Nella sentenza n. 2904/2011 il Tribunale di Palermo si è pronunciato sulla richiesta di risarcimento danni avanzata nei confronti di un istituto di credito da un cliente, il quale lamenta di essersi visto fraudolentemente sottrarre una somma di denaro dal proprio conto corrente con accesso online, attraverso una operazione di prelievo non autorizzata compiuta da terzi rimasti sconosciuti.
Il Giudice siciliano ha inquadrato la fattispecie nell’ambito della previsione dell’art. 15 del Codice Privacy (L. n. 196/2003), il quale stabilisce che chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c., con riferimento all’art. 31 dettato in materia di misure di sicurezza, il quale prevede che: “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”
L’istituto di credito, dunque, è responsabile dei danni in quanto, non avendo predisposto tutte le misure possibili, idonee a ridurre il rischio di accesso non autorizzato, ha causato il danno al cliente, titolare dei dati personali, con la conseguenza che è tenuto al risarcimento.
Tra le varie misure di sicurezza predisposte, che il giudice ha ritenuto inadeguate, rilevano l’identificativo del cliente, corrispondente all’indirizzo e-mail del correntista e, pertanto, facilmente ricavabile, nonché la tipologia del codice PIN, composto di sole 4 cifre.
Ad abundantiam, vengono individuate ulteriori profili di inadempimento contrattuali, ritenuti rilevanti ai fini dell’affermazione della responsabilità risarcitoria.
La soluzione della fattispecie proposta nella sentenza in commento lascia residuare un dubbio relativo al nesso di causalità, principalmente connesso alla possibilità che sia stato il correntista ad aver fornito a terzi i codici e le chiavi di accesso ai servizi dispositivi.
In una simile evenienza, infatti, l’insufficiente adozione di misure di sicurezza non assumerebbe alcun rilievo nella serie eziologica che ha condotto al prelievo delle somme di denaro, la cui causa sarebbe da ricercarsi in via esclusiva nella condotta stessa del cliente, con conseguente esclusione di ogni onere risarcitorio.
La questione, “labialmente” richiamata, non ha trovato in sentenza adeguato approfondimento, neppure sotto il profilo del concorso del fatto colposo del creditore ex art. 1227 co. 1 c.c. e rimane, pertanto, aperta.
Il nodo problematico, in particolare, riguarda la distribuzione dell’onere della prova: l’accertamento dell’insufficiente adozione di misure di sicurezza da parte dell’istituto di credito e dell’avvenuto accesso al conto corrente da parte di terzi conduce automaticamente a ritenere raggiunta la prova del nesso di causalità tra i due elementi, attraverso un ragionamento presuntivo?
In caso affermativo, competerà all’istituto di credito fornire la prova del fatto colposo del creditore ai fini dell’esclusione o della riduzione della responsabilità.
In caso contrario, dovrà pretendersi dal cliente un quid pluris sotto il profilo probatorio.
Si tratta di un interessante spunto di riflessione, dalla cui soluzione dipenderà la soluzione di casi analoghi a quello affrontato dal Tribunale di Palermo.