Phishing e responsabilità della Banca

(Avv. Lorenzo Righi)

Come ormai noto, con il termine phishing si indica quella truffa realizzata su Internet attraverso messaggi di posta ingannevoli, finalizzati a carpire dati di accesso a servizi finanziari online o che richiedono una registrazione, talvolta anche mediante l’utilizzo di virus informatici. 

Con una recente pronuncia - la n. 3780/2024, pubblicata il 12.2.2024 - la Terza Sezione Civile della Suprema Corte ha nuovamente precisato quali siano i presupposti per ritenere sussistente, in tali fattispecie, la responsabilità della Banca.

Responsabilità che va esclusa qualora ricorra una situazione di colpa grave dell'utente (configurabile, "ad esempio, nel caso di protratta attesa prima di cominciare l'uso non autorizzato dello strumento di pagamento.."); dopodiché, il riparto degli oneri probatori posti a carico delle parti segue il regime della responsabilità contrattuale.

Pertanto, se "il cliente è tenuto soltanto a provare la fronte del proprio diritto e il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione di misure atte a garantire la sicurezza del servizio": da ciò consegue che "essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass. 6-3, n. 26916 del 26/11/2020)".

In altri termini, è onere della Banca provare di aver adottato le soluzioni più idonee a prevenire o ridurre l'uso fraudolento die sistemi elettronici di pagamento e, in assenza di tale prova, "è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente".