Con la sentenza n.1268/2018 dello scorso 6 settembre, i giudici del tribunale di Parma hanno condannato un istituto bancario al risarcimento danni nei confronti di un cliente che aveva sporto denuncia per una violazione del suo home banking. Secondo i giudici emiliani spetta alla Banca l’onere di provare il corretto funzionamento del sistema di home banking e quindi dimostrare la riferibilità al correntista delle operazioni online contestate.
Indice degli argomenti
Violazione dell’home banking: il racconto di quanto accaduto
In dettaglio, il titolare di un conto corrente bancario online aveva promosso la causa contro la Banca lamentando una serie di bonifici effettuati a sua insaputa, con prelievi per complessivi 25mila euro. La banca non aveva predisposto, a suo parere, un sistema di protezione idoneo a garantirgli la sicurezza delle operazioni bancarie, né un servizio di monitoraggio e segnalazione dei movimenti anomali.
La banca eccepiva di aver realizzato un sistema sicuro, deducendo che il cliente non aveva attivato il servizio di notifica per SMS delle disposizioni effettuate sul suo conto e sostenendo che lo stesso avesse incautamente rilevato a terzi il PIN e la password di accesso al suo account di home banking in quanto vittima di condotte fraudolente da parte di qualche criminale informatico volte a carpire tali codici e a sottrargli somme di danaro usando la tecnica del phishing.
Il Tribunale ha quindi condannato la Banca al risarcimento del danno sofferto dal cliente, poiché in base ai criteri generali sul riparto dell’onere della prova, la stessa è tenuta a dimostrare il corretto funzionamento del proprio sistema e, quindi, la possibilità di riferire al correntista l’operazione bancaria online che il cliente abbia disconosciuto.
Le motivazioni della sentenza: il parere degli esperti
“Spetta all’Istituto di credito verificare la riconducibilità delle operazioni effettuate a mezzo di strumento elettronici (come l’home banking) alla volontà del cliente, adoperando una diligenza qualificata del cosiddetto ‘accorto banchiere’. L’eventuale uso di codici d’accesso al sistema internet-bancario da parte di terzi non autorizzati rientra nel rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, finalizzate a verificare la riferibilità delle suddette operazioni alla volontà del correntista” è un primo commento dell’avvocato Chiara Elena Ponti, Data & Privacy Specialist, Socia CISG. Pertanto, continua l’analisi dell’avvocato Ponti, “sussiste la responsabilità contrattuale della Banca per la perdita dell’importo oggetto di bonifici” usciti indebitamente dal conto on-line di un cliente.
Quest’ultimo era stato, nella realtà dei fatti, vittima di phishing ovvero quel fenomeno, purtroppo sempre più frequente, che consiste in condotte fraudolente volte a carpire codici (PIN e password) al fine di sottrarre somme di denaro da un conto corrente.
“Non può escludersi, in simili ipotesi, la responsabilità dell’Istituto di credito dal momento che lo stesso è tenuto a garantire misure di sicurezza adeguate o comunque rafforzate come quelle adottate – si legge in sentenza – “… dalla generalità degli Istituti, che consente la creazione di una password per ogni operazione (OTP), generata tramite token o inviata a mezzo sms al correntista”.
“Né la mancata attivazione come nella vicenda in esame, da parte del cliente/correntista, dell’apposito servizio di notifica via sms in caso di operazioni on line”, continua l’avvocato Ponti, “può escludere o limitare una forma di responsabilità bancaria. Detto servizio rappresenta semmai una forma di controllo aggiuntivo che il cliente può decidere (come non) di usufruire. Le misure di protezione che la banca deve porre in essere affinché non si verifichino intrusioni, o che blocchino movimenti sospetti, devono essere garantite a prescindere. Per tali motivi, la mancata attivazione non può affatto sollevare la Banca dall’adempimento del proprio obbligo contrattuale di verifica e protezione dei dati dei clienti”.
Violazione dell’home banking: ipotesi data breach
Tutta la vicenda potrebbe avere anche risvolti interessanti sul versante della protezione dei dati personali. Dal momento che il conto corrente rientra nella definizione di “dato personale” di cui all’art. 4 del Regolamento Europeo 679/2016, cosiddetto GDPR.
L’art. 4, poi, al n. 12, fornisce una definizione per la violazione dei dati personali come quella “… di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”: il cosiddetto data breach. Ne consegue che in esso non si ravvisi solo l’evento doloso come, ad esempio, l’attacco informatico, ma altresì l’evento accidentale proprio come l’accesso abusivo, proprio il caso di specie.
Ancora, secondo l’avvocato Ponti, “nella vicenda in esame, la banca ha restituito una cifra, qualificata – dal giudice di prime cure – quale debito di valore poiché somma determinata (o determinabile) in ragione di un dato valore economico. Per questi motivi, in relazione alla più corposa cifra corrisposta fraudolentemente a terzi, la Banca è responsabile, e deve provvedere alla restituzione di quanto sì bonificato configurandosi un indebito oggettivo di cui all’art. 2033 c.c. vale a dire di un pagamento effettuato per estinguere un debito inesistente”.
“La banca potrebbe non rispondere del danno patito dal cliente/correntista, solo nel caso in cui essa dimostri che il fatto sia attribuibile al dolo del titolare del conto o ai di lui comportamenti talmente incauti da non poter essere, in anticipo, fronteggiati, stante adeguate misura di sicurezza adottate”.
