La verifica dell' adozione da parte della banca delle misure idonee a garantire la sicurezza del servizio da eventuali manomissioni o utilizzi illeciti è imprescindibile nonostante contrarie previsioni contrattuali perchè la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell' accorto banchiere.
L'intermediario che offre servizi on line mediante canali informatici ha l' obbligo di accertare che l' ordine ad esso pervenuto mediante tali canali è riconducibile al cliente mandatario in virtù del principio della rappresentanza apparente.
Tuttavia anche quando la banca riuscisse a dimostrare che l' ordine proviene almeno apparentemente dal cliente mandatario, da ciò non deriva automaticamente la dimostrazione della violazione degli obblighi di custodia, perchè l' uso dei codici personali da parte di terzi è un evento compatibile con una pluralità di accadimenti causativi alcuni dei quali non implicano l' inadempimento degli obblighi di custodia.
La banca viola l' obbligo di diligenza quando non adegua le cautele e i presidi di sicurezza delle transazioni telematiche agli ultimi ritrovati della scienza e della tecnologia, idonei a prevenire frodi informatiche ed accessi abusivi ai servizi on line.
Non si può ritenere esente da responsabilità una banca che offre un sistema di autenticazione inadeguato, avuto riguardo alle misure adottate in un dato periodo storico dalla quasi totalità degli altri Istituti di credito.
Per questo deve ritenersi che oggi il sistema minimo di sicurezza delle procedure di autenticazione è quello che prevede accanto al tradizionale user id una password segreta generata da un dispositivo elettronico ( token ) capace di generare serie numeriche casuali e monouso per ciascun accesso ai servizi on line.
La banca che oggi non mette a disposizione dei suoi clienti un token non può andare esente da responsabilità in caso di prelievi abusivi dai conti dei propri clienti.
Alcune banche implementano i sistemi di sicurezza mediante gli sms informativi che avvisano il cliente in tempo reale delle operazioni effettuate sui conti o con carta di credito.
In ogni caso anche quando le somme siano uscite dalla sfera di disponibilità della banca al momento dell' avviso da parte del cliente o di autonomi accertamenti della banca stessa, questa è tenuta a fare il possibile, secondo la diligenza del buon banchiere, per mettere il cliente in condizione di recuperare il maltolto ( chiedendo ad esempio alle banche destinatari dei bonifici di bloccare quanto ricevuto) oppure di agire contro eventuali obbligati, ad esempio contro il beneficiario dei bonifici considerando che l' utente del servizio non è in grado di conoscerne le generalità complete senza la collaborazione della propria banca, che a sua volta dovrà chiederle a quella destinataria delle operazioni.
Su un piano più generale non può non tenersi conto, a seguito della riforma societaria del 2003, della espressa previsione normativa dell' obbligo, posto a carico dell' organo gestorio, di munire in ogni caso l' impresa di assetti organizzativi adeguati e dell' obbligo, posto a carico dell' organo di controllo, di vigilare sull' adeguatezza di tali assetti ( art. 2381 e 2403 c.c. )
La responsabilità della banca non viene meno nella ipotesi in cui il cliente ha effettuato l' accesso al sito della propria banca utilizzando il link presente nella e-mail fraudolenta, solo apparentemente inviata dalla banca,che simula appunto una comunicazione della stessa banca, perchè una simile cautela ( accedere solamente tramite il sito della banca digitando l' indirizzo web) avrebbe richiesto un elevata conoscenza delo strumento informatico che la maggior parte degli utenti non possiede.