Laptop, Tablet, Smartphone e PC hanno da tempo sostituito la fila fisica allo sportello della propria filiale della Banca: oggi, per poter effettuare operazioni sul proprio conto corrente, è sufficiente utilizzare un device e seguire determinate procedure. La verifica della carta d’identità allo sportello è stata quindi sostituita dalla “Strong Customer Authentication (SCA)” da effettuare online, cioè l'autenticazione forte del cliente su internet mediante l’uso di almeno due elementi per riconoscerlo, come ad esempio l’uso di credenziali di accesso abbinato ad un codice OTP  (acronimo di one time password), generato dallo smartphone, da un token, inviato via sms, etc. [1].

Tali sistemi di sicurezza, purtuttavia, non hanno reso infrequenti i tentativi di accesso da parte di terzi all’internet banking degli utenti, ovviamente a fini fraudolenti, vocati, cioè, alla sottrazione di somme di denaro. Vi sono infatti diverse modalità per aggirare le attuali misure di sicurezza che sfruttano la Social engineering[2] o, banalmente, l’uso frenetico e maldestro dei devices per accedere ai conti correnti dei privati ed effettuare operazioni repentine:nel linguaggio comune si sente sempre più spesso parlare di Phishing, Vishing, Iban Swap o di altre tecniche mediante le quali gli hackers riescono ad entrare nel sistema telematico bancario di un correntista e ad operare in suo danno e a loro vantaggio.

Ci si è chiesti, dunque, se il cliente di una Banca che rimanga irretito da una di tali frodi possa prendersela con il proprio Istituto bancario per aver autorizzato tali operazioni senza accorgersi di nulla, senza cioè rendersi conto che l’ordinante non era il titolare del conto corrente ma un terzo che operava illecitamente.

La risposta, vista l’evoluzione normativa e giurisprudenziale, appare oggi più che mai affermativa.

Prendiamo le mosse rammentando che tra correntista e Banca sussiste un rapporto obbligatorio fondato su un contratto di conto corrente bancario (o di corrispondenza): si tratta di un accordo atipico in base al quale l’Istituto di credito “assume l'incarico di compiere pagamenti o riscossioni di somme per conto del cliente e secondo le sue istruzioni”[3]. Ovviamente il presupposto di tale attività è che la Banca abbia la pregressa disponibilità delle somme del cliente, benché sia plausibile che la stessa possa anche fare una concessione temporanea di credito.

L’ordine di pagamento[4] rientra quindi nella fase esecutiva del rapporto contrattuale giacché la Banca non sta facendo nient’altro che adempiere alla propria obbligazione. Ne consegue che per valutare ogni accadimento che si innesta in tale momento – come per esempio la circostanza che l’ordine provenga da un terzo, che si è procurato illegittimamente le chiavi di accesso, e non dal correntista – occorrerà volgere lo sguardo alle regole generali applicabili in materia contrattuale e a quelle specifiche previste in tale ambito. Ci si potrà domandare, dunque, se all’Istituto bancario sia ascrivibile una condotta inadempiente, soprattutto sotto il profilo della dovuta diligenza in executivis, allorquando esegua un ordine di pagamento che in realtà non è arrivato dal correntista.  

Trattandosi di diligenza sovviene, all’uopo, l’art. 1176 c.c., che al secondo comma stabilisce che “nell'adempimento delle obbligazioni inerenti all'esercizio di un'attività professionale, la diligenza deve valutarsi con riguardo alla natura dell'attività esercitata”. Ciò significa che all’imprenditore e al professionista, nell’adempimento delle proprie obbligazioni, è richiesta una diligenza maggiore, oseremmo dire “qualificata” rispetto alla attività dallo stesso posta in essere[5].

Su questa scia, ben prima che sorgessero i problemi derivanti dalle frodi informatiche bancarie, la Corte di legittimità aveva avuto modo di stabilire che l’Istituto bancario “svolgendo attività professionale, deve adempiere tutte le obbligazioni assunte nei confronti dei propri clienti con la diligenza particolarmente qualificata dell’accorto banchiere, non solo con riguardo all’attività di esecuzione di contratti bancari in senso stretto, ma anche in relazione ad ogni tipo di atto o di operazione oggettivamente esplicati”[6].

Da tale affermazione, collocata nel mondo dioggi,discende che la Banca, nell’utilizzare sistemi informatici per effettuare operazioni bancarie, debba altresì svolgere un’adeguata e professionale attività vocata ad evitare che l’uso di tali strumenti arrechi danno al cliente; deve, cioè, adottare tutte le appropriate, idonee e specifiche misure necessarie per evitare che l’utilizzatore finale del sistema venga danneggiato da frodi telematiche e, ciò, adoperandosi con la diligenza richiesta dall’art. 1176 c.c. comma 2.

Non sorprende, quindi, che la Corte di cassazione abbia affermato nel recente passato che “la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente […] Ne discende che, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”[7].

A ciò va aggiunto che la Banca è in ogni caso titolare del trattamento dei dati personali del cliente: prima dell’entrata in vigore del GDPR, la Cassazione aveva per ciò avuto modo di affermare che “in base al rinvio all’art. 2050 cod. civ., operato dall’art. 15 del codice della privacy, l’istituto che svolga un’attività di tipo finanziario o in generale creditizio (nella specie le Poste Italiane s.p.a. quanto alla gestione di conti correnti abilitati a operazioni online) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore”[8].

Oggi, è doveroso sottolinearlo, con l’avvento del GDPR, e in particolare con l’art. 82, vi sono dubbi sulla riconducibilità sotto l’alveo dell’art. 2050 di tali attività. Ciò non toglie che l’art. 32 del medesimo Regolamento 2016/679 stabilisce che il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto della natura, dell'oggetto, del contesto e delle finalità del trattamento.

Possiamo a questo punto affermare che, in linea di principio, la Banca è responsabile di tali frodi, ed è dunque tenuta a risarcire il cliente, allorquando, nel caso concreto, non abbia posto in essere, con la dovuta diligenza, tutte quelle attività vocate a prevenirle o ad evitarle.

La questione si fa molto interessante laddove si consideri quale sia il riparto dell’onere probatorio in un eventuale contenzioso: se ne è occupata, da ultimo, la Corte di cassazione con l’ordinanza 16417 del 20 maggio 2022.

Il necessario punto di partenza, in questo caso, trattandosi per l’appunto di responsabilità contrattuale, è stato l’art. 1218 c.c., secondo la sua costante interpretazione giurisprudenziale: la Corte ha ricordato che  il creditore che agisce per il risarcimento del danno deve provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi poi ad allegare la circostanza dell’inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo dell’altrui pretesa, costituito dall’avvenuto adempimento, o dell’eccezione di inadempimento del creditore ex art. 1460 c.c.

Applicando tale principio all’ipotesi di frode bancaria operata da terzi nei confronti di un correntista, la Corte di legittimità, nella sentenza in commento, si è trovata ad affermare che “Nell’ambito del rapporto di conto corrente, con modalità telematiche, tale regula juris declina la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell’utente”.

In conclusione, nel nostro ordinamento, per andare esente da ogni responsabilità, l’Istituto bancario deve dimostrare di aver adottato tutte le misure idonee a prevenire o ad evitare l’operazione non autorizzata dal correntista e che questa sia stata effettuata per causa non imputabile alla Banca.

D’altro canto, ove mai ci fossero stati dubbi su tale interpretazione, si rammenta che oggi l’art. 10 del D.Lgs. 27 gennaio 2010 , n. 11, non applicabile ratione temporis al caso posto al vaglio della Corte di legittimità, espressamente prevede: “Quando  l'utente  di  servizi  di  pagamento  neghi  di  aver autorizzato un'operazione di pagamento eseguita,  l'utilizzo  di  uno strumento di  pagamento  registrato  dal  prestatore  di  servizi  di pagamento, compreso,  se  del  caso,  il  prestatore  di  servizi  di disposizione  di  ordine  di   pagamento,   non   e'   di   per   se' necessariamente sufficiente a dimostrare che l'operazione  sia  stata autorizzata dall'utente medesimo, ne' che questi abbia agito in  modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o piu' degli obblighi di cui all'articolo 7.  E'  onere  del  prestatore  di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”. 

Quanto sin qui esposto non deve però portare a ritenere che la Banca sia sempre responsabile dato che la stessa ben può provare la colpa grave del correntista. Un esempio? Ce lo ha dato la stessa Corte di cassazione, in una recente pronuncia, laddove ha affermato: “la ricorrente omette di considerare che (ai sensi del combinato disposto del D.Lgs. 27 gennaio 2011, n. 10, art. 7, comma 1, lett. b, e art. 12, comma 4) l’utente dei servizi di pagamento è tenuto a “comunicare senza indugio”, tra le altre evenienze, “l’uso non autorizzato dello strumento non appena ne viene a conoscenza”, essendo altrimenti tenuto – ove, “con dolo o colpa grave”, non abbia adempiuto a tale obbligo – a sopportare “tutte le perdite derivanti da operazioni di pagamento non autorizzate”.

Orbene, nel caso in esame, l’odierna ricorrente ha aspettato oltre due anni per comunicare il lamentato “uso non autorizzato” dello strumento di pagamento, circostanza della quale avrebbe potuto acquisire più sollecitamente conoscenza (pur in presenza dei gravi problemi di salute lamentati) attraverso la consultazione degli estratti conto. L’omessa attivazione di un sistema di controllo degli stessi, in altri termini, integra quella situazione di “colpa grave” alla quale fa riferimento il suddetto plesso normativo, atteso che alla conoscenza dell’uso non autorizzato dello strumento deve equipararsi la possibilità di conoscenza, allorchè la sua mancanza – come nel caso che occupa – si sia protratta per un arco di tempo particolarmente prolungato ed in relazione ad un conto corrente presso il quale risultava una notevole giacenza di danaro”[9].

Da quanto sin qui si è venuto dicendo emerge insomma che il correntista, che adoperi un “minimo” di diligenza, non incorrendo in colpa grave, viene salvaguardato dalla Banca nei casi in cui sia vittima di una frode bancaria informatica. E’ probabile che occorrerà far “digerire” tale assunto agli Istituti bancari più reticenti.

---

[1]    Cfr. Direttiva (UE) 2015/2366 del Parlamento Europeo e del Consiglio del 25 novembre 2015, art. 4, comma 30: “«autenticazione forte del cliente»: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.

[2]    Si tratta di tecniche che sfruttano le debolezze delle persone per spingerle a fornire informazioni personali come password o dati bancari.

[3]    Cassazione civile, Sez. I, sentenza n. 2226 del 30 gennaio 2017.

[4]    Cfr. Cassazione civile, Sez. I, ordinanza n. 3086 del 8 febbraio 2018: “In tema di contratti bancari, il "bonifico" (ossia l'incarico del terzo dato alla banca di accreditare al cliente correntista la somma oggetto della provvista) costituisce un ordine (delegazione) di pagamento che la banca delegata, se accetta, si impegna (verso il delegante) ad eseguire; da tale accettazione non discende, dunque, un'autonoma obbligazione della banca verso il correntista delegatario, trovando lo sviluppo ulteriore dell'operazione la sua causa nel contratto di conto corrente di corrispondenza che implica un mandato generale conferito alla banca dal correntista ad eseguire e ricevere pagamenti per conto del cliente, con autorizzazione a far affluire nel conto le somme così acquisite in esecuzione del mandato”.

Avv. Antonio Tripodi

[5]    Cassazione civile, Sez. III, sentenza n. 16254 del 25 settembre 2012: “La diligenza esigibile dal professionista o dall'imprenditore, nell'adempimento delle obbligazioni assunte nell'esercizio delle loro attività, è una diligenza speciale e rafforzata, di contenuto tanto maggiore quanto più sia specialistica e professionale la prestazione a loro richiesta”.

[6]    Cassazione civile, Sez. I, sentenza n. 13777 del 12 giugno 2007, poi richiamata anche da Cass. Civ., Sez. I, sentenza n. 806 del 19 gennaio 2016.

[7]    Cassazione Civile, Sez. I, sentenza 2950 del 3 Febbraio 2017.

[8]    Cassazione Civile, Sez. I, sentenza n. 10648 del 23 maggio 2016.

[9]    Corte di Cassazione, Sez. III Civ., sentenza n. 18045 del 05 luglio 2019.