Phishing: sull’onere probatorio dell’intermediario per mancata attivazione dell’sms alert e mancato adeguamento dei presidi di sicurezza.

La Corte d’Appello di Firenze si è pronunciata su di una controversia circa l’onere probatorio gravante sull’intermediario in caso di mancata attivazione dell’sms alert e sul mancato adeguamento dei presidi di sicurezza.

Il giudice di primo grado aveva sancito che: “Il ritardo nell’utilizzo di tale accorgimento certamente poteva aver avuto efficienza causale rispetto alla problematica oggetto di causa; era onere dell’intermediario fornire la prova della sostanziale equipollenza del precedente sistema di identificazione del cliente rispetto a quello successivamente adottato, né essa convenuta aveva altresì provato di aver adottato sistemi di sicurezza aggiuntivi, quali il servizio di “sms-alert ” così da consentire l’immediato controllo da parte del cliente della propria operatività sul conto e quindi la revoca dell’ operazione, disposta per errore o in modo fraudolento. Non avendo l’intermediario assolto l’onere probatorio a suo carico, la stessa doveva considerarsi inadempiente e dunque obbligata a riaccreditare la somma di Euro 5.810,00 oltre interessi e rivalutazione monetaria”.

L’intermediario proponeva appello avverso la sentenza di primo grado.

La Corte d’Appello di contro, confermava quanto sancito in sede di primo grado dal Tribunale, rigettando l’appello.

Nel caso di operazioni effettuate con strumenti elettronici (home banking), spetta all’istituto di credito verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell’ “accorto banchiere”, di talché l’eventuale uso, da parte dei terzi, dei codici di accesso al sistema rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista.

Ai fini dell’esenzione da responsabilità la condotta dell’intermediario quale prestatore di servizi di pagamento, avrebbe dovuto conformarsi a uno elevato standard di diligenza tecnica-professionale ( ex art. 1176, comma 2, c.c.), di talché, come affermato dal primo Giudice, diligenza che va valutata tenendo conto dei rischi tipici della sfera professionale di riferimento dell’accorto banchiere e la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra, nell’area del rischio di impresa, destinato ad essere fronteggiato solo attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente attribuibile al cliente, come in parte è stato fatto successivamente dall’intermediario e prima ancora da altri istituti bancari che hanno dotato l’utente di un dispositivo ” token ” e in aggiunta un servizio di sms alert, che se non azzerano, di certo, concorrono a diminuire in modo rilevante questi fenomeni truffaldini.

Quanto alla censura sulla colpevolezza dell’appellata per mancata o errata custodia dei codici di accesso, la relativa prova (cui onere, si ripete, spettava all’appellante) deve ritenersi parimenti non raggiunta.

Il prestatore di servizi di pagamento deve provare un quid pluris, ossia l’adozione di appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. Quid pluris che è mancato: era pacifico che nel 2010 il sistema di protezione dell’appellante (oltre al codice di accesso ed alla password iniziale) prevedeva esclusivamente un codice fisso numerico personale di accesso (PIN) e non già un “token” per la generazione – di volta in volta – del codice dispositivo segreto od il servizio di “sms-alert” per la comunicazione dell’avvenuta operazione, sistemi già in uso da altri istituti bancari all’epoca dei fatti; anche su dette circostanze bene evidenziate dal primo Giudice, erroneamente l’intermediario continua a sostenere che era onere di parte attrice provare che nel periodo successivo all’evento oggetto di causa, il livello di sicurezza del sistema fosse stato implementato fornendo ai propri clienti il cd. “token” per la generazione dei codici da impiegare per l’effettuazione di operazioni disposte on line, così allineando le proprie tecnologie a quelle già da tempo in uso nel sistema bancario. L’assunto non è condivisibile: anche in tal caso l’onere probatorio era a carico dell’intermediario ma non è stato assolto.