Utilizzo fraudolento degli strumenti di pagamento: ripartizione della responsabilità e dell'onere probatorio

Nell'ambito di un rapporto di conto corrente online, la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale; è ascrivibile alla banca l'inadempimento consistente nel non aver impedito il prelievo illecito, per non avere la stessa eccepito un fatto estintivo e impeditivo della pretesa di controparte.

Il caso in commento riguardava una truffa informatica riconducibile al fenomeno del “phishing” mediante prelievo illegittimo, ad opera di terzi, della somma di euro 1.000,00 sul conto corrente e sulla carta di credito prepagata di una persona fisica. L'attore, pertanto, citava in giudizio l'intermediaria società di capitali, quale prestatore dei servizi di pagamento, chiedendo l'accertamento della responsabilità contrattuale di quest'ultima per la frode subita.

Il Giudice di Pace accoglieva la domanda proposta, condannando l'intermediario alla restituzione della somma sottratta, oltre al risarcimento del danno morale subito. Ciò poiché, non soltanto il pagamento non risultava essere stato autorizzato, ma anche perché la documentazione prodotta dal convenuto non dimostrava né la regolarità delle operazioni né, tantomeno, l'adeguatezza dei sistemi di sicurezza della piattaforma informatica messa a disposizione del cliente.

L'intermediario soccombente proponeva appello avanti al Tribunale di Paola, il quale accoglieva il gravame, stabilendo che l'illegittimo prelievo dovesse presumibilmente essere ricondotto ad un accesso effettuato mediante l'utilizzo delle credenziali dell'utente, che potevano essere state carpite anche durante la normale navigazione in rete.

Il correntista soccombente proponeva ricorso per Cassazione, la quale accoglieva i motivi di merito proposti – anche relativamente al danno morale subito – con motivazione in punto responsabilità contrattuale dell'intermediario ed onere della prova.

La questione giuridica sottesa nel caso in esame verte nello stabilire se nell'ambito di un rapporto di conto corrente online sia ascrivibile alla banca l'inadempimento consistente nel non aver impedito il prelievo illecito, per non avere la stessa eccepito un fatto estintivo e impeditivo della pretesa di controparte.

Prima di fornire soluzione alla questione giuridica in premessa, occorre una breve disamina degli istituiti coinvolti nel caso in disamina.

Il phishing è un tipo di truffa effettuata su Internet, attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. Si tratta di un'attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi. Tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando messaggi di posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS. Attraverso una e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l'accesso previa registrazione (web-mail, e-commerce ecc.). Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l'utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell'istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l'utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.

Con la stessa finalità di carpire dati di accesso a servizi finanziari on-line o altri che richiedono una registrazione, un pericolo più subdolo arriva dall'utilizzo dei virus informatici. Le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione .exe, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf . Nel caso si tratti di un c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari. Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”, c.d. “keylogging”, in questo caso i criminali sono in possesso delle chiavi di accesso ai vostri account di posta elettronica o di e-commerce.

Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

1) l'utente malintenzionato (phisher) spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto);

2) l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro;

3) l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione (Fake login);

4) il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato;

5) il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

Ciò posto e tornando al caso in esame, il correntista proponeva ricorso per cassazione, per aver la Corte d'appello erroneamente escluso la responsabilità contrattuale dell'intermediario creditizio in ordine all'illegittimo prelievo di una somma di denaro (1.000 euro) dal conto corrente online. Il ricorrente censurava la circostanza che la banca, a fronte dell'allegazione dell'avvenuto prelievo e dell'insussistenza di ogni forma d'inosservanza delle norme di cautela a carico degli utenti del servizio, non avesse eccepito adeguatamente il corretto adempimento delle proprie obbligazioni, in relazione all'adozione di adeguati sistemi di sicurezza sull'operatività telematica del conto corrente.

Tale impugnazione era condivisa dalla Suprema Corte la quale, in accoglimento del ricorso, cassava la sentenza impugnata nella parte in cui aveva escluso immotivatamente la responsabilità della banca in ordine al prelievo illecito - in mancanza di un'eccezione specifica sulla sussistenza di fatti estintivi o impeditivi del diritto fatto valere -, sulla base della mera ipotesi di violazione, da parte della ricorrente, di norme prudenziali poste a carico dei correntisti online, così violando la regola di giudizio di cui all'art. 1218 c.c..

La Suprema Corte evidenzia che l'intermediario che offre servizi di pagamento ha il dovere di adempiere all'obbligo di custodia del patrimonio dei propri clienti con la diligenza professionale richiesta dall'art. 1176, comma 2, c.c., predisponendo misure di protezione idonee ad evitare l'accesso fraudolento di terzi ai depositi o a neutralizzarne gli effetti (v. Cass. 16417/2022).

Ne consegue che il debitore di prestazione professionale, per andare esente da responsabilità, dovrà adoperare la diligenza resa necessaria dalle peculiari circostanze concrete del caso e ciò, sia mediante un adeguato sforzo tecnico che impiegando le energie ed i mezzi necessari (e, obiettivamente, anche soltanto utili) all'adempimento della prestazione dovuta, oltreché, naturalmente, ad evitare possibili eventi dannosi (v. Cass. 12407/2020, Cass 3462/2007 e Cass. 12995/2006). Segnatamente, nell'ambito del rapporto di conto corrente con operatività mediante piattaforma telematica, eccezion fatta nell'ipotesi in cui ricorra la colpa grave (o il dolo) dell'utente – ovverosia, la violazione delle norme prudenziali sottese alle modalità di utilizzo del conto corrente mediante cd. home banking – sussiste la responsabilità contrattuale dell'intermediario per le operazioni effettuate a mezzo strumenti elettronici mediante illecita utilizzazione delle credenziali di accesso da parte di terzi e, in particolare, relativamente alla mancata verifica della riconducibilità dell'operazione alla volontà del cliente.

Ancora, nell'ambito del rapporto di conto corrente, la Cassazione sottolineava l'erroneità della decisione del Giudice di seconde cure nella parte in cui accertava l'insussistenza di alcuna responsabilità in capo all'intermediario, e ciò in forza della mancata previsione contrattuale di specifici sistemi di allerta o di blocco delle operazioni.