L’ ordinanza della Cassazione n. 23683 del 4 settembre 2024, potrebbe essere rivoluzionaria nell’ambito delle truffe bancarie, che sono in costante aumento. Secondo la Corte, i prelievi e i pagamenti non autorizzati dal cliente dovrebbero essere a carico della banca, a meno che questa non dimostri di aver adottato tutte le misure necessarie per gestire i “rischi di impresa tipici della sfera professionale di riferimento, assumendo come parametro quello dell’accorto banchiere”.

La responsabilità della banca, considerata presunta a livello contrattuale, può essere esclusa solo se si dimostra che l’evento era al di là delle sue possibilità di controllo. Insomma, la sentenza potrebbe ampliare in modo netto lo spettro delle circostanza in cui, in caso di truffa, sarà la banca a dover risarcire.

Secondo la Cassazione, per evitare sanzioni gli istituti di credito dovranno “dimostrare di aver attuato ogni misura utile contro i rischi”. E puntualizza: “La diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo”.

La sentenza arriva nell’ambito di una controversia avviata quasi 15 anni fa da una cliente, che aveva citato la propria banca in Tribunale, accusandola di negligenza per non aver evitato prelievi fraudolenti pari a 5.725 euro. La cliente sosteneva che la banca non avesse adottato misure adeguate per impedire le operazioni illecite.

Tuttavia, sia il Tribunale che la Corte d’appello avevano respinto la sua richiesta, ritenendo che le sue affermazioni, ovvero di aver sempre tenuto la carta con sé, anche durante i viaggi all’estero, fossero “meramente apodittiche, del tutto prive di riscontro probatorio”.

La banca, da par suo, aveva sostenuto che, anche se la carta fosse stata clonata, l’uso del pin avrebbe reso i prelievi possibili solo con la complicità della cliente o di persone vicine a lei.

La Cassazione ha però ribaltato questa decisione, censurando la sentenza precedente per “grave difetto motivazionale”. Secondo i giudici, le corti di merito non avevano approfondito l’istruttoria, ignorando le prove presentate dalla cliente, come i timbri sul passaporto che dimostravano la sua presenza all’estero durante alcuni dei prelievi effettuati in Italia e contestati.

La Corte ha criticato l’approccio della banca, che considerava irrilevante il fatto che il bancomat potesse essere stato clonato, concentrandosi solo sull’utilizzo del pin per scaricare ogni responsabilità sulla cliente.

Inoltre, la banca sosteneva che se anche la carta fosse stata clonata, il prelievo poteva avvenire solo conoscendo il codice pin. “Con elevato grado di probabilità”, dunque, si riteneva che i prelievi fossero stati eseguiti dai familiari della donna. E ancora, la Cassazione ha chiarito che “la responsabilità della banca per operazioni effettuate a mezzo strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente”, può essere esclusa solo in presenza di colpa grave da parte dell’utente.

Questo accade, ad esempio, quando il cliente tarda a comunicare l’uso non autorizzato della carta. Tuttavia, la banca deve dimostrare di aver adottato misure di sicurezza adeguate per evitare tali episodi.

Carta di credito clonata e responsabilità della banca

I giudici della Cassazione, invece, hanno evidenziato il ruolo degli istituti di credito: “La responsabilità della banca per operazioni effettuate a mezzo strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente, mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente, configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento, ma il riparto degli oneri probatori posti a carico delle parti segue il regime della responsabilità contrattuale”.

Secondo la Cassazione, dunque, “Mentre il cliente è tenuto a provare la fonte del proprio diritto e il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio”.

Pertanto, “essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente un’eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore”.

“La diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente – si legge nella decisione che richiama un precedente (3780/2024) -, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell’accorto banchiere; dunque, la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo
tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo”. E allora – prosegue l’ordinanza – la responsabilità della banca per operazioni effettuate tramite strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della
responsabilità contrattuale.

Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio.

Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore.

Carta di credito clonata e responsabilità della banca

E ancora, i giudici di legittimità affermano che in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento – prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente – la possibilità di un’utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo: ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, l’erogatore di servizi, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuto a fornire la prova della riconducibilità dell’operazione al cliente.