Le responsabilità dell’istituto di credito nei casi di phishing
di De Stefano & Iacobacci Avvocati
Sulla base dei principi dettati dall’art. 12 del D.l.vo 11/2010 l’utilizzatore dello strumento di pagamento non risente delle perdite conseguenti a operazioni di pagamento non autorizzate, a meno che queste non siano riconducibili al dolo dello stesso utilizzatore o non si siano rese possibili per una mancata custodia dei codici operativi riconducibile a sua colpa grave.
Essendo questo il parametro normativo di riferimento la responsabilità dell’istituto bancario che consenta ripetutamente a terzi di sottrarre somme dal conto corrente del correntista/consumatore che gliele aveva affidate in custodia si manifesta come prevista ex lege.
Vieppiù, possiamo dire a sostegno della tesi , che istituto di credito risponde anche ai sensi dell’art 1176, comma 2, c.c. secondo cui nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata.
A tal proposito, la Cassazione ha più volte ricordato che la diligenza del buon banchiere deve essere qualificata dal maggior grado di prudenza e attenzione che la connotazione professionale dell’agente consente e richiede (cfr. ad es. Cass. 24/9/2009, n. 20543; Cass. Ord. 9/10/2017, n. 23580), e ciò dal momento che in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’alea del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo (cfr. ad es. Cass. 3 febbraio 2017, n. 2950, secondo cui anche prima dell’entrata in vigore del d. lgs. n. 11 del 2010, attuativo della direttiva n. 2007/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente; e Cass. 19/1/2016 n. 806, secondo cui, con specifico riferimento all’utilizzazione di servizi e strumenti, con funzioni di pagamento o altra, che si avvalgono di mezzi meccanici o elettronici, non può essere omessa la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio).
Ed infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere (in particolare quindi, nel caso di erogazione del servizio di home banking, la banca deve garantire uno standard di sicurezza adeguato nell’effettuazione dei pagamenti, al fine di precludere l’accesso al sistema di soggetti non abilitati).
Nel caso di c.d. phishing concorre, vieppiù, pure l’ipotesi di responsabilità riconducibile all’art. 2050 c.c., richiamato dall’art 15 Dlg 196/2003, in ragione del quale chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.
E pertanto, il combinato disposto con l’art 2050 c.c. porta alla conseguente responsabilità dell’istituto di credito in ragione del fatto che chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei messi adoperati, è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il danno.
Sei rimasto vittima di phishing o di altri illeciti in ambito bancario?