E’ a carico dell’Istituto Bancario la responsabilità di verificare la riconducibilità delle operazioni alla volontà del cliente.
Questo in sintesi il senso della Ordinanza n. 9158 del 12/04/2018, emessa dalla Cassazione Civile, sez. VI, di cui riportiamo un passaggio cruciale:
Questa Corte ha già avuto modo di affermare, pronunciando nei confronti della medesima odierna controricorrente (POSTE ITALIANE SPA n.d.r.), in fattispecie sostanzialmente analoga, che, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (Cass. 3 febbraio 2017, n. 2950).
Ovviamente, in caso di dolo o comportamento incauto e non prevedibile del cliente, la banca non è tenuta a risarcire il danno.
Per comprendere meglio questa decisione della Cassazione, che ha ribaltato i precedenti giudizi di merito, è fondamentale ricondurre i servizi di home banking all’esercizio di attività pericolosa (art. 2050 c.c.). Infatti, chi gestisce servizi di pagamento, le banche quindi, dispone dei dati sensibili dei propri clienti. In tal senso, trova applicazione il d.lgs. 196/2003 cioè il Codice in materia di protezione dei dati personali. L’art. 15 e l’art. 31 prevedono da un lato il pagamento del danno dovuto al trattamento dei dati personali e dall’altro dispongono che questi dati siano utilizzati, custoditi e controllati con la massima sicurezza. L’intermediario finanziario, dunque, ha l’obbligo di adottare idonee e preventive misure di sicurezza così da ridurre al minimo i rischi di distruzione, accesso non autorizzato o trattamento non lecito. Ne consegue di fatto una responsabilità aggravata per evitare la quale l’Intermediario deve dimostrare non solo di aver adottato ogni misura possibile e idonea ad evitare il danno, ma deve anche fornire prova di un’eventuale causa esterna (sia essa fatto naturale, del terzo o dello stesso danneggiato), incontrollabile da parte dell’esercente il servizio.
Importante ricordare anche che l’onere della prova è in capo all’Istituto bancario (d.lgs. 11/2010) per cui , come recita la disposizione n. 2950/2017 della Corte di Cassazione, la sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente.
In conclusione, la Corte di Cassazione conferma che spetta all’intermediario fornire la prova della riconducibilità dell’operazione al proprio cliente e dimostrare di aver adottato tutte le misure di sicurezza possibili e idonee.
A cura di: Studio Spinapolice & Partners
