Veniva chiesto il ristoro del danno patrimoniale e di quello non patrimoniale ad un Istituto bancario per illecito trattamento dei dati personali, a causa di un’operazione di bonifico online transitato sul conto del ricorrente e dallo stesso disconosciuto.
Si occupava della questione la Cassazione Civile n.10638/2016 analizzando la decisione della Corte di merito che aveva rigettato la pretesa risarcitoria, alla luce degli esiti della consulenza tecnica d’ufficio. Era emerso che il sistema implementato dall’Istituto di credito non consentiva a terzi di venire a conoscenza dei dati necessari per compiere operazioni online all’insaputa del correntista, ma come affermato dalla stessa c.t.u. si evidenziava che il sistema, all’epoca, adottato, (codice dispositivo segreto composto di dieci caratteri) non fosse sufficientemente efficace nella prevenzione delle frodi informatiche e che proprio dopo i fatti occorsi quel sistema era stato sostituito con altro più sicuro.
La S.C. osservava sul tema: “..ove si discuta di responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista nell’ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l’esecuzione dell’operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali”. Il danneggiato/attore “… è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto (danneggiante) onerato della prova liberatoria consistente nell’aver adottato tutte le misure idonee a evitare il danno…”.
Tale ripartizione dell’onere della prova è definito dall’art.2050 c.c. e il modello di responsabilità è coerente con quello delineato a livello comunitario dall’art.23 e dal considerando n.55 della direttiva comunitaria n. 95/46-CE, relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali. Tra le misure, sono rilevanti quelle previste dal titolo V codice della privacy (artt. 31-36), vigente al momento del fatto, stante la regola generale secondo la quale, in sede di trattamento dei dati personali, è richiesto sempre il rispetto di un onere di diligenza da valutare concretamente, sia “in relazione alle conoscenze acquisite in base al progresso tecnico”, sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento. Tale onere si traduce nell’adozione di misure preventive di sicurezza volte a ridurre al minimo i rischi di eventi dannosi, ivi compresi quelli correlati all’accesso non autorizzato ai dati personali.
L’istituto, quindi, “.. che svolge un’attività di tipo finanziario o in generale creditizio ……. risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore.”
Questo aspetto è coerente, inoltre, con quanto disposto dal d.lgs. 27 gennaio 2010, n. 11, in ordine all’obbligo del prestatore del servizio di pagamento di assicurare che i dispostivi personalizzati forniti dai gestori non siano accessibili a soggetti diversi dal legittimo titolare. Detto decreto, prevede infatti che “.. qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. E nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell’importo rimborsato. “.