La colpa grave del cliente in ordine alle operazioni fraudolente di phishing.

Nella controversia presa in esame, i Ricorrenti, che hanno lamentato di essere stati vittima di phishing e, in particolare, della peculiare truffa denominata main-in-the-browser, hanno chiesto al giudice la condanna della Banca convenuta al risarcimento del danno e al rimborso delle somme erroneamente corrisposte a terzi.

I Ricorrenti, nella descrizione dei fatti di causa, hanno sostenuto di aver ricevuto tramite e-mail una comunicazione, apparentemente di provenienza della Banca, con cui sono stati invitati a controllare la regolarità di un bonifico europeo, cliccando su un apposito link. Dopo aver aperto il link, i Ricorrenti hanno affermato di aver disposto l’annullamento di due bonifici effettuati in modalità istantanea e di aver contattato tempestivamente il call center della Banca al fine di assicurarsi la buona riuscita dell’operazione. Tuttavia, i Ricorrenti, rendendosi conto del mancato annullamento dei bonifici, hanno provveduto solo in un secondo momento al formale disconoscimento delle operazioni effettuate in proprio nome.

La Banca ha invece eccepito la propria mancanza di responsabilità, affermando, al contrario, la colpa grave dei Ricorrenti in merito all’accaduto.

Il giudice, nel pronunciarsi sulla questione, ha ritenuto infondate le pretese dei Ricorrenti.

Dall’esame della documentazione prodotta è emerso che i Ricorrenti, dopo aver ricevuto una e-mail contenente un link di rinvio ad una maschera di login, hanno autorizzato due bonifici a favore di terzi ignoti, inserendo il codice utente, il pin e la password temporanea di tipo OTP[1].

In effetti, come evidenziato dal dettaglio delle tracciature e dalla riproduzione fotografica degli sms ricevuti, i Ricorrenti hanno disposto (e non revocato) i due bonifici, contribuendo così in modo decisivo e gravemente colposo all’operazione fraudolenta a proprio danno.

In tema di phishing, il giudice, dopo aver richiamato una recente pronuncia della Corte di Cassazione[2], ha ritenuto correttamente assolto l’onere probatorio da parte della Banca, anche ai sensi del D.lgs. n. 11/2010[3], dal momento che quest’ultima ha prodotto dettagliata documentazione attestante la riconducibilità delle operazioni alla volontà – o, in subordine, alla grave negligenza – dei Ricorrenti.

In tale contesto, il giudice ha affermato che sulla Banca, in qualità di prestatrice del servizio, grava una responsabilità oggettiva, e la stessa, al fine di poterne andare esente, deve dimostrare non soltanto di aver adottato tutte le misure idonee ad evitare il danno, ma anche di aver osservato quella diligenza qualificata ex art. 1176 c.c., fornendo la prova di una causa esterna ad essa non imputabile che, per imprevedibilità ed inevitabilità, è sfuggita alla propria sfera di controllo.

Ebbene, secondo il giudice, la responsabilità oggettiva del prestatore di servizi incontra un limite laddove venga accertata la condotta gravemente colposa dell’utente, com’è avvenuto nel caso di specie, in quanto l’evento fraudolento è stato reso possibile proprio grazie al contributo decisivo dei Ricorrenti.

In conclusione, attraverso il richiamo alla giurisprudenza di legittimità[4], il giudice ha ribadito che «la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell’utente».

 _______________________________

[1] Nell’ambito delle operazioni eseguite tramite strumenti di pagamento, il sistema di autenticazione previsto a livello europeo prevede che l’autenticazione del cliente avvenga non solo tramite le cosiddette credenziali di tipo statiche (UserID e Pin) consegnate al cliente al momento dell’apertura del rapporto e solo da lui conosciute, ma anche attraverso l’utilizzo di un codice dinamico, detto OTP, ovvero un codice cifrato monouso generato contestualmente all’accesso al servizio/esecuzione dell’operazione e con durata limitata nel tempo. Tali disposizioni sono state recepite dal legislatore italiano nel D.lgs. n. 218 del 2017 che ha modificato il D.lgs. n. 11 del 2010.

[2] Cfr., Cass., n. 7214 del 13.03.2023 la quale, nel delineare il dovere di diligenza gravante sul correntista, ha precisato che «non può dubitarsi del comportamento decisamente imprudente e negligente del danneggiato, il quale aveva digitato i propri codici personali (verosimilmente richiestigli con una e-mail fraudolenta), in tal modo consentendo all’ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto del danneggiato».

[3] Secondo quanto previsto dall’articolo 10 del D.lgs. n. 11 del 2010, quando l’utente disconosce un’operazione di pagamento, l’onere di provare che l’utente abbia agito con dolo o colpa grave è in capo al prestatore di servizi di pagamento, il quale è altresì onerato di rimborsare l’importo dell’operazione non autorizzata ai sensi degli articoli 11 e 12 del medesimo decreto.

[4] Cfr., Cass., n. 26916/2020.