HOME Articoli

Lo sai che? Pubblicato il 28 ottobre 2016

Articolo di

Lo sai che? Furto sul conto corrente, quando la banca rimborsa

> Lo sai che? Pubblicato il 28 ottobre 2016

Furto di identità, hacker, bonifici non autorizzati e banche: quando scatta il risarcimento dei danni al correntista che ha visto svuotare il conto corrente a causa di phishing?

Truffa su internet: se l’hacker riesce ad entrare nel conto corrente della vittima e a svuotarlo, sfruttando l’inesperienza di quest’ultima, la banca è responsabile per non aver predisposto sistemi di controllo e di prevenzione ed è, pertanto, tenuta a rimborsare la somma sottratta al proprio cliente. È quanto chiarito dal Tribunale di Roma con una recente sentenza [1] che riprende il solco delle pronunce della giurisprudenza maggioritaria e dello stesso Abf, l’arbitro bancario e finanziario.

Se è vero che la stessa mafia è passata dai campi coltivati a internet vuol dire che il web è un «mercato» più che florido per gli illeciti: lo sanno bene i titolari di conto corrente con accesso su internet (cosiddetta home banking) che, spesso, si trovano con addebiti sospetti. Per molti hackers è un gioco da ragazzi inviare virus a distanza, in grado di individuare i codici segreti per l’accesso allo sportello telematico dei risparmiatori. Username e password vengono scovati o perché il malcapitato cade nel tranello di una email esca (email che lo invita ad accedere al proprio conto online, fornendogli però un link errato che lo indirizza su una pagina in tutto identica a quella del proprio istituto di credito, ma costruita ad arte solo per carpire le sue credenziali di accesso) o perché apre allegati «malevoli», ossia contenenti virus (virus che sono poi in grado di rilevare, a distanza, i tasti da questi digitati sulla propria tastiera, ivi comprese le password di accesso).

Contro l’inesperienza dei propri clienti, però, la banca si deve elevare a garante e attuare tutte le misure che la tecnologia consente per evitare il rischio di prelievi illegittimi e frodi sul conto corrente ad opera degli hackers. Come? Ad esempio, subordinando il bonifico online a un codice contenuto in una chiavetta esterna e fisica (cosiddetto token di sicurezza) oppure facendolo subito seguire da un sms di conferma.

Ma non è tutto. Molte delle truffe avvengono mediante il cosiddetto furto d’identità. In pratica il truffatore ottiene, per vie mediate, gli estremi anagrafici della vittima e riesce a falsificare la sua carta d’identità con il nome e cognome. In questo modo attiva contratti, apre conti correnti o ottiene prestiti a nome dello stesso soggetto. Prestiti che – inutile dirlo – non vengono rimborsati.

Il correntista truffato, di fronte alla frode subita, deve chiedere il risarcimento dei danni alla propria banca. Lo può fare con una raccomandata a.r., ma, in caso di silenzio, può rivolgersi all’arbitro bancario e finanziario (che attua una procedura veloce e priva di costi, cui si può accedere senza avvocati) oppure al giudice.

Come di recente ha stabilito la Cassazione in materia di frodi bancarie [2], al correntista abilitato a svolgere operazioni online che agisca per l’abusiva utilizzazione delle sue credenziali informatiche, spetta soltanto la prova del danno riferibile al trattamento del suo dato personale [3].

L’istituto bancario risponde, invece, quale titolare del trattamento, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d’accesso del correntista, ove non dimostri che l’evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore.

Se il correntista riesce a provare il danno subito riferibile al trattamento del suo dato personale e disconosce le operazioni bancarie scatta sull’istituto bancario l’obbligo di dimostrare l’adeguatezza del proprio sistema informatico se non vuole risarcire i danni; in mancanza di tale ultima prova il correntista deve essere risarcito.

In pratica, la banca deve provare di aver adottato tutte le misure idonee a evitare il danno. Tra le sopra citate misure spiccano quelle di sicurezza previste dal Codice della privacy. In particolare la legge [4] richiede sempre il rispetto di un onere di diligenza da valutare concretamente, sia «in relazione alle conoscenze acquisite in base al progresso tecnico», sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento.

La banca deve quindi provare l’adeguatezza del proprio sistema informatico.

Ad esempio, l’istituto può essere tenuto ad adottare un secondo sistema di autenticazione (tramite chiavetta esterna), oppure un sistema di allert di anomalie di movimenti di denaro rispetto alla pregressa normale operatività del cliente; o ancora un sistema di rilevazione di anomalie e problemi alla sim del cliente con relativa sospensione cautelativa dei movimenti in difetto di un assenso del titolare.

In ultima istanza, in caso di furti d’idendità, la banca deve essere pronta a richiedere spiegazioni o attivare controlli quando il truffatore rifiuti di attivare sul conto quei servizi standard, come un bancomat, la domiciliazione delle utenze o l’accredito di uno stipendio. La banca non può procedere all’identificazione del soggetto solo con la carta di identità (documento soggetto a facile contraffazione).

Sintetizzando, nel caso di frodi online con furti di identità la banca è tenuta a pagare i danni. Il correntista non può richiedere la restituzione dei soldi truffati nel caso di frodi con furto di identità solo nel caso in cui lo stesso sia responsabile di trascuratezze, errori, oppure quando sia autore della frode.

note

[1] Trib. Roma, sent. n. 16221/16 del 31.08.2016.

[2] Cass. sent. n. 10638/2016.

[3] Ai sensi del rinvio all’art. 2050 c.c. contenuto nell’art. 15 del Codice della privacy.

[4] Artt. 31 – 36 cod. privacy.

Tribunale di Roma, sez. X Civile, sentenza 4 – 31 agosto 2016, n. 16221
Giudice Perinelli

Svolgimento del processo

L’attore conveniva in giudizio la unitamente e in via solidale a chiedendo il risarcimento dei danni patrimoniali ed extrapatrimoniali subiti a seguito di una di una frode costituita da un furto d’identità a causa del comportamento negligente tenuto dalle convenute.
Si costituiva in giudizio la convenuta impugnando e contestando illimitatamente le domande formulate da parte attrice nei propri confronti, giacché infondate in fatto ed in diritto.
Si costituiva in giudizio anche l’altra convenuta deducendo l’infondatezza delle domande avversarie di cui chiedeva il rigetto.
All’udienza del 28.04.2016, precisate le conclusioni, la causa veniva trattenuta in decisione con concessione dei termini ex art. 190 c.p.c. per il deposito di comparse conclusionali e memorie di replica.

Motivi della decisione

1.L’ attore conveniva in giudizio la unitamente e in via solidale amo, chiedendo il risarcimento dei danni patrimoniali ed extrapatrimoniali subiti a seguito di una di una frode costituita da un furto d’identità deducendo il comportamento negligente tenuto dalle convenute.
2.Occorre preliminarmente ricostruire i fatti di causa.
2.1.L’attore, che vive e ha famiglia in Argentina, il 23 settembre 2007 concludeva con l’istituto bancario succursale italiana, un contratto di Conto Deposito online, denominato ).
2.2.In data 10 marzo 2009 sottoscriveva, con  anche un contratto di Conto Corrente  n.  che veniva aggiunto al Conto Deposito  come conto predefinito. 2.3.In data 24 aprile 2013, dopo alcuni problemi di accesso, scopriva che nel conto risultava esservi soltanto un saldo pari ad €. 37,00 anziché i ben €. 110.320,00, ivi depositati.
3.La truffa ai danni dell’attore avveniva con l’accensione di un conto corrente, presso la~ ~ con sede legale in Milano, indicando anche come indirizzo di corrispondenza del titolare del conto Via Circonvallazione Nord, i73/B, Siderno (RC). Su tale conto, apparentemente intestato all’attore, venivano trasferiti i soldi dal Conto Arancio che quindi venivano ritirati da ignoti.
4.In tema di ripartizione dell’onere della prova, al correntista abilitato a svolgere operazioni “on line” che, alla stregua degli artt. 15 del d.lgs. n. 196 del 2003 e 2050 c.c., agisca per l’abusiva utilizzazione (nella specie, mediante illegittime disposizioni di bonifico) delle sue credenziali informatiche, spetta soltanto la prova del danno siccome riferibile al trattamento del suo dato personale, mentre l’istituto creditizio risponde, quale titolare del trattamento di dato, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d’accesso del correntista, ove non dimostri che l’evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore (Cfr. Cass, Sez. 1, Sentenza n. 10638 del 23/05/2016).
Viene così a configurarsi un sistema di responsabilità di tipo “semioggettivo”, atteso il rinvio all’art. 2050 cod. civ. contenuto nell’art. 15 del codice della privacy, e considerato che il modello di responsabilità è coerente con quello delineato finanche a livello comunitario dall’art. 23 e dal considerando n. 55 della direttiva comunitaria n. 95/46-CE, relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.
In tal guisa l’attore è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto onerato della prova liberatoria consistente nell’aver adottato tutte le misure idonee a evitare il danno (cfr. Sez. 6″-3 n.18812-14).
Quindi il mero disconoscimento delle operazioni bancarie determina un’inversione dell’onere della prova ponendo a carico della Banca il compito di provare l’adeguatezza del suo sistema informatico.
5.Tale prova non è avvenuta.
Anzi vi sono numerosi elementi che segnalano un malfunzionamento del sistema. Innanzitutto non era previsto un secondo sistema di autenticazione.
Quindi non era previsto l’invio di email o SMS allert in concomitanza con le singole operazioni effettuate.
Sul punto la deduce che, poiché la scheda sim dell’attore era stata sostituita dagli ignoti truffatori, tale accorgimento non avrebbe avuto alcun esito.
A ben vedere tale argomentazione rappresenta un’ ulteriore falla nel sistema in quanto problemi alla SIM dell’ utente dovrebbero essere rilevati in automatico dal sistema con sospensione cautelativa dei movimenti in difetto di un assenso del titolare del conto.
Parimenti il sistema avrebbe dovuto rilevare le anomalie dei movimenti di danaro rispetto alla pregressa normale operatività del cliente che doveva essere avvertito.
6.La appare pertanto inadempiente al mandato ricevuto e sarà pertanto tenuta a risarcire i danni subiti dall’attore.
7.Per quanto concerne la posizione della deve osservarsi che ignoti aprivano il conto corrente n. ~ apparentemente intestato all’attore utilizzando una carta d’identità poi rivelatasi falsa.
Essa presenta delle irregolarità macroscopiche in quanto riporta una data di scadenza (il 12 luglio 2022) che non corrisponde alle previsioni del decreto legge, n. 5 del 9 febbraio 2012 (entrato in vigore il 10 febbraio 2012) in base al quale i documenti di riconoscimento “sono rilasciati o rinnovati con validità fino alla data corrispondente al giorno e al mese di nascita del titolare”. Poiché l’attore è nato in data 3 marzo 1974 la data di scadenza avrebbe dovuto essere il 3 marzo 2023.
Si tratta di una disposizione particolarmente nota avendone dato i mezzi di informazione ampio risalto.
L’esame dei documenti avrebbe dovuto essere poi particolarmente attenta stante la particolarità costituita dal fatto che un soggetto residente a Roma aprisse, senza alcuna apparente giustificazione, un conto eleggendo domicilio a Siderno (RC).
Detto conto non pare inoltre avere, come avviene normalmente, altri scopi (es. domiciliazione di stipendi, pensioni, utenze).
L’identificazione poi è avvenuta solo con la carta d’identità (documento soggetto a facile contraffazione) e con il codice fiscale (documento privo di fotografia).
8.Deve pertanto affermarsi anche la responsabilità extracontrattuale della  ex artt. 2043 e 2049 c.c., in relazione ai danni causati all’attore.
9.Deve in proposito rilevarsi che agli Istituti bancari, da considerarsi debitori qualificati ex articolo art. 1176, co. 2, c.c., si richiede un elevatissimo livello di diligenza ( c.d. “diligenza del buon banchiere”) che nella fattispecie in esame è mancata.
10.Sul comportamento tenuto dagli Istituti convenuti deve richiamarsi la citata sentenza n. 10638/2016 con cui la Cassazione ha precisato che : “in punto di ripartizione delle responsabilità derivanti dall’utilizzazione del servizio, il citato d.lgs., artt. 10 e 11, prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. E nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell’importo rimborsato.”.
11.In applicazione di tali principi gli Istituti convenuti debbono innanzitutto essere condannati, in solido tra loro, a pagare a la somma di € 110.320,00.
L’attore ha altresì subito un ulteriore danno patrimoniale costituito dal tempo impiegato per effettuare i solleciti, comunicazioni, ecc. nonché i costi di prestiti.
Tale ulteriore danno può liquidarsi equitativamente in complessivi € 20.000,00.
12.Spetteranno inoltre al creditore gli interessi, nella misura legale, dal giorno della domanda giudiziale sino all’effettivo soddisfo.
13.Devono invece rigettarsi le ulteriori domande non essendo stato provato adeguatamente il danno biologico mentre quello esistenziale non appare risarcibile alla luce delle note sentenze gemelle delle Sezioni Unite del novembre 2008.
14.Le spese seguono la soccombenza e sono liquidate in dispositivo sulla base della legge 27/2012 e artt. 1 – 11 D.M. 55/2014 (Valore della causa: da € 52.001 a € 260.000) e precisamente : per la fase di studio della controversia € 1.215,00, per la fase introduttiva del giudizio € 775,00, per la fase istruttoria e/o di trattazione € 3.780,00, per la fase decisionale € 2.025,00 oltre alle spese generali (15% sul compenso totale ) € 1.169,25 ed alle spese pari ad € 388,00 per complessivi € 9.352,25.Esse vanno distratte in favore dei Procuratori che se sono dichiarati antistatari.

P.Q.M.

Il Tribunale ordinario di Roma – X Sezione civile, in composizione monocratica, pronunciando nella causa tra le parti in epigrafe meglio indicate così provvede 1. in accoglimento parziale delle domande dell’ attore condanna le society e in solido tra loro, a pagare a al somma di € 130.320,00 oltre agli interessi legali dalla data della domanda sino all’effettivo soddisfo; 2. respinge le ulteriori domande dell’attore;
3. condanna le società e in solido tra loro, a rifondere ai Procuratori antistatari Avvocati  F.D.R. ed E.V. le spese di lite che si liquidano in euro 388,00 per spese ed euro € 7.795,00 per compensi oltre alle spese generali pari ad € 1.169,25 per complessivi € 9.3 oltre iva e cpa.


Corte di Cassazione, sez. I Civile, sentenza 13 aprile – 23 maggio 2016, n. 10638
Presidente Forte – Relatore Terrusi

Svolgimento del processo

P.A.B.A. conveniva in giudizio, con rito ordinario poi mutato ai sensi dell’art. 152 del d.lgs. n. 196 del 1993 (cd. codice della privacy), le Poste Italiane s.p.a. e ne chiedeva la condanna al risarcimento dei danni conseguenti a un illecito trattamento dei propri dati personali.
L’attrice lamentava che era stato consentito il 29-1-2010 un bonifico online dal proprio conto, non da essa disposto.
Nel contraddittorio con le Poste, contumace il Garante per la protezione dei dati personali, il tribunale di Milano respingeva la domanda ritenendo non adeguatamente provati i fatti costitutivi.
Ad avviso del tribunale, la c.t.u. aveva consentito di appurare che il sistema implementato da Poste Italiane non consentiva in sé, ai terzi, di venire a conoscenza dei dati necessari per compiere operazioni all’insaputa del destinatario, donde non era possibile che l’operazione de qua fosse avvenuta senza che la correntista avesse comunicato i propri codici identificativi. Nulla dunque autorizzava a ritenere che terzi estranei fossero venuti a conoscenza dei dati necessari all’esecuzione dell’operazione di “postagiro” sul conto in questione (nome utente, password e codice identificativo), e il fenomeno di phishing, richiamato dalle difese e anche nella relazione del c.t.u., dovevasi considerare ininfluente, non essendo stato provato che l’attrice avesse subito attraverso la rete internet il furto dei dati personali.
In questo senso, l’attrice non aveva adempiuto all’onere di provare il nesso di causalità tra il danno subito e l’attività, pur considerata pericolosa ai sensi dell’art. 2050 cod. civ., relativa al trattamento dei dati personali.
Il tribunale aggiungeva che la società Poste italiane si era avveduta dell’anomalia dell’operazione in ragione dell’entità della somma (Euro 5.734,99) e della provenienza dell’ordine da un computer diverso da quello comunemente usato dalla correntista, tanto da aver contattato telefonicamente l’attrice pochi minuti dopo, e bloccato, quindi, il conto. In simile situazione, tuttavia, poteva al più discorrersi di responsabilità di Poste per inesatto adempimento del contratto, e non di responsabilità per illecito trattamento dei dati personali, in quanto il sistema all’epoca adottato (vale a dire il codice identificativo segreto composto di dieci caratteri) non era sufficientemente efficace nella prevenzione di frodi informatiche, tanto da essere stato sostituito un paio di mesi dopo il fatto. In ragione di ciò, il tribunale compensava le spese processuali.
Per la cassazione della sentenza, depositata il 28-22013, la P. ha proposto ricorso per cassazione affidato a due motivi.
Poste Italiane ha replicato con controricorso.
Il Garante non ha svolto difese.
Le parti costituite hanno depositato una memoria.

Motivi della decisione

I. – Col primo motivo, deducendo omessa, insufficiente e contraddittoria motivazione, la ricorrente censura la sentenza per aver affermato l’ininfluenza del fenomeno del phishing senza tener conto degli elementi probatori acquisiti, e in particolare senza tener conto della c.t.u., che aveva esplicitamente riferito la fattispecie a tale fenomeno. Censura inoltre la sentenza nella parte in cui ha ritenuto che, anche a voler considerare la responsabilità di Poste Italiane nell’alveo dell’art. 2050 cod. civ., sarebbe stato disatteso l’onere probatorio. Era stato difatti prodotto in giudizio l’atto di querela e la conseguente diffida, e l’art. 2050 cod. civ. stabilisce una presunzione di responsabilità per il titolare del trattamento, che può esser vinta solo dalla prova liberatoria a suo carico circa l’adozione delle misure necessarie a evitare il danno.
II – Col secondo motivo la ricorrente denunzia la violazione ed errata applicazione di norme di diritto ai fini della determinazione della responsabilità della convenuta, avendo il tribunale omesso di considerare il disposto ex art. 31 del codice della privacy a misura della accertata inefficacia del sistema di sicurezza utilizzato all’epoca dei fatti. Ed erronea in tal senso era da considerare anche l’applicazione dell’art. 2050 cod. civ. in punto di onere della prova.
III. – Giova premettere che non possiede fondamento l’eccezione con la quale, rispetto ai citati due motivi, la società controricorrente ha sollecitato la declaratoria di inammissibilità del ricorso per carenza dei requisiti di cui all’art. 366, 1 comma, n. 3, cod. proc. civ..
ricorso invero contiene l’esposizione dei fatti essenziali in rapporto alle censure prospettate, e non occorre, per rispettare l’art. 366 cod. proc. civ., che l’esposizione sia pure analitica e particolareggiata.
Quel che interessa è che i fatti di causa siano esposti in modo da far risultare chiaramente quale fossero le reciproche pretese delle parti con i presupposti di fatto e le ragioni di diritto poste a loro sostegno, oltre che lo svolgersi della vicenda processuale nei profili essenziali per la valutazione che si richiede alla corte.
IV. – Devesi considerare fondato, nei termini che seguono, il secondo motivo di ricorso, il cui esame si rivela assorbente.
La sentenza del tribunale riferisce che l’attrice, intestataria di un conto corrente postale, aveva chiamato le Poste a rispondere dei danni risentiti a causa di un’operazione di bonifico online transitata sul proprio conto e disconosciuta.
Invero l’attrice aveva chiesto il ristoro del danno patrimoniale e di quello non patrimoniale invocando una responsabilità della convenuta in base al codice della privacy, per illecito trattamento dei dati personali afferenti al conto.
In simile condizione, il tribunale ha riferito la fattispecie all’art. 15 del codice della privacy e all’art. 2050 cod. civ..
V. – Ora, la sentenza ha rigettato la domanda sottolineando che dalla c.t.u. era emerso che “il sistema implementato da Poste non consentiva a terzi di venire a conoscenza dei dati necessari per compiere operazioni online all’insaputa del correntista”.
Tuttavia la sentenza, nella parte finale, ha pure affermato che la c.t.u. aveva evidenziato essere “il sistema all’epoca adottato dalla società convenuta (codice dispositivo segreto composto di dieci caratteri) non (..) sufficientemente efficace nella prevenzione delle frodi informatiche” e che appunto, subito dopo i fatti, quel sistema era stato sostituito con altro più sicuro.
Può d’altronde osservarsi che proprio su tale presupposto il tribunale ha compensato tra le parti le spese processuali.
La sentenza ha poi motivato dicendo che l’attrice non aveva provato che l’operazione era stata “eseguita da terzi contro la sua volontà”, né di aver subito “attraverso la rete internet il furto dei suoi dati identificativi personali, che era tenuta a custodire gelosamente sapendo che essi avrebbero consentito anche a terzi di operare per via telematica sul suo conto corrente acceso presso Poste Italiane s.p.a.”. Da questo punto di vista dovevasi considerare ininfluente il riferimento del c.t.u. al fenomeno noto come phishing.
VI. – Osserva la corte che la prima considerazione del tribunale è contraddetta dalla seconda; mentre la terza è nella sua assolutezza errata, dal momento che, ove si discuta di responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista nell’ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l’esecuzione dell’operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali.
La ripartizione dell’onere della prova, in casi simili, segue la disciplina dettata dalle norme sopra richiamate, le quali postulano l’adozione di un criterio di responsabilità efficacemente definito, in dottrina, come di tipo “semioggettivo”, atteso il rinvio all’art. 2050 cod. civ. contenuto nell’art. 15 del codice della privacy, e atteso che il modello di responsabilità è coerente con quello delineato finanche a livello comunitario dall’art. 23 e dal considerando n. 55 della direttiva comunitaria n. 95/46-CE, relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.
In tal guisa l’attore è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto onerato della prova liberatoria consistente nell’aver adottato tutte le misure idonee a evitare il danno (cfr. Sez. 6^ – 3 n. 18812-14).
VII. – Tra codeste misure rilevano giustappunto quelle previste dal titolo V del codice della privacy (artt. 3136), stante la regola generale secondo la quale, in sede di trattamento dei dati personali, è richiesto sempre il rispetto di un onere di diligenza da valutare concretamente, sia “in relazione alle conoscenze acquisite in base al progresso tecnico”, sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento (v., quanto ai dati sensibili, Sez. 1^ n. 10947-14).
Tale onere si traduce nell’adozione di misure preventive di sicurezza volte a ridurre al minimo i rischi di eventi dannosi, ivi compresi quelli correlati all’accesso non autorizzato ai dati personali.
Consegue che, in base al rinvio all’art. 2050 cod. civ., operato dall’art. 15 del codice della privacy, l’istituto che svolga un’attività di tipo finanziario o in generale creditizio (nella specie le Poste Italiane s.p.a. quanto alla gestione di conti correnti abilitati a operazioni online) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore.
VIII. – Una simile ricostruzione dei principi informatori della fattispecie è d’altronde coerente con quanto disposto pure del d.lgs. 27 gennaio 2010, n. 11, in ordine all’obbligo del prestatore del servizio di pagamento di assicurare che i dispostivi personalizzati forniti dai gestori non siano accessibili a soggetti diversi dal legittimo titolare.
Anche in tal caso, in punto di ripartizione delle responsabilità derivanti dall’utilizzazione del servizio, il citato d.lgs., artt. 10 e 11, prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. E nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell’importo rimborsato.
IX. – Tutto quanto esposto non appare esser stato considerato dall’impugnata sentenza, la quale, con motivazione lacunosa e in parte contraddittoria, ha fatto malgoverno delle regole che presidiano il criterio di ripartizione dell’onere della prova inter partes laddove risulti negata dal correntista l’avvenuta disposizione sul conto.
Consegue che la sentenza va cassata con rinvio al medesimo tribunale di Milano, affinché, in diversa composizione, provveda a riesaminare il materiale istruttorio uniformandosi al sopra indicato principio di diritto.
Il tribunale provvederà anche sulle spese del giudizio svoltosi in questa sede di legittimità.

P.Q.M.

la Corte accoglie il secondo motivo, assorbito il primo, cassa l’impugnata sentenza e rinvia, anche per le spese del giudizio di cassazione, al tribunale di Milano.

Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter.
Scarica L’articolo in PDF

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

I PROFESSIONISTI DEL NOSTRO NETWORK