Responsabilità dei titolari servizi di pagamento on line

Una recente decisione della Corte di Cassazione italiana, riguardo l'onere della prova in caso di accesso non autorizzato all'home banking di un correntista, fornisce un interessante spunto per fare una serie di considerazioni sul fatto accaduto alla luce di alcuni dei nuovi obblighi previsti dal regolamento privacy europeo n.2016/679 (GDPR).

Si tratta della sentenza n.10638,  23 maggio 2016: "....in base al rinvio all’art. 2050 cod. civ., operato dall’art. 15 del codice della privacy, l’istituto che svolga un’attività di tipo finanziario o in generale creditizio ...risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore. ....Una simile ricostruzione dei principi informatori della fattispecie è d’altronde coerente con quanto disposto pure dal d.lgs. 27 gennaio 2010, n. 11, in ordine all’obbligo del prestatore del servizio di pagamento di assicurare che i dispositivi personalizzati forniti dai gestori non siano accessibili a soggetti diversi dal legittimo titolare...e nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode,..."

L'Art. 2050 del Codice Civile prevede che "Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno".

I casi phishing ed in generale di accesso illecito ai conti correnti bancari on line sono parte di un fenomeno in allarmante crescita, il cui contrasto richiede la massima attenzione da parte di tutti gli enti coinvolti compresi i diretti interessati ossia i fruitori dei servizi di pagamento.

L'accesso e l'utilizzo di un conto di deposito fondi on line rappresenta un caso di contesto di trattamento dati personali (ossia l'insieme di finalità, tipologia di trattamento, categorie di dati e persone interessate) che, anche in relazione alle nuove tecnologie adottate e l'ampia diffusione del servizio, dovrebbe essere senz'altro meritevole di essere sottoposto ad una preventiva "Valutazione d'impatto sulla protezione dei dati"(nel seguito usiamo l'acronimo in inglese DPIA). L'Art. 35 del GDPR prevede infatti che in caso di tipo di trattamento che preveda in particolare l'uso di nuove tecnologie, e che considerati la natura, l'oggetto, il contesto e le finalità del trattamento,  possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Inoltre, qualora la valutazione metta in evidenza la presenza di rischi elevati, il Titolare deve richiedere la consultazione preventiva del Garante privacy. In caso di inadempienza del Titolare, il GDPR prevede un livello sanzionatorio fino a 10 milioni di euro o fino al 2% del fatturato annuo mondiale in caso di impresa (se tale fatturato è superiore ai 10 milioni di euro).

Pertanto a seguito del meccanismo della DPIA ed ancor più in caso di dovuto ricorso alla consultazione preventiva del Garante privacy in presenza di rischi elevati, il prestatore di servizi di pagamento, in qualità di Titolare di trattamento dati personali, per obbligo di legge  individua e mette in campo le misure idonee ad evitare anche i casi di accesso illecito ai suoi servizi in danno ai suoi clienti. Si ritiene allora  legittimo chiedersi se il riferimento, nella legislazione italiana, all'art 2050 del Codice Civile tramite la normativa privacy nazionale,  non dovrà essere in qualche modo rivisto, dato che il Titolare sarebbe, in virtù del suo obbligo di conformarsi agli Artt. 35 e 36 del GDPR,  nella posizione di provare che ha fatto tutto il possibile, e addirittura seguendo  le specifiche prescrizioni  del Garante privacy in caso di consultazione preventiva, per evitare il danno in relazione all'accesso illecito ai suoi servizi, con le ovvie conseguenze  a lui favorevoli.

Anche tenendo presenti le nuove prescrizioni in materia di sicurezza e responsabilità che deriveranno dalle trasposizioni nazionali della direttiva PSD2 (che dovrà essere recepita entro Gennaio 2018),  in ogni caso le nuove prescrizioni DPIA e Consultazione preventiva portate dal GDPR, avranno un peso quanto mai importante in cause come quella qui citata ed  oggetto di decisione della Corte di Cassazione italiana.

Peso che potrebbe ulteriormente crescere in relazione alle certificazioni privacy e codici di condotta privacy previsti dal GDPR (Artt.40-43). Infatti, sebbene l'adesione a tali codici di condotta e certificazioni in alcun modo potrà scalfire l'obbligo per i Titolari di operare in modo conforme a tutte le prescrizioni del GDPR, eppure  queste adesioni di per se dovranno significare che il Titolare (con l'avvallo di un ente esterno in caso di certificazione) ha come minimo dimostrato di mettere in campo specifiche  misure idonee ai fini della conformità al GDPR.

Un'ultima considerazione riguarda la Violazione dati personali (Artt. 33 e 34  del GDPR): casi di illecito trattamento dati come quello oggetto della sentenza 10638/16 della Corte di Cassazione italiana, risultano rientrare nella definizione di violazione dati personali (Art. 4(12)  del GDPR): come tali  dovranno pertanto essere oggetto di notifica al garante privacy (di norma entro le 72 ore dal momento che si è avuta conoscenza della violazione) e di comunicazione anche agli interessati senza indebito ritardo in determinate situazioni. In caso di inadempienza anche qui il GDPR prevede una sanzione massima fino a 10 milioni di euro o 2% del fatturato come per la DPIA e la Consultazione Preventiva del Garante privacy.

Immaginando la già elevata e comunque crescente frequenza di casi similari a quello trattato con sentenza 10638/16 della Corte di Cassazione italiana, i costi operativi (per i Titolari, per le autorità Garanti privacy) per la gestione della violazione dati personali secondo il GDPR si prospettano impegnativi da tutti i punti di vista.

 

 Ci si chiede allora se sarà possibile che sia a livello UE che a livello di singolo stato membro si decida di investire di più e con maggior efficacia in azioni di formazione degli utenti dei servizi digitali/on line per renderli edotti dei rischi e fornire loro una guida su come mitigarli e comportarsi in caso di problemi. Azioni che si immaginano a sostegno ed in aggiunta agli oneri di formazione utenti già previsti a carico dei Titolari (anche esplicitamente dalla PSD2 nel caso dei servizi di pagamento), per contribuire davvero alla sicurezza e successo di un effettivo Mercato Unico Digitale Europeo.

 

Riportate le vostre reazioni, considerazioni, contributi  e proposte di affrontare specifici temi nei Gruppi LinkedIn dove compare questo post oppure scrivendo a gloria.marcoccio@glory.it

Controller's liability for on line payment services

A recent decision of the Italian Court of Cassation, regarding the burden of proof in cases of unauthorized access to a home banking account, provides an interesting opportunity to make a number of considerations on the occurred case  in the light of some of the new obligations provided for by the European Privacy Regulation n.2016 / 679 (GDPR).

It comes to the Court ruling 10638, May 23, 2016: ".... Pursuant to Article 2050 Italian Civil Code mentioned in Article  15 of the Italian Privacy Code [Legislative Decree no.196/03] the organization in charge to carry out a financial or, in general, credit activity, in its role of  Data Controller is liable for the damage resulting  from  failing to prevent a third party in illegally accessing the computerized tool [userid, password,...)]provided to the customer  and the subsequent illegitimate transfer of money, unless the organization can prove that it is not responsible for the harmful  event because such event is the result of neglect , error (or fraud) of the customer or by force majeure......

This is coherent with the provisions of the Legislative Decree 11/2010 [transposition of the PSD1 Directive], concerning the obligation of the payment service provider to ensure that computerized means provided to the customer for accessing and using the payment service are not accessible to persons other than the customer.... At the same time the organization is obliged to refund the account holder immediately if the latter one disavows a money transfer operation, unless there is a reasoned suspicion of fraud,..."

Article  2050 of the Italian Civil Code: "Whoever causes damage to others in performing a dangerous activity, due to its nature or the nature of the used means, is liable to pay damages, unless he/she can prove that he/she have taken all appropriate measures to avoid the damage ".

Phishing and in general the cases of illicit access to online bank accounts are part of a growing worrisome phenomenon, whose contrast requires the utmost attention from all the stakeholders including the data subjects i.e. the users of payment services.

Access to and use of an on-line money account is a case of context of personal data processing (ie the set of purpose, type of processing, categories of personal data and data subjects), which, also in relation to the new technologies and the wide use of such service, it  should undergo to a preventive "Data Protection Impact Assessment" (hereafter DPIA).

GDPR Article 35 provides for, where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. Furthermore the Controller is obliged to consult the Data Protection Authority (DPA)  where a DPIA indicates that the processing would result in a high risk. In case of  failing in complying to such provisions, the GDPR provides for high level of fines, up to 10 milion eur or 2% worldwide annual turnover (if exceeds 10 milion eur).

 

Therefore as a result of the DPIA mechanism and even more in case of applicability of the DPA Prior Consultation in the presence of high risks, the payment services provider, as Controller pursuant to the law identifies and implements appropriate measures also to prevent cases of illegal access to its services to the detriment of its customers. Therefore it is questionable whether the reference  to Article 2050 of the Italian Civil Code through the national privacy legislation, it should be in some way reviewed, given that the Controller would be, by virtue of its obligation to comply with Articles. 35 and 36 of GDPR, in a position to prove that he did everything possible, even following the specific requirements of the DPA in the case of Prior Consultation, to avoid the damage in relation to illicit access to its services, with the obvious favorable consequences to him

 

Taking also into account the new requirements on security and liabilities deriving from the national transpositions of the directive PSD2 (to be transposed by January 2018), in any case the new requirements about DPIA and Prior Consultation brought by the GDPR will be an important element in cases like the one mentioned and subject to decision in question of the Italian Court of Cassation. 

The importance of such element could further grow in relation to the privacy certifications and codes of conduct provided for by GDPR Articles 40-43. In fact, although adherence to such codes of conduct and certifications in no way will diminish the obligation for Controllers to be compliant with the GDPR, yet these adherences will mean that the Controller (with endorsement of an external body in the event of certification) has at least shown to deploy specific appropriate measures for the purpose of compliance to the GDPR.

Last consideration concerns the personal data breach (GDPR Articles 33 and 34): cases of unlawful processing as those of ruling 10638/16 of the Italian Court of Cassation, seems to be fully covered by the definition of personal data breach (GDPR Article 4 (12)): as such they shall be notified to the DPA  (usually within 72 hours from the time of awareness of the breach) and also communicated  to the data subjects, without undue delay, for certain situations. In case of failing in complying, the GDPR provides for a maximum penalty up to 10 million eur or 2% worldwide annual turnover  as in the case of  the DPIA and DPA Prior Consultation.

Considering the already high and still increasing frequency of cases similar to the one treated with ruling 10638/16 of the Italian Court of Cassation, the operating costs (for Controllers, for DPA) for the management of the personal data breaches according to GDPR are envisaged to be substantial from all points of view.

 

Thus the question arises whether it will be possible both at EU level and at individual member states level, the decision for investing  more resources and more effectively in training initiatives for the users of digital / online services, in order  to make them aware of the risks and provide them with a guide on how to mitigate risks and what to do in case of problems. Such initiatives are considered  as support and in addition to the obligation about customer training already in charge to the Controllers (even explicitly by PSD2 in the case of payment services), at the purpose of real contribution to the security and success of effective European Digital Single Market.

 

 

Please provide your reactions, considerations, contributions and proposals to address specific issues in LinkedIn Groups where this post appears or write to gloria.marcoccio@glory.it