Phishing. Cassazione sancisce responsabilità della Banca

Col termine phishing si indica una truffa effettuata inviando un’e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.), motivando tale richiesta alla luce di un aggiornamento, di un problema tecnico, di un tentativo di hackeraggio e molto altro ancora

La vittima non si rende assolutamente conto che si tratta di una truffa perché, come recentemente accaduto, il messaggio viene ricevuto (solo apparentemente) dallo stesso identico numero da cui in genere si ricevono le comunicazioni dalla Banca. Fino a qualche tempo fa le vittime di phishing avevano pochissime possibilità di vedere accolta la propria richiesta di risarcimento o di restituzione delle somme indebitamente sottratte. La Banca, o altro istituto, infatti rispondeva, negando l’accoglimento della richiesta, che la truffa era stata resa possibile dal comportamento del truffato che, di fatto, aveva fornito, sebbene inconsapevolmente, al truffatore tutto ciò di cui aveva bisogno per prelevare le somme. In data 12 Febbraio 2024, tuttavia, la Corte di Cassazione con la sentenza n. 3780/2024 (1), ha chiarito che “la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere a favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell’accorto banchiere; dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte alla sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili dalla sua sfera di controllo”. In buona sostanza la Banca deve sapere che un suo cliente può rimanere vittima di una truffa telematica e deve porre in essere tutte le condotte opportune per evitare che la truffa si compia!

E’ la stessa Corte a chiarire che la Banca deve verificare la riconducibilità alla volontà del cliente delle operazioni effettuate tramite strumenti elettronici altrimenti è tenuta a risarcire il cliente.
Sempre la Corte di Cassazione ricorda che “il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la Banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore”.

Ciò non significa che la Banca sarà sempre e comunque tenuta a pagare, posto che anche la condotta del cliente sarà sottoposta ad analisi, ma certamente non si potrà più liquidare il cliente sostenendo semplicemente che non si può accogliere la richiesta stante il possesso da parte di terzi non autorizzati dei codici di accesso.

1 – https://www.aduc.it/generale/files/file/newsletter/2024/marzo/3780_2024_SENTENZA.pdf

Sara Astorino, legale, consulente Aduc

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.