|
STUDIO LEGALE Avv.
STEFANO COMELLINI BOLOGNA |
|
|
Diritto Industriale | Diritto dell’Informatica | varie |
|
|
|
Accesso (non autorizzato) di terzi all’Home Banking: sull’Onere della Prova |
|
Con la
sentenza n. 10638/2016 la Corte di Cassazione si è recentemente pronunciata
su un caso di bonifico “online”, eseguito da un istituto di credito (nello
specifico, le Poste Italiane) con prelievo della somma dal c/c del cliente.
La cliente, però, affermava che il bonifico non era stato disposto da
lei. Agiva, quindi, nei confronti delle Poste, avanti il Tribunale di
Milano, chiedendo il risarcimento dei danni conseguenti ad un illecito
trattamento dei suoi dati personali. Il
Tribunale, però, respingeva la domanda della correntista “ritenendo non adeguatamente provati i
fatti …”. Infatti,
la CTU aveva consentito di appurare, ad avviso del Tribunale, che il sistema
implementato da Poste Italiane non consentiva in sé, ai terzi, di venire a
conoscenza dei dati necessari per compiere operazioni di “home banking”
all’insaputa del titolare del conto. Quindi, non era possibile che
l’operazione fosse avvenuta senza che la correntista avesse comunicato a
terzi i propri codici identificativi (nome utente, password e codice
identificativo). Non solo: la stessa correntista non aveva provato di avere
subito, attraverso la rete internet, il furto dei dati personali. In altre
parole, la correntista non aveva adempiuto all’onere di provare il nesso di
causalità tra il danno subito e l’attività della Banca relativa al
trattamento dei dati personali. La
Cassazione, tuttavia, con la sentenza n. 10638/16, accogliendo la
impugnazione della correntista, ritenendo che il Tribunale avesse fatto malgoverno
delle regole che presidiano il criterio dell’onere della prova, laddove
l’operazione sul conto venga disconosciuta dal cliente, giunge a conclusioni
opposte. Infatti,
per la Suprema Corte “…
ove si discuta di responsabilità
per l’abusiva utilizzazione di credenziali informatiche del correntista nell’ambito di un servizio equiparabile
a quello di home
banking,
non
spetta al correntista provare di non aver autorizzato l’esecuzione
dell’operazione
… o, specificamente, di avere subito il furto dei dati identificativi
personali.” “La ripartizione dell’onere della prova,
in casi simili, ….
“ postula “l’adozione
di un criterio di responsabilità efficacemente definito, in dottrina, come di
tipo “semioggettivo”, atteso il rinvio all’art.
2050 cod. civ. contenuto nell’art. 15 del codice della privacy, e atteso che
il modello di responsabilità è coerente con quello delineato finanche a
livello comunitario dall’art. 23 e dal considerando n. 55 della direttiva
comunitaria n. 95/46-CE, relativamente alla tutela delle persone fisiche con
riguardo al trattamento dei dati personali”. Il
correntista “è
onerato soltanto della prova del danno siccome riferibile al trattamento del suo
dato personale”
mentre l’Istituto di credito è “onerato della prova liberatoria
consistente nell’aver adottato tutte le misure idonee a evitare il danno…”. “…
Tra
codeste misure
rilevano … quelle previste dal titolo V del codice della privacy (artt. 31 –
36), stante la regola generale secondo la quale, in sede di trattamento dei
dati personali, è
richiesto sempre il rispetto di un onere di diligenza da valutare
concretamente,
sia “in relazione alle conoscenze acquisite in base al progresso tecnico, sia
in relazione alla natura dei dati e alle specifiche caratteristiche del
trattamento …”. “Tale onere di traduce nell’adozione di
misure preventive di sicurezza volte a ridurre al minimo i rischi di eventi dannosi, ivi compresi quelli correlati
all’accesso non autorizzato ai dati personali”. “Consegue
che, in base al rinvio all’art. 2050 cod. civ., operato dall’art. 15 del
codice della privacy, l’istituto
che svolga un’attività di tipo finanziario o in generale creditizio … risponde, quale titolare del
trattamento di dati personali, dei danni conseguenti al fatto di non aver
impedito a terzi di introdursi illecitamente nel sistema telematico del
cliente mediante la captazione dei sui codici di accesso e le conseguenti
illegittime disposizioni di bonifico, se non prova che l’evento dannoso non
gli è imputabile perché discendente da trascuratezza, errore (o frode)
dell’interessato o da forza maggiore”. In altri
termini, la Banca risponde dei danni se non prova di avere impedito a terzi
l’accesso ai codici personali del proprio cliente. Inoltre il
D. Lgs. n. 11 del 2010 obbliga i prestatori del
servizio di pagamento ad assicurare che i dispositivi personalizzati forniti
dai gestori non siano accessibili a soggetti diversi dal legittimo titolare. “Anche
in tal caso, in punto di ripartizione delle responsabilità derivanti
dall’utilizzazione del servizio, il citato d.lgs,
artt. 10 e 11, prevede che, qualora l’utente neghi di avere autorizzato
un’operazione di pagamento già effettuata, l’onere di provare la genuinità
della transazione ricade essenzialmente sul prestatore del servizio. E nel
contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il
correntista in caso di operazione disconosciuta, tranne ove vi sia un
motivato sospetto di frode, e salva naturalmente la possibilità per il
prestatore di servizi di pagamento di dimostrare anche in un momento
successivo che l’operazione era stata autorizzata, con consequenziale diritto
di richiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione
dell’importo …”. (Corte di
Cassazione, sezione I civile, sentenza 13 aprile 2016 - 23 maggio 2016, n.
10638 (15 luglio 2016) |
|
|
|
|
|
Diritto Industriale | Diritto dell’Informatica | varie |
|