📌 LA VICENDA
- Materia: Contratti bancari – Servizi di pagamento online
- Oggetto: Responsabilità banca per operazioni di pagamento non autorizzate – Furto di identità digitale – Obbligo sistemi di alert
- Normativa: art. 10 d.lgs. 11/2010, art. 7 d.lgs. 11/2010, art. 119 TUB, art. 1284 co. 4 c.c., art. 2050 c.c.
- Giurisprudenza conforme: Cass., sez. un., 13533/2001; Cass., sez. I, ord. 251/2026
- Parole chiave: home banking, phishing, accessi anomali, sistemi alert, onere probatorio banca, colpa grave cliente
La banca che, malgrado la reiterazione di tentativi di accesso errati nelle ore notturne e ripetute chiamate al call center con password errate, non predispone adeguati sistemi di alert e autorizza il reset della password web, è responsabile delle operazioni fraudolente conseguenti e non può invocare la semplice negligenza del cliente nella custodia delle credenziali. La Corte d’Appello di Napoli ha confermato la condanna della banca al rimborso di oltre € 260.000,00 sottratti fraudolentemente dai conti di due correntisti vittime di furto di identità digitale. I correntisti avevano subito operazioni di bonifico non autorizzate mediante appropriazione delle credenziali di home banking. La banca aveva contestato la propria responsabilità invocando la negligenza dei clienti nella custodia delle credenziali e il ritardo nella segnalazione. La Corte, richiamando l’art. 10 d.lgs. 11/2010, ha ribadito che l’onere probatorio grava sulla banca, la quale deve dimostrare il dolo o la colpa grave del cliente. Nel caso di specie, la banca aveva dato corso a richieste di reset password malgrado la cronologia degli eventi evidenziasse tentativi anomali di collegamento e chiamate con password errate, violando il dovere contrattuale di bloccare lo strumento di pagamento in caso di sospetto utilizzo fraudolento.
Massima
“Va, dunque, ripetuto che, come correttamente sostenuto dal primo giudice, la normativa di settore appare una puntualizzazione ed un adattamento alla peculiarità della materia dei principi generali in tema di responsabilità contrattuale, in base ai quali in tema di prova dell’inadempimento di una obbligazione, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno, ovvero per l’adempimento deve soltanto provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi alla mera allegazione della circostanza dell’inadempimento della controparte, mentre il debitore convenuto è gravato dall’onere della prova del fatto estintivo dell’altrui pretesa, costituito dall’avvenuto adempimento (cfr. Cass. sez. un. 13533/2001). Pare sufficiente, al riguardo, richiamare la previsione dell’art. 10 del citato d. lgs., che, al comma 1, dispone che Qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti; e, al comma 2, in maniera assai chiara, stabilisce che Quando l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7. … Si tratta, allora, di porre a confronto nella vicenda per cui è causa i comportamenti tenuti da un canto dai clienti della banca, odierni appellati, e dall’altro dalla stessa banca, tenendo presente che è quest’ultima ad essere gravata, come visto, dal prioritario onere probatorio, che risulta eliso, per legge e per contratto, solo dal dolo o dalla colpa grave (si veda l’art. 7 del d. lgs. 11/2010 e l’art. 13 delle condizioni generali di contratto, che fa riferimento all’agire dell’utilizzatore in modo fraudolento o gravemente negligente). … Ebbene, nell’allocazione del rischio del danno per i prelievi effettuati senza autorizzazione del titolare, secondo la puntuale espressione adoperata dal primo giudice, è insita la consapevolezza che la natura professionale del prestatore dei servizi di pagamento implichi un maggior rigore nella valutazione dei contegni di quest’ultimo, a fronte di una preventivata, ed in certa misura tollerata, possibilità di negligenza da parte dell’utilizzatore dei servizi di pagamento: questa si può palesare nelle forme più varie, dall’omessa corretta conservazione degli strumenti, alla scarsa efficacia degli accorgimenti idonei a preservarne la riservatezza, risultando sostanzialmente irrilevante a meno che non raggiunga o superi il limite della rilevante gravità, fatto salvo ovviamente il dolo. Si vuol dire, cioè, che non basta alla banca dimostrare un difetto di adeguata custodia, da parte del correntista, degli apparati informatici o una non immediata segnalazione di operazioni di pagamento non autorizzate (fermo restando che, per legge e per contratto, la segnalazione deve intervenire nell’ampio termine di tredici mesi). Una simile negligenza, infatti, ove non trasmodante in casi di particolare gravità, non può valere ad escludere la ben più rigorosa indagine da compiere circa il comportamento della banca stessa. Ebbene, ad avviso di questa Corte, la comparazione delle contrapposte condotte, compiuta secondo le coordinate sopra tracciate, porta a ritenere sussistente la responsabilità della banca ed a confermare, pertanto, la decisione di primo grado. È sufficiente, al riguardo, esaminare la minuziosa ricostruzione compiuta dalla stessa banca nella denuncia querela presentata alla Polizia di Stato il 9 febbraio 2016, tenendo bene a mente che le sottrazioni fraudolente risultano avvenute tra il 23 ottobre ed il 2 novembre 2015.