domenica 3 settembre 2017

Phishing: E' Responsabile l’istituto di credito se non adotta adeguate misure di prevenzione e sicurezza

Cassazione Civile - Sezione I - Sentenza N. 2950/2017

SVOLGIMENTO DEL PROCESSO 


1. Per quanto ancora rileva, con sentenza depositata in data 8 marzo 2011 la Corte d' Appello di xxxxxx: a) ha rigettato l'appello principale proposto da xxx avverso la decisione di primo grado, che aveva respinto la domanda intesa ad ottenere la condanna di xxxxxxxxxxxx a risarcire il danno derivante da due operazioni (una di giroconto e l'altra di bonifico), eseguite in assenza di sue disposizioni e di cessione a terzi dei codici personali di accesso al sistema che consentiva le operazioni on fine; b) ha dichiarato inammissibile l'appello incidentale tardivo proposto da xxxxxxxxx avverso il capo della sentenza di primo grado, che l'aveva condannata al pagamento delle spese nei confronti di xxxxxxxx, chiamato in giudizio, unitamente ad xxxxxxxxx, quale beneficiario delle operazioni, e ritualmente costituitosi. 

2. La Corte territoriale ha ritenuto: a) che, a tacere dell'assenza di prova certa, quanto all'estraneità del xxxx rispetto al bonifico disposto in favore del xxxxx, comunque, secondo l'accertamento del giudice di primo grado, le misure di sicurezza on fine di xxxxxxx, caratterizzate dall'utilizzo di un sistema di crittografia dei dati di riconoscimento del cliente, erano tali da escludere che l'accesso alle funzioni fosse consentito a chi non era conoscenza delle chiavi di accesso; c) che pertanto le operazioni in questione erano state rese possibili dalla mancata custodia o comunque da un incauto comportamento del correntista, tale da consentire la sottrazione dei codici mediante tecniche fraudolente; d) che l'appello incidentale non poteva essere proposto nel termine previsto dall'art. 334 cod. proc. pen., dal momento che l'impugnazione proposta da xxxxxxxx si correlava ad una domanda di garanzia impropria, autonoma, per soggetti e titolo, rispetto a quella formulata dall'attore in via principale. 

3. Avverso tale sentenza, il xxxxxx propone ricorso per cassazione affidato a due motivi. 

Resistono con controricorso xxxxxxx e il xxxxx; il xxxxxxx non ha svolto attività difensiva. 

Nell'interesse del xxxxx e di xxxxxx sono state depositate memorie ai sensi dell'art. 378 cod. proc. civ. 

MOTIVI DELLA DECISIONE

1. Con il primo motivo si lamentano violazione o falsa applicazione degli artt. 1218 e 2697 cod. civ., nonché vizi motivazionali, per avere la Corte territoriale omesso di applicare le regole in tema di ripartizione dell'onere probatorio. 

Nel caso di specie, era stata rigettata la domanda con la quale l'attore aveva denunciato un inadempimento contrattuale della controparte, nonostante la mancanza di dimostrazione che le operazioni contestate fossero state eseguite attraverso i codici di accesso del ricorrente. 

2. Con il secondo motivo si lamentano violazione o falsa applicazione degli artt. 1218, 2697, 1710, 1768, 1856, 2050 cod. civ., nonché vizi motivazionali, per avere la Corte territoriale ritenuto, in assenza di prova da parte di xxxxxx, l'idoneità del sistema di sicurezza adottato, nonostante l'attore avesse documentato le numerose frodi informatiche subite dai clienti di xxxxxxxxx. 

3. I due motivi, esaminabili congiuntamente per la loro stretta connessione logica, sono fondati. È indiscusso che, nel nostro ordinamento, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno o per l'adempimento deve provare la fonte (riegoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi poi ad allegare la circostanza dell'inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo dell'altrui pretesa. costituito dall'avvenuto adempimento (v., ad es., Cass. 20 gennaio 2015, n. 826) ovvero dell'impossibilità della prestazione derivante da causa a lui non imputabile. 

Tale generai principio ha trovato una sua specificazione, con riguardo all'utilizzazione di servizi e strumenti con funzione di pagamento, che si avvalgono di mezzi meccanici o elettronici, in quanto si è ritenuto che "non può essere omessa (...) la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire la sicurezza del servizio (. . .); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere" (Cass. 12 giugno 2007, n. 13777; v. anche Cass. 19 gennaio 2016, n. 806). 

2 In tale cornice di riferimento, si osserva: a) per un verso, che la sentenza impugnata erroneamente attribuisce rilievo, per una delle due operazioni delle quali si discute, all'assenza di prova certa dell'estraneità del ricorrente, laddove era piuttosto necessario accertare in positivo la riconducibilità dell'operazione a quest'ultimo; b) per altro verso, che la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente; c) che, pertanto, ai fini del rigetto della domanda risarcitoria, non era sufficiente dare rilievo al - peraltro presuntivamente affermato - incauto comportamento del xxxxxxx, che avrebbe consentito la sottrazione dei codici. Va aggiunto che, sebbene alla vicenda non sia applicabile ratione temporis (le operazioni delle quali si discute risalgono infatti al settembre 2005) la direttiva 2007/64/CE del Parlamento europeo e del consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno, cui è stata data attuazione con il d. lgs. 27 gennaio 2010, n. 11 (v., in particolare, artt. 10 e ss.), il punto di equilibrio divisato da tale disciplina risulta essere sostanzialmente in linea con le regole generali relative alla ripartizione della prova in tema di inadempimento contrattuale e di verifica della diligenza dell'agente professionale. 

Infatti, l'impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato (art. 1218 cod. civ.) richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore. Ne discende che, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. 

4. In conclusione, il ricorso principale va accolto, con conseguente cassazione della sentenza e rinvio, anche per la regolamentazione delle spese, alla Corte d'appello di Trento in diversa composizione. 

P.Q.M. 

Cassa la sentenza impugnata e rinvia, anche per la regolamentazione delle spese, alla Corte d'appello di Trento in diversa composizione. Così deciso in Roma, in data 4 ottobre 2016

0 commenti:

Posta un commento