Sentenza Sentenza Cassazione Civile n. 31199 del 29/12/2017

Civile Sent. Sez. 1 Num. 31199 Anno 2017
Presidente: DI PALMA SALVATORE
Relatore: DE CHIARA CARLO

SENTENZA
sul ricorso proposto da:
BELSITO PATRIZIA(C.F. BLSPRZ67LS7E535W) e GALLERANI
DOMENICO (C.F. GLLDNC63T30A944V), rappresentati e difesi, per procura speciale a margine del ricorso, dagli
avv.ti Patrizia Cocconcelli (C.F. CCCPRZ64R43A944C) e
Maria Teresa Barbantini (C.F. BRBMTR31L48H501L) ed elett.te dom.ti presso lo studio di quest’ultima in Ro-

`.52G

ma, Viale Giulio Cesare n. 14

201

– ricorrenti contro

Data pubblicazione: 29/12/2017

POSTE ITALIANE S.P.A. (C.F. 97103880585), rappresentata
e difesa dagli avv.ti Paola Fabbri (C.F.
FBBPLA60R66H501T) e Paola Ferretti (C.F.
PFFPLA58H44E7830) per procura a margine della memoria

dall’avv. Andrea Sandulli, in virtù dei poteri a lui
conferiti dal legala rappresentante della società, in
qualità di Responsabile della Direzione Affari Legali
di Poste Italiane s.p.a., ed elett.te dom.ta presso gli
stessi avvocati nella Direzione Affari Legali di Poste
Italiane s.p.a. in Viale Europa n. 175, 00144 Roma
–

controricorrente –

avverso la sentenza n. 5531/2012 del Tribunale di Roma
depositata il 29 marzo 2012;
udita la relazione della causa svolta nella pubblica
udienza del 28 aprile 2017 dal Consigliere dott. Carlo
DE CHIARA;
udito per i ricorrenti l’avv. Luigi FEDELI BARBANTINI,
per delega;
udita per la controricorrente l’avv. Paola FABBRI;
udito il P.M. in persona del Sostituto Procuratore Generale dott. Francesca CERONI, che ha concluso per
l’inammissibilità o in subordine il rigetto del ricors o.

SVOLGIMENTO DEL PROCESSO

2

di costituzione di nuovi difensori sottoscritta

Con ricorso presentato il 19 marzo 2010 ai sensi
dell’art. 152 del codice in materia di protezione dei
dati personali approvato con d.lgs. 30 giugno 2003, n.
196, i sig.ri Patrizia Belsito e Domenico Gallerani,

s.p.a., premesso che da quel conto erano stati a loro
insaputa stornati, con postagiro

on line, C

7.880,00

affluiti sul conto di altro correntista postale, tale
Marco Bracaglia, domandarono al Tribunale di Roma la
condanna della banca al risarcimento del danno sia materiale, pari all’importo predetto, sia non patrimoniale, indicato in C 10.000,00, conseguente alla violazione, da parte dell’intimata, degli artt. 15, 31 e 122
d.lgs. n. 196 del 2003, cit., per non aver utilizzato
password informatiche “forti” a tutela della riservatezza di quei dati.
L’intimata resistette respingendo ogni addebito e
chiedendo ed ottenendo di chiamare in causa il Bracaglia, che tuttavia non si costituì. Non si costituì
neppure il Garante in materia di protezione dei dati
personali.
Il Tribunale ha respinto il ricorso osservando che
la resistente aveva dimostrato, mediante la documentazione prodotta in giudizio, di avere eseguito il trattamento dei dati bancari dei ricorrenti con adeguata

3

titolari di un conto corrente presso Poste Italiane

diligenza professionale e di avere realizzato un sistema di sicurezza di quei dati idoneo a garantire il rispetto delle disposizioni di cui al capo I (misure di
sicurezza) del titolo V (sicurezza dei dati e dei si-

privacy e all’allegato B (disciplinare tecnico in materia di misure minime di sicurezza) al medesimo. Né bastava a superare tali considerazioni la circostanza che
solo successivamente Poste Italiane si era risolta ad
adottare password “forti”, come ad esempio la fornitura
di una “chiavetta” con un codice dispositivo automaticamente modificato ogni 60 secondi, secondo quanto già
praticato in precedenza da altri istituti di credito
indicati dai ricorrenti, dato che non era in atti la
prova della maggior sicurezza di tale sistema e che,
del resto, non era previsto alcun termine per innovare
al proprio sistema di sicurezza da parte del titolare
del trattamento.
La resistente, dunque, ad avviso del Tribunale,
era immune da colpa, avendo impiegato la diligenza adeguata alla natura dell’attività pericolosa svolta, in
relazione alle conoscenze acquisite in base al progresso tecnico; onde il danno si era verificato per caso
fortuito. “In altri termini”, ha osservato il Tribunale, le adeguate misure di sicurezza adottate dalla ban-

4

stemi) della prima parte del richiamato codice della

ca, pur potendo evitare che terzi si intromettessero
nel sistema informatico eludendo

username, password e

codice identificativo, non potevano tuttavia impedire
l’acquisizione dei codici di accesso com modalità frau-

fronti dei correntisti (c.d. phishing).
I sigg. Belsito e Gallerani hanno proposto ricorso
per cassazione articolando tre motivi di censura. Poste
Italiane s.p.a. ha resistito con controricorso. Entrambe le parti hanno anche presentato memorie.
MOTIVI DELLA DECISIONE
1. Con il primo motivo di ricorso, denunciando violazione di norme di diritto e vizio di motivazione, si
lamenta che il Tribunale non abbia tenuto conto delle
deduzioni svolte, a proposto dell’insufficienza delle
misure di sicurezza adottate da Poste Italiane, in un
foglio di deduzioni redatto dalla difesa degli attori e
depositato all’udienza del 18 gennaio 2011.
1.1. Il motivo è inammissibile perché il deposito
di quel foglio di deduzioni – deposito contestato dalla
controricorrente – non risulta dagli atti. Vero è che
nel verbale dell’udienza del 18 gennaio 2011 si dà atto
delle produzione del foglio, «da intendersi, qui, integralmente riportato e trascritto», ma è pur vero che il
medesimo non è in realtà allegato al verbale, né è in-

5

dolente poste in essere da terzi direttamente nei con-

sento nel fascicolo di parte attrice per il giudizio
di primo grado. Esso è inserito soltanto nel fascicolo
di parte ricorrente per il giudizio di legittimità, oltre che riprodotto nel ricorso; le relative deduzioni

2. Con il secondo e il terzo motivo, da esaminare
congiuntamente attesa la loro connessione, si denuncia
violazione di norme di diritto e vizio di motivazione
contestando che Poste Italiane avesse fornito la prova
di aver adottato tutte le cautele e misure di sicurezza
necessaria ed evitare il danno subito dai ricorrenti.
2.1. Le censure sono inammissibili.
E vero, infatti, che ai sensi dell’art. 2050 cod.
civ., richiamato dall’art. 15 del codice in materia di
protezione dei dati personali, il danneggiato ha solo
l’onere di dimostrare il danno e il nesso di causalità
di esso con il trattamento dei suoi dati, mentre il
danneggiante deve invece dimostrare di avere adottato
tutte le misure idonee ad evitare il danno (cfr. Cass.
18812/2014 e 10638/2016); tuttavia il Tribunale ha accertato, in fatto, che Poste Italiane aveva adottato
tutte le cautele del caso, salvo quelle idonee ad evitare l’acquisizione fraudolenta delle chiavi di accesso
al sistema da parte di terzi (ad avviso del Tribunale
il phishing non rileverebbe agli effetti della respon-

6

devono pertanto considerarsi tardive.

sabilità del titolare del trattamento). Tale accertamento di fatto non è adeguatamente censurato dai ricorrenti, che muovono ad esso, nella sostanza, critiche di
merito; e se è vero che il Tribunale erra nel non adde-

dozione di cautele

antiphisching,

è

pur vero che tale

omissione non rileva nel caso in esame, negando espressamente i ricorrenti di essere stati vittima di
shing (v.,

phi-

in particolare, pag. 37, penultimo capover-

so, del ricorso per cassazione).
3. Il ricorso va pertanto respinto.
Le spese processuali, liquidate come in dispositivo, seguono la soccombenza.
P.Q.M.
La Corte rigetta il ricorso. Condanna i ricorrenti
al pagamento, in favore della controricorrente, delle
spese del giudizio di legittimità, liquidate in C
3.000,00 per compensi, oltre alle spese forfettarie
nella misura del 15 %, agli esborsi liquidati in C
200,00 e agli accessori di legge.
Così deciso in Roma nella camera di consiglio del
28 aprile 2017.

bitare al titolare del trattamento anche la mancata a-