La responsabilità dell’istituto bancario in ipotesi di violazione dei sistemi di sicurezza

LE DIVERSE FATTISPECIE DI RESPONSABILITA’ DELL’ENTE CREDITIZIO, ALL’INSORGERE DI BUG NEI SISTEMI DI SICUREZZA, SONO VALUTABILI SOTTO IL COMBINATO DISPOSTO EX ART. 1175 C.C. E ARTT. 11 e 12 del D.LGS 11/2010.

Alla luce della progressiva evoluzione dell’Information Technology, il settore bancario ha rafforzato la propria capacità di gestione del rischio, avvalendosi di efficienti modelli organizzativi e nuovi parametri di vigilanza prudenziale, in previsione di un esponenziale aumento di attacchi e minacce cyber.

La natura pervasiva della tecnologia, variabile operativa imprescindibile, ha orientato gli enti creditizi all’adozione di misure di sicurezza idonee a scongiurare i cyber attacks.

Pertanto, – sebbene il continuo evolversi della tecnologia, del suo costante utilizzo nonché dell’esigenza di un  intervento incisivo, in tale ambito, da parte del legislatore italiano – la responsabilità imputabile alla banca in materia di frodi informatiche, risulta sicuramente un profilo impegnativo da delineare.

La delicata tematica della responsabilità bancaria è tutt’ora dibattuta; molteplici sono le pronunce giurisprudenziali che alternano il regime di imputabilità, creando precedenti giudicali spesso contrastanti; un raffronto tra il susseguirsi di oneri gravanti  sul promotore finanziario e talvolta in capo al correntista.

Ad ogni buon conto, è indiscutibile, seppur non tralasciando un particolare regime di responsabilità semi-oggettivo delineato dall’art, 15 Codice della Privacy, un obbligo ex artt. 11 e 12 del D.Lgs. n. 11/2018 (c.d. PSD – Payment Services Directive) del prestatore dei servizi di pagamento.

L’ art. 15 C.p. (Danni cagionati per effetto del trattamento di dati personali)

“Chiunque cagioni danno ad altri, per effetto del trattamento di dati personali, e’ tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.“

in combinato disposto con:

• L’ art. 11 (Responsabilità del prestatore di servizi di pagamento per le operazioni di pagamento non autorizzate) dispone al comma 1:

1. “Fatto salvo l’articolo 9 [2], nel caso in cui un’operazione di pagamento non sia stata autorizzata, il prestatore di servizi di pagamento rimborsa immediatamente al pagatore l’importo dell’operazione medesima. Ove per l’esecuzione dell’operazione sia stato addebitato un conto di pagamento, il prestatore di servizi di pagamento riporta il conto nello stato in cui si sarebbe trovato se l’operazione di pagamento non avesse avuto luogo.”

• L’ art. 12 (Responsabilità del pagatore per l’utilizzo non autorizzato di strumenti o servizi di pagamento) stabilisce:

1. “”Salvo il caso in cui abbia agito in modo fraudolento, l’utilizzatore non è responsabile delle perdite derivanti dall’utilizzo dello strumento di pagamento smarrito, sottratto o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto all’obbligo di cui all’articolo 8, comma 1, lettera c)

2. Salvo il caso in cui l’utilizzatore abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento, prima della comunicazione eseguita ai sensi dell’articolo 7, comma 1, lettera b), l’utilizzatore medesimo può sopportare per un importo comunque non superiore complessivamente a 150 euro la perdita derivante dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento”.

La giurisprudenza maggioritaria, sulla falsariga delle decisioni dell’Arbitro Bancario Finanziario, è concorde nel ritenere che, la banca, nei rapporti contrattuali con il correntista, risponde secondo le regole del mandato ex art. 1856 c.c., cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere ex art. 1175 c.c., in quanto custode di dati sensibili dei propri clienti.

Pertanto nel caso di violazioni informatiche, l’ente creditizio ha l’onere di:

• Dimostrare l’efficiente adozione di misure idonee a prevenire un’illecita captazione di dati, onde evitare accessi non autorizzati (“prova liberatoria”).

• Fornire la prova positiva di una causa non imputabile alla propria condotta; trattandosi di un fatto imprevedibile e inevitabile, che sfugge alla sfera di controllo dell’esercente l’attività finanziaria, caratterizzata da un notevole rischio professionale.

• Dimostrare la illegittimità dell’operazione on line non autorizzata e la violazione, da parte del cliente, degli obblighi discendenti dal contratto. Dunque, provare che l’incursione sia cagionata e/o facilitata dalla condotta colposa del danneggiato.

Quando è possibile escludere la responsabilità dell’istituto di credito a seguito di un cyber attack?

Sotto il profilo probatorio, l’unico limite alla responsabilità della banca consiste nel dolo o nella colpa grave del cliente; circostanza che potrebbe escludere  o  quanto meno diminuire il risarcimento dovuto dalla banca,  ai sensi dell’art. 1227 c.c., per un’ipotesi di concorso di colpa.

La fattispecie di colpa può in concreto sussistere quando, la illecita introduzione nel sistema di sicurezza abbia avuto luogo mediante metodi truffaldini noti, che il correntista, utilizzando un grado di diligenza minimo, avrebbe potuto riconoscere come capziosi.

Non è pertanto esente da colpa, la condotta del cliente che, in risposta a mail truffaldine o messaggi palesemente fittizi, comunica le proprie credenziali di accesso al servizio di home-banking, consentendo la diretta introduzione nel sistema agli hackers.

Pare opportuno citare in questa sede un’orientamento minoritario della giurisprudenza che, pur essendo oltremodo distante a tutto quanto suesposto, appare un lampante esempio del presupposto, per cui in termini di responsabilità degli istituti creditizi, riscontriamo decisioni talvolta contrastanti e diverse; segno dell’assenza di un indirizzo giurisprudenziale unitario.

Sarebbe allora auspicabile che, il legislatore italiano predisponga una normativa atta ad impedire, prevenire e intervenire tempestivamente con misure adeguate le  incursioni malevoli, poiché quanto disposto con le leggi n. 547/ 1993 e, successivamente, n. 48/ 2008, non disincentiva i pirati informatici dal porre in essere condotte criminose.

Preme evidenziare che tutt’oggi, la gestione dei sistemi di sicurezza, da parte degli istituti creditizi, è affrontata in ottica di opportunità organizzativa piuttosto che di prevenzione e risoluzione delle fattispecie informatiche criminose.

Ad ogni buon conto, è auspicabile in futuro una maggiore sensibilizzazione e informazione al corretto approccio ai dispositivi informatici bancari e reti telematiche, al fine di assicurare strumenti di tutela al correntista, spesso inadeguatamente forniti.