L’incessante evoluzione delle tecnologie informatiche e il progressivo sviluppo dei social media, al netto degli insiti e innegabili vantaggi, portano con sé un sempre maggior numero di rischi in capo ai soggetti utilizzatori. In particolare, tra le varie tipologie di frodi rese appunto possibili dall’utilizzo degli strumenti informatici, un dato particolarmente preoccupante riguarda il fenomeno del c.d. phishing. Trattasi, nello specifico, di una forma di truffa per mezzo della quale un soggetto, fingendosi un legittimo fornitore di servizi, induce la vittima tramite Internet a comunicare i propri dati personali ovvero password di accesso a portali per perseguire scopi illeciti.
La giurisprudenza di legittimità è, peraltro, intervenuta ad offrire una compiuta definizione del fenomeno, la cui manifestazione è riscontrabile in particolar modo con riferimento a conti correnti bancari e carte di credito. La Cassazione (sezione Penale) ha, infatti, individuato il phishing nell’attività “illecita in base alla quale, attraverso vari stratagemmi (o attraverso fasulli messaggi di posta elettronica, o attraverso veri e propri programmi informatici e malware) un soggetto riesca a impossessarsi fraudolentemente dei codici elettronici” , allo scopo di utilizzarli “per frodi informatiche consistenti, di solito, nell’accedere a conti correnti bancali o postali che vengono rapidamente svuotati” (Corte di Cassazione Penale, sentenza n. 9891 del 2011).
Astenendosi, in questa sede, dai possibili risvolti di una simile condotta in sede penale, occorre porre l’attenzione sulla tutela civilistica e, in particolare, sulla possibilità per il soggetto danneggiato di agire, ai fini dell’ottenimento di un risarcimento del danno, nei confronti dell’istituto di credito di riferimento.
Ebbene, la recente sentenza n. 9158 del 12 aprile 2018 è intervenuta nuovamente sul tema offrendo spunti alquanto interessanti.
Nel caso di specie, due clienti adivano l’Autorità Giudiziaria per vedersi ristorare, da parte dell’istituto di credito (a titolo di responsabilità contrattuale ed extracontrattuale), i danni patiti in ragione di un bonifico on-line effettuato fraudolentemente da un terzo – e dagli stessi mai autorizzato né disposto – pari ad euro 5.500,00. Sulla base dell’interpretazione operata in sede d’appello, non avrebbe potuto darsi luogo ad una condanna nei confronti della banca in virtù dell’assenza di un qualsivoglia obbligo contrattuale di garantire e tutelare i clienti da possibili frodi informatiche ed essendo gli stessi “responsabili della custodia dell’utilizzo corretto” dei propri dati identificativi.
Riformando la decisione di secondo grado la Suprema Corte ha avuto modo di affermare come casi simili debbano ricondursi all’area del “rischio professionale del prestatore di servizi di pagamento”. In tema di operazioni effettuate con l’ausilio degli strumenti elettronici la banca è chiamata, a dire della Corte, a perseguire un interesse sia proprio che dei clienti: garantire la fiducia degli utenti nella sicurezza generale del sistema. La stessa, in particolare, risponde a norma dell’art. 2050 c.c. che, come noto, disciplina la responsabilità per lo svolgimento di attività pericolose (“chiunque cagiona ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee a evitare il danno”). Trattasi di una forma di responsabilità semi-oggettiva, per la quale la prova liberatoria (adozione delle misure idonee) risulta assai gravosa. Invero, continua la Corte, l’istituto di credito avrebbe dovuto fronteggiare, ai fini della liberazione, i possibili rischi con largo anticipo, approntando misure che verificassero “la riconducibilità delle operazioni alla volontà del cliente” nonché l’eventualità “di una utilizzazione dei codici di accesso al sistema da parte dei terzi”.
La pronuncia in commento si pone in continuità con quanto precedentemente affermato dalla stessa Corte che, già con la sentenza n. 2950 del 3 febbraio 2017, applicando il c.d. “parametro dell’accorto banchiere”, aveva condannato l’istituto bancario per mancanza di prova in ordine “alla riconducibilità dell’operazione al cliente”.
Occorre, da ultimo, rilevare che tali criteri giurisprudenziali trovano applicazione in quanto riferibili a fatti antecedenti l’entrata in vigore del D.Lgs. n. 11 del 2010. Per mezzo dell’intervento legislativo citato, infatti, le cautele imposte dall’ordinamento trovano ad oggi un espresso riferimento normativo. In particolare, a norma dell’art. 10, commi 1 e 2 del decreto (attuativo della Direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno) è esplicitamente prescritto che “…qualora l’utilizzatore di servizi di pagamento neghi di avere autorizzato un’operazione di pagamento già eseguita” è onere della banca “provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti”.