In caso di phishing: la diligenza richiesta alla banca – Sentenza del 30 settembre 2011
Ente Giudicante: Giudice di Pace di Ottaviano
Procedimento: Sentenza del 30 settembre 2011
In caso di phishing: la diligenza richiesta alla banca
Con la sentenza del 30 settembre 2011 qui in commento il Giudice di Pace di Ottaviano ha affrontato il tema della diligenza richiesta alla banca per la prevenzione dei fenomeni di cd. phishing termine utilizzato per indicare le operazioni fraudolente poste in essere da terzi sui conti correnti on line.
La fattispecie oggetto della pronuncia del Giudice ha riguardato il caso di un titolare di conto corrente bancario abilitato on-line ed intrattenuto presso la filiale di una banca che riscontrava l’avvenuta esecuzione di tre bonifici dallo stesso non autorizzati. L’attore sporgeva regolare denuncia al Commissariato di P.S. di San Giuseppe Vesuviano, provvedendo ad informare anche la predetta filiale, che, però, riusciva a bloccare solo uno dei tre bonifici. Messo in allarme da tale denuncia il direttore della filiale bloccava un ulteriore tentativo di prelevamento, sempre a mezzo bonifico bancario, su un altro conto corrente intestato alla società di cui l’attore era legale rappresentante.
Secondo il Giudice, quest’ultimo episodio appare circostanza idonea a dimostrare che, se la banca avesse monitorato anche prima il collegamento on–line con un sistema di sicurezza, avrebbe potuto evitare la sottrazione fraudolenta delle somme dal conto corrente personale dell’attore.
Nel caso di specie, trova quindi applicazione l’art. 15 del d.lgs. n. 196/2003 (Legge sulla Privacy), secondo cui “chiunque cagioni un danno per effetto del trattamento dei dati personali è tenuto al risarcimento dei danni ai sensi dell’art. 2050 del codice civile”.
Per quanto attiene il livello di diligenza richiesto alla banca, assume rilevanza l’art. 31 del medesimo decreto, il quale prevede che, i dati personali oggetto di trattamento siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
In applicazione dei predetti principi, il Giudice ha dichiarato la responsabilità della Banca avrebbe dovuto adottare tutte le misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico, al fine di evitare prelievi fraudolenti (cd. phishing).
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL GIUDICE DI PACE DI OTTAVIANO
nella persona della dott.ssa. Assunta Ventimiglia ha pronunciato la seguente
SENTENZA
nella causa civile, iscritta al n° 3219 del Ruolo Generale degli affari civili dell’anno 2010, riservata a sentenza all’udienza del 30.09.2011, avente ad oggetto rimborso somme
Tra
Aaa Vvv, nato il …. a … ed ivi residente alla Via …. (C.F. …), elettivamente domiciliato in San Giuseppe Vesuviano alla Via …. nello studio dell’Avv. …., che lo rappresenta e difende in virtù di mandato a margine dell’atto di citazione;
Attore
E
Banca S.p.A., in persona del suo legale rappresentante p.t., con sede in …. alla Via … rappresentata e difesa, in virtù di procura in calce alla copia notificata dell’atto di citazione, dall’Avv. Fff Ttt ed elettivamente domiciliata in Nola alla Via …. nello studio dell’Avv. Lll Fff;
Convenuta
Conclusioni
Come da verbale di udienza del 30.09.2011.
RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
Preliminarmente rileva osservare che non si è proceduto alla redazione dello svolgimento del processo, in puntuale applicazione della norma dettata dall’art. 132 c.p.c., come novellato dall’art. 45, comma 17, della legge numero 69 del 18.06.2009, entrata in vigore il 04.07.2009, con applicazione immediata anche ai giudizi pendenti in primo grado, ai sensi dell’art. 58, comma 2, della citata legge.
Passando ad esaminare le ragioni di diritto della decisione rileva osservare che sono da ritenere sussistenti la rispettiva legittimatio ad causam delle parti, nonché la loro rispettiva titolarità del rapporto sostanziale dedotto in giudizio, provate dalla documentazione ritualmente prodotta.
Nel merito la domanda è fondata e, pertanto, merita accoglimento.
Dalla documentazione prodotta, risulta che l’istante era titolare del conto corrente bancario n. yyyyyy, abilitato on – line ed intrattenuto presso la filiale di San Giuseppe Vesuviano della Banca S.p.A.. Risulta, altresì, che il 27 e 29 aprile del 2009 dal predetto conto erano stati eseguiti tre bonifici, rispettivamente di € 2.130,00, 2.865,00 e 3.340,00.
Tali operazioni non furono mai autorizzate dall’istante, il quale, in data 06.05.2009, presentava denuncia al Commissariato di P.S. di San Giuseppe Vesuviano, provvedendo ad informare anche la predetta filiale, che, però, riusciva a bloccare solo il bonifico di € 3.340,00.
La Suprema Corte ha enunciato il principio, condiviso da questo giudice, secondo il quale << in tema di onere di prova dell’inadempimento di una obbligazione, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno, ovvero per l’inadempimento deve soltanto provare la fonte del suo diritto, limitandosi alla mera allegazione della circostanza dell’inadempimento della controparte, mentre il debitore convenuto è gravato dell’onere della prova del fatto estintivo dell’altrui pretesa, costituito dall’avvenuto adempimento >>.
Nel caso di specie l’attore ha provato l’esistenza del rapporto obbligatorio in forza del quale agisce ed allegato l’inadempimento della Società convenuta, dal canto suo l’Istituto di credito nulla ha dedotto, eccepito o provato.
Sul punto rileva osservare che in data 31.08.2009, sempre presso la medesima filiale, per un altro conto corrente e precisamente il n. yyyyyyy, intestato alla Sss Fff S.r.l., di cui l’attore è il legale rappresentante, veniva bloccato dal Direttore della filiale, messo in allarme dalla precedente denuncia del 06.05.2009, un tentativo di prelevamento sempre a mezzo bonifico bancario di € 6.750,31. Anche per tale evento veniva presentata denuncia alla P.S. di San Giuseppe Vesuviano.
Quest’ultimo episodio dimostra che se la Banca avesse monitorato anche prima il collegamento on–line con un sistema di sicurezza, avrebbe potuto evitare la sottrazione fraudolenta delle somme.
Nel caso in esame trova applicazione l’art. 15 del d.lgs. n. 196/2003 (Legge sulla Privacy), il quale statuisce che << chiunque cagioni un danno per effetto del trattamento dei dati personali è tenuto al risarcimento dei danni ai sensi dell’art. 2050 del codice civile >>.
Inoltre, l’art. 31 del citato decreto impone che i dati personali oggetto di trattamento siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
In applicazione dei predetti principi la Banca avrebbe dovuto adottare tutte le misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico, al fine di evitare prelievi fraudolenti (cd. phishing), così come verificatosi in capo all’attore.
Nel caso in esame, alcuna prova è stata fornita dall’istituto di credito.
Pertanto, la domanda formulata dall’attore deve essere accolta con la condanna della Banca S.p.A. al pagamento della somma di € 4.995,00.
Sulla somma liquidata all’attualità sono dovuti gli interessi, al tasso legale, dalla domanda all’effettivo soddisfo.
Le spese di giudizio seguono la soccombenza e si liquidano come da dispositivo.
P.Q.M.
Il Giudice di Pace definitivamente pronunciando sulla domanda proposta da Aaa Vvv nei confronti della Banca S.p.A., ogni altra domanda ed eccezione disattese, così provvede:
1) accertata la responsabilità esclusiva della Banca S.p.A., condanna la stessa, in persona del suo legale rappresentante p.t., al pagamento, in favore di Aaa Vvv, della somma di € 4.995,00, oltre interessi, al tasso legale, dalla domanda al soddisfo;
2) condanna la Banca S.p.A., in persona del suo legale rappresentante p.t., al pagamento delle spese processuali che liquida in complessivi € 1.900,00, di cui € 100,00 per spese, € 1.000,00 per diritti ed € 800,00 per onorario oltre rimborso spese generali, IVA e CPA, con attribuzione, ex art. 93 c.p.c., all’Avv. Rrr Bbb.
Così deciso in Ottaviano, il 30.09.2011
Il Giudice di Pace
Avv. Assunta Ventimiglia