Phishing: Poste Italiane deve risarcire il cliente incauto?

Tizio aveva ricevuto una mail apparentemente proveniente da Poste Italiane con cui era stato invitato ad accedere al proprio conto tramite un link, inserendo le proprie credenziali per effettuare il cambio della password. Dopo aver provveduto, Tizio riscontrava un addebito di euro 2.900 per un'operazione mai effettuata a favore di “Anytime Paris Fra”. Tizio procedeva così a richiedere a Poste Italiane il rimborso che gli veniva negato. Si rivolgeva al Giudice di pace ma la domanda veniva rigettata. Proponeva dunque appello e il gravame veniva accolto «ritenendo che il prestatore di servizi dovesse rispondere, ai sensi del d.lgs. n. 196/2003, degli effetti dannosi conseguenti all'esercizio di un'attività pericolosa implicante il trattamento di dati personali non avendo l'ente dimostrato la riconducibilità dell'operazione al cliente». Poste Italiane veniva condannata al risarcimento del danno pari alla somma attualizzata sottratta dall'operazione illecita.

Ricorreva per cassazione Poste Italiane sostenendo che la sentenza impugnata aveva violato le specifiche disposizioni che in materia configurano a carico dell'utente dei servizi telematici «oneri di particolare cautela e diligenza nell'uso dei propri codici»; lamentava inoltre che la sentenza aveva omesso di attribuire rilevanza «al fatto decisivo costituito dall'avere l'utente consegnato spontaneamente a terzi dati identificativi del proprio conto, operando su un sito che non era di Poste Italiane».

La Suprema Corte nel decidere il caso, ricorda come «la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo». E ancora sottolinea che «[…] il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio.

Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., sez. I, 3 febbraio 2017, n. 2950; Cass., sez. III, 5 luglio 2019, n. 18045; Cass., VI-3, 26 novembre 2020, n. 26916)». Era pertanto onere di Poste Italiane dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova, per la Cassazione è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente. La Cassazione rigetta il ricorso.

(Fonte: Diritto e Giustizia)