Corte d’Appello di Ancona, sentenza 15 luglio 2024
Domanda giudiziale
La correntista ha agito nei confronti dell’Istituto di credito, chiedendo il risarcimento della somma di denaro illecitamente sottratta dalla propria carta prepagata PostePay Evolution, a seguito di un bonifico on line non autorizzato, disposto da ignoti.
Accertato dal Tribunale di Ascoli Piceno che l’operazione fraudolenta era riconducibile a un episodio di phishing, l’attrice ha ottenuto in primo grado il ristoro dell’intero importo, oltre spese.
La società convenuta ha proposto appello chiedendo l’integrale riforma della sentenza.
Fatto
Con sentenza n. 768/2021, il Tribunale di Ascoli Piceno aveva accolto la domanda della correntista, ritenendo che la frode fosse stata realizzata tramite phishing: l’utente, indotta in errore da un messaggio SMS apparentemente proveniente da PostePay, aveva inserito i dati della carta e dell’utenza mobile su un sito ingannevole.
L’Istituto di credito era stato condannato poiché non aveva provato né la riconducibilità dell’operazione alla volontà dell’utente, né una condotta di dolo o colpa grave di quest’ultima.
La società appellante ha sostenuto, invece, che:
- il sistema di pagamento era dotato di adeguati sistemi di sicurezza (OTP su numero “securizzato”, password monouso, procedure di verifica);
- l’utente sarebbe stata imprudente nel cliccare su un link sospetto e nel digitare i propri dati su un sito non ufficiale;
- le prove testimoniali avrebbero dimostrato che la comunicazione riguardava un presunto recupero credenziali, e non una semplice notifica.
L’appellata ha resistito, sostenendo che non vi fosse alcuna sua imprudenza e che fosse mancata la prova, da parte della banca, dell’adozione di tutte le misure necessarie a prevenire la frode.
Disamina
La Corte d’Appello ha ritenuto infondato il gravame, condividendo integralmente le argomentazioni del giudice di primo grado.
1. Onere della prova ex art. 10 d.lgs. 11/2010
Secondo il Collegio, in presenza di un’operazione non autorizzata, il prestatore di servizi di pagamento deve provare:
- che l’operazione sia stata correttamente autenticata;
- che il cliente abbia agito con dolo o colpa grave;
- che siano state adottate tutte le misure idonee a prevenire l’uso fraudolento degli strumenti di pagamento.
La mera circostanza che l’operazione risulti tecnicamente autenticata non è sufficiente a dimostrarne l’effettiva autorizzazione da parte del cliente.
2. La condotta dell’utente
La Corte ha ritenuto che l’utente fosse rimasta vittima di una truffa con modalità tali da poter ingannare “qualsiasi soggetto dotato di normali conoscenze informatiche”.
Il messaggio SMS presentava forma, contenuto e grafica idonei a generare affidamento: non era ravvisabile alcuna condotta imprudente né colpa grave, mancando qualsiasi divulgazione volontaria e consapevole di credenziali sensibili.
3. La responsabilità della banca
Richiamando l’orientamento della Cassazione (sent. nn. 2950/2017; 5853/2023; 3780/2024), la Corte d’Appello di Ancora afferma che rientra nel rischio professionale dell’Istituto di credito la possibilità che terzi, tramite tecniche fraudolente, accedano ai profili dei clienti. La banca deve dimostrare di aver adottato sistemi idonei a prevenire o limitare l’uso fraudolento degli strumenti di pagamento: Tale onere probatorio comprende anche la prova dell’esistenza di una causa esterna non imputabile alla banca.
Nel caso concreto, la banca non ha fornito alcuna prova dell’adozione di misure di sicurezza quali alert via SMS, ulteriori verifiche sulle operazioni sospette o controlli sull’identità del soggetto che aveva richiesto il blocco della carta.
Anzi, ignoti erano riusciti a contattare il call center e a bloccare la carta senza accertamenti sull’identità del chiamante: circostanza che evidenzia la carenza dei presidi di sicurezza.
Conclusione
La Corte d’Appello di Ancona ha rigettato l’appello, confermando integralmente la sentenza del Tribunale.
Ha ritenuto provata la responsabilità dell’Istituto di credito, non avendo esso né impedito la frode né dimostrato l’esistenza di una condotta gravemente colposa da parte dell’utente.
La società appellante è stata condannata:
- alla refusione delle spese del grado di giudizio;
- al versamento dell’ulteriore contributo unificato ex art. 13, co. 1-quater, d.P.R. 115/2002.
Principio di diritto
In caso di operazioni di pagamento non autorizzate dovute a frodi informatiche (c.d. phishing), il prestatore di servizi di pagamento risponde del danno subito dal cliente salvo prova della colpa grave o del dolo di quest’ultimo e dell’adozione di tutte le misure tecniche e organizzative idonee a prevenire l’uso fraudolento degli strumenti di pagamento. La semplice autenticazione tecnica dell’operazione non è sufficiente a dimostrarne l’autorizzazione da parte del cliente.
Legal Advice
Per non incorrere in responsabilità l’istituto di credito deve:
- adottare sistemi antifrode evoluti, con alert in tempo reale per ogni operazione;
- implementare procedure di verifica rafforzata dell’identità (OTP, riconoscimento biometrico, controlli su dispositivi e IP);
- attivare controlli aggiuntivi per operazioni anomale o richieste di blocco carta non certe;
- mantenere log dettagliati delle operazioni e delle comunicazioni con i clienti;
- garantire ai clienti riscontro immediato alle segnalazioni di frode;
- formare costantemente gli operatori del call center e degli sportelli sui protocolli di sicurezza; essere in grado di dimostrare, in giudizio, di aver adottato tutte le misure idonee a prevenire l’evento dannoso e l’assenza di cause a sé imputabili.
