Con atto di citazione Ma. Fo conveniva in giudizio innanzi a questo tribunale, Poste Italiane s.p.a. esponendo:
- che in data 10.10.2005 apprendeva da un’impiegata della società convenuta che erano state eseguite sul suo conto due diposizioni di bonifico ordinate tramite internet e tali operazioni non erano mai state autorizzate da esso correntista ed erano il frutto di una frode informatica;
L’attore alcuni giorni prima del 5.10.2005 era stato raggiunto da una e-mail, apparentemente spedita da Poste italiane che lo invitava ad accedere al proprio conto, tramite un link contenuto nella missiva elettronica, per verificare la regolarità dello stesso; che seguendo le istruzioni contenute nella detta e-mail egli era effettivamente acceduto al proprio conto digitando le proprie credenziali (username e password), ma senza eseguire operazioni e dunque senza digitare anche i cd. codici dispositivi.
Quindi, invocando l’art. 15 del D.Lgs. 196/2003 (cd. codice della privacy), faceva valere la responsabilità della convenuta per il trattamento dei dati personali allegando l’abusiva utilizzazione delle sue credenziali informatiche e deducendo che Poste Italiane non aveva predisposto misure sufficienti per cautelarsi dal rischio di accessi non autorizzati ed aveva ignorato il decalogo diffuso dall’ABI con riguardo alle misure di protezione dal cd. phishing (comunicazione del 14.12.2004).
Chiedeva quindi il risarcimento dei danni patrimoniali, che indicava nella somma illecitamente sottratta di Euro 7.350,00(essendo stata l’altra somma di Euro 7.843,00 tempestivamente sequestrata dal giudice penale), nonché nell’ulteriore somma di Euro 3.104,80 pari agli interessi convenzionali del prestito che aveva dovuto stipulare con la Banca popolare di Spoleto per far fronte alla mancanza di disponibilità delle somme illecitamente sottratte dal suo conto corrente presso Poste Italiane; infine chiedeva il risarcimento della somma di Euro 10.000,00 a titolo di danno morale.
Poste Italiane s.p.a. costituendosi in giudizio, eccepiva preliminarmente la nullità della citazione per indeterminatezza, non essendo stata in essa descritta la modalità dell’asserita violazione informatica, nè indicato il titolo della responsabilità fatta valere. Nel merito contestava la propria responsabilità, riconducendo l’accaduto esclusivamente alla condotta illecita dei truffatori e alla inavvedutezza del correntista.
Eccepiva quindi che era stato espressamente prevista in contratto(art. 1 delle condizioni generali) che il correntista era l’unico responsabile dell’uso degli strumenti operativi informatici e dei flussi elettronici, mentre “Poste Italiane s.p.a. non è responsabile della perdita alterazione della diffusione delle informazioni o delle disposizioni trasmesse attraverso il servizio BPOL che si siano verificate per causa ad essa non imputabile”.
Ancora deduceva la regolarità delle operazioni di bonifico eseguite e l’adozione da parte di essa convenuta di idonei sistemi di crittografia dei dati di riconoscimento dell’utente e in generale di sistemi di sicurezza rispettosi dei più rigorosi ed affidabili standard internazionali, secondo quanto risultava dalle certificazioni che depositava; in particolare osservava che fin dal 2004 aveva effettuato sul proprio portale segnalazioni informative circa i pericoli delle frodi eseguite con il cd. phishing.
Infine contestava l’esistenza di un nesso di causalità tra il fatto e il finanziamento richiesto dal Fo. alla Banca popolare di Spoleto, evidenziando come la somma mutuata (Euro 20.000,00) fosse ben maggiore di quella sottratta (Euro 7.350,00). Parimenti contestava la risarcibilità del danno morale non ravvisando nella propria condotta gli estremi del fatto di reato.
- Preliminarmente deve darsi atto dell’infondatezza dell’eccezione di nullità della citazione.
Invero dalla lettura dell’atto introduttivo appare sufficientemente chiaro sia il titolo della pretesa – ossia la responsabilità del titolare del trattamento dei dati personali, ai sensi dell’art. 15 del cd. codice della privacy – sia la modalità della violazione perpetrata, avendo l’attore ricostruito dettagliatamente la vicenda con riferimento alla fraudolenta acquisizione delle proprie credenziali di accesso tramite l’invio di una falsa e-mail che ne sollecitava l’inserimento in un sito apparentemente riconducibile a Poste Italiane.
In effetti la domanda risulta adeguatamente individuata tanto con riguardo agli elementi di fatto (la fraudolenta acquisizione delle credenziali di accesso, attraverso il predetto meccanismo; l’esecuzione di operazioni di bonifico non autorizzate da esso correntista, ma da terzi truffatori avvalendosi delle credenziali illecitamente acquisite), tanto con riguardo agli elementi di diritto (la responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista).
- Passando dunque al merito della controversia, deve subito osservarsi come – ai sensi dell’art. 2050 c.c., richiamato dall’art. 15 codice in materia di protezione dei dati personali – il danneggiato ha solo l’onere di dimostrare il danno e il nesso di causalità di esso con il trattamento dei suoi dati, mentre il danneggiante deve invece dimostrare di avere adottato tutte le misure idonee ad evitare il danno (cfr. Cass. 18812/2014 e 10638/2016).
Invero, in materia di trattamento dei dati personali, la responsabilità dell’intermediario è presunta, spettando a quest’ultimo fornire la prova liberatoria di avere adottato tutte le misure idonee a evitare il danno.
Ne consegue che l’istituto che svolga un’attività di tipo finanziario o in generale creditizio (nella specie le Poste Italiane s.p.a. quanto alla gestione di conti correnti abilitati a operazioni online) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perchè discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore (cfr. Cass. 10638/2016).
Nel caso di specie è incontestato che le operazioni di bonifico in favore di Mi. Gi. e Nu. Ca. non furono autorizzate dal correntista Ma. Fo., ma eseguite da questi abusivamente con le credenziali fraudolentemente acquisite mediante operazioni di cd. phishing. Per tali fatti i predetti Gi. e Ca. sono stati rinviati a giudizio all’esito delle indagini svolte dalla procura della repubblica presso il tribunale di Milano (cfr. allegati 4-7).
È dunque certo il danno costituito dall’illecita sottrazione delle somme trasferite mediante bonifico.
Non può invece considerarsi raggiunta la prova liberatoria – di cui è onerata la convenuta – dell’adozione di tutte le misure idonee a evitare il danno.
Invero Poste Italiane ha a tal fine depositato delle certificazioni relative al sistema di gestione della sicurezza delle informazioni da essa utilizzato, rilasciate da organismi accreditati, nonchè una consulenza tecnica di parte e due consulenze tecniche d’ufficio svolte in altri giudizi analoghi.
- Quanto alle certificazioni deve osservarsi come esse non si riferiscano all’anno 2005 in cui avvenne il fatto per cui è causa, sicchè esse sono del tutto irrilevanti al fine di accertare quali fossero all’epoca le cautele approntate da Poste Italiane per tutelare la riservatezza dei predetti dati.
Ciò posto non vi è dubbio che il sistema all’epoca adottato dalla società convenuta (vale a dire il codice identificativo segreto composto di dieci caratteri) non era il più efficiente nella prevenzione di frodi informatiche, tanto che altri istituti di credito utilizzavano codici autorizzativi validi per una sola operazione (cd. OTP), generati tramite apparecchi cd. token o inviati al correntista tramite sms o tramite posta in un’apposita card contenente un certo numero di codici “usa e getta”. Invero la circostanza che il codice autorizzativo fosse sempre il medesimo, rendeva certamente più agevole la sua acquisizione attraverso illeciti accessi al sistema attraverso le credenziali abusivamente acquisite.
Deve dunque escludersi che la convenuta abbia fornito la prova della propria assenza di responsabilità, essendo al contrario emersi dalla documentazione in atti elementi di segno contrario.
- Nè Poste Italiane può validamente invocare la clausola di cui all’art. 1 comma 8 della sezione VII (servizio bancopostaonline-BPOL) delle condizioni generali di contratto (cfr. all. 2 del fascicolo di parte convenuta) secondo cui “Poste Italiane non è responsabile per la perdita alterazione o diffusione di informazioni o disposizioni trasmesse attraverso il servizio BPOL, che si siano verificate per cause a essa non imputabili”.
La detta clausola ha infatti natura vessatoria in quanto restringe l’ambito di responsabilità del soggetto che l’ha predisposta apportando delle limitazioni al dettato normativo dell’art. 15 codice della privacy. Essa deve pertanto ritenersi nulla, ai sensi dell’art. 36 comma 1 del D.Lgs. 206/2005.
A titolo di danno patrimoniale spetta dunque all’attore l’importo di Euro 11.682,19 (Euro 8.577,39 + Euro 3.104,80), oltre interessi legali dalla presente pronunzia al soddisfo.
Quanto al danno non patrimoniale esso è certamente risarcibile alla luce dell’espressa previsione contenuta nell’art. 15 codice della privacy.
In effetti in conseguenza dell’illecita operazione perpetrata ai suoi danni utilizzando i dati fraudolentemente acquisiti il correntista aveva visto quasi azzerato il saldo del proprio conto, circostanza che inevitabilmente deve avergli provocato un grave perturbamento.
La misura del detto danno può essere equitativamente determinata in complessivi Euro 4.000,00.
Poste Italiane va dunque condannata a risarcire all’attore la somma di Euro 15.682,19 ( Euro 11.682,19 + Euro 4.000,00), oltre interessi legali dalla presente pronuncia al soddisfo.
Tribunale Perugia sez. II, 11/10/2019, (ud. 01/10/2019, dep. 11/10/2019), n.1561