Home banking e phishing: responsabilità e prevenzione
La Cassazione è intervenuta, con sentenza n.10638/16, su un caso di frode informatica che, nello specifico, ha coinvolto una cittadina ed il suo account di home banking. La captazione dei codici di accesso ha infatti causato una successiva emissione di un bonifico da parte di un istituto di credito a nome dell’ignara cliente.
Il fatto
Quest’ultima lamentava quindi il fatto che, dal suo conto corrente, fosse stato emesso un bonifico non disposto per sua decisione. Il bonifico oggetto di controversia era stato eseguito dall’istituto di credito con prelievo diretto della somma dal conto corrente della cliente. A seguito di ciò, la cliente agiva chiedendo il risarcimento dei danni dovuti ad un illecito trattamento dei dati nei confronti dell’istituto di credito, dinanzi al Tribunale di Milano in unico grado.
Il giudice del Tribunale di Milano aveva ritenuto non adeguatamente provati i fatti costitutivi, respingendo la domanda dell’attrice, in quanto
“il sistema implementato … non consentiva in sé, ai terzi, di venire a conoscenza dei dati necessari per compiere operazioni all’insaputa del destinatario”. Non ha quindi ritenuto possibile che l’operazione fosse stata disposta “senza che la correntista avesse comunicato i propri codici identificativi. […] il fenomeno di phishing, richiamato dalle difese e anche nella relazione del c.t.u., dovevasi considerare ininfluente, non essendo stato provato che l’attrice avesse subito attraverso la rete internet il furto dei dati personali.”
Quindi l’attrice non aveva adempiuto all’onere di provare il nesso di causalità tra il danno subito e l’attività di trattamento dei dati, pur considerata pericolosa ai sensi dell’art. 2050 c.c.
Inoltre il giudice aggiungeva che l’Istituto in questione si era accorta dell’anomalia, in quanto il bonifico era stato disposto da un computer diverso da quello abitualmente utilizzato dall’attrice, e aveva bloccato il conto corrente, previa comunicazione alla cliente interessata.
Successivamente, l’attrice ha impugnato la decisione dinanzi alla Corte Suprema di Cassazione che con la sentenza 23 maggio 2016 n. 10638 ne ha ribaltato il giudizio. Secondo la Cassazione
“ove si discuta di responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista nell’ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l’esecuzione dell’operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali”.
Inoltre, aggiunge che il criterio per stabilire la responsabilità è di tipo “semioggettivo”, come dimostra il rinvio all’art. 2050 c.c. effettuato dall’art. 15 Codice Privacy. In questo caso
“l’attore è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto onerato della prova liberatoria consistente nell’aver adottato tutte le misure idonee a evitare il danno”.
Protezione dei dati e misure di sicurezza
Tra le misure idonee ad evitare il danno, rientrano sicuramente quelle previste dal titolo V Codice Privacy (artt.31 -36), oltre alla regola generale, la quale prevede che:
“ in sede di trattamento dei dati personali, è richiesto sempre il rispetto di un onere di diligenza da valutare concretamente, sia ‘in relazione alle conoscenze acquisite in base al progresso tecnico’, sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento”.
Questo onere si traduce nell’utilizzo di misure di sicurezza e altre misure preventive, per ridurre e/o azzerare i rischi di eventi dannosi riguardanti l’accesso non autorizzato ai dati personali.
In base a quanto previsto dall’art.15 Codice della Privacy, il quale rinvia all’art. 2050 c.c., gli istituti che svolgono attività bancaria o finanziaria rispondono dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei codici di accesso, in quanto titolari del trattamento dei dati, salvo che non dimostrino che l’evento dannoso non è a loro imputabile per trascuratezza o errore dell’interessato oppure per causa di forza maggiore.
L’aspetto principale che emerge dalla sentenza della Suprema Corte è sicuramente quello riguardante l’onere di prova. Ai sensi dell’art.15 Codice Privacy, il quale rimanda all’art. 2050 c.c., spetta all’istituto di credito provare che l’evento dannoso non è a lui imputabile e al cliente spetta solo di provare il nesso causale tra il danno subito e l’attività. Tuttavia, dalla sentenza emerge un tema non meno importante dell’onere probatorio, ovvero il rapporto tra privacy e protezione dei dati.
Infatti, il problema oggetto di giudizio nasce, per appunto, da una non corretta applicazione delle misure di sicurezza, previste dal Codice Privacy. Già nel giudizio di primo grado, è emerso che il sistema di sicurezza dell’istituto di credito “non era sufficientemente efficace nella prevenzione di frodi informatiche, tanto da essere sostituito un paio di mesi dopo il fatto”.
È fuori di discussione che in questo caso non sono state applicate le misure di sicurezza necessarie a garantire la protezione dei dati configurando una grave negligenza da parte dell’Istituto di credito.
L’ordinamento italiano prevede una serie di norme molto stringenti in tema di protezione dei dati, tant’è che, possiamo tranquillamente affermare che la protezione dei dati è uno dei capisaldi della normativa Privacy. Inoltre lo stesso Codice prevede delle sanzioni pesanti per il mancato rispetto degli di standard di sicurezza. Risulta quindi quantomeno strano che i giudici milanesi non abbiano mosso appunti alla situazione di negligenza evidenziata limitandosi solamente a constatare il fatto.
In conclusione
Privacy, sicurezza e protezione dei dati sono aspetti da considerare un sistema unico. La privacy deve essere garantita da misure di sicurezza efficienti, che i titolari del trattamento devono applicare tassativamente, in modo da evitare casi come quello della sentenza in oggetto, che in realtà, ad oggi, risultano molto frequenti.
L’introduzione del nuovo Regolamento Europeo sulla Data Protection (GDPR), assieme ai controlli effettuati dalle autorità, renderanno possibile valutare lo stato dell’arte presso enti ed imprese che conservano e trattano dati personali; è bene ricordare, inoltre, che la tipologia dei trattatamenti effettuati, anche in relazione al core business, sarà ritenuto criterio proporzionale nel determinare l’attenzione richiesta a livello di policy e best practices. Per tutti, ovviamente, vige l’obbligo di applicare le misure necessarie a garantire la protezione dei dati tratatti in modo da evitare casi analoghi a quello visto nella sentenza della Corte di Cassazione.
Tuttavia, alla luce dell’aumento dei fenomeni di phishing e più in generale delle frodi informatiche, anche il miglior assetto normativo possibile non può essere pienamente efficace in assenza di adeguata cultura e formazione di tutti i soggetti coinvolti: i titolari dei trattamenti, i responsabili, il top management, l’intero personale aziendale e i proritari stessi dei dati. La platea dei soggetti che navigano in rete è molto vasta e non tutti hanno delle conoscenze sufficienti per gestire situazioni di difficoltà. E’ auspicabile che le stesse imprese – assieme alle Autorità nazionali ed europee – percepiscano come di proprio interesse favorire la maturità di clienti e cittadini sulla tematica della sicurezza e della consapevolezza del valore dei propri dati. Un aspetto, quest’ultimo, richiamato in modo esplicito dalla recente normativa europea.