Poste Italiane risarcisce il cliente frodato col phishing
Lo ha chiarito la Corte di cassazione, sentenza n. 3780 depositata oggi, condannando la banca a risarcire 2.900 euro ad un correntista sottratte dalla carta Postepay Evolution
Poste italiane deve risarcire il cliente che ha subito una frode informatica tramite fishing, a fronte dell’assenza di contromisure – per es. sms di alert – da parte dell’istituto di credito. Lo ha chiarito la Corte di cassazione, sentenza n. 3780 depositata oggi, condannando la banca a risarcire 2.900 euro ad un correntista che aveva subito una frode “posta in essere da ignoti sulla propria carta Postepay Evolution”.
Il cliente, dopo aver ricevuto una mail “in apparenza proveniente da Poste Italiane SpA”, aveva cliccato sul link ed inserito le credenziali per il cambio della password. Successivamente si era ritrovato un addebito per un’operazione a favore di “Anytime Paris Fra”, mai compiuta.
Per la Terza sezione civile, che ha respinto il ricorso della banca, era onere di Poste “provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto”. E siccome Poste non ha fornito tale prova bene ha fatto il Tribunale di Nola ad imputarle il “rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente”.
Nelle fasi merito, Poste si era difesa sostenendo che la responsabilità era attribuibile unicamente all’attore per aver comunicato incautamente a terzi la propria password ed il proprio codice segreto pin per l’accesso on line alla propria carta. E il giudice di Pace diede ragione alla società. In appello, però il Tribunale ha ribaltato la decisione riconoscendo la “responsabilità professionale” della banca nel trattare dati personali del cliente. E la Cassazione ha confermato il ragionamento.
La responsabilità della banca, spiega la Corte, per operazioni effettuate a mezzo di strumenti elettronici, “con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento”.
Il cliente, dunque, “è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio”. “Ne consegue – conclude la Cassazione - che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore”.
