PHISHING SUL CONTO POSTE ITALIANE: IL CLIENTE INCAUTO HA DIRITTO AL RISARCIMENTO?

La vicenda riguardava un uomo che aveva ricevuto una mail apparentemente proveniente da Poste Italiane con cui era stato invitato ad accedere al proprio conto tramite un link, inserendo le proprie credenziali per effettuare il cambio della password. Dopo aver provveduto, l’uomo riscontrava sul proprio conto Poste Italiane, un addebito di euro 2.900, per un’operazione mai effettuata a favore di “Anytime Paris Fra”. L’uomo procedeva con al domanda di rimborso Poste Italiane che, però, glielo negava. Si rivolgeva al Giudice di pace ma la domanda veniva rigettata. Proponeva dunque appello e il gravame veniva accolto ritenendo che il prestatore di servizi dovesse rispondere degli effetti dannosi conseguenti all’esercizio di un’attività pericolosa implicante il trattamento di dati personali non avendo l’ente dimostrato la riconducibilità dell’operazione al cliente. Poste Italiane veniva condannata al risarcimento del danno pari alla somma attualizzata sottratta dall’operazione illecita. Tuttavia Poste Italiane non ci stava e ricorreva in Cassazione, sostenendo che la sentenza impugnata avesse violato le specifiche disposizioni che in materia configuravano a carico dell’utente dei servizi telematici oneri di particolare cautela e diligenza nell’uso dei codici; lamentava inoltre che la sentenza avesse omesso di attribuire rilevanza al fatto decisivo costituito dall’avere l’utente consegnato spontaneamente a terzi dati identificativi del proprio conto, operando su un sito che non era di Poste Italiane. La Corte evidenziava che la diligenza della banca andava a coprire operazioni che dovevano essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale era presunta, doveva porsi al di là delle possibilità esigibili della sua sfera di controllo. Il cliente era tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, doveva invece provare il fatto estintivo dell’altrui pretesa, sicché non poteva omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio. La possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente è un’eventualità rientrante nel rischio d’impresa, quindi la banca per liberarsi dalla propria responsabilità, doveva dimostrare la sopravvenienza di eventi che si collocassero al di là dello sforzo diligente richiesto al debitore. Era pertanto onere di Poste Italiane dover provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, sulla base di un principio di buona fede nell’esecuzione del contratto. In assenza di tale prova, per la Cassazione era corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente, pertanto rigettava il ricorso di Poste Italiane.

Cass. civ, sez. III, sent., n. 3780 del 12.2.2024