Mancata comunicazione ai clienti dei pericoli dell’home banking: condanna di Poste Italiane

Con sentenza del 20 maggio 2014, la III Sezione Civile del Tribunale di Firenze si è pronunciata in merito alla responsabilità contrattuale di Poste Italiane Spa in un caso di addebito non autorizzato di una somma di denaro in seguito a un’operazione di postagiro effettuata tramite Internet.
Nella vicenda in oggetto, la parte attrice – ovvero il titolare di un servizio di home banking – ha chiesto all’istituto bancario il riaccredito delle somme corrispondenti all’avvenuto prelievo dal suo conto corrente on line – non autorizzato dalla stessa – accreditate a un soggetto estraneo.
Nonostante la frode sia avvenuta utilizzando le credenziali di accesso segrete del cliente, atte a identificarlo in maniera univoca, secondo il Tribunale la soluzione di questa controversia non è tanto da ricercarsi nella normativa relativa al phishing quanto in quella generale in materia di obbligazioni.
In quanto operatore bancario, è applicabile anche per Poste Italiane l’art. 1856 c.c., introduttivo del principio in base al quale “la banca risponde secondo le regole del mandato”, oltre al più stringente dovere di diligenza previsto in capo al “buon banchiere”.
Soprattutto, come viene specificato dalla Corte di Cassazione (nella sentenza n.13777 del 12 giugno 2007), l’istituto bancario non può prescindere dalla verifica dell’adozione di misure che risultino idonee a garantire la sicurezza del servizio offerto.
La posizione di Poste Italiane, poi, non è valutabile in egual modo rispetto a quella dei clienti, le cui conoscenze tecniche circa l’utilizzo di sistemi di sicurezza informatica saranno certamente più limitate rispetto a quelle possedute dall’impresa bancaria.
La circostanza che il titolare del conto custodisse le sue credenziali d’accesso al servizio di home banking in un file del proprio computer denota, più che una sua imprudenza, una scarsa cognizione dell’inadeguatezza della sua condotta, data la presenza di virus informatici in grado di insinuarsi nel computer, impadronendosi dei codici in esso contenuti.
E, in virtù del fatto che si deve tenere conto non del livello di conoscenze padroneggiato dagli esperti informatici ma piuttosto di quello posseduto dagli utenti medi che usufruiscono del servizio in questione, il Tribunale ha ritenuto che fosse obbligo dell’istituto bancario informare puntualmente i suoi clienti sulle azioni imprudenti che potevano esporre il conto corrente ad accessi abusivi posti in essere mediante il sistema informatico di home banking dalla stessa banca predisposto.
Poco vale che Poste Italiane abbia dimostrato il possesso di certificazioni conseguite e relative a standard internazionali sul livello di sicurezza del sistema informatico, dato che, oltretutto, non ha contestato la circostanza che successivamente alla frode in discussione la stessa ha provveduto a fornire ai propri clienti un Token per la creazione di password, accrescendo il livello di sicurezza del suo sistema e la cui precedente assenza potrebbe aver influito nella perpetrazione dell’illecito che ha dato luogo alla causa.
In conclusione, il Tribunale ha reputato di dirimere la controversia incentrandola non sull’illecito di frode informatica, bensì sulla responsabilità contrattuale di Poste Italiane per non aver esaustivamente edotto i suoi clienti in riferimento ai comportamenti che minano la sicurezza delle operazioni di home banking.
Pertanto, Poste Italiane è stata condannata a riaccreditare sul c/c della parte attrice un importo pari a € 5.810,00, oltre agli interessi e alla rivalutazione monetaria.