La Suprema Corte ha stabilito che, per l’abusiva utilizzazione di credenziali informatiche, nell’ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l’esecuzione dell’operazione
La Corte di Cassazione, Sezione I Civile, con la sentenza n. 10638/2016 pubblicata il 23/5/2016, ha delineato una forma di responsabilità definita “semi-oggettiva” in capo all’intermediario finanziario nell’ipotesi in cui sia stato effettuato un bonifico on line non autorizzato dal correntista, attraverso un sistema informatico assimilabile a quello di home banking. Nella fattispecie in esame una persona aveva convenuto in giudizio un’azienda con funzioni creditizie per ottenere il risarcimento dei danni conseguenti ad un illecito trattamento dei propri dati per-sonali, avendo il suddetto intermediario finanziario consentito ad un bonifico on line dal proprio conto mai autorizzato dal correntista e dallo stesso espressamente disconosciuto anche attraverso la presentazione di una querela e una successiva diffida.
Il procedimento, inizialmente introdotto dinnanzi al Tribunale di Milano con il rito ordinario, venne poi mutato ai sensi dell’art. 152 del D.Lgs. 196/2003, che a sua volta rinvia all’art. 10 del D.Lgs. 150/2011 e che prevede l’applicazione del rito del lavoro se non diversamente disposto e la non appellabilità della relativa sentenza (art. 10 comma 6) D.Lgs. 150/11).La Suprema Corte, nel ribaltare la decisione del Tribunale di Milano, ha stabilito che nell’ipotesi in cui si discuta della responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista, nell’ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l’esecuzione dell’operazione, la quale costituirebbe peraltro una prova negativa difficile da configurare anche in astratto, né tanto meno quella di aver subito il furto dei dati di autenticazione personale. Secondo la Corte di Cassazione infatti, in questo caso si configura un’ipotesi di responsabilità “semi-oggettiva” dell’intermediario finanziario, in virtù del rinvio all’articolo 2050 cod. civ, contenuto nell’art. 15 del D.L.gs 193/2003 (Codice della Privacy). Com’è noto, l’articolo 2050 del codice civile, rubricato “Responsabilità per l’esercizio di attività pericolose” dispone che: «chiunque cagiona danno ad altri nello svolgi-mento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitare il danno».
Tale ricostruzione troverebbe, secondo la Suprema Corte, ulteriore conferma nel modello di responsabilità delineato a livello comunitario dall’art. 23 e dal considerando n. 55 della direttiva comunitaria n. 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali; invero ai sensi dell’art. 23 della direttiva 95/46/CE: «Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento», e il considerando n. 55 della medesima direttiva dispone che: «…in caso di violazione dei diritti delle persone interessate da parte del responsabile del trattamento, le legislazioni nazionali devono prevedere vie di ricorso giurisdizionale; che i danni cagionati alle persone per effetto di un trattamento illecito de-vono essere riparati dal responsabile del trattamento, il quale può essere esonerato dalla propria responsabilità se prova che l’evento dannoso non gli è imputabile, segnatamente quando dimostra l’esistenza di un errore della persona interessata o un caso di forza maggiore; che sanzioni debbo-no essere applicate nei confronti di qualsiasi soggetto di diritto privato o di diritto pubblico che non rispetti le norme nazionali di attuazione della presente direttiva». Ne consegue secondo la Suprema Corte che l’attore è onerato soltanto della prova dei danni riferibili all’illecito trattamento dei suoi dati personali, mentre grava sull’intermediario finanziario convenuto in giudizio l’onere della prova liberatoria che consiste nel dimostrare di avere adottato tutte le misure idonee a evitare il danno.
Tra queste rilevano quelle previste dal titolo V del D.Lgs. 196/2003 (Codice della Privacy) agli articoli 31-36, in virtù della regola generale secondo cui, in sede di trattamento dei dati personali, è richiesto comunque il rispetto di un onere di diligenza da valutare concretamente, in relazione sia alle conoscenze acquisite in base al progresso tecnico, sia alla natura dei dati e alle specifiche caratteristiche del trattamento. Questo onere si traduce nell’adozione di misure preventive di sicurezza finalizzate a ridurre al minimo i rischi di eventi dannosi, ivi compresi quelli relativi all’accesso non autorizzato ai dati personali. Pertanto, in virtù del rinvio operato dall’art. 15 del D.L.gs 196/2003 all’art. 2050 cod. civ., l’ente che svolga un’attività di tipo finanziario o creditizio risponde quale titolare del trattamento dei dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la “captazione” (c.d. phishing) dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico se non prova che l’evento dannoso non gli è imputabile perché deriva da trascuratezza, errore o frode dell’interessato o anche forza maggiore.
Tale ripartizione dell’onere della prova risulta peraltro coerente anche con quanto disposto dagli articoli 10 e 11 del D.Lgs. 27/01/2010 n. 11 con riguardo all’obbligo del prestatore del servizio di pagamento di assicurare che i dispositivi personalizzati forniti dai gestori non siano accessibili a soggetti diversi dal legittimo titolare. Tali disposizioni prevedono, infatti, che qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. Nel contempo ciò obbliga quest’ultimo a rimborsare con immediatezza il correntista nell’ipotesi di disconoscimento dell’operazione, a eccezione del caso in cui vi sia un fondato sospetto di frode e salva comunque la possibilità per il prestatore dei servizi di pagamento di dimostrare, anche in un momento successivo, che l’operazione di pagamento era stata autorizzata, con conseguente diritto di chiedere e ottenere, in tal caso, dall’utilizzatore la restituzione dell’importo rimborsato.