La sentenza n.2386 del 22/05/2017 emessa dal Tribunale di Catania, G.U. Dott. Mariano Sciacca, in funzione di giudice di appello, merita di essere segnalata perché si sofferma sulla nuova fattispecie di phishing.
Questa la massima della sentenza:
<<osserva il Giudicante che il preteso richiamo ad un caso di responsabilità oggettiva o aggravata, se ha come conseguenza quella di comportare un’inversione dell’onere probatorio con riferimento all’elemento soggettivo in quanto solleva il danneggiato dalla prova del dolo o della colpa del danneggiante, non comporta totale inapplicabilità delle regole ordinarie in tema di onere probatorio, per le quali “Chi vuol far valere un diritto in giudizio deve provare i fatti che ne costituiscono il fondamento. (…)” (art. 2697 c.c.).
Nel caso che ci occupa, l’appellata si è limitata ad allegare il fatto dell’ammanco di denaro dal suo conto corrente ricollegandolo, asseritamente, ad una presunta negligenza della banca i cui sistemi di tutela dei dati non riteneva adeguati, senza d’altro canto avere allegato e provato alcuna circostanza specifica e concreta attraverso la quale dare prova della detta inadeguatezza, non essendo sufficiente in tal senso l’avere ribadito in linea generale e astratta l’esistenza di sistemi più evoluti, quali ad esempio il “mobile TAN” ed il “Securcall” (sistemi questi sviluppati solo successivamente al tempo dell’avvenuta frode) o il servizio di “sms alert” che la banca già prevedeva, ma che non era stato attivato dai correntisti.
Manca in sostanza il nesso causale tra il fatto causativo del danno e la condotta della banca, dalla presenza del quale potrebbe scaturire una responsabilità di quest’ultima, come disposto dall’art. 15 d. lgs. n. 196/2003 (Codice della privacy)“Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”.
[…]
È necessario ricordare che si è in presenza del cd. fenomeno del phishing (acronimo inglese che letteralmente tradotto significa “pesca di parola chiave”) ossia quella forma di illecito che consiste nel carpire, con metodi illeciti, le credenziali (password) di accesso di un conto bancario (o postale) online per usarle, conseguentemente, al fine di far transitare fondi su altri rapporti e non quello di un attacco informatico ai server della Banca.
L’e-mail di phishing, nel caso de quo, è stata inviata casualmente alla cliente della Banca, ovvero, recte, non è stato provato che il phisher abbia carpito le informazioni-contatto relative alla cliente attraverso il sito o i database della banca stessa.
Non può quindi ravvisarsi alcuna responsabilità della Banca, mancando la prova della negligenza circa le modalità e tecniche utilizzate dalla stessa a tutela dei dati personali di cui è gestore, la quale responsabilità risulta anche esclusa espressamente dalle condizioni generali di contratto sottoscritte in data 4.01.2010, ove all’art.14, comma 2, si legge che: “la Banca non sarà ritenuta responsabile per la perdita, diffusione od alterazione di informazioni trasmesse in utilizzo al Servizio ascrivibili ad eventi al di fuori del suo diretto controllo od anche verificatisi in occasione o dipendenza di interventi sulla rete telefonica o sulla rete internet>>.
La pronuncia chiarisce che non basta allegare l’ammanco di denaro dal conto corrente affermando l’asserita negligenza della Banca per non aver posto in essere gli adeguati strumenti per evitare frodi informatiche, per provare la responsabilità dell’Istituto di Credito.
Nella fattispecie in esame, infatti, a determinare la frode era stata la condotta del correntista che aveva riscontrato una e-mail di phishing, inserendo, successivamente, per ben tre volte i codici dispositivi del rapporto di home banking.
Quindi, nel caso in esame, ove è il correntista che fornisce i dati di accesso al conto corrente, manca il <<nesso causale tra il fatto causativo del danno e la condotta della banca>>.
Ed ancora, non basta richiamare l’art.1176 cc per invocare la responsabilità della Banca poiché, l’aver previsto una password ed un PIN d’accesso (modificabile dall’utente), nonché un’ulteriore chiave di sicurezza per l’autorizzazione delle disposizioni, integra la diligenza specifica richiesta dalla citata disposizione.
Le misure di sicurezza adottate dall’Istituto di Credito sono state rese vane dall’immissione dei codici da parte del correntista.
Ne una misura di sicurezza, come sostenuto dal correntista, potrebbe essere quella di evitare le operazioni dispositive quando sorgano da un codice IP differente da quello ordinario, poiché il servizio di home banking <<nasce per fornire al correntista un accesso più rapido al proprio conto corrente, senza la necessità di recarsi in filiale per effettuare le proprie operazioni>>. Quindi non è corretto ritenere che da un diverso codice IP non si possano eseguire le operazioni di home banking, poiché diversamente si vanificherebbe l’utilità del mezzo.
Per le ragioni sopra esposte il Tribunale di Catania ha negato l’operatività dell’art.12, comma 3, D.Lgs. 11/2010, poiché l’utilizzo indebito dello strumento di pagamento è derivato da <<esclusiva responsabilità dell’appellata, la quale ha fornito colposamente i dati d’accesso>>.
Conseguentemente al rigetto di tutte le domande del correntista non è dovuto alcun risarcimento da parte della Banca.
Nota redatta dall’Avv. Vincenzo Ternullo
Studio Legale Monterosso
