Responsabilità della banca per indebita esecuzione di operazioni su conto corrente mediante il servizio telematico di home banking

L'utilizzazione dei servizi telematici da parte dei correntisti (home banking) rientra nell'area del rischio professionale della banca e richiede una diligenza di natura tecnica specifica. In forza di ciò, in caso contestazione, è onere della banca fornire la prova della riconducibilità dell'operazione al cliente correntista.

I correntisti PA e RLD convenivano in giudizio avanti al Tribunale di Palermo la società PI, presso la quale intrattenevano un rapporto di conto corrente fruendo del servizio di operatività telematica (c.d. “home banking”). Gli attori dichiaravano di disconoscere un'operazione di bonifico per 5.500 Euro effettuata on line con addebito sul proprio conto corrente ed a favore di un soggetto straniero che dichiaravano di non conoscere.

Il Tribunale del capoluogo siciliano accoglieva la domanda; al contrario, la Corte d'Appello adita dalla banca la rigettava integralmente sottolineando da una parte che la società esercente il servizio bancario avesse comprovato di avere adeguatamente adottato sistemi di sicurezza idonei ad impedire l'accesso da parte di ignoti ai dati personali dei correntisti; dall'altra parte che verosimilmente i clienti –responsabili della custodia dei propri codici personali di accesso- avrebbero potuto essere rimasti vittima di una frode informatica introducendo essi stessi i codici in una qualche e-mail fraudolenta (fenomeno del c.d. “phishing”).

I correntisti, soccombenti in grado di appello, ricorrono per la cassazione della sentenza.

A fronte del disconoscimento da parte del titolare di un conto corrente di un'operazione bancaria effettuata con strumenti telematici, com'è regolata la distribuzione degli oneri probatori circa la riconducibilità o meno dell'operazione al cliente?

L'obbligo contrattuale che incombe sul cliente di diligente custodia dei codici di accesso è sufficiente ad escludere la responsabilità della banca?

La pronuncia in commento risolve il caso sottoposto al suo esame ribaltando integralmente la decisione della Corte d'Appello, che aveva assolto la banca dall'addebito circa la dedotta sua responsabilità sulla base di una indimostrata ipotesi, ossia che i correntisti fossero rimasti vittima del c.d. “phishing”, fornendo quindi essi stessi le proprie credenziali di accesso al proprio conto corrente mediante la risposta ad una e-mail fraudolenta.

La Corte di Cassazione pronunzia in camera di consiglio non partecipata, rilevando la manifesta fondatezza del ricorso, affermando perentoriamente che l'operatività del servizio bancario mediante collegamento telematico –che corrisponde ad un interesse della banca stessa- rientra a pieno titolo nel rischio d'impresa.

Per questa ragione, ed anche indipendentemente dalle previsioni del d.lgs. 27 gennaio 2010 n. 11 attuativo della Direttiva 2007/64/CE, la responsabilità dell'intermediario bancario non può essere valutata secondo il generale standard del paterfamilias, bensì –come accade in tema di incasso di assegni, per esempio- con il più elevato e rigoroso metro valutativo della responsabilità dell'accorto banchiere (bonus nummarius).

Ne discende, secondo i Giudici di legittimità, che è onere della banca fornire la prova della riconducibilità dell'operazione al correntista.

Con motivazione sintetica e forse eccessivamente stringata, la Suprema Corte dichiara espressamente di voler dare continuità al proprio precedente orientamento sviluppatosi nella materia: tra l'altro, la sentenza Cass. civ., n. 2950/2017 è redatta dallo stesso Estensore di quella in commento; e tanto essa che la precedente Cass. civ., n. 10638/2016 vedono coinvolta la responsabilità del medesimo istituto bancario.

Entrambi i precedenti richiamati –così come la pronuncia in commento- collocano nell'ambito del rischio dell'imprenditore bancario l'eventualità dell'esecuzione di un'operazione fraudolenta a mezzo del servizio di home banking, facendone discendere una responsabilità, in capo alla banca, che viene qualificata espressamente come di tipo “semioggettivo”. Ne discende che non solo la valutazione della responsabilità dell'istituto di credito debba essere valutata con maggior rigore, ma anche che, in sostanza, viene completamente addossato alla banca l'onere della prova relativo alla effettiva riconducibilità dell'operazione al correntista.

Poste tali premesse, pare condivisibile la cassazione della sentenza d'appello laddove quest'ultima –a tenore della motivazione della pronunzia di legittimità- pare essersi avventurata in ipotetiche ricostruzioni fattuali indimostrate, quali la circostanza per cui i correntisti avrebbero essi stessi introdotto i propri codici di accesso al sistema rispondendo ad una e-mail fraudolenta: valutazione che viene ritenuta indebita dalla Corte perché effettuata “in mancanza di qualunque obiettivo riscontro di rilievo pure indiziario”.

Parimenti condivisibili appaiono le considerazioni di principio circa la collocazione dell'eventualità dell'esecuzione di un'operazione fraudolenta nell'ambito del rischio di impresa dell'attività bancaria –datosi che, aggiunge la Corte, l'evoluzione dei sistemi telematici per l'esecuzione di operazioni bancarie risponde ad un precipuo interesse della banca stessa-, nonché il conseguente principio afferente la valutazione della responsabilità secondo i canoni specifici del diligente comportamento dell'accorto banchiere.

Decisamente meno condivisibile appare invece la perentoria conclusione relativa all'attribuzione dell'onere della prova, in capo alla banca, della positiva riconducibilità al correntista dell'operazione contestata. In questo modo, infatti, si giunge a far gravare sull'imprenditore bancario una vera e propria probatio diabolica.

Fermi restando i condivisibili principi relativi alla rigorosa valutazione della responsabilità, si ritiene che questi debbano essere contemperati con l'altrettanto rigoroso obbligo –di natura contrattuale (cfr. art. 1227 c.c.)- del correntista di diligente custodia dei propri, personali e riservati, codici di accesso al sistema.

In capo alla banca, ad avviso di chi scrive, dovrebbe rimanere l'obbligo di provare di avere adottato idonee misure, anche di natura tecnica, necessarie per impedire l'abusivo accesso ad opera di ignoti; apparendo però manifestamente iniquo addossarle l'onere –praticamente impossibile da soddisfare- di comprovare che l'operazione contestata sia effettivamente stata eseguita dal correntista.

La materia è oggi regolata dal d.lgs. 27 gennaio 2010 n. 11, attuativo della Direttiva comunitaria 2007/64, non oggetto di valutazione nel corso del giudizio poiché i fatti si collocavano in epoca anteriore. La disciplina ivi dettata (artt. 5 e ss.) introduce effettivamente un regime di maggiore responsabilità in capo alla banca, facendo però salve le ipotesi di dolo o colpa grave (cfr. artt. 7 e 12) da parte del correntista (“utilizzatore dei servizi di pagamento”).

CASSANO G. e altri AA., Diritto dell'internet, Padova, 2012;

CAPOBIANCO E., I contratti bancari, Torino, 2016;

FRAU R., Home banking, captazione di credenziali di accesso dei clienti tramite phishing e responsabilità della banca, in Responsabilità civile e previdenza 2015, 908.