Frodi informatiche e pagamento al creditore apparente, debitore liberato dall'obbligazione di pagamento
Culpa in vigilando del creditore per non aver adeguatamente protetto i propri sistemi informatici da attacchi esterni
Il Tribunale di Milano, con sentenza in data 7 maggio 2021, numero 18950, si è pronunciato sul tema dell'efficacia liberatoria del pagamento effettuato a favore del c.d. rappresentante apparente, ex art. 1189 c.c., nella peculiare fattispecie in cui l'errore del solvens sia stato (indirettamente) causato da una frode informatica subita dalla controparte- creditrice.
La figura del creditore/rappresentante apparente si presta ad assumere particolare rilevanza nelle odierne relazioni commerciali, soprattutto se si considera che l'adempimento di un'obbligazione avente ad oggetto una somma di denaro può avvenire attraverso diversi mezzi di pagamento, dalla carta di credito al bonifico bancario, fino ai più evoluti sistemi di pagamento informatici. Proprio tale correlazione fra modalità di pagamento e diritto delle obbligazioni costitusce uno degli aspetti più interessanti della sentenza in esame.
Il caso riguardava un rapporto di credito fra due società, derivante dalla fornitura, da parte di una società (che per comodità espositiva chiameremo "Alfa") di cotone idrofilo alla società "Beta". La società creditrice Alfa, lamentando il mancato pagamento di una fattura per circa 20 mila Euro, otteneva dal Tribunale di Milano l'emissione di un decreto ingiuntivo, poi opposto da Beta la quale deduceva l'intervenuta estinzione dell'obbligazione a seguito del pagamento effettuato tramite bonifico bancario. La controversia nasceva dal fatto che le coordinate bancarie utilizzate da Beta per effettuare il pagamento erano state comunicate alla debitrice tramite una email che, benché riconducibile ad Alfa, costituiva in realtà il frutto di una frode informatica. Le indicazioni circa le modalità di pagamento delle somme dovute e gli estremi del conto corrente erano state infatti inviate a Beta da un indirizzo email fittizio, ed erano state indicate anche all'interno di una fattura allegata alla suddetta email; anche tale fattura recava alcune caratteristiche tali da renderla riconducibile ad Alfa, dal momento che presentava il timbro e la sottoscrizione della società creditrice.
La truffa oggetto del caso in esame prende il nome, in cyber security, di "man in the middle". Si tratta di un tipo di attacco nel quale l'hacker si inserisce nella comunicazione fra due soggetti, riuscendo ad intercettare informazioni sensibili.
Il Tribunale di Milano si è trovato così a dover applicare i criteri previsti in tema di creditore/rappresentante apparente alla fattispecie di frode informatica. È opportuno precisare che la più recente giurisprudenza di legittimità richiede, ai fini dell'applicazione estensiva della norma di cui all'art. 1189 c.c. al c.d. "rappresentante apparente", la sussistenza di:
(i) circostanze univoche, tali da ingenerare l'erroneo convincimento del debitore in buona fede; e
(ii) il comportamento colposo del creditore effettivo, il quale abbia determinato o concorso a determinare l'errore del solvens [Ex multis, Cassazione Civile Sez. II, 25/01/2018, n.1869 ].
Così, il Tribunale ha dato rilievo ad alcune evidenze in fatto quali: l'impiego di un indirizzo di posta elettronica fittizio molto simile a quello "originale" - poiché recante la ragione sociale della società - nonché la trasmissione della fattura, anch'essa apparentemente riconducibile ad Alfa. Tali elementi costituirebbero, secondo il Tribunale, circostanze di carattere oggettivo idonee a ingenerare l'affidamento di Beta.
Al contempo, il Tribunale di Milano ha posto in rilievo la qualità di impresa del soggetto creditore, che, in quanto tale, avrebbe dovuto adottare degli standard di diligenza più elevati rispetto a quelli richiesti al c.d. "buon padre di famiglia", i.e. la diligenza professionale prevista dall'articolo 1176, secondo comma, c.c.. Ed infatti, il comportamento colposo del fornitore sarebbe consistito proprio in una culpa in vigilando, per non aver adeguatamente protetto i propri sistemi informatici da attacchi esterni.
Così, valorizzando la ratio dell'articolo 1189, che mira a tutelare l'affidamento non colpevole del debitore adempiente, il Tribunale di Milano ha ritenuto integrati tutti i presupposti contemplati dall'articolo 1189 c.c., concludendo che il pagamento effettuato dalla società Beta dovesse considerarsi satisfattivo dell'obbligazione nei confronti di Alfa.
La pronuncia in esame appare di particolare rilevanza poiché, tra l'altro, affronta, seppure in modo estremamente sintetico quasi a mo' di obiter dictum, temi di grande attualità quali la sicurezza informatica e la tutela dei dati sensibili, già oggetto di specifica regolamentazione in ambito UE. Ricordiamo, in proposito, che gli artt. 24 e ss. del Regolamento UE 2016/679 (c.d. "GDPR") pongono in capo al soggetto che gestisce sistemi informatici specifici obblighi, quali, ad esempio, la predisposizione di misure tecniche e organizzative necessarie per garantire la sicurezza dei sistemi informatici, la tempestiva comunicazione di eventuali fughe di dati al Garante per la Privacy, nonché l'obbligo di risarcimento del danno eventualmente causato al soggetto interessato da una violazione del Regolamento.
Alla luce delle considerazioni sopra svolte, rimarrà da vedere se la lettura, per certi versi innovativa, proposta dal Tribunale di Milano, verrà sposata anche da altre corti di merito, in analoghe fattispecie riguardanti frodi informatiche.
____
*A cura di Alfredo Pentimalli e Ilaria Bellini, Greenberg Traurig Santa Maria
