Fonte: Juranews
Il Tribunale di Napoli Nord di recente ha richiamato la giurisprudenza di legittimità in ordine alla responsabilità dell’istituto di credito per trattamento dei dati personali a causa dell’accesso abusivo a sistema di internet banking gestito dal cliente, per stabilire se nella controversia sottoposta al suo giudizio fosse ravvisabile una responsabilità della banca convenuta per l’avvenuto addebito sul conto corrente societario di operazioni di bonifico disconosciute dalla titolare del conto. A tal proposito il Tribunale ha provveduto ad accertare se la banca abbia assolto in giudizio all’onere di provare di aver adottato tutte le cautele idonee, secondo le conoscenze tecniche acquisite al momento del fatto, ad evitare il danno, in conformità ai principi affermati dalla Cassazione.
La Cassazione, con sentenza del 23 maggio 2016 n. 10638, ha inquadrato la responsabilità dell’istituto di credito in caso di disposizioni non autorizzate dal cliente su conto corrente, mediante accesso abusivo a sistema di internet banking, nell’ambito della responsabilità per trattamento dei dati personali, ripartendo l’onere della prova, nelle controversie fondate su tale titolo di responsabilità, secondo i criteri prescritti dall’art. 15 del D.Lgs. n. 196/2003 (nel testo vigente ratione temporis). In base a tale articolo, infatti, “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”, con la possibilità per l’istituto di credito di offrire prova liberatoria dalla propria responsabilità dimostrando di aver adottato tutte le misure idonee ad evitare il danno secondo le conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle caratteristiche specifiche del trattamento, mediante adozione di misure idonee e preventive per impedire l’accesso o il trattamento non autorizzato ai sensi dell’art. 31 e 36 del D.Lgs. n. 196/2003.
A proposito dell’onere probatorio a carico della banca, la Cassazione ha avuto modo di ribadire come “ai sensi dell’art. 2050 cod. civ., richiamato dall’art. 15 Codice in materia di protezione dei dati personali, il danneggiato ha solo l’onere di dimostrare il danno e il nesso di causalità di esso con il trattamento dei suoi dati, mentre il danneggiante deve invece dimostrare di avere adottato tutte le misure idonee ad evitare il danno (cfr. Cass. n. 18812/2014 e n. 10638/2016)” ma che tale onere non venga ad essere assolto senza dimostrare anche la specifica adozione di cautele c.d. antiphishing ossia specifica cautele “idonee ad evitare l’acquisizione fraudolenta delle chiavi di accesso al sistema da parte di terzi” (così Cass., 29 dicembre 2017, n. 31199).
Secondo la Cassazione, infatti, “in base al rinvio all’art. 2050 cod. civ., operato dall’art. 15 del Codice della privacy, l’istituto che svolga un’attività di tipo finanziario o in generale creditizio (…) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore”.
La Cassazione ha, quindi, rilevato che ad analoga conclusione si perviene applicando le disposizioni del D.Lgs. n. 11/2010, il cui art. 10 pone in capo al prestatore dei servizi di pagamento l’onere di dimostrare l’autenticazione, la corretta registrazione e contabilizzazione dell’operazione di pagamento che l’utente di servizi di pagamento neghi di aver compiuto, con l’onere aggiuntivo di dimostrare che l’operazione non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione ovvero altri inconvenienti connessi al servizio in caso di disposizione di ordini di pagamento.
Al contempo l’art. 11 del D.Lgs. n. 11/2010 dispone che il prestatore dei servizi di pagamento sia tenuto a rimborsare immediatamente l’importo dell’operazione, in ogni caso al più tardi alla fine della giornata operativa successiva a quella in cui prende atto dell’operazione o riceve comunicazione in merito, applicando valuta dell’accredito non successiva rispetto a quella di addebito dell’importo in caso di addebito in conto di pagamento, salvo nel caso in cui sospetti la frode dell’utente dei servizi e salva la possibilità di prova successivamente che l’operazione era stata autorizzata e salvo, quindi, il diritto di agire successivamente per ottenere la restituzione dell’importo oggetto del rimborso.
Rileva infatti la Cassazione come “in punto di ripartizione delle responsabilità derivanti dall’utilizzazione del servizio, il citato D.Lgs., artt. 10 e 11, prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. E nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell’importo rimborsato” (Cass. n. 10638/2016).
Questi i principi richiamati dal Tribunale di Napoli Nord per decidere in ordine alla domanda giudiziale proposta da una società per azioni nei confronti dell’istituto bancario presso il quale la stessa era correntista per accertare la responsabilità della banca per l’avvenuto addebito sul conto corrente societario di operazioni di bonifico disconosciute dalla titolare del conto in quanto non erano mai state disposte.
L’istituto di credito, dal canto suo, contestava in fatto ed in diritto l’avversa domanda, deducendo come nel caso di specie la banca avesse avuto una corretta condotta nella gestione della vicenda, accorgendosi immediatamente delle anomalie nelle operazioni poi rivelatisi come fraudolente, nonostante non presentassero alcuna caratteristica irregolarità formale, risultando di fatto tutte eseguite regolarmente dietro autorizzazione a due fattori (cd. “Strong Customer Authentication”), nel dettaglio tutte autorizzate a mezzo PIN ed OTP, riconosciuto come idoneo a garantire la protezione dei sistemi e dei dati al momento del fatto, certificato conforme ai requisiti di legge.
La banca, una volta disconosciute le operazioni in questione, sospendeva immediatamente gli accessi societari alla home banking, trasmetteva via mail l’elenco degli ordini di bonifico e dichiarava di aver bloccato le operazioni di disposizione dei pagamenti presso le banche di destinazione. Il tutto, senza nulla dichiarare circa le banche depositarie ed i suoi beneficiari.
Dopo la proposizione del ricorso le banche di destinazione hanno provveduto a versare all’attrice la somma sottrattale fraudolentemente ed accreditata sui conti correnti dei destinatari, accesi presso di esse. Il Tribunale ritiene dunque opportuno rigettare la domanda spiegata dalla banca convenuta nei loro confronti, peraltro definita riconvenzionale in modo del tutto irrituale.
Per quanto riguarda, invece, la domanda principale di restitutio in integrum avanzata dalla società per azioni attrice nei confronti della banca convenuta, il Tribunale la accoglie, condannando la banca al pagamento dell’importo residuo dovuto e formulando le seguenti osservazioni in ordine alla accertata responsabilità della banca per l’avvenuta violazione del proprio sistema informatico.
Il giudice di merito ritiene che la banca convenuta, avvisando direttamente la ignara attrice sua correntista dell’accesso abusivo avvenuto, ha con ciò dimostrato di non aver approntato un preventivo servizio finalizzato ad evitare frodi in danno del cliente. Il giudice ritiene, inoltre, che la convenuta non ha nemmeno allegato quali specifici sistemi di sicurezza c.d. antiphishing avrebbe adottato in corso di esecuzione del servizio di internet banking, e messo in atto al momento del fatto, limitandosi a produrre solo la comunicazione alla correntista, non ha assolto all’onere di provare di aver adottato tutte le cautele idonee, secondo le conoscenze tecniche acquisite al momento del fatto, ad evitare il danno.
D’altro canto, lo stesso fatto che non sia stata nemmeno provata l’esistenza dell’ulteriore sistema di avviso tramite sms dell’esecuzione di disposizioni sul conto corrente mediante il servizio di home banking, pur essendo un sistema tecnologico disponibile al momento del fatto, lungi dal costituire comportamento imputabile all’attrice, esclude l’adozione da parte della convenuta di ogni misura idonea ad evitare il danno secondo le conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle caratteristiche specifiche del trattamento ovvero che fosse imputabile ad altri inconvenienti relativi al servizio di pagamento prestato (vedere supra Cass. n. 10638/2016).
Pertanto, la banca, una volta disconosciute le operazioni dalla cliente, era tenuta a rimborsarne il relativo importo all’attrice.
La banca convenuta non ha, d’altro canto, nemmeno specificamente indicato quali obblighi rilevanti ai sensi dell’art. 7 del D.Lgs. n. 11/2010 non sarebbero stati adempiuti dall’ attrice che, una volta avvisata dell’abusiva intrusione nel suo conto corrente ha diligentemente ed immediatamente disconosciuto le operazioni, fatto per cui non veniva nemmeno contestato l’utilizzo non consentito e/o improprio del sistema di pagamento a suo carico.
Questo quanto emerge dalla decisione adottata dal Tribunale di Napoli Nord con sentenza n. 3315/2024 pubblicata il 10 luglio 2024.