Tale principio è statuito nella sentenza n. 2904/2011 emessa dal Tribunale di Palermo a seguito di una richiesta risarcitoria avanzata, ai danni di un istituto di credito, da un suo cliente che si è visto fraudolentemente sottratta una somma di denaro dal proprio conto corrente a seguito di un’operazione on line eseguita da terzi e non autorizzata da titolare del conto.
La vicenda, come anticipato, prende le mosse da un’operazione di home banking del valore di € 5.500,00 non disposta, né autorizzata dal titolare del conto corrente che reagisce tempestivamente denunciando, prima, l’accaduto ai Carabinieri e sporgendo, poi, formale reclamo al servizio clienti dell’istituto bancario. In difetto di una composizione bonaria della vicenda il cliente ha citato la propria banca lamentando la responsabilità di quest’ultima per l’illecita e fraudolenta operazione eseguita a seguito dell’inesatto adempimento alle obbligazioni inerenti al contratto di conto corrente.
Costituendosi in giudizio la banca rilevava, all’opposto, che l’unica condotta negligente era ascrivibile all’attore stesso che, improvvidamente, aveva rivelato a terzi i codici personali di accesso in spregio alle condizioni contrattuali del servizio di home banking (circostanza rimasta del tutto sfornita di prova nel corso di causa).
Il giudice di prime cure, sulla base delle circostanze allegate dalle parti e provate in via documentale, ha accolto la richiesta risarcitoria mediante l’applicazione di due distinte disposizioni del Codice della Privacy (L. n. 196/2003):
- l’art. 15 in base al quale chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c. (nel caso di specie il danno è derivato dal non aver impedito a terzi l’illecita introduzione nel sistema per utilizzare fraudolentemente i servizi di pagamento);
- l’art. 31, in materia di misure di sicurezza minime, il quale prevede che: “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.
Sulla base di tali norme il Tribunale ha ritenuto inutile la mera produzione delle certificazioni di conformità e sicurezza del sistema di home banking rilasciate dagli organismi di certificazione (accreditati presso il SINCERT), in quanto “sebbene idonee ad attestare la sicurezza di quel tipo di sistema adoperato, non consentono di escludere la possibilità che si possa verificare un bug nello stesso”.
Inoltre, circostanza che si è rilevata decisiva ai fini dell’accoglimento della domanda, il sistema predisposto e utilizzato per il servizio bancario on line non si era rivelato adeguato alla tecnologia esistente in quanto:
- il codice PIN era composto di sole 4 cifre;
- l’ID dell’utente/cliente corrispondeva all’indirizzo e-mail del correntista.
Le misure adottate, pertanto, non si erano rivelate idonee (in base al progresso tecnico, al tipo di dati trattati e di servizio fornito) a tutelare i dati personali oggetto del trattamento da parte della banca “in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita – anche accidentale – dei dati stessi, di accesso non autorizzato o di trattamento non consentito”.
Peraltro, un ulteriore malfunzionamento del sistema si era manifestato nel mancato invio al cliente di un messaggio di conferma, tramite posta elettronica, dell’avvenuta operazione (comunicazione contrattualmente prevista a tutela del cliente per consentire la revoca della transazione eseguita) della cui esistenza l’attore è stato informato solo il giorno successivo, a pagamento già avvenuto.
La carente diligenza, da valutarsi con maggiore rigore inerendo la prestazione all’esercizio di un’attività professionale, nell’adempimento contrattuale, nella predisposizione di un sistema poco sicuro e nell’adozione di misure di sicurezza inefficaci ha portato il giudice di prime cure, in definitiva, a condannare l’istituto bancario (che in corso di causa aveva adeguato il proprio sistema di home banking migliorando le specifiche di sicurezza) al rimborso dell’operazione fraudolentemente disposta.
Probabilmente la vicenda avrà un seguito in appello, tuttavia, il messaggio lanciato è chiaro: aggiornare costantemente, al passo con la tecnologia disponibile, le misure di sicurezza poste a tutela dei dati personali se non si vogliono rischiare onerosi risarcimenti.