato i propri codici personali, verosimilmente richiestigli con una mail fraudolenta, in tal modo consentendo all’ignoto truffatore di utilizzarli successivamente.
2. – Per la cassazione della sentenza R.L.D. e P.A. hanno proposto ricorso per quattro mezzi.
Poste italiane S.p.A. ha resistito con controricorso.
Considerato che:
3. Il primo motivo denuncia omesso esame circa un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti in relazione all’articolo 360, numero 5 c.p.c., censurando la sentenza impugnata la quale non aveva esaminato e considerato l’avvenuto disconoscimento dell’operazione contabile di addebito operata sul conto corrente, con conseguente omessa valutazione degli effetti che tale disconoscimento aveva determinato il riparto degli oneri probatori delle parti contrattuali.
Il secondo motivo denuncia violazione e falsa applicazione degli articoli 1218, 2050, 2697 c.c. e 115 c.p.c. e dei principi in tema di responsabilità contrattuale e riparto dell’onere della prova in relazione all’articolo 360 numero 3 c.p.c., censurando la sentenza impugnata per aver erroneamente sussunto la fattispecie nell’ambito della responsabilità per attività pericolosa.
Il terzo motivo denuncia violazione o falsa applicazione degli articoli 115 c.p.c., 2050, 2697, 2729 c.c., 40 e 41 c.p. in relazione all’articolo 360 numero 3 c.p.c., violazione dell’articolo 116 c.p.c. in relazione all’articolo 360 numero 4 c.p.c., nullità della sentenza, censurando la medesima per aver fondato la propria decisione su valutazioni ipotetiche della responsabilità dei danneggiati in assenza di alcuna prova ovvero indizio che essi avessero comunicato a terzi di codici segreti.
Il quarto motivo denuncia violazione e falsa applicazione degli articoli 115 c.p.c. e 2050, 2697 c.c. nonché dei principi di valutazione delle prove, in relazione all’articolo 360 numero 3 c.p.c., violazione dell’articolo 116 c.p.c. in relazione all’articolo 360, numero 4, c.p.c., nullità della sentenza, censurando la sentenza impugnata nella parte in cui aveva ritenuto che la prova liberatoria di cui all’articolo 2050 c.c. prescindesse dalla valutazione concreta delle misure tecnologiche che il progresso scientifico aveva, all’epoca dei fatti effettivamente messo a disposizione della sicurezza dei sistemi di home banking.
Ritenuto che:
4. – Il Collegio ha disposto l’adozione della modalità di motivazione semplificata.
5. Il ricorso è manifestamente fondato.
Sono difatti manifestamente fondati i primi tre motivi che possono essere simultaneamente esaminati atteso il loro collegamento.
Questa Corte ha già avuto modo di affermare, pronunciando nei confronti della medesima odierna controricorrente, in fattispecie sostanzialmente analoga, che, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente (Cass. 3 febbraio 2017, n. 2950).
Nel caso di specie la Corte d’appello, dopo aver inquadrato la vicenda nell’ambito della responsabilità per l’esercizio di attività pericolose di cui all’articolo 2050 c.c., si è discostata dal principio che precede, in buona sostanza supponendo, in mancanza di qualunque obiettivo riscontro di rilievo pure indiziario, che gli odierni ricorrenti si fossero resi responsabili dell’occorso per aver aperto una ipotetica mail ed aver comunicato per questa via i propri dati ad estranei, mentre avrebbe dovuto verificare se Poste italiane S.p.A. avesse fornito la prova della riconducibilità dell’operazione al cliente.
Il quarto motivo è assorbito.
6. La sentenza e cassata in relazione ai motivi accolti e rinviata per nuovo esame alla Corte d’appello di Palermo che si atterrà al principio dianzi rammentato e provvederà anche sulle spese di questo giudizio di legittimità.

P.Q.M.

accoglie i primi tre motivi del ricorso, assorbito il quarto, cassa la sentenza impugnata in relazione ai motivi accolti e rinvia anche per le spese alla Corte d’appello di Palermo in diversa composizione.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:
Informativa sulla privacy

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI