Nella sentenza del 18 dicembre 2024, il Tribunale regionale superiore dello Schleswig-Holstein (OLG) ha preso una decisione di ampia portata sulla responsabilità del responsabile del trattamento ai sensi del Regolamento generale sulla protezione dei dati (GDPR). La decisione era incentrata sulla questione della misura in cui un'azienda che invia una fattura via e-mail è responsabile dell'uso improprio di tale fattura da parte di terzi se non ha adottato misure di sicurezza sufficienti per proteggere i dati personali.
L'e-mail con la fattura viene intercettata e manipolata
Il ricorrente, un appaltatore, ha eseguito dei lavori per il convenuto, un cliente privato, come concordato e ha emesso una fattura finale per le retribuzioni arretrate al termine dei lavori. La fattura è stata inviata al convenuto via e-mail.
Inosservata dalle parti, l'e-mail è stata intercettata e manipolata da terzi. Gli autori hanno modificato le coordinate bancarie della fattura e hanno trasmesso la versione falsificata all'imputato. In buona fede, l'imputato ha trasferito l'importo della fattura di 15.385,78 euro sul conto indicato nella fattura, che però apparteneva a una persona sconosciuta. La frode è stata scoperta solo in un secondo momento, quando il querelante ha notato il pagamento mancante e lo ha segnalato al convenuto.
L'attore ha quindi chiesto al convenuto di pagare nuovamente il salario, poiché il pagamento originario non era stato accreditato sul suo conto e quindi non vi era alcun effetto di adempimento ai sensi dell'articolo 362 (1) BGB. Il convenuto, invece, riteneva di aver adempiuto ai propri obblighi di pagamento in quanto aveva pagato la fattura come ricevuta. Ha inoltre sostenuto che il ricorrente non aveva adottato misure di sicurezza adeguate per proteggere i dati personali trasmessi, in particolare le proprie coordinate bancarie. Questo era ciò che aveva portato alla frode in primo luogo. La ricorrente ha invocato una richiesta di risarcimento danni ai sensi dell'art. 82 del GDPR, sostenendo che l'attore aveva agito per negligenza inviando la fattura via e-mail senza un'adeguata protezione. In particolare, la crittografia utilizzata per il trasporto non era sufficiente a impedire la manipolazione dell'e-mail.
Si sono quindi affrontate due questioni giuridiche centrali: Da un lato, la questione se il pagamento sul conto sbagliato estinguesse il debito del convenuto e, dall'altro, la questione se l'attore fosse responsabile dei danni subiti a causa di misure di sicurezza inadeguate.
La Corte afferma il risarcimento dei danni ai sensi dell'art. 82 del GDPR
L'OLG ha confermato l'opinione legale secondo cui il pagamento su un conto manipolato non porta all'adempimento ai sensi della Sezione 362 (2) BGB. Il fattore decisivo è che l'importo dovuto deve essere definitivamente disponibile per il creditore. Il ricorrente potrebbe quindi, in linea di principio, richiedere nuovamente il pagamento del lavoro.
Allo stesso tempo, tuttavia, il tribunale ha dichiarato che la cliente potrebbe avere diritto a una richiesta di risarcimento danni per l'importo del bonifico effettuato sul conto di terzi, che potrebbe contrastare la richiesta dell'appaltatore in base all'eccezione del dolo agitum ai sensi dell'articolo 242 del BGB.
Una simile richiesta di risarcimento danni può derivare in particolare dal GDPR. Il tribunale ha dichiarato che i dati personali del convenuto (nome, indirizzo, credito insoluto) sono stati trattati ai sensi dell'art. 4 n. 1 GDPR e che la trasmissione della fattura via e-mail costituisce un trattamento ai sensi dell'art. 4 n. 2 GDPR. Di conseguenza, il convenuto poteva avanzare una richiesta di risarcimento danni nei confronti del ricorrente ai sensi dell'art. 82 GDPR.
La manipolazione della fattura da parte di terzi non determina di per sé la responsabilità dell'attore. Occorre piuttosto verificare se le misure tecniche e organizzative adottate dall'azienda per proteggere la comunicazione via e-mail fossero sufficienti.
Requisiti per la sicurezza della trasmissione dei dati ai sensi dell'art. 32 GDPR
L'OLG ha inoltre dichiarato che le aziende sono obbligate, ai sensi dell'art. 32 del GDPR, ad adottare adeguate misure di sicurezza per proteggere i dati personali da accessi non autorizzati.
Secondo l'OLG, la semplice crittografia del trasporto tramite TLS (Transport Layer Security) non soddisfa i requisiti dell'art. 32 del GDPR. Per garantire un livello di protezione adeguato è piuttosto necessaria una crittografia end-to-end. Il tribunale ha fatto riferimento alle linee guida della Conferenza sulla protezione dei dati e alle sentenze della Corte di giustizia europea (CGUE), che sottolineano l'elevata responsabilità del responsabile del trattamento per la sicurezza dei dati (CGUE, C-687/21 e C-340/21).
Sebbene il GDPR non contenga disposizioni esplicite sull'obbligo di crittografia delle e-mail, dalla visione complessiva della normativa emerge chiaramente che le aziende sono tenute a ridurre al minimo il rischio di accesso non autorizzato ai dati personali adottando misure adeguate. Secondo il tribunale, la crittografia del trasporto non è sufficiente in quanto non offre una protezione adeguata contro gli attacchi man-in-the-middle.
Onere della prova e presunzione di colpa in caso di fatture manipolate
L'art. 82 par. 3 del GDPR prevede una presunzione di colpa a favore dell'interessato. Il responsabile del trattamento deve dimostrare di non essere in difetto. Il ricorrente non è stato in grado di fornire tale prova poiché non ha adottato ulteriori misure di protezione. Il tribunale ha chiarito che le aziende non devono solo soddisfare gli standard legali minimi, ma anche tenere conto degli attuali sviluppi tecnici. Alla luce dei rischi noti legati alla trasmissione di dati sensibili via e-mail, un'azienda responsabile deve adottare le migliori misure di protezione possibili.
Il tribunale ha negato il concorso di colpa del convenuto ai sensi dell'articolo 254 BGB. È vero che il convenuto aveva trascurato i dati bancari che differivano dalle fatture precedenti. Tuttavia, non era ragionevole per un cliente privato controllare ogni fattura ricevuta per verificare eventuali manipolazioni. Poiché la frode è stata resa possibile solo dalle misure di sicurezza inadeguate dell'attore, quest'ultimo è l'unico responsabile del danno subito.
Suggerimento di lettura: La Corte di giustizia europea rafforza la trasparenza: le agenzie di credito devono rendere noti i processi decisionali
Conseguenze della sentenza per le transazioni commerciali quotidiane
La sentenza ha implicazioni di vasta portata per la pratica del traffico e-mail aziendale e per i requisiti di sicurezza informatica delle aziende. Le aziende che inviano fatture o altri documenti sensibili via e-mail devono ripensare radicalmente i propri standard di sicurezza.
Una delle conclusioni principali della sentenza è che la semplice crittografia del trasporto non è riconosciuta come una misura di sicurezza sufficiente. Il tribunale raccomanda invece l'uso della crittografia end-to-end per impedire la manipolazione da parte di terzi. Le aziende sono quindi tenute a rivedere la propria infrastruttura informatica e, se necessario, a passare a canali di comunicazione sicuri, ad esempio utilizzando portali digitali per i clienti sui quali le fatture vengono fornite in un ambiente protetto.
La sentenza dimostra inoltre che le aziende devono investire in modo proattivo nelle misure di sicurezza informatica. Queste includono la formazione dei dipendenti per sensibilizzarli agli attacchi di phishing e ad altri tentativi di manipolazione, nonché l'uso dell'autenticazione a più fattori e di e-mail firmate per proteggere le transazioni commerciali. Le aziende che non adottano queste misure rischiano non solo di incorrere in violazioni della protezione dei dati, ma anche di subire notevoli conseguenze finanziarie e di responsabilità.
Infine, la sentenza chiarisce che l'obbligo di rendicontazione ai sensi dell'art. 5 par. 2 del GDPR deve essere preso sul serio. Le aziende devono quindi valutare e documentare regolarmente i loro concetti di protezione e sicurezza dei dati per poter dimostrare di aver adottato misure adeguate per proteggere i dati personali in caso di controversia. La sentenza è quindi un chiaro segnale per le aziende: la protezione dei dati e la sicurezza informatica devono essere componenti centrali di operazioni commerciali conformi alla legge.
Conclusione
Con questa sentenza, la Corte Regionale Superiore dello Schleswig-Holstein ha innalzato in modo significativo gli standard per la protezione dei dati personali nel traffico di e-mail aziendali. Le aziende sono obbligate a garantire il massimo livello di sicurezza per prevenire le violazioni della protezione dei dati. La sentenza sottolinea che non solo la protezione dei dati personali, ma anche la protezione contro i danni economici ai clienti svolge un ruolo centrale nel GDPR. Le aziende dovrebbero quindi esaminare criticamente le proprie misure di protezione dei dati e aggiornarle, se necessario, per evitare casi di responsabilità analoghi.
Fonte: Sentenza del Tribunale superiore dello Schleswig-Holstein 12 U 9/24 del 18/12/2024
Volete evitare complicazioni e rendere la vostra azienda idonea alla protezione dei dati e alla conformità? Lo affronteremo insieme! I nostri esperti saranno lieti di consigliarvi. Chiamateci o scriveteci:
Tel: +39 045 475 7198
E-mail: verona@2b-advice.com
Italian 
German 
English 
French