Dark Light

Il Tribunale Civile di Siracusa (Sentenza 15 marzo 2012) ha condannato Poste Italiane al risarcimento dei danni patiti da un proprio cliente in occasione dell’accesso di un terzo non autorizzato al proprio conto online e alla conseguente sottrazione di un’ingente somma di denaro.

Il giudice Siciliano ha fondato la propria decisione sugli artt. 31 D.lgs 196/2003 (che impone al titolare del trattamento dei dati personali l’adozione di misure di sicurezza volte a prevenirne l’accesso non autorizzato), 15 D.lgs 196/2003 (che impone al titolare del trattamento di risarcire i danni arrecati a terzi per effetto del trattamento se non prova di aver adottato tutte le cautele idonee ad evitare il danno) e 1176, II° comma c.c. in materia di diligenza professionale.

Il Tribunale di Siracusa, quindi, aderisce ad un orientamento precedente del Tribunale di Palermo (Sentenza 20-12-2009) che, in un’ipotesi di bonifico non autorizzato aveva qualificato la fattispecie come furto di identità e, di conseguenza, aveva ritenuto applicabile la disciplina del codice privacy in materia di responsabilità per i danni prodotti dal trattamento di dati personali.

La vicenda all’esame del giudice siracusano traeva origine dall’indebita sottrazione di circa 10.000 euro dal conto di un cliente di Poste Italiane da parte di un soggetto che era riuscito a “bypassare” il sistema di sicurezza.

Questi, dopo essersi immesso nel sistema ha poi provveduto a trasferire la somma in questione (ore 11:01) su un altro conto ed ha immediatamente proceduto al ritiro della stessa (ore 11:02).

Il Giudice siciliano ha, al riguardo, riscontrato che il sistema di sicurezza anti-frode aveva effettivamente registrato che l’indirizzo IP del richiedente (indirizzo univoco per ogni computer in rete) era differente rispetto a quello abitualmente utilizzato dal titolare del conto.

Ciò nonostante, nessuna ulteriore verifica era stata compiuta.

Pertanto, è stata ritenuta sussistente una negligenza inescusabile in capo a Poste Italiane per aver autorizzato il trasferimento dei fondi in un intervallo di tempo così contenuto (1 minuto) senza aver accertato l’effettiva provenienza dell’ordine dal titolare reale del conto.

La decisione de qua appare da apprezzare nella misura in cui riconosce che l’implementazione di un sistema di monitoraggio degli accessi non può ritenersi sufficiente ad escludere qualsivoglia responsabilità per eventuali danni conseguenti.

Permangono, tuttavia, alcuni dubbi sotto il profilo delle effettive cautele da adottare. Fermo restando che nell’attuale stagione dell’informatica, ogni soggetto può accedere a risorse presenti in rete (ivi compreso un conto online) da qualsiasi postazione (PC fisso, notebook, smartphone ecc.), a nostro avviso, il criterio della “difformità dell’indirizzo IP” rispetto a quello abitualmente utilizzato, da solo, non può dirsi decisivo.

Sarebbe, invece, auspicabile seguire la strada dei sistemi di autenticazione forte (quali l’invio di un codice PIN su una numerazione telefonica indicata dal titolare del conto in sede di registrazione) onde accrescere il grado di certezza dei singoli nelle transazioni online.

In ogni caso, attendiamo di verificare l’impatto del D.lgs 11/2010, di attuazione della Direttiva 2007/64/CE sui servizi di pagamento (nota come Direttiva PSD) che prevede una disciplina specifica in materia di comunicazione di operazioni non autorizzate (art. 9), richieste di rimborsi al prestatore di servizi (art. 11) e obblighi a carico del prestatore con riferimento alla sicurezza dei sistemi (art. 8).

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

*

Related Posts
AVVOCATO,

CERCHI SENTENZE SU CASI ANALOGHI AL TUO?

CASSAZIONE.NET 4.0 L'EVOLUZIONE DELLO STUDIO LEGALE
PROVA GRATIS
close-link
Avvocato, vuole gestire tutta la sua professione con un'App?....
PROVA  ORA GRATIS
close-image