La banca risponde dei danni se non prova di aver impedito l´accesso ai codici personali da parte di terzi.
Una signora conveniva in giudizio un istituto di credito e ne chiedeva la condanna al risarcimento dei danni conseguenti a un illecito trattamento dei propri dati personali.
L´attrice lamentava che nel 2010 era stato consentito un bonifico online dal proprio conto, non da essa disposto.
Nel contraddittorio con l´Istituto, e nella contumacia del Garante per la protezione dei dati personali, il Tribunale di Milano respingeva la domanda ritenendo non adeguatamente provati i fatti costitutivi.
Ad avviso del tribunale, la c.t.u. aveva consentito di appurare che il sistema implementato dall´Istituto non consentiva in sé, ai terzi, di venire a conoscenza dei dati necessari per compiere operazioni all´insaputa del destinatario, donde non era possibile che l´operazione de qua fosse avvenuta senza che la correntista avesse comunicato i propri codici identificativi. Nulla dunque autorizzava a ritenere che terzi estranei fossero venuti a conoscenza dei dati necessari all´esecuzione dell´operazione contabile sul conto in questione (nome utente, password e codice identificativo), e il fenomeno di phishing, richiamato dalle difese e anche nella relazione del c.t.u., dovevasi considerare ininfluente, non essendo stato provato che l´attrice avesse subito attraverso la rete internet il furto dei dati personali.
In questo senso, l´attrice non aveva adempiuto all´onere di provare il nesso di causalità tra il danno subito e l´attività, pur considerata pericolosa ai sensi dell´art. 2050 cod. civ., relativa al trattamento dei dati personali.
Adita la Corte di cassazione, la signora ha avuto ragione con la sentenza n. 10638 del 23 maggio 2016.
I giudici di Piazza Cavour, infatti, hanno affermato che ove si discuta di responsabilità per l´abusiva utilizzazione di credenziali informatiche del correntista nell´ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l´esecuzione dell´operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali.
La ripartizione dell´onere della prova, in casi simili, segue la disciplina dettata dalle norme sopra richiamate, le quali postulano l´adozione di un criterio di responsabilità efficacemente definito, in dottrina, come di tipo "semioggettivo", atteso il rinvio all´art. 2050 cod. civ. contenuto nell´art. 15 del Codice della privacy, e atteso che il modello di responsabilità è coerente con quello delineato finanche a livello comunitario dall´art. 23 e dal considerando n. 55 della direttiva comunitaria n. 95/46-CE, relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.
In tal guisa l´attore è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto onerato della prova liberatoria consistente nell´aver adottato tutte le misure idonee a evitare il danno.
Tra queste misure rilevano appunto quelle previste dal titolo V del Codice della privacy (artt. 31- 36), stante la regola generale secondo la quale, in sede di trattamento dei dati personali, è richiesto sempre il rispetto di un onere di diligenza da valutare concretamente, sia "in relazione alle conoscenze acquisite in base al progresso tecnico", sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento.
Tale onere si traduce nell´adozione di misure preventive di sicurezza volte a ridurre al minimo i rischi di eventi dannosi, ivi compresi quelli correlati all´accesso non autorizzato ai dati personali.
Consegue che, in base al rinvio all´art. 2050 cod. civ., operato dall´art. 15 del Codice della privacy, l´Iistituto che svolga un´attività di tipo finanziario o in generale creditizio risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l´evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell´interessato o da forza maggiore.
Rodolfo Murra
Fonte: Quotidiano della p.a.
Tutti gli articoli pubblicati in questo portale possono essere riprodotti, in tutto o in parte, solo a condizione che sia indicata la fonte e sia, in ogni caso, riprodotto il link dell'articolo.