La Corte di cassazione ha emesso una sentenza importante riguardante la responsabilità di Poste Italiane nei confronti dei clienti vittime di frodi informatiche. La sentenza n. 3780 del 12 febbraio 2024 ha chiarito che la banca è tenuta a risarcire i danni subiti dal cliente nel caso di frodi tramite phishing, quando non sono state adottate adeguate contromisure, come ad esempio gli sms di alert.
Il caso che ha portato alla sentenza riguarda un cliente che ha subito una frode sulla propria carta Postepay Evolution. Il cliente ha ricevuto una mail apparentemente proveniente da Poste Italiane, e cliccando su un link ha inserito le sue credenziali per il cambio della password. Successivamente si è ritrovato addebitato un importo per un’operazione non autorizzata.
La Terza sezione civile della Corte di cassazione ha respinto il ricorso della banca, sostenendo che era compito di Poste Italiane dimostrare di aver adottato soluzioni adeguate per prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento. E poiché la banca non ha fornito tale prova, è stata ritenuta responsabile per il rischio professionale legato alla possibilità che terzi accedano ai profili dei clienti con condotte fraudolente.
Inizialmente, Poste Italiane si era difesa sostenendo che la responsabilità era esclusivamente dell’utente che aveva comunicato incautamente le proprie credenziali. Tuttavia, in appello il Tribunale ha riconosciuto la responsabilità professionale della banca nel trattare i dati personali del cliente, decisione poi confermata dalla Corte di cassazione.
La responsabilità della banca, spiega la Corte di cassazione, per operazioni effettuate a mezzo di strumenti elettronici, “con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento”.
Il cliente, dunque, “è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio”. “Ne consegue – conclude la Corte di cassazione – che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore”.