Il fornitore non è sempre responsabile del trattamento

I pericoli dell’e-banking. Più per la banca che per i correntisti

Se l’incauta custodia delle chiavi di accesso al conto in modalità home banking ha determinato l’accesso abusivo all’account del correntista e il compimento di disposizioni di bonifico abusive, la banca che non ha apprestato cautele adeguate di prevenzione, è tenuta al rimborso degli importi.

Questo il pensiero del Tribunale di Parma, chiamato a pronunciarsi su un caso che ha coinvolto un correntista il quale ha citato in giudizio la propria banca allorché si è accorto di alcune disposizioni a suo debito di cui era ignaro e, chiesti chiarimenti (nonché il rimborso) all’istituto di credito, si è visto opporre un netto rifiuto. Ciò sulla scorta del fatto che tutte le operazioni compiute sul conto corrente a mezzo delle chiavi di accesso all’e-banking sarebbero necessariamente riconducibili al titolare dell’utenza.

La tesi della banca convenuta ha fatto leva sull’idea piuttosto solida per cui chi accetta di compiere atti giuridici attraverso l’utilizzo di chiavi di accesso a sistema informatico accetta anche che la mancata custodia delle chiavi (o il loro incauto uso in truffe di phishing) non può andare a discapito dell’affidamento altrui. In altri termini, il titolare delle chiavi accetta le conseguenze e assume le responsabilità in ordine all’utilizzo fraudolento delle stesse poiché è tenuto a tutelare i terzi che fanno affidamento sul fatto che l’atto giuridico compiuto con le chiavi sia imputabile al loro titolare.

1.    Responsabilità del custode, svolgimento di attività pericolosa e privacy

Tale principio è stato sì accolto dal giudice, ma con dei correttivi. Se infatti è vero che il titolare delle chiavi deve rispondere del loro utilizzo abusivo ex art. 2051 (Danno cagionato da cosa in custodia), per cui il custode è responsabile del danno cagionato dalle cose che ha in custodia salvo che provi il caso fortuito, è anche vero che la banca è tenuta ad adempiere il proprio contratto con la diligenza qualificata dell’accorto banchiere (bonus nummarius), ex art. 1176, c. 2, c.c., atteso che l’attività bancaria, soprattutto se svolta on line, la si può ritenere rientrante nell’alveo dell’art. 2050 (Responsabilità per l’esercizio di attività pericolose) per cui: «Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno». Non va infatti dimenticato l’insegnamento della Corte di Cassazione secondo la quale una banca risponde delle conseguenze del trattamento illecito dei dati personali dei suoi clienti se, proprio ex art. 2050 c.c. (in forza del vecchio rinvio dell’art. 15 del D.Lgs. 196/2003 e oggi in forza dell’art. 82, 3° paragrafo, Considerando 146) non prova di avere adottato tutte le misure idonee a evitare il danno: «ove si discuta di responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista nell’ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l’esecuzione dell’operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali». Il correntista «è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale», mentre è la banca che deve fornire «prova liberatoria consistente nell’aver adottato tutte le misure idonee a evitare il danno» (Cass. n. 10638 del 13 aprile 2016; più recentemente cfr. anche Cass. ord. n. 9158, 12 aprile 2018).

2.    Il D.Lgs. 11/2010

In questo contesto, peraltro, dice la sua anche il D.Lgs. 11/2010, attuativo della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno. Questo provvedimento all’art. 10 (Prova di autenticazione ed esecuzione delle operazioni di pagamento) inverte il normale onere probatorio e dispone che ove il correntista «neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento [la banca, ndr] provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti».

È pur vero che ancorché l’onere sia invertito, il correntista (l’utilizzatore di servizi di pagamento) è comunque tenuto ad un certo grado di diligenza, ma la circostanza dell’utilizzo fraudolento delle chiavi non dimostra ipso facto il difetto di tale diligenza.

Prosegue infatti la norma chiarendo che «Quando l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7» (ovvero gli obblighi di utilizzare lo  strumento di pagamento in conformità ai termini di contratto, di comunicare senza indugio alla banca lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza e, in generale, l’obbligo di adottare le misure idonee a garantire la sicurezza dei dispositivi personalizzati).

La banca, quindi, non solo deve dimostrare che ‘operazione di pagamento è stata correttamente eseguita (registrata, contabilizzata, ecc.), ma, se vuole andare esente da responsabilità deve anche dimostrare il dolo o la colpa grave del correntista sulla base di prove anche presuntive, ma che non si limitino alla mera allegazione del fatto dell’accesso abusivo.

La legge infine, ricalcando l’impianto probatorio del GDPR in termini di trattamento dati e del codice civile in materia di attività pericolose, pone in capo alla banca che non ha adottato misure idonee a prevenire l’uso abusivo delle chiavi l’obbligo di risarcire il correntista anche se questo agisce con colpa grave, ovvero, per esempio, cade vittima di un phishing maldestro o è colpevole di omessa custodia delle chiavi: «Salvo il caso in cui abbia agito in modo fraudolento, l’utilizzatore non è responsabile delle perdite derivanti dall’utilizzo dello strumento di pagamento smarrito, sottratto o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto all’obbligo di cui all’articolo 8, comma 1, lettera c)» (art. 12, D.Lgs. 11/2010), ovvero obblighi sostanzialmente volti ad apprestare le cautele necessarie al fine di prevenire utilizzi abusivi dei codici di accesso.

3.    Riparto dell’onere probatorio

Nelle motivazioni il giudice richiama i principi generali di riparto dell’onere della prova (2687 c.c.) per cui al creditore spetta solo provare la fonte ed esigibilità del suo diritto e allegare l’inadempimento mentre spetta al debitore dimostrare il fatto estintivo dell’obbligazione (Cass. n. 15328 del 12.6.2018).

Invero, a mio avviso, non è tanto questo l’addentellato normativo e giurisprudenziale a cui fare riferimento, trattandosi di un principio generale a cui, appunto, l’art. 2050 e il D.Lgs. 11/2010 intendono derogare. Il Tribunale addirittura arriva a sostenere che la convenuta non è riuscita a fornire la prova, neppure presuntiva, dell’incauta rivelazione a terzi dei codici personali dell’attore. Fatico ad immaginare quale possa essere tale prova. Essa, per lo più, o viene dall’attore per confessione, o è davvero diabolica. Come già accennato, tuttavia, la banca non deve tanto provare l’inadempimento del correntista, quanto il suo proprio adempimento ad aver adottato le misure di protezione ragionevoli e adeguate allo stato della tecnica e della buona pratica, per evitare che l’uso abusivo delle chiavi si rifletta in danno del correntista, che pure è stato diligente nella custodia.

4.    Quali strumenti di tutela?

Emerge dalle motivazioni che il correntista aveva disattivato o rifiutato il servizio SMS (codice di attivazione di una singola transazione), che pure il giudice riconosce come idonea misura di sicurezza insieme all’utilizzo di token a generazione di numero casuale. Se quindi è stato lo stesso correntista a rifiutare l’adozione di misure idonee a prevenire il danno, come avrebbe potuto la banca andare esente da responsabilità? Parrebbe, ma di ciò non vi è traccia nel provvedimento, che la banca avrebbe dovuto sospendere i pagamenti al momento della rilevazione di movimenti sospetti sul conto (numerose disposizioni susseguitesi giorno dopo giorno consecutivamente) e quindi avrebbe dovuto approntare un sistema di monitoraggio per la verifica e segnalazione di operazioni sospette; obbligo però sorto solo recentemente con il D.Lgs. n. 90/2017.

Tribunale di Parma, 6 settembre 2018, n. 1268

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Mario Valentino vs. Valentino

Soltanto a metà luglio di quest’anno, ovvero quasi tre mesi dopo l’accaduto, Aruba ha com...

Information Technology

Il TAR detta regole restrittive per i DPO persone giuridiche

Dopo che la Corte di Cassazione, con la sentenza dello scorso 25 maggio, ha accolto il ricorso prop...

Information Technology

Il fornitore non è sempre responsabile del trattamento

La scelta di Facebook di oscurare la pagina di Casapound (Associazione di Promozione Sociale CasaPou...

Information Technology

X