in Diritto Del Risparmio, 2023, (ISSN 2704 - 6184), Nota a App. Firenze, Sez. II, 8 settembre 2022, n. 1945
La sentenza, oggetto della presente nota, afferma che, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.
1. Le circostanze fattuali
Con sentenza n. 1662/2014, il Tribunale di Firenze accoglieva la domanda avanzata da una correntista nei confronti del proprio istituto di credito – reo di non aver adottato misure di sicurezza idonee a prevenire i rischi connessi all’utilizzazione di sistemi di pagamento elettronici (nel caso di specie il servizio di home banking) – condannando quest’ultimo al riaccredito sul conto corrente dell’attrice della somma di € 5.810,00, oltre interessi e rivalutazione, a seguito della disposizione di un postagiro non autorizzato in favore di persona sconosciuta.
Avverso questa decisione, proponeva appello l’azienda di credito, la quale censurava l’erroneo convincimento, espressamente declinato in sentenza, di ritenere integrata una responsabilità di natura contrattuale ex art. 1176 co. 2 c.c., attesa l’applicabilità, al caso di specie, dell’art. 2050 c.c. con le relative implicazioni in tema di onere della prova, affermando l’idoneità dei propri sistemi di sicurezza, in linea con l’evoluzione tecnologica e deducendo, di contro, l’impossibilità di stabilire se l’operazione fosse imputabile a scarsa cautela della correntista per aver consentito a terzi l’uso dei propri codici di accesso al servizio di home banking, ovvero se si fosse trattato di una vera e propria frode informatica realizzata attraverso il sistema del c.d. phishing.
La Corte d’Appello di Firenze, con sentenza n. 1945/2022, in linea con le argomentazione del giudice di prime cure, rigettava l’appello proposto dall’ente creditizio sulla scorta delle seguenti motivazioni: 1) nell’esecuzione del contratto, sussiste la responsabilità della banca nei confronti del cliente ex art. 1176 co. 2 c.c. per l’inidoneità tecnica dei livelli di sicurezza apprestati nell’ambito del servizio di home banking; 2) con specifico riferimento all’utilizzazione di servizi elettronici di pagamento, la diligenza posta a carico della banca va valutata con particolare rigore, assumendo come parametro la figura dell’accorto banchiere; 3) già prima dell’entrata in vigore del D.lgs. n. 11/2010, attuativo della direttiva n. 2007/64/CE, l’onere di provare l’adozione di appropriate misure tecniche e, dunque, la genuinità della transazione, ricadeva sul prestatore di servizio. A mente di tali assunti, la sentenza annotata ritiene, pertanto, integrata una responsabilità contrattuale della banca ex art. 1176 co. 2 c.c., stante l’omessa adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio di home banking.
2. Quadro normativo e giurisprudenziale
I profili di responsabilità della banca in caso di operazioni disconosciute, effettuate a mezzo di strumenti elettronici (home banking) è un tema quanto mai attuale e discusso, considerato, peraltro, l’enorme diffusione dei siti e-commerce e delle transazioni finanziarie effettuate da remoto.
La sentenza annotata offre, quindi, lo spunto per una breve analisi del quadro normativo e giurisprudenziale di riferimento.
Il D. Lgs. n. 11/2010, attuativo della Direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, così come modificato dal D. Lgs. n. 218/2017 (di recepimento della Direttiva 2015/2366/UE), introduce a carico dei prestatori di servizio di pagamento un regime di responsabilità piuttosto stringente, laddove prevede, in caso di operazione di pagamento non autorizzata, l’obbligo di rimborso immediato a carico del prestatore del servizio, il quale può andare esente da responsabilità solo qualora dimostri la riconducibilità dell’operazione al cliente (artt. 10 – 11). Sul versante opposto, la norma qui richiamata sancisce obblighi altrettanto rigorosi a carico dell’utilizzatore dei servizi di pagamento, il quale deve adottare misure idonee a garantire la sicurezza dei dispositivi di pagamento e comunicare senza indugio, al prestatore del servizio, in caso di operazioni abusive, l’uso non autorizzato dello strumento di pagamento (art. 7).
Ciò posto, la pronuncia in esame esclude preliminarmente, per motivi temporali, l’applicabilità del D. Lgs. n. 11/2010, con conseguente inquadramento giuridico della fattispecie nell’ambito della normativa generale in tema di obbligazioni. In questa prospettiva, l’intermediario, nei rapporti con il cliente, risponde secondo le regole del mandato (dato l’espresso richiamo operato, al riguardo, dall’art. 1856 c.c. in tema di esecuzione di incarichi bancari) e la condotta a cui è tenuto deve essere improntata al canone della diligenza del buon banchiere, che trova il suo referente normativo nell’art. 1176 co. 2 c.c., secondo cui “nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata”. In particolare, la motivazione condivide l’orientamento della Corte di Cassazione, a mente del quale spetta all’istituto di credito, nel caso di operazioni effettuate con strumenti elettronici (home banking), l’onere di provare la riconducibilità delle stesse alla volontà del cliente, atteso che la diligenza posta a carico del prestatore del servizio ha natura tecnica e deve essere valutata alla stregua dell’accorto banchiere, tenendo conto dei rischi tipici della sfera professionale di riferimento [1].
A margine di quanto sopra, giova osservare come, nel caso in disamina, il decidente non abbia fatto cenno a una eventuale responsabilità dell’istituto creditizio, quale titolare del trattamento dei dati personali, per abusiva sottrazione delle credenziali di accesso al servizio di home banking, accolta invece da sparute pronunce vertenti su vicende similari [2]. Per meglio cogliere tale prospettazione, pare necessario dar conto, in breve, del percorso logico – giuridico ivi sotteso, articolato nei seguenti passaggi: 1) le credenziali di accesso al servizio di home banking costituiscono un dato personale del cliente; 2) l’istituto di credito risponde, quale titolare del trattamento dei dati personali, dei danni conseguenti al fatto di non aver predisposto adeguate misure di sicurezza atte a scongiurare l’abusiva utilizzazione da parte di terzi delle credenziali informatiche del cliente 3) la fattispecie va inquadrata nella cornice normativa sul trattamento dei dati personali, delineando in tal guisa una responsabilità di tipo “semioggettivo”, stante il rinvio operato dall’art. 15 del D. Lgs. n. 196/2003, al regime delle attività pericolose ex art. 2050 c.c. (“Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”) [3]. Una simile ricostruzione dei principi informatori della fattispecie, oltre a essere coerente con quanto disposto dall’art. 8 del D. lgs. n. 11/2010, in ordine all’obbligo del prestatore del servizio di pagamento di assicurare che i dispositivi personalizzati non siano accessibili a soggetti diversi dall’utilizzatore, trova conforto nel Regolamento n. 2016/679/UE in tema di trattamento dei dati personali. In punto, giova osservare quanto segue: 1) nel concetto di dato personale vi rientra “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4 n. 1); 2) viene introdotta un’espressa definizione del data breach, inteso come violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati; (art. 4 n. 12) 3) il titolare del trattamento o il responsabile del trattamento adotta le misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato a prevenire abusi o furti d’identità (art. 32); 4) il titolare del trattamento o il responsabile del trattamento va esente da responsabilità solo ove dimostri che l’evento dannoso non è in alcun modo ad esso imputabile (art. 83 co. 3). Quanto detto rende inevitabilmente più gravoso il regime di responsabilità a carico dell’intermediario, tenuto ad adeguarsi all’evoluzione dei nuovi sistemi di sicurezza, onde prevenire i rischi connessi alla natura telematica del servizio reso (home banking).
3. Considerazioni conclusive
In conclusione, alcune osservazioni di sintesi alla luce delle considerazioni che precedono e dei principi enucleati dalla giurisprudenza citata.
La rassegna esaminata fa emergere, in primo luogo, la diffusa “insicurezza” tecnologica dei sistemi di pagamento telematici emessi dai prestatori del servizio, tali da essere violati da terzi abusivi utilizzatori mediante l’illecita captazione delle credenziali di accesso dei correntisti (phishing, malware, man in the browser ecc. …). In tale prospettiva, ciò conduce, ad una più approfondita riflessione in ordine al fenomeno dell’illecita intrusione nei sistemi di home banking, nel tentativo di un appropriato inquadramento giuridico del medesimo e delle responsabilità ad esso collegate.
Come visto, la sentenza annotata sembra ricostruire la responsabilità del prestatore del servizio in termini contrattuali, ritenendo – in applicazione del criterio probatorio fondante di cui all’art. 2967 c.c. – non debitamente dimostrata l’adozione, nel caso di specie, di appropriate misure tecniche, volte a verificare la riferibilità dell’operazione di postagiro alla volontà della correntista. Non ultimo, si è visto come alcune recenti decisioni abbiano accolto una configurazione della responsabilità in termini “semioggettivi”, alla luce del rinvio operato dall’art. 15 del D. Lgs. n. 196/2003, al regime delle attività pericolose ex art. 2050 c.c. .
Da quanto sopra esposto deriva, pertanto, un quadro in cui la responsabilità addossata all’intermediario, nei rapporti con il cliente, sembra fondarsi su un obbligo qualificato di diligenza nell’adempimento delle obbligazioni, nel cui novero va ricompreso il servizio di home banking. Di contro, un potenziale temperamento delle responsabilità della banca può derivare dal concorso del danneggiato nella causazione del danno, a titolo di dolo o colpa grave [4].
A margine di tali posizioni, sembra oltremodo necessaria, al fine di eliminare o perlomeno prevenire frodi, l’adozione di una prassi bancaria assennatamente incline al controllo e alla mitigazione dei rischi, anche mediante l’utilizzo di sistemi di autenticazione forte, al monitoraggio delle transazioni e alla sensibilizzazione del cliente [5].
di Alessio De Rita - 21 Febbraio 2023
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
[1] Cass. Civ., Sez. I, 12 aprile 2018, n. 9158.
[2] Cass. Civ., Sez. I, 23 maggio 2016, n. 10638; Trib. Roma, 31 agosto 2016, n. 16221.
[3] Per un’analisi sui profili di responsabilità oggettiva dell’operatore bancario, ved. R. Frau, Home banking, bonifici non autorizzati e responsabilità della banca, in Responsabilità civile e previdenza, n. 4/2013, 1298 – 1302; R. Frau, Home banking, captazione di credenziali di accesso dei clienti tramite phishing e responsabilità della banca, in Responsabilità civile e previdenza, n. 3/2015, 922 – 926; R. Frau, Responsabilità civile della banca per operazioni di home banking disconosciute dal cliente, in Responsabilità e previdenza, n. 3/2017, 867 – 871.
[4] Al riguardo, si segnala la rassegna delle decisioni emesse dall’Arbitro Bancario Finanziario sul tema, in R. Frau, Home banking, phishing e responsabilità civile della banca, in Responsabilità e previdenza, n. 2/2019, 643 – 646.
[5] Sul punto, si segnalano gli Orientamenti EBA sulla sicurezza dei pagamenti via internet.
Comments