La Corte di Cassazione con l’ordinanza 2023 n. 7214 si è espressa su un caso di frode informatica ai danni di un cliente di Poste Italiane negando la responsabilità dell’istituto di credito nel caso in cui sia il cliente stesso a rivelare i propri codici segreti ed escludendo la restituzione delle somme prelevate da un conto corrente mediante bonifico online.

Nelle motivazioni addotte dalla Suprema Corte si legge che non può dubitarsi del comportamento decisamente imprudente e negligente del danneggiato, il quale aveva digitato i propri codici personali (verosimilmente richiestigli con una e-mail fraudolenta), in tal modo consentendo all’ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto del danneggiato.

Impossibile, pertanto, pretendere dall’istituto di credito la restituzione della somma di denaro sottratta al correntista con un ordine di bonifico online. Decisiva, nella fattispecie in esame, la constatazione dell’adeguata sicurezza garantita dalla banca e della accertata condotta imprudente e negligente del correntista rimasto vittima di phishing.  

Il caso

Con sentenza emessa il 12 gennaio 2010, il Tribunale di Palermo ha condannato Poste Italiane a ripagare a titolo di risarcimento una coppia di correntisti per un danno cagionato nei loro confronti. In particolare i due erano stati frodati di 6mila euro tramite un’operazione di bonifico (c.d. “postagiro”) «eseguita per via telematica da un terzo». Secondo i giudici di primo grado, l’istituto di credito non aveva adottato «tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quelli verificatisi in capo agli attori».

Con il ricorso in appello, i giudici di secondo grado hanno ribaltato la decisione del Tribunale di Palermo in quanto “dai dati acquisiti al processo risulta che Poste Italiane adottò un sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terzi». In particolare, sia l’accettazione da parte dei clienti del regolamento relativo alla sicurezza del servizio bancario per via telematica, sia «i livelli di sicurezza dei sistemi informatici di “Bancoposta on line” certificati da appositi enti certificatori secondo i più rigorosi ed affidabili standard internazionali” sollevano la banca dalla responsabilità in caso di phishing.  

La decisione della Cassazione sul phishing

La Cassazione, nel confermare la sentenza di appello, ha accertato che Poste Italiane non era da ritenersi responsabile per l’addebito sul conto corrente eseguito da un terzo soggetto privo del consenso dei titolari del conto le cui credenziali autorizzative era state sottratte tramite c.d. phishing in quanto “l’utilizzazione del servizio “Bancoposta on line” può avvenire esclusivamente attraverso l’inserimento di vari codici segreti in possesso dell’utente e sconosciuti allo stesso personale di Poste Italiane». L’operazione, eseguita per via telematica di trasferimento di 6mila euro dal conto corrente di cui era titolare la coppia a un altro conto intestato a terzi, quindi, «non può che essere avvenuta grazie all’utilizzo di codici identificativi personali, il che – scrivono i giudici – a sua volta porta a ritenere che la coppia sia rimasta vittima di una delle sempre più frequenti truffe informatiche”

Allegato:

Cassazione civile ordinanza 7214 2923