Bonifici on line
La Cassaziome fa il punto sull'onere della prova in caso di accesso non autorizzato all'home banking
La banca risponde dei danni se non prova di aver impedito l'accesso ai codici personali da parte di terzi.
Una signora conveniva in giudizio un istituto di credito e ne chiedeva la condanna al risarcimento dei danni conseguenti a un illecito trattamento dei propri dati personali.
L'attrice lamentava che nel 2010 era stato consentito un bonifico online dal proprio conto, non da essa disposto.
Nel contraddittorio con l’Istituto, e nella contumacia del Garante per la protezione dei dati personali, il Tribunale di Milano respingeva la domanda ritenendo non adeguatamente provati i fatti costitutivi.
Ad avviso del tribunale, la c.t.u. aveva consentito di appurare che il sistema implementato dall’Istituto non consentiva in sé, ai terzi, di venire a conoscenza dei dati necessari per compiere operazioni all'insaputa del destinatario, donde non era possibile che l'operazione de qua fosse avvenuta senza che la correntista avesse comunicato i propri codici identificativi. Nulla dunque autorizzava a ritenere che terzi estranei fossero venuti a conoscenza dei dati necessari all'esecuzione dell'operazione contabile sul conto in questione (nome utente, password e codice identificativo), e il fenomeno di phishing, richiamato dalle difese e anche nella relazione del c.t.u., dovevasi considerare ininfluente, non essendo stato provato che l'attrice avesse subito attraverso la rete internet il furto dei dati personali.
In questo senso, l'attrice non aveva adempiuto all'onere di provare il nesso di causalità tra il danno subito e l'attività, pur considerata pericolosa ai sensi dell'art. 2050 cod. civ., relativa al trattamento dei dati personali.
Adita la Corte di cassazione, la signora ha avuto ragione con la sentenza n. 10638 del 23 maggio 2016.
I giudici di Piazza Cavour, infatti, hanno affermato che ove si discuta di responsabilità per l'abusiva utilizzazione di credenziali informatiche del correntista nell'ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l'esecuzione dell'operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali.
La ripartizione dell'onere della prova, in casi simili, segue la disciplina dettata dalle norme sopra richiamate, le quali postulano l'adozione di un criterio di responsabilità efficacemente definito, in dottrina, come di tipo "semioggettivo", atteso il rinvio all'art. 2050 cod. civ. contenuto nell'art. 15 del Codice della privacy, e atteso che il modello di responsabilità è coerente con quello delineato finanche a livello comunitario dall'art. 23 e dal considerando n. 55 della direttiva comunitaria n. 95/46-CE, relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.
In tal guisa l'attore è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto onerato della prova liberatoria consistente nell'aver adottato tutte le misure idonee a evitare il danno.
Tra queste misure rilevano appunto quelle previste dal titolo V del Codice della privacy (artt. 31- 36), stante la regola generale secondo la quale, in sede di trattamento dei dati personali, è richiesto sempre il rispetto di un onere di diligenza da valutare concretamente, sia "in relazione alle conoscenze acquisite in base al progresso tecnico", sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento.
Tale onere si traduce nell'adozione di misure preventive di sicurezza volte a ridurre al minimo i rischi di eventi dannosi, ivi compresi quelli correlati all'accesso non autorizzato ai dati personali.
Consegue che, in base al rinvio all'art. 2050 cod. civ., operato dall'art. 15 del Codice della privacy, l'Iistituto che svolga un'attività di tipo finanziario o in generale creditizio risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l'evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell'interessato o da forza maggiore.
Rodolfo Murra
(14 luglio 2016)
© RIPRODUZIONE CONSENTITA Italian Open Data License 2.0
(indicazione fonte e link alla pagina)
DIVENTA FAN DEL QUOTIDIANO DELLA P.A.
Follow @quotidianopaPotrebbe Interessarti
Comunicato Importante Selezione Docenti Accademia della P.A.
La Fondazione Gazzetta Amministrativa della Repubblica Italiana, in vista dell’apertura delle sedi dell’Accademia della PA in tutto il territorio nazionale, ricerca e seleziona personale per singole docenze in specifiche materie delle Autonomie locali da svolgersi presso le Accademie della PA e per le attività di assistenza nelle procedure complesse nei Centri di Competenza.
Newsletter Quotidiano della P.A.
Incorpora le Notizie del QPA
Inserisci sul sito del tuo Ente, sul tuo sito o sul tuo blog, le ultime notizie pubblicate dal Quotidiano della P.A.
Accedi all'interfaccia per l'inserimento cliccando sul pulsante di seguito:
