x

x

Banca - Cassazione Civile: pagamenti online non autorizzati dal titolare del conto e responsabilità dell’istituto di credito

Banca - Cassazione Civile: pagamenti online non autorizzati dal titolare del conto e responsabilità dell’istituto di credito
Banca - Cassazione Civile: pagamenti online non autorizzati dal titolare del conto e responsabilità dell’istituto di credito

La Corte di Cassazione si è recentemente pronunciata su un tema che, da sempre, genera timore nei titolari di un conto corrente on line: la divulgazione, la sottrazione fraudolenta o la perdita dei codici segreti di sicurezza del conto e le conseguenti operazioni di credito effettuate da soggetti non autorizzati. I profili che rilevano sul piano giuridico vertono sulle diverse responsabilità del correntista e del prestatore del servizio di pagamento on line.

Il caso

Nel caso di specie, un soggetto, titolare di un contratto di conto corrente con Poste Italiane S.p.a., aveva subito i danni derivanti da due operazioni di credito, effettuate attraverso il proprio conto on line, mediante l’utilizzo dei propri codici segreti, in assenza di una propria autorizzazione e, comunque, di una previa cessione dei suddetti codici a terzi.

La vicenda giudiziaria

Il titolare del conto ha citato in giudizio Poste Italiane per ottenere il risarcimento dei danni patiti, ma la domanda è stata rigettata sia in primo grado che in sede di appello.

Il giudice di secondo grado ha ritenuto di non accogliere la domanda risarcitoria del titolare del conto sostenendo che, da un lato, (i) le misure di sicurezza (crittografia), adottate da Poste Italiane per il riconoscimento del cliente e l’effettuazione di operazioni on line, “[…] erano tali da escludere che l’accesso alle funzioni fosse consentito a chi non era a conoscenza delle chiavi di accesso; […]”, dall’altro, (ii) che “[…] le operazioni in questione erano state rese possibili dalla mancata custodia o comunque da un incauto comportamento del correntista, tale da consentire la sottrazione dei codici mediante tecniche fraudolente”.

I principi e le motivazioni della decisione

In occasione del successivo ricorso in Cassazione, incardinato dal titolare del conto, la Suprema Corte ha richiamato alcuni principi di fondamentale importanza sul piano probatorio e, in particolare, sul tema dei pagamenti on line e della diligenza richiesta ai prestatori di tali servizi.

Il principio generale richiamato dalla Corte in tema di prova stabilisce che il creditore che domanda “[…] il risarcimento del danno o l’inadempimento contrattuale deve provare la fonte (negoziale o legale) del proprio diritto ed il relativo termine di scadenza, limitandosi poi ad allegare la circostanza dell’inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo dell’altrui pretesa, costituito dall’avvenuto adempimento (v., ad es., Cass. 20 gennaio 2015, n. 826) ovvero dell’impossibilità della prestazione derivante da causa a lui non imputabile”.  

Nel caso che qui interessa, la Cassazione ha ritenuto correttamente adempiuto l’onere del correntista di provare la fonte negoziale del proprio diritto ad un’accorta gestione delle operazioni di pagamento da parte di Poste Italiane (derivante dal contratto di conto corrente). Per quanto riguarda, invece, l’allegazione di circostanze relative all’inadempimento dell’istituto di credito, il correntista ha ampiamente “[…] documentato le numerose frodi informatiche subite dai clienti di Bancoposta”.

Per contro, la Cassazione ha rilevato la carenza probatoria di Poste Italiane in merito ai sistemi di sicurezza adottati al fine di impedire l’utilizzo illecito dei sistemi di pagamento da parte di terzi non autorizzati. Il principio richiamato, specificamente rivolto ai servizi di pagamento che si avvalgono di mezzi meccanici ed elettronici, stabilisce che “non può essere omessa (…) la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio (…); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere” (Cfr.  sentenze Cassazione nn.13777/2007 e 806/2016).

Un ulteriore errore di valutazione nella sentenza di appello è stato rilevato dalla Cassazione e, precisamente, nel passaggio in cui il giudice di secondo grado ha ritenuto non adempiuto l’onere della prova da parte del correntista perché non è stato in grado di dimostrare con prova certa la propria estraneità alle operazioni di conto effettuate.

La Cassazione ha invece sostenuto che: (i) era a carico di Poste Italiane l’onere di “[…] accertare in positivo la riconducibilità dell’operazione […]” al correntista – avendo quest’ultimo già dimostrato la fonte negoziale del proprio diritto e documentato la vulnerabilità dei sistemi di sicurezza di Poste Italiane – e che (ii) “[…] la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell’area del rischio di impresa, destinato ad essere fronteggiato attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente riconducibile al cliente”.

All’esito di tutte le argomentazioni sopra riportate, la Suprema Core ha accolto il ricorso del correntista, cassando la sentenza di secondo grado e rinviando alla Corte d’Appello per la riforma della decisione e per la regolamentazione delle spese.

Conclusioni

Dall’interessante pronuncia deriva un importante corollario: nell’ambito dei pagamenti on line è ragionevole l’affidamento, in termini di sicurezza, che il titolare di un conto corrente on line ripone nel prestatore del servizio di pagamento, dal momento che la riconducibilità alla volontà del cliente delle operazioni compiute mediante il servizio, rientra nel rischio d’impresa che il prestatore deve sopportare e fronteggiare, anticipando il potenziale utilizzo fraudolento dei codici segreti che autorizzano le suddette operazioni.

Nonostante tale principio rappresenti la base necessaria per una generale e diffusa fiducia degli utenti nella sicurezza dei sistemi di pagamento on line, ciò non toglie, comunque, che il titolare del conto ha l’obbligo di custodire con diligenza i propri codici segreti, contribuendo così al mantenimento di un sistema di transazioni di denaro più sicuro.

La sentenza è integralmente consultabile sulla banca dati Pluris.

(Cassazione Civile - Sezione Prima, Sentenza 3 febbraio 2017, n. 2950)

La Corte di Cassazione si è recentemente pronunciata su un tema che, da sempre, genera timore nei titolari di un conto corrente on line: la divulgazione, la sottrazione fraudolenta o la perdita dei codici segreti di sicurezza del conto e le conseguenti operazioni di credito effettuate da soggetti non autorizzati. I profili che rilevano sul piano giuridico vertono sulle diverse responsabilità del correntista e del prestatore del servizio di pagamento on line.

Il caso

Nel caso di specie, un soggetto, titolare di un contratto di conto corrente con Poste Italiane S.p.a., aveva subito i danni derivanti da due operazioni di credito, effettuate attraverso il proprio conto on line, mediante l’utilizzo dei propri codici segreti, in assenza di una propria autorizzazione e, comunque, di una previa cessione dei suddetti codici a terzi.

La vicenda giudiziaria

Il titolare del conto ha citato in giudizio Poste Italiane per ottenere il risarcimento dei danni patiti, ma la domanda è stata rigettata sia in primo grado che in sede di appello.

Il giudice di secondo grado ha ritenuto di non accogliere la domanda risarcitoria del titolare del conto sostenendo che, da un lato, (i) le misure di sicurezza (crittografia), adottate da Poste Italiane per il riconoscimento del cliente e l’effettuazione di operazioni on line, “[…] erano tali da escludere che l’accesso alle funzioni fosse consentito a chi non era a conoscenza delle chiavi di accesso; […]”, dall’altro, (ii) che “[…] le operazioni in questione erano state rese possibili dalla mancata custodia o comunque da un incauto comportamento del correntista, tale da consentire la sottrazione dei codici mediante tecniche fraudolente”.

I principi e le motivazioni della decisione

In occasione del successivo ricorso in Cassazione, incardinato dal titolare del conto, la Suprema Corte ha richiamato alcuni principi di fondamentale importanza sul piano probatorio e, in particolare, sul tema dei pagamenti on line e della diligenza richiesta ai prestatori di tali servizi.

Il principio generale richiamato dalla Corte in tema di prova stabilisce che il creditore che domanda “[…] il risarcimento del danno o l’inadempimento contrattuale deve provare la fonte (negoziale o legale) del proprio diritto ed il relativo termine di scadenza, limitandosi poi ad allegare la circostanza dell’inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo dell’altrui pretesa, costituito dall’avvenuto adempimento (v., ad es., Cass. 20 gennaio 2015, n. 826) ovvero dell’impossibilità della prestazione derivante da causa a lui non imputabile”.  

Nel caso che qui interessa, la Cassazione ha ritenuto correttamente adempiuto l’onere del correntista di provare la fonte negoziale del proprio diritto ad un’accorta gestione delle operazioni di pagamento da parte di Poste Italiane (derivante dal contratto di conto corrente). Per quanto riguarda, invece, l’allegazione di circostanze relative all’inadempimento dell’istituto di credito, il correntista ha ampiamente “[…] documentato le numerose frodi informatiche subite dai clienti di Bancoposta”.

Per contro, la Cassazione ha rilevato la carenza probatoria di Poste Italiane in merito ai sistemi di sicurezza adottati al fine di impedire l’utilizzo illecito dei sistemi di pagamento da parte di terzi non autorizzati. Il principio richiamato, specificamente rivolto ai servizi di pagamento che si avvalgono di mezzi meccanici ed elettronici, stabilisce che “non può essere omessa (…) la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio (…); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere” (Cfr.  sentenze Cassazione nn.13777/2007 e 806/2016).

Un ulteriore errore di valutazione nella sentenza di appello è stato rilevato dalla Cassazione e, precisamente, nel passaggio in cui il giudice di secondo grado ha ritenuto non adempiuto l’onere della prova da parte del correntista perché non è stato in grado di dimostrare con prova certa la propria estraneità alle operazioni di conto effettuate.

La Cassazione ha invece sostenuto che: (i) era a carico di Poste Italiane l’onere di “[…] accertare in positivo la riconducibilità dell’operazione […]” al correntista – avendo quest’ultimo già dimostrato la fonte negoziale del proprio diritto e documentato la vulnerabilità dei sistemi di sicurezza di Poste Italiane – e che (ii) “[…] la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell’area del rischio di impresa, destinato ad essere fronteggiato attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente riconducibile al cliente”.

All’esito di tutte le argomentazioni sopra riportate, la Suprema Core ha accolto il ricorso del correntista, cassando la sentenza di secondo grado e rinviando alla Corte d’Appello per la riforma della decisione e per la regolamentazione delle spese.

Conclusioni

Dall’interessante pronuncia deriva un importante corollario: nell’ambito dei pagamenti on line è ragionevole l’affidamento, in termini di sicurezza, che il titolare di un conto corrente on line ripone nel prestatore del servizio di pagamento, dal momento che la riconducibilità alla volontà del cliente delle operazioni compiute mediante il servizio, rientra nel rischio d’impresa che il prestatore deve sopportare e fronteggiare, anticipando il potenziale utilizzo fraudolento dei codici segreti che autorizzano le suddette operazioni.

Nonostante tale principio rappresenti la base necessaria per una generale e diffusa fiducia degli utenti nella sicurezza dei sistemi di pagamento on line, ciò non toglie, comunque, che il titolare del conto ha l’obbligo di custodire con diligenza i propri codici segreti, contribuendo così al mantenimento di un sistema di transazioni di denaro più sicuro.

La sentenza è integralmente consultabile sulla banca dati Pluris.

(Cassazione Civile - Sezione Prima, Sentenza 3 febbraio 2017, n. 2950)