Misure di sicurezza adeguate e mancata custodia del correntista escludono la responsabilità della banca per operazioni online

Massima

In tema di responsabilità della banca per operazioni svolte sul conto corrente dei clienti la medesima può esonerarsi da responsabilità qualora provi di aver adottato adeguate misure di sicurezza a protezione dei sistemi informatici utilizzati e l’accesso agli stessi sia avvenuto per negligenza del correntista nella custodia dei dispositivi o codici di accesso tale da interrompere il nesso eziologico tra condotta della banca e danno del cliente.

Il Caso

Il Tribunale di Palermo aveva condannato in primo grado la banca a risarcire un correntista del danno derivante da un’operazione di bonifico disposta da un terzo utilizzando le credenziali di accesso del correntista stesso procurate in conseguenza delle azioni svolte a seguito di una email di phishing.

La Corte d’Appello riformava la decisione di primo grado evidenziando sia la circostanza che la banca risultava aver adottato un idoneo sistema di sicurezza capace di impedire l’accesso ai dati personali del correntista, sia l’avvenuta approvazione per iscritto da parte del correntista degli oneri di custodia delle credenziali di accesso al conto online. 

Avverso questa sentenza proponeva ricorso il correntista.

La questione

I giudici della Suprema Corte hanno affrontato la questione relativa agli oneri di ciascuna delle parti nella fruizione online del rapporto di conto corrente: quali sono gli specifici presupposti che possono esonerare la banca da responsabilità considerando che il nostro ordinamento configura il trattamento di dati personali come attività pericolosa ex art. 2050 c.c.? Quali sono gli oneri in capo al correntista che utilizza un sistema informatico per operare sul proprio conto corrente?

Le soluzioni giuridiche

La questione è stata affrontata più volte in giurisprudenza, sia nelle corti ordinarie sia innanzi all'Arbitro Bancario e Finanziario.

È bene ricordare che nel nostro ordinamento non si rinvengono norme specifiche relativamente alle misure di sicurezza che devono essere adottate dalle banche nell'ambito dei rapporti di conto corrente online, mentre alcune specifiche previsioni sono contenute nella direttiva (UE) n. 2366/2015 (PSD2) e nel Regolamento (UE) n. 389/2018, il cosiddetto Regolamento SCA (Strong Customer Authentication).

Alcune indicazioni che valgono in generale quali regole di gestione del sistema informativo delle banche si rinvengono nella Circolare Banca d'Italia n. 285/2013, che nel definire gli ambiti di vigilanza a cui sono soggetti gli intermediari bancari vi include anche alcune indicazioni di sicurezza dei loro sistemi informativi.

D'altra parte, l'ordinanza della Cassazione ha esaminato il profilo di responsabilità dal punto di vista della protezione dei dati personali (con un richiamo all'art. 15 d.lgs. n. 196/2003 vigente al tempo dei fatti di causa e dell'art. 2050 c.c.).

Com'è noto tali norme richiamano l'istituto della responsabilità oggettiva, applicabile all'esercizio delle attività pericolose, per cui il nostro ordinamento introduce un'inversione dell'onere della prova gravante sul soggetto chiamato a rispondere il danno, il quale è tenuto a dimostrare di aver posto in essere tutte le misure idonee ad evitare lo stesso.

Contestualmente la Suprema Corte ha esaminato anche l'estensione dell'obbligo di custodia degli strumenti che la banca aveva assegnato al correntista per accedere al conto corrente online, obbligo statuito contrattualmente tra i due soggetti.

Gli ermellini hanno sostanzialmente confermato il ragionamento condotto dalla Corte d'Appello, ciò in considerazione di due specifiche considerazioni.

La prima riguardava il fatto che risultava accertato come la banca abbia provveduto nel caso in esame ad adottare elevati standard di sicurezza dei propri sistemi, anche certificati da terzi soggetti sulla base di norme tecniche internazionali (nel caso specifico lo standard britannico BS7799, antecedente della più conosciuta ISO 27001).

In casi precedenti esaminati dalla Cassazione le banche erano state condannate a risarcire il danno proprio per aver omesso di applicare adeguate misure di sicurezza ai loro sistemi (cfr. Cass. civ. 19 gennaio 2016, n. 806 e Cass. civ. 3 febbraio 2017, n. 2950).

La seconda relativa all'onere del correntista di custodia delle credenziali rilasciate dalla banca, ed all'imputabilità al medesimo delle operazioni effettuate con dette credenziali nel caso di violazione di tale onere.

Sul punto è interessante notare che la fattispecie in esame riguardava un caso di phishing e che i giudici di secondo grado si sono soffermati nell'esaminare la condotta imprudente del correntista, che non ha mantenuto segreti i codici di accesso nonostante la banca avesse dedicato un apposito spazio sul proprio sito per fornire informazioni sui fenomeni delle truffe informatiche, precisando che la stessa non avrebbe mai richiesto tali codici di accesso mediante messaggi di posta elettronica, lettere o telefonate.

La sentenza in commento, quindi, attribuisce una valenza dirimente alla condotta imprudente (o negligente) del correntista, la quale viene ritenuta sufficiente nel caso di specie ad interrompere il nesso eziologico tra l'attività pericolosa svolta dalla banca e l'evento dannoso.

In particolare, tale condotta è stata considerata quale causa esclusiva del compimento dell'operazione bancaria fraudolenta, integrando così il caso fortuito che, nel dato positivo dell'art. 2050 c.c., è idoneo ad esonerare il soggetto agente da responsabilità.

Osservazioni

Le considerazioni svolte dai giudici della Suprema Corte appaiono interessanti in primo luogo perché le medesime sono applicabili anche nel contesto attuale del Regolamento (UE) n. 679/2016, il cui art. 32 GDPR stabilisce l'obbligo di adottare delle misure di sicurezza nei trattamenti di dati personali ed in considerazione della previsione dell'art. 82, par. 3, che prevede la possibilità di esonero da responsabilità civile da parte del titolare del trattamento o del responsabile del trattamento solamente attraverso la dimostrazione che l'evento dannoso non è ad essi imputabile, con meccanismo analogo, quindi, al nostro art. 2050 c.c.

Un primo segno di novità riguarda l'adeguatezza delle misure di sicurezza adottate. La Corte di Giustizia Europea, in altra fattispecie ma comunque riferita al sistema dei pagamenti bancari, nella causa C-287/19 aveva già affermato la responsabilità in capo ai prestatori di servizi di pagamento di prevedere specifiche misure di sicurezza, senza possibilità di esonerarsi contrattualmente da tale obbligo. La sentenza della Cassazione, confermando quella di secondo grado, introduce un concetto che però appare innovativo, ossia la possibilità che l'adozione di standard tecnici di sicurezza, eventualmente certificata da soggetti terzi, sia idonea di per sé a fornire prova della diligenza del soggetto intermediario e del rispetto da parte dello stesso degli oneri che gli sono assegnati dall'attuale disciplina normativa.

In secondo luogo, la sentenza introduce anche un principio di responsabilità da parte del correntista. Innanzitutto, in considerazione del suo obbligo di custodia le operazioni compiute attraverso i codici di accesso a lui assegnati dalla banca sono comunque al medesimo imputabili. Inoltre, il correntista deve comportarsi con diligenza anche in riferimento all'uso di tali codici, in quanto la loro imprudente divulgazione a soggetti non autorizzati, che nel caso di specie avevano tentato, riuscendoci, di carpirli tramite un attacco di cd. phishing, fa venir meno qualsiasi responsabilità della banca, trattandosi di evento eccezionale e fortuito. Ciò implica una responsabilizzazione anche dell'utente che utilizza i servizi informatici, il quale, ci permettiamo di aggiungere, deve anche adeguatamente informarsi sui comportamenti corretti da tenere per tale utilizzo (informazioni che la banca aveva messo a disposizione).

È interessante notare che in ipotesi diverse l'Arbitro Bancario e Finanziario ha escluso la responsabilità del correntista in relazione al fatto che la tecnica di attacco utilizzata per sottrarre le informazioni di accesso era molto più sofisticata e difficile da individuare.

Ciò consente di concludere che il grado di diligenza che il correntista deve mantenere deve essere rapportato in ogni caso a quello del buon padre di famiglia, senza che possa pretendersi dallo stesso la conoscenza di tecnicismi o soluzioni che solamente un esperto del settore è in grado di comprendere.