Con la recentissima Sentenza n. 3780 del 12 febbraio 2024 la Suprema Corte è tornata a pronunciarsi in materia di responsabilità degli istituti di credito nel caso di operazioni fraudolente compiute mediante l’acquisizione, da parte del truffatore, delle credenziali di accesso al sistema di home banking di un cliente di una banca.
Il caso di specie deciso dalla Corte riguarda un episodio di c.d. phishing, cioè di acquisizione dei dati di accesso tramite l’inconsapevole collaborazione del cliente, il quale aveva aperto un link, apparentemente riferibile alla sua banca, pervenuto al suo indirizzo di posta elettronica, e aveva quindi inserito le proprie credenziali.
La responsabilità contrattuale
Nella fattispecie in esame viene in rilievo il rapporto contrattuale di conto corrente che lega banca e cliente, nel quale, con riferimento alle obbligazioni relative alla gestione in sicurezza del conto, il cliente è il creditore e la banca è il debitore.
“Il debitore – recita l’art. 1218 c.c.- che non esegue esattamente la prestazione dovuta è tenuto al risarcimento del danno, se non prova che l’inadempimento o il ritardo è stato determinato da impossibilità della prestazione derivante da causa a lui non imputabile”
Alla luce di tale disposizione emerge che se l’inadempimento:
- è derivato da impossibilità della prestazione,
- l’impossibilità non sia dipesa da una causa imputabile al debitore,
il debitore va esente da responsabilità.
Conseguentemente, l’obbligazione si estingue (art. 1256 c.c.) e il debitore non è più tenuto ad adempiere.
In caso contrario, il debitore è ritenuto responsabile dell’inadempimento (c.d. responsabilità contrattuale in contrapposizione alla responsabilità extracontrattuale derivante da fatto illecito) e deve risarcire al creditore tutti i danni che ne sono derivati.
La responsabilità contrattuale, pertanto, identifica la responsabilità per inadempimento dell’obbligazione, qualunque ne sia la fonte.
Circa la natura di tale responsabilità, in dottrina si sono diffuse due distinte tesi contrapposte: una oggettiva (che valorizza il fatto oggettivo dell’inadempimento) ed una soggettiva (ove è data più attenzione all’aspetto della colpa); nel tentativo di superare tale dicotomia, e valorizzando il principio di buona fede e correttezza, altra tesi più recente considera esente da responsabilità il debitore cui è richiesto un comportamento inesigibile.
Contro l’inadempimento l’ordinamento prevede vari rimedi, di tipo sanzionatorio, conservativo o risolutivo, alcuni dei quali a carattere generale, altri a carattere speciale, a seconda che siano applicabili a tutte le figure contrattuali o ai soli tipi per i quali sono previsti.
Tra i rimedi carattere generale si distinguono: l’azione di esatto adempimento (di tipo conservativo), l’azione di risoluzione (di tipo risolutivo) e l’azione risarcitoria (di tipo sanzionatorio); quest’ultima, secondo l’impostazione prevalente, non è sussidiaria alle prime due, potendo essere esperita anche autonomamente (cfr. art. 1453 c.c.).
Principio fondamentale in tema di responsabilità contrattuale attiene alla ripartizione dell’onere della prova: in capo al creditore è previsto un mero onere di allegazione dell’inadempimento, mentre incombe sul debitore l’onere di dimostrare di aver esattamente eseguito la prestazione dovuta (cfr. Cass., Sez. Unite., 30 ottobre 2001 n. 13533, e di recente Cass. 27 febbraio 2023 n. 5853).
In caso di phishing: la Sentenza n. 3780/2024
Con la Sentenza n. 3780/2024 la Suprema Corte sembra mutare il suo precedente indirizzo su due fronti: i) quello della ripartizione dell’onere della prova e ii) quello della rilevanza della condotta del cliente.
La Corte ha, in primo luogo, sancito che “la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo, concludendo “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale”.
Secondo l’orientamento consolidato della Suprema Corte, infatti, l’istituto di credito deve adottare tutte le misure idonee a garantire la sicurezza del servizio in quanto la diligenza ad esso richiesta (art. 1176, comma secondo, c.c.) ha natura tecnica e “deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere” (v. Cass. 2950 del 03.02.2017).
Applicando i suddetti principi con riguardo al profilo probatorio ne deriva che, mentre il cliente è tenuto soltanto a provare la fonte del proprio diritto, cioè il contratto di conto corrente, ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio. “Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore”.
La Suprema Corte ha infatti ritenuto che la banca nella fattispecie avrebbe dovuto opportunamente provare “di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invito al titolare della carta di appositi sms allert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto”.
In assenza di tale prova è imputabile alla banca il rischio che terzi accedano ai profili dei clienti con condotte fraudolente.
In definitiva, la Corte ha affermato che, in assenza di prove concrete, fornite da parte dell’istituto di credito, di aver adottato tutte le misure necessarie alla prevenzione delle frodi, è corretto attribuire all’Istituto di credito medesimo il rischio professionale legato alla possibilità che terzi accedano fraudolentemente ai profili home banking dei clienti.
Studio Legale DAL PIAZ