Svolgimento del processo
LL convenne in giudizio innanzi al Tribunale di Firenze X s.p.a. chiedendo il risarcimento del danno subito a seguito del prelievo abusivo, in modalità telematica, dal conto corrente a lui intestato da parte di ignoti di somme per ricariche di carte prepagate e di un'utenza telefonica fra il 27 gennaio 2006 ed il 31 gennaio 2006 per complessivi Euro 31.949,58. La convenuta chiamò in causa i terzi BF e AD
Il Tribunale adito, previa CTU, e ritenuto il concorso colposo del danneggiato nella misura del 30% (per la mancata messa a disposizione del computer di sua proprietà, smaltito prima dell'inizio delle operazioni peritali), accolse la domanda, co dannando la società convenuta al pagamento della somma di Euro 22.364,00 ed i terzi chiamati a manlevare la convenuta. Avverso detta sentenza proposero appello X s.p.a. ed appello incidentale LL . Con sentenza di data 9 luglio 2019 la Corte d'appello di Firenze accolse l'appello principale, rigettando la domanda.
Premise la corte territoriale, evidenziato che il L aveva dichiarato che gli accessi sul conto erano partiti da un computer installato presso la sua abitazione, che il CTU aveva rilevato che la rottamazione del computer ad opera del medesimo L aveva impedito il riscontro di eventi di phishing ed in genere comportamenti informatici tenuti da costui, rendendo impossibile valutare eventuali misure di sicurezza attive sul pc all'epoca del fatto, come pure la diligenza nella gestione del pc e del conto corrente informatico. Osservò quindi che, non avendo potuto il CTU appurare che la disposizione dei bonifici non era stata effettuata dal L questi non aveva assolto il proprio onere probatorio, mentre x aveva provato, grazie alle certificazioni internazionali prodotte, di avere adottato le misure di sicurezza utili ad impedire fenomeni di appropriazione fraudolenta di denaro sui conti dei clienti. Aggiunse che, mentre X aveva provato con la produzione delle certificazioni dei propri sistemi di sicurezza l'adempimento delle proprie obbligazioni, l'attore non aveva provato che le operazioni non fossero autorizzate, né aveva allegato e provato di non avere ceduto ad alcuno le sue credenziali, circostanza non potuta dimostrare a causa della rottamazione del pc.
Ha proposto ricorso per cassazione LL sulla base di tre motivi e resiste con controricorso la parte intimata. E' stato fissato il ricorso in camera di consiglio ai sensi dell'art. 380 bis.1 cod. proc. civ.. E' stata presentata memoria.
Con ordinanza di data 24 ottobre 2022 è stata disposta l'integrazione del contraddittorio nei confronti delle parti contumaci in appello. L'onere è stato assolto dalla parte ricorrente.
Motivi della decisione
con il primo motivo si denuncia violazione e falsa applicazione degli artt. 1 18, 2050, 2697, 2729 cod. civ., 15 d. lgs. n. 196 del 2003, 10, comma 2, e 11 d lgs. n. 11 del 2010, ai sensi dell'art. 360, comma 1, n. 3, cod. proc. civ.. Osserva la parte ricorrente che l'onere dell'attore era solo quello di provare il nesso fra il danno ed il trattamento del dato personale, mentre incombeva sul convenuto provare l'adozione delle misure idonee ad evitare il danno (Cass. n. 18812/2014 e n. 10638/2018), onere non assolto. Aggiunge che ai sensi dell'art. 10, comma 2, d. lgs. n. 11/2010 è onere del prestatore dei servizi di pagamento fornire la prova della riconducibilità dell'operazione al cliente, per cui errata è l'affermazione secondo cui era onere del L dimostrare la mancata autorizzazione dei bonifici effettuati. Osserva ancora che vi sono le seguenti risultanze della CTU: tutti i principali operatori bancari si erano già in epoca precedente al 2006 dotati di sistemi di analisi in tempo quasi reale dei movimenti finanziari, mentre X non aveva predisposto alcuna misura in tal senso; X non aveva bloccato il conto dopo che il L aveva presentato denuncia, così non impedendo l'ultimo prelievo; X non aveva prodotto evidenze di specifiche informazioni volte a mettere in guardia contro possibili metodi di truffa telematica.
Il motivo è fondato. Va premesso che la corte territoriale, avendo affermato che X ha provato con la produzione delle certificazioni dei propri sistemi di sicurezza "l'adempimento delle proprie obbligazioni", ha qualificato il rapporto dedotto in giudizio nei termini dell'obbligazione e dunque del rapporto contrattuale. Non risultando impugnata tale qualificazione, la controversia va valutata nei termini contrattuali.
Ciò premesso, deve darsi seguito giurisprudenza di questa Corte secondo cui in tema di responsabilità della banca, ovvero dell'erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento - prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente - la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo: ne consegue che, anche prima dell'entrata in vigore del D.Lgs. n. 11 del 2010, attuativo della Dir. n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, l'erogatore di servizi, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuto a fornire la prova della riconducibilità dell'operazione al cliente (Cass. n. 26916/2020, n. 295/2017, n. 18045/2019, n. 10638/2016).
La corte territoriale ha violato la regola di riparto dell'onere della prova perché ha addossato al cliente l'onere della prova della diligenza nel contegno di utilizzatore del sistema informatico, laddove invece spettava al prestatore del servizio di pagamento provare la riconducibilità dell'operazione al cliente. Le conseguenze sfavorevoli del fatto rimasto ignoto (relativo al contegno del cliente) all'esito dell'istruzione della causa sono state così fatte ricadere sul cliente anziché su X . Alla enunciata regola sull'onere della prova dovrà attenersi il giudice del merito in sede di rinvio.
Con il secondo motivo si denuncia violazione e falsa applicazione degli artt. 1218, 2050, 269¼, 2729 cod. civ., 115 cod. proc. civ., ai sensi dell'art. 360, comma 1, n. 4, cod. proc. civ.. Osserva la parte ricorrente che dalle generiche certificazioni di enti, la cui autorevolezza era tutta da dimostrare, non poteva discendere l'assolvimento dell'onere della prova del dolo o colpa grave del correntista.
Con il terzo motivo si denuncia violazione e falsa applicazione degli artt. 15 e 31 d. lgs. n. 193/2003, 2050 cod. civ., ai sensi dell'art. 360, comma 1, n. 3, cod. proc. civ.. Osserva la parte ricorrente che la produzione di certificazioni di sistemi di sicurezza di inGerta provenienza ed autorità non può valere quale assolvimento dell'onere probatorio da parte di X posto che onere di quest'ultima è provare che l'evento dannoso non le è imputabile perché discendente da trascuratezza, errore (o frode) dell'interessato o da forza maggiore (Cass. n. 10638/2016).
L'accoglimento del primo motivo determina l'assorbimento degli ulteriori motivi.
P.Q.M.
accoglie il primo motivo di ricorso, con assorbimento degli ulteriori motivi; cassa la sentenza in relazione al motivo accolto; rinvia alla Corte di appello di Firenze in diversa composizione, cui demanda di provvedere anche sulle spese del giudizio di legittimità.