La Corte di Cassazione, con la sentenza n. 10638 del 13 aprile 2016, si è occupata di un interessante caso di violazione della privacy nell’ambito di un rapporto di conto corrente.
Nel caso esaminato dalla Corte, un soggetto aveva agito in giudizio nei confronti di Poste Italiane, ai sensi dell’art. 152 del codice privacy, al fine di chiederne la condanna al risarcimento dei danni derivanti dall’illecito trattamento dei propri dati personali.
Secondo l’attrice, infatti, le Poste avevano disposto un bonifico online che non era stato richiesto.
Il Tribunale, nel primo grado di giudizio, respingeva la domanda della ricorrente, non ritenendo adeguatamente provati i fatti addotti.
Secondo il Tribunale, infatti, la consulenza tecnica espletata “aveva consentito di appurare che il sistema implementato da Poste Italiane non consentiva in sè, ai terzi, di venire a conoscenza dei dati necessari per compiere operazioni all'insaputa del destinatario, donde non era possibile che l'operazione de qua fosse avvenuta senza che la correntista avesse comunicato i propri codici identificativi”.
Di conseguenza, ad avviso del giudice, nulla “autorizzava a ritenere che terzi estranei fossero venuti a conoscenza dei dati necessari all'esecuzione dell'operazione di "postagiro" sul conto in questione (nome utente, password e codice identificativo)”, così come non risultava provato “che l'attrice avesse subito attraverso la rete internet il furto dei dati personali”.
Pertanto, “l'attrice non aveva adempiuto all'onere di provare il nesso di causalità tra il danno subito e l'attività, pur considerata pericolosa ai sensi dell'art. 2050 del c.c., relativa al trattamento dei dati personali”.
Veniva, dunque, proposto ricorso in Corte di Cassazione, la quale, ritenendolo fondato, osservava come dalla sentenza di primo grado fosse emerso che “l'attrice, intestataria di un conto corrente postale, aveva chiamato le Poste a rispondere dei danni risentiti a causa di un'operazione di bonifico online transitata sul proprio conto e disconosciuta” e per tale motivo la stessa aveva chiesto il risarcimento dei danni.
Ebbene, precisava la Corte, che “ove si discuta di responsabilità per l'abusiva utilizzazione di credenziali informatiche del correntista nell'ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l'esecuzione dell'operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali”.
Infatti, “l'attore è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto onerato della prova liberatoria consistente nell'aver adottato tutte le misure idonee a evitare il danno”.
Tra tali misure, secondo la Corte, rilevano “quelle previste dal titolo V del codice della privacy, stante la regola generale secondo la quale, in sede di trattamento dei dati personali è richiesto sempre il rispetto di un onere di diligenza da valutare concretamente, sia "in relazione alle conoscenze acquisite in base al progresso tecnico", sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento”.
Pertanto, secondo la Cassazione, “tale onere si traduce nell'adozione di misure preventive di sicurezza volte a ridurre al minimo i rischi di eventi dannosi, ivi compresi quelli correlati all'accesso non autorizzato ai dati personali”.
Di conseguenza, evidenziava la Corte che “in base al rinvio all'art. 2050 c.c., operato dall'art. 15 del codice privacy, l'istituto che svolga un'attività di tipo finanziario o in generale creditizio (nella specie le Poste Italiane s.p.a. quanto alla gestione di conti correnti abilitati a operazioni online) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l'evento dannoso non gli è imputabile perchè discendente da trascuratezza, errore (o frode) dell'interessato o da forza maggiore”.
Tali principi, secondo la Cassazione, non erano stati considerati dal giudice di primo grado, il quale “con motivazione lacunosa e in parte contraddittoria, ha fatto malgoverno delle regole che presidiano il criterio di ripartizione dell'onere della prova inter partes laddove risulti negata dal correntista l'avvenuta disposizione sul conto”.
Alla luce di tali circostanze, la sentenza andava annullata; la Cassazione rinviava la causa al Tribunale di Milano per il riesame alla luce dei principi sopra enunciati.
Nel caso esaminato dalla Corte, un soggetto aveva agito in giudizio nei confronti di Poste Italiane, ai sensi dell’art. 152 del codice privacy, al fine di chiederne la condanna al risarcimento dei danni derivanti dall’illecito trattamento dei propri dati personali.
Secondo l’attrice, infatti, le Poste avevano disposto un bonifico online che non era stato richiesto.
Il Tribunale, nel primo grado di giudizio, respingeva la domanda della ricorrente, non ritenendo adeguatamente provati i fatti addotti.
Secondo il Tribunale, infatti, la consulenza tecnica espletata “aveva consentito di appurare che il sistema implementato da Poste Italiane non consentiva in sè, ai terzi, di venire a conoscenza dei dati necessari per compiere operazioni all'insaputa del destinatario, donde non era possibile che l'operazione de qua fosse avvenuta senza che la correntista avesse comunicato i propri codici identificativi”.
Di conseguenza, ad avviso del giudice, nulla “autorizzava a ritenere che terzi estranei fossero venuti a conoscenza dei dati necessari all'esecuzione dell'operazione di "postagiro" sul conto in questione (nome utente, password e codice identificativo)”, così come non risultava provato “che l'attrice avesse subito attraverso la rete internet il furto dei dati personali”.
Pertanto, “l'attrice non aveva adempiuto all'onere di provare il nesso di causalità tra il danno subito e l'attività, pur considerata pericolosa ai sensi dell'art. 2050 del c.c., relativa al trattamento dei dati personali”.
Veniva, dunque, proposto ricorso in Corte di Cassazione, la quale, ritenendolo fondato, osservava come dalla sentenza di primo grado fosse emerso che “l'attrice, intestataria di un conto corrente postale, aveva chiamato le Poste a rispondere dei danni risentiti a causa di un'operazione di bonifico online transitata sul proprio conto e disconosciuta” e per tale motivo la stessa aveva chiesto il risarcimento dei danni.
Ebbene, precisava la Corte, che “ove si discuta di responsabilità per l'abusiva utilizzazione di credenziali informatiche del correntista nell'ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l'esecuzione dell'operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali”.
Infatti, “l'attore è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto onerato della prova liberatoria consistente nell'aver adottato tutte le misure idonee a evitare il danno”.
Tra tali misure, secondo la Corte, rilevano “quelle previste dal titolo V del codice della privacy, stante la regola generale secondo la quale, in sede di trattamento dei dati personali è richiesto sempre il rispetto di un onere di diligenza da valutare concretamente, sia "in relazione alle conoscenze acquisite in base al progresso tecnico", sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento”.
Pertanto, secondo la Cassazione, “tale onere si traduce nell'adozione di misure preventive di sicurezza volte a ridurre al minimo i rischi di eventi dannosi, ivi compresi quelli correlati all'accesso non autorizzato ai dati personali”.
Di conseguenza, evidenziava la Corte che “in base al rinvio all'art. 2050 c.c., operato dall'art. 15 del codice privacy, l'istituto che svolga un'attività di tipo finanziario o in generale creditizio (nella specie le Poste Italiane s.p.a. quanto alla gestione di conti correnti abilitati a operazioni online) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l'evento dannoso non gli è imputabile perchè discendente da trascuratezza, errore (o frode) dell'interessato o da forza maggiore”.
Tali principi, secondo la Cassazione, non erano stati considerati dal giudice di primo grado, il quale “con motivazione lacunosa e in parte contraddittoria, ha fatto malgoverno delle regole che presidiano il criterio di ripartizione dell'onere della prova inter partes laddove risulti negata dal correntista l'avvenuta disposizione sul conto”.
Alla luce di tali circostanze, la sentenza andava annullata; la Cassazione rinviava la causa al Tribunale di Milano per il riesame alla luce dei principi sopra enunciati.
