Tribunale di Pescara, Sez. civile, sentenza 5 febbraio 2024, n. 215
Domanda giudiziale
I cointestatari di un conto corrente postale hanno agito nei confronti del prestatore di servizi di pagamento, chiedendo il risarcimento del danno patrimoniale subito a seguito di plurime operazioni di pagamento on line mai autorizzate, eseguite da ignoti mediante frode informatica (phishing), per un importo complessivo pari a € 5.151,00.
Gli attori hanno invocato, in via principale, la responsabilità contrattuale ex art. 1218 c.c. e, in via subordinata, la responsabilità ex art. 2050 c.c.
La convenuta ha resistito, contestando ogni profilo di responsabilità e deducendo la colpa esclusiva degli utenti.
Fatto
Gli attori erano cointestatari di un conto corrente postale, associato a due carte di pagamento e a un servizio di home banking, utilizzato prevalentemente per il pagamento di utenze.
In data 26 febbraio 2021, uno degli attori riceveva sul proprio telefono cellulare un SMS apparentemente proveniente dal prestatore di servizi di pagamento, con il quale si segnalava la sospensione dell’utenza per mancato aggiornamento PSD2 e si invitava ad accedere a un link per procedere all’aggiornamento.
Il messaggio risultava provenire dal medesimo mittente e numero da cui, pochi giorni prima, erano stati inviati codici OTP legittimi nel corso di operazioni effettuate presso l’ufficio postale, circostanza che induceva l’utente a ritenere attendibile la comunicazione.
Dopo l’accesso al link e l’inserimento dei dati richiesti, l’utente veniva contattato telefonicamente da un soggetto qualificatosi come operatore del servizio clienti del prestatore, che forniva istruzioni per il completamento dell’aggiornamento.
Nella stessa giornata venivano eseguite più operazioni on line non autorizzate che determinavano il sostanziale svuotamento del conto corrente.
Gli attori provvedevano immediatamente a bloccare le carte, presentare denuncia-querela e contestare formalmente gli addebiti, chiedendone il rimborso, senza tuttavia ottenere riscontro favorevole.
Disamina
Il Tribunale ha accolto la domanda attorea, ricostruendo il quadro normativo e giurisprudenziale in materia di frodi informatiche e servizi di pagamento.
1. Natura della responsabilità e onere della prova
La responsabilità del prestatore di servizi di pagamento per operazioni non autorizzate effettuate mediante strumenti elettronici ha natura contrattuale.
Ai sensi del D.Lgs. n. 11/2010, grava sul prestatore l’onere di dimostrare che l’operazione sia stata correttamente autenticata, registrata e contabilizzata, nonché che non vi siano stati malfunzionamenti dei sistemi e che l’evento dannoso sia riconducibile al dolo o alla colpa grave dell’utente.
L’utilizzo dello strumento di pagamento, di per sé, non è sufficiente a provare l’autorizzazione dell’operazione da parte del cliente.
2. Il rischio professionale
Il Tribunale ha richiamato l’orientamento della Corte di Cassazione secondo cui la possibilità che terzi si impossessino delle credenziali di accesso mediante tecniche di phishing costituisce un evento prevedibile ed evitabile con adeguate misure di sicurezza.
Tale rischio rientra nell’area del rischio professionale del prestatore di servizi di pagamento, che è tenuto a una diligenza qualificata, valutata secondo il parametro dell’“accorto banchiere”.
Ne discende l’obbligo non solo di adottare sistemi di sicurezza tecnologicamente adeguati e costantemente aggiornati, ma anche di monitorare le operazioni e segnalare tempestivamente quelle anomale rispetto alla normale operatività del conto.
3. La condotta dell’utente
Nel caso di specie, il Tribunale ha escluso la sussistenza di dolo o colpa grave in capo agli utenti.
È stato valorizzato il fatto che l’SMS fraudolento provenisse dallo stesso mittente utilizzato legittimamente dal prestatore per l’invio dei codici OTP e che i messaggi non presentassero evidenti anomalie linguistiche o formali.
È emerso, inoltre, che l’utente era stato immediatamente contattato telefonicamente da un soggetto che si qualificava come operatore del prestatore, circostanza idonea a rafforzare l’affidamento sulla genuinità della procedura.
Il Tribunale ha, altresì, rilevato la mancata prova, da parte della convenuta, dell’adozione di sistemi idonei a intercettare operazioni manifestamente anomale, eseguite in un breve arco temporale e tali da azzerare la liquidità del conto.
Conclusione
Il Tribunale di Pescara ha accertato la responsabilità contrattuale del prestatore di servizi di pagamento per le operazioni non autorizzate eseguite mediante phishing e lo ha condannato al risarcimento del danno in favore degli attori, pari a € 5.151,00, oltre interessi legali e spese di lite.
Principio di diritto
In tema di operazioni di pagamento non autorizzate realizzate mediante frodi informatiche (phishing), il prestatore di servizi di pagamento risponde del danno subito dal cliente, salvo che provi la riconducibilità delle operazioni alla volontà dell’utente ovvero la sussistenza del dolo o della colpa grave di quest’ultimo, nonché l’adozione di tutte le misure tecniche e organizzative idonee a prevenire l’uso fraudolento degli strumenti di pagamento. La sottrazione delle credenziali mediante tecniche di phishing rientra nel rischio professionale del prestatore.
Legal Advice
Per evitare profili di responsabilità, il prestatore di servizi di pagamento deve:
- adottare sistemi di sicurezza e antifrode tecnologicamente avanzati e costantemente aggiornati;
- implementare meccanismi di autenticazione forte e alert immediati per operazioni sospette;
- monitorare le transazioni anomale rispetto al profilo operativo del cliente;
- predisporre procedure efficaci di blocco e intervento tempestivo;
- garantire la tracciabilità completa delle operazioni;
- svolgere adeguate campagne informative e preventive nei confronti della clientela;
- essere in grado di dimostrare, in giudizio, l’adozione di tutte le misure idonee a prevenire l’evento dannoso.
