Phishing: Poste Italiane deve risarcire il cliente incauto?
La Suprema Corte si è pronunciata su un caso di truffa informatica, dovendo stabilire eventuali profili di responsabilità contrattuale del cliente che aveva comunicato a terzi i propri dati.
Tizio aveva ricevuto una mail apparentemente proveniente da Poste Italiane con cui era stato invitato ad accedere al proprio conto tramite un link, inserendo le proprie credenziali per effettuare il cambio della password. Dopo aver provveduto, Tizio riscontrava un addebito di euro 2.900 per un'operazione mai effettuata. Quindi, procedeva a richiedere, prima a Poste Italiane il rimborso, poi, al Giudice di pace, ma invano. La Corte d’Appello accoglieva invece il suo ricorso «ritenendo che il prestatore di servizi dovesse rispondere, ai sensi del d.lgs. n. 196/2003, degli effetti dannosi conseguenti all'esercizio di un'attività pericolosa implicante il trattamento di dati personali non avendo l'ente dimostrato la riconducibilità dell'operazione al cliente». Pertanto, Poste Italiane veniva condannata al risarcimento del danno pari alla somma attualizzata sottratta dall'operazione illecita.
Poste Italiane, però, non ci sta. E ricorre in Cassazione sostenendo la violazione delle specifiche disposizioni che in materia configurano a carico dell'utente dei servizi telematici «oneri di particolare cautela e diligenza nell'uso dei propri codici».
La Suprema Corte nel decidere il caso, ricorda come «la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo». E ancora sottolinea che «il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio.
Spettava, quindi, a Poste Italiane dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova, per la Cassazione è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente. La Cassazione rigetta il ricorso. (Cass. civ, sez. III, sent., 12 febbraio 2024, n. 3780)