La sentenza 322/2023 del Tribunale di Milano rappresenta una pietra miliare in tema di responsabilità degli istituti di credito in materia di responsabilità da trattamento illecito di dati personali e per mancata prevenzione del rischio frodi e perdite finanziarie.

Le materie, infatti, presentano importanti punti di contatto e interferenza in quanto il considerando 75 al GDPR prevede espressamente le perdite finanziarie come uno dei rischi tipici derivanti da una violazione del GDPR.

La direttiva PSD2 impone a banche e istituti di credito stabilisce di adottare specifiche misure di protezione e sicurezza dei correntisti la cui efficace e corretta applicazione deve essere dimostrata secondo quanto richiede il principio di accountability.

La Corte Meneghina, nel caso in esame, ha tracciato un chiaro quadro giuridico in tema di responsabilità derivante da mancata gestione del rischio derivante dal trattamento di dati personali intervenendo chiaramente sui criteri di ripartizione dell’onere della prova.

Il Tribunale, applicando correttamente il principio di accountability, ha stabilito che grava in capo a questi l’onere di dimostrare di avere adottato adeguate misure di protezione della clientela per prevenire il rischio frodi e perdite finanziarie.

La pronuncia in esame dà atto di come la giurisprudenza di legittimità abbia già precedentemente inquadrato la responsabilità dell’istituto di credito nell’ambito della responsabilità per l’esercizio di attività pericolose. La Corte ha richiamato i precedenti in tema di disposizioni non autorizzate dal cliente su conto corrente mediante accesso abusivo a sistema di internet banking e conseguenti riflessi applicativi nell’ambito della responsabilità per trattamento dei dati personali (cfr. Cassazione, sez. I, 23 maggio 2016 n. 10638).

Secondo l’art. 15 del d.lgs. 196/2003 (Codice Privacy), citato dal Tribunale: “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”, l’istituto di credito deve fornire la prova liberatoria dalla propria responsabilità dimostrando di aver adottato tutte le misure idonee ad evitare il danno. Da valutarsi secondo le conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle caratteristiche specifiche del trattamento, mediante adozione di misure idonee e preventive per impedire l’accesso o il trattamento non autorizzato ai sensi dell’art. 31 e 36 del d.lgs. 196/2003.

Applicando in combinato disposto l’art 2050 c.c. e l’art. 15 del codice della privacy, l’istituto che svolge un’attività di tipo finanziario o in generale creditizio (…) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico. La responsabilità è esclusa solo se il titolare prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore.

La Cassazione ha, quindi, rilevato che ad analoga conclusione si perviene applicando le disposizioni del d.lgs. 11/2010 di attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno. L’art. 10 del d.lgs. 11/2010 pone in capo al prestatore dei servizi di pagamento l’onere di dimostrare, in caso di disconoscimento di una operazione l’onere di dimostrare che l’operazione non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione ovvero altri inconvenienti connessi al servizio in caso di disposizione di ordini di pagamento in caso di disconoscimento dell’operazione da parte del cliente.

Richiamando la Cassazione, il Tribunale di Milano argomenta che “in punto di ripartizione delle responsabilità derivanti dall’utilizzazione del servizio, il citato D.Lgs., artt. 10 e 11, prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. E nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell’importo rimborsato”.

Per l’effetto, il Tribunale ha ritenuto che tale onere non può venire assolto senza la dimostrazione dell’adozione di specifiche cautele antiphishing “idonee ad evitare l’acquisizione fraudolenta delle chiavi di accesso al sistema da parte di terzi” (così Cass., Sez. I, 29.12.2017 n. 31199).

L’istituto di credito convenuto, nel caso in esame, non ha dimostrato e nemmeno specificamente allegato, secondo il Tribunale, quali cautele avrebbe adottato sia in generale per contrastare il fenomeno del phishing sia nello specifico per evitare il prodursi del danno patito dagli attori, con riguardo a ciascuno dei tre bonifici istantanei eseguiti senza l’autorizzazione degli attori.

Il Tribunale non ha, pertanto, ritenuto assolto l’onere della prova gravante sull’istituto di credito ai sensi dell’art. 1218 c.c. e la conseguente non imputabilità del danno.

Secondo la Corte meneghina, gli istituti di credito devono adottare in relazione a tali operazioni delle cautele e verifiche ulteriori rispetto a quelle predisposte per i bonifici standard, cautele e verifiche che devono essere preliminari all’esecuzione della disposizione, per evitare che la disposizione impartita da terzi non autorizzati provochi effetti irreversibili sul patrimonio del pagatore, cautele che, nel caso di specie la convenuta ha completamente pretermesso, non avendo compiuto alcuna specifica attività in tal senso.

Importantissimo è il principio affermato dalla Corte Territoriale secondo cui l’automatizzazione dei controlli bancari consentita dal progresso scientifico e tecnologico non può comportare una regressione del livello di tutela che deve essere garantito al singolo risparmiatore.

Tale soluzione, imposta dalla disciplina di cui agli artt. 10 ss. del d.lgs. 11/2010, appare del tutto coerente anche dal un punto di vista dell’analisi economica del diritto privato. Pertanto laddove gli istituti di credito omettano di adottare sistemi di controllo per evitare il perpetrarsi di frodi ai danni dei propri clienti dovranno risarcire il danno subito dai propri clienti derivante da questo inadempimento.

Infine, il Tribunale di Milano ha argomentato come l’istituto di credito convenuto non ha nemmeno documentato o altrimenti provato di essersi effettivamente attivata per ottenere dal prestatore del servizio di pagamento del beneficiario dell’operazione, il consenso alla revoca dell’operazione ai sensi dell’art. 17.5 d.lgs. 28/2010, e risulta, anzi, dimostrato dall’attrice che solo la denuncia all’autorità di polizia giudiziaria abbia consentito di recuperare, benché parzialmente, le somme oggetto delle disposizioni disconosciute.

 

In allegato, per maggiori approfondimenti, il testo integrale del provvedimento Sentenza n. 322-2023 BLIND