Sentenza 12 febbraio 2024
Massime • 1
La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente. (Nella specie, la S.C. in applicazione del detto principio, ha confermato la decisione di merito che aveva ritenuto gravante su Poste Italiane S.p.a., ai fini della non riferibilità al cliente delle operazioni fraudolente eseguite con la sua carta Postepay, la dimostrazione della previa adozione di mezzi di prevenzione dell'uso illecito dei sistemi elettronici di pagamento, quali, ad esempio, l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione).
Commentari • 12
- 1. Phishing e responsabilità dell’intermediarioTommaso Gasparro · https://www.diritto.it/ · 23 ottobre 2025
La regolamentazione normativa e la prassi giurisprudenziale in tema di tutela dei correntisti e responsabilità dei prestatori di servizi di pagamento, rivela, ad ormai oltre un decennio dalla sua introduzione, punti critici, sollevando al contempo interrogativi in merito alla sua complessiva idoneità a raggiungere, a livello di sistema, un equilibrio soddisfacente tra i contrapposti interessi. I risultati concreti cui il sistema normativo in parola, nella sua applicazione pratica, perviene sollevano altresì, in secondo luogo, dubbi anche in punto di efficienza delle risposte giuridiche fornite dall'ordinamento nel settore di riferimento. Per l'approfondimento, si consiglia il volume Il …
Leggi di più… - 2. Studio Legale Costanzohttps://www.studiocostanzo.net/
- 3. M. P. Contessa - Le frodi bancarie nell’era digitale: vishing, phishing e le nuove sfide per la sicurezza finanziaria.Di Dirittodelrisparmio · https://www.dirittodelrisparmio.it/ · 11 ottobre 2024
1) Introduzione Negli ultimi anni, l'avanzamento della tecnologia e la crescente diffusione delle operazioni bancarie online hanno dato vita a nuove forme di frode: tra le più insidiose annoveriamo il “vishing” e il “phishing“. Entrambe rappresentano tecniche d'ingegneria sociale volte a sottrarre dati personali e finanziari alle vittime, spesso attraverso chiamate telefoniche o email fraudolente, mascherate da comunicazioni provenienti da istituzioni finanziarie. Ad onor del vero mediante siffatte truffe le vittime vengono indotte a rivelare le loro credenziali bancarie oppure i propri codici di accesso cagionando loro discapito gravi conseguenze economiche. D'altronde è proprio in …
Leggi di più… - 4. Contestazioni Su Movimentazioni Tramite Carte Virtuali: Come DifendersiGiuseppe Monardo · https://avvocaticartellesattoriali.com/blog/ · 15 settembre 2025
Hai ricevuto una contestazione dall'Agenzia delle Entrate perché alcune movimentazioni tramite carte virtuali sono state considerate sospette o non dichiarate? In questi casi, l'Ufficio presume che i flussi di denaro gestiti con strumenti di pagamento digitali siano stati utilizzati per occultare redditi o spese non tracciate. La conseguenza è il recupero delle imposte, con applicazione di sanzioni e interessi, oltre al rischio di ulteriori controlli. Tuttavia, non sempre la contestazione è legittima: esistono difese per dimostrare la provenienza lecita e la regolarità delle operazioni. Quando l'Agenzia delle Entrate contesta le movimentazioni con carte virtuali – Se le ricariche o i …
Leggi di più… - 5. Phishing: quando spetta il risarcimento e da chi?Angelo Greco · https://www.laleggepertutti.it/ · 30 dicembre 2024
Sul provvedimento
| Citazione : | Cass. civ., sez. III, sentenza 12/02/2024, n. 3780 |
|---|---|
| Giurisdizione : | Corte di Cassazione |
| Numero : | 3780 |
| Data del deposito : | 12 febbraio 2024 |
Testo completo
- intimato -
Civile Sent. Sez. 3 Num. 3780 Anno 2024 Presidente: SCARANO LUIGI ALESSANDRO Relatore: MOSCARINI NN Data pubblicazione: 12/02/2024 2 avverso la sentenza n. 729/2021 del TRIBUNALE di PAOLA, depositata il 26/10/2021; udita la relazione della causa svolta nella pubblica udienza del 12/10/2023 dal Cons. NN MOSCARINI;
udito l'Avvocato Annamaria Rosaria Ursino;
udito il P.M. in persona del Sostituto Procuratore Generale DE MATTEIS STANISLAO che si riporta alle conclusioni scritte e chiede l’accoglimento del ricorso;
FATTI DI CAUSA Anna Di Santo, in qualità di procuratrice di AT PO, convenne in giudizio, davanti al Giudice di Pace di Paola, Poste TA PA chiedendo accertarsi la responsabilità contrattuale o extracontrattuale della società convenuta per la perdita patrimoniale subìta dal PO ammontante ad € 2900 a seguito di un’operazione posta in essere da ignoti sulla propria carta Postepay Evolution. A sostegno della domanda rappresentò che il PO aveva ricevuto una mail in apparenza proveniente da Poste TA PA, con la quale era stato invitato ad accedere al proprio conto mediante un link contenuto nella mail inserendo le proprie credenziali per effettuare il cambio della password;
che l’utente aveva effettuato la richiesta operazione ed aveva successivamente riscontrato un addebito di € 2900 per un’operazione a favore di Anytime Paris Fra, da lui mai compiuta. Formulata invano richiesta di rimborso, il PO adì il Giudice di Pace di Paola. Poste TA, nel costituirsi in giudizio, affermò che la responsabilità dell’accaduto era attribuibile unicamente all’attore per aver quest’ultimo comunicato incautamente a terzi la propria password ed il proprio codice segreto pin per l’accesso on line alla propria carta, rendendo in tal modo possibile ad un soggetto terzo di effettuare l’operazione con cui gli era stata sottratta la somma di € 2900. 3 Il Giudice di Pace adito rigettò la domanda compensando le spese. A seguito di appello del PO, il Tribunale di Paola, con sentenza pubblicata in data 26/10/2021, ha accolto il gravame ritenendo che il prestatore di servizi dovesse rispondere, ai sensi del Dlgs. n. 196 del 2003, degli effetti dannosi conseguenti all’esercizio di un’attività pericolosa implicante il trattamento di dati personali non avendo l’ente dimostrato la riconducibilità dell’operazione al cliente;
rientrando infatti l’eventuale uso dei codici di accesso al sistema da parte di terzi nel rischio professionale del prestatore di servizi di pagamento, ed essendo la condotta prevedibile ed evitabile con appropriate misure tecniche, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi. Il Tribunale pertanto, richiamando la giurisprudenza di questa Corte secondo cui la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente (Cass., 1 n. 2950 del 3/2/2017), ha accolto il gravame e condannato Poste TA PA al risarcimento del danno pari alla somma attualizzata sottratta dall’operazione illecita. Avverso la sentenza Poste TA PA ha proposto ricorso per cassazione sulla base di due motivi. L’intimato non ha svolto attività difensiva in questa sede. La causa è stata assegnata per la trattazione in adunanza camerale ricorrendo i presupposti di cui all’art. 380-bis, 1 co. c.p.c. e successivamente rinviata per la trattazione in pubblica udienza. 4 Il P.G. ha formulato conclusioni scritte nel senso dell’accoglimento del ricorso. RAGIONI DELLA DECISIONE Con il primo motivo di ricorso - violazione e falsa applicazione dell’art. 7 co. 2 dell’art. 10 co. 2 e 12 co. 4 D.lgs. 27/1/2010 n. 11 in riferimento all’art. 360, co. 1 n. 3 c.p.c. -la ricorrente assume che la sentenza impugnata ha violato le specifiche disposizioni che in materia configurano a carico dell’utente dei servizi telematici oneri di particolare cautela e diligenza nell’uso dei propri codici ed ha disatteso le regole disciplinanti la responsabilità di Poste TA PA. Con il secondo motivo di ricorso - omesso esame circa un fatto decisivo per il giudizio in riferimento all’art. 360 co. 1 n. 5 c.p.c. - lamenta che la sentenza impugnata ha omesso di attribuire rilevanza al fatto decisivo costituito dall’avere l’utente consegnato spontaneamente a terzi dati identificativi del proprio conto, operando su un sito che non era di Poste TA PA;
ove tale fatto fosse stato considerato, il giudice del gravame non avrebbe potuto concludere per la sussistenza della responsabilità di Poste. I motivi sono infondati. La giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell’accorto banchiere (Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, 5 per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo. La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020). Era pertanto onere di Poste TA, come correttamente ritenuto dalla impugnata sentenza, a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio 6 professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente. Da quanto esposto consegue il rigetto del ricorso. Non occorre provvedere sulla spese perché l’intimata non ha svolto attività difensiva in questa sede.
P.Q.M.
La Corte rigetta il ricorso. Nulla per le spese. ai sensi dell’art. 13, co.
1-quater del d.P.R. n. 115 del 2002, si dà atto della sussistenza dei presupposti per il versamento, da parte della ricorrente, dell’ulteriore importo a titolo di contributo unificato pari a quello per il ricorso, a norma del comma 1bis del citato art. 13, se dovuto;
così deciso in Roma, nella Camera di Consiglio della Terza