Dark Light

Cosa accade in caso di sottrazione di bitcoin memorizzati all’interno dei portafogli digitali (wallet) creati all’interno delle piattaforme di scambio criptovalute?

In questo articolo ci proponiamo di effettuare un’analisi delle condizioni generali dei servizi di scambio criptovalute per determinare quali possano essere le conseguenze in caso di sottrazione di bitcoin derivanti da compromissione degli account individuali ovvero da attacchi hacker che comportino la violazione della sicurezza informatica dei gestori dei portali in questione.

Sottrazione di bitcoin – analisi delle condizioni di alcuni servizi di exchange

Kraken.com

Kraken.com (“Kraken”) è un operatore di scambio criptovalute con sede negli Stati Uniti. Le condizioni generali di utilizzo del servizio, per quanto qui interessa, prevedono due sezioni: (i) Assenza di Garanzie (“Disclaimer of Warranties”) e (ii) Limitazioni di responsabilità (“Limitation of Liability”), nelle quali Kraken, sostanzialmente, esclude la propria responsabilità in relazione ai danni che gli utenti potrebbero subire in dipendenza della perdita dei dati e/o delle informazioni caricate da questi ultimi sul portale.

Le eventuali controversie tra gli Utenti e Kraken, inoltre, sarebbero deferite al giudizio di un arbitro di San Francisco che dovrebbe necessariamente applicare le leggi dello stato della California.

Bitstamp.net

Bitstamp.net (“Bitstamp”) è un operatore di scambio criptovalute con sede nel Regno Unito. Le condizioni generali che l’utente è chiamato ad accettare presentano alcuni spunti degni di menzione.

L’utilizzo del Sito sarebbe riservato ad utilizzi “personali” e “non-commerciali”.

Bitstamp, nei limiti di legge, esclude qualsivoglia responsabilità per qualsivoglia tipologia di danno, ad eccezione di quelli derivanti da dolo, colpa grave o frodi.

In ogni caso, la responsabilità è, comunque, limitata al più grande tra: (i) l’importo totale detenuto dall’utente sull’account o il 125% dell’importo delle transazioni di cui all’azione di risarcimento danni proposta dall’utente. A tali importi, in ogni caso, andranno detratte le commissioni maturate da Bitstamp.

Per esperienza diretta di alcuni Assistiti, è emerso che Bitstamp non afferma alcuna propria responsabilità per la sottrazione dei bitcoin derivante da compromissione dell’account individuale.

Therocktrading.com

Therocktrading.com (“The Rock”) è un portale di scambio criptovalute gestito da una società con sede a Malta.

Le condizioni generali del servizio, per quanto ci interessa, stabiliscono che:

  • Gli utenti che subiscono frodi (es. sottrazione di bitcoin) non verranno rimborsati, ma riceveranno unicamente un supporto di tipo informatico (i.e. come proteggere in modo più sicuro il proprio account);
  • The Rock non sarà responsabile per nessuna tipologia di danno derivante dall’utilizzo dei servizi del Sito (ivi inclusa la sottrazione di bitcoin).

Coinbase.com

Coinbase.com (“Coinbase”) è un portale di scambio criptovalute gestito da una società con sede nel Regno Unito (la medesima società gestisce anche GDAX.com).

Le condizioni generali di Coinbase, molto strutturate, contengono una dettagliata disciplina in materia di responsabilità:

  • La responsabilità, se esistente, è, comunque, limitata al valore della valuta digitale depositata nell’account;
  • La responsabilità è, comunque, esclusa per tutti i danni diretti e/o indiretti derivanti dall’utilizzo autorizzato o non autorizzato dei servizi;

In altra sezione del sito si specifica che l’utente verrebbe rimborsato per l’eventuale perdita delle proprie risorse derivanti da violazioni della sicurezza fisica o logica di Coinbase o da azioni illecite dei dipendenti di quest’ultima. In ogni caso è escluso qualsivoglia rimborso per i danni derivanti dalla violazione dei singoli account.

Bitpanda.com

Bitpanda.com è un portale di scambio criptovalute gestito da una società con sede in Austria (la medesima società gestisce anche coinimal.com). Nelle condizioni generali di Bitpanda (art. 10) si chiarisce che:

  • Coinimal sarà responsabile solo per dolo o colpa grave;
  • viene, comunque, esclusa qualsivoglia responsabilità della società per danni indiretti e/o consequenziali, quali, a mero titolo esemplificativo, danni ad altri software. Inoltre, è esclusa la responsabilità per perdita di profitti (cd. Lucro cessante);
  • viene esclusa ogni responsabilità di Coinimal in conseguenza di eventi, a loro dire, non prevedibili né evitabili, quali, attacchi informatici o malfunzionamenti dei sistemi. Coinimal, inoltre, non sarà responsabile per i danni derivanti dalla compromissione dell’account individuale dell’utente.
  • Ogni ed eventuale controversia sarà soggetta alle leggi della Repubblica Austriaca e sarà giudicata dai giudici del foro di Vienna.

Sottrazione di bitcoin – servizi di exchange e responsabilità dei gestori dei servizi di pagamento

Come abbiamo avuto modo di osservare dalla rapida analisi sopra riportata, emerge un dato in modo particolarmente evidente: tutti i gestori di servizi di scambio criptovalute predispongono delle condizioni generali di contratto dove viene, sostanzialmente, esclusa ogni e/o qualsivoglia responsabilità (un’eccezione, a dire il vero, si riscontra con riferimento a coinbase dove, teoricamente, vi sarebbe una affermazione di responsabilità per i danni derivanti da eventi che colpiscano direttamente i propri sistemi).

In buona sostanza, se un utente, a seguito della sottrazione di bitcoin derivante, ad esempio, da hacking del proprio account, volesse tentare di richiedere un risarcimento danni al gestore del servizio di exchange, con ogni probabilità si troverebbe di fronte ad un vero e proprio muro.

Ma cosa accadrebbe in un giudizio?

Logicamente, ad oggi non disponiamo di precedenti giurisprudenziali in materia di servizi di scambio criptovalute e di wallet digitali, tuttavia, può avere senso esaminare alcune interessanti pronunce che hanno interessato i gestori di servizi di pagamento.

Ad esempio, in Cass. Civ., Sez. I., n. 2950 del 3 febbraio 2017, relativa ad un’ipotesi di trasferimento non autorizzato di fondi disponibili su un conto di pagamento online, la decisione è stata favorevole al titolare del conto corrente. Il gestore del conto di pagamento aveva affermato che il trasferimento in questione fosse unicamente imputabile a un possibile incauto comportamento del correntista, dal momento che l’operazione poteva essere stata disposta solo da un soggetto a conoscenza dei codici di accesso. La Cassazione, investita della questione, invece, come anticipato, ha accolto le ragioni del correntista. Inquadrato il rapporto del titolare del conto corrente e del gestore del servizio di pagamento (nella specie, Bancoposta) come ordinario rapporto obbligatorio, gli Ermellini hanno invocato i noti principi in tema di riparto dell’onere probatorio, secondo cui spetta al debitore dare prova dell’avvenuto adempimento o dell’impossibilità della prestazione derivante da causa a lui non imputabile. La Suprema Corte, quindi, richiama il precedente di Cass. 12 giugno 2007, n. 13777, secondo cui in tema di pagamenti elettronici, “non può essere omessa (…) la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio (…); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere”.

Pertanto, applicando tali principi al caso di specie, si afferma che:

  • occorreva un accertamento positivo della riconducibilità dell’operazione contestata al correntista;
  • la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, “rientra nell’area del rischio di impresa, destinato ad essere fronteggiato attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente attribuibile al cliente”;
  • non poteva, quindi, darsi rilievo alla “presunta condotta incauta del correntista”, ai fini della reiezione della domanda risarcitoria.

Ancora più chiara la sentenza n. 10638 del 23 maggio 2016 della Cassazione, secondo cui “ove si discuta di responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista nell’ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l’esecuzione dell’operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali” e, di conseguenza, è “il convenuto onerato della prova liberatoria consistente nell’aver adottato tutte le misure idonee a evitare il danno”.

La sentenza in questione è particolarmente interessante perché effettua un collegamento tra abusivo utilizzo dei codici di accesso a un sistema di pagamento e trattamento illecito di dati personali. La configurazione del fatto come violazione della privacy ha comportato l’applicazione del più severo regime di responsabilità per l’esercizio di attività pericolose (art. 15 codice privacy che richiama l’art. 2050 c.c.). Di conseguenza, sarebbe stato onere del gestore del servizio di pagamento adottare “misure preventive di sicurezza volte a ridurre al minimo i rischi di eventi dannosi, ivi compresi quelli correlati all’accesso non autorizzato ai dati personali”. Il suddetto principio era stato affermato anche dal Tribunale di Palermo, Sent. 11 giugno 2011 n. 6139, in cui era stato riscontrato che il sistema di sicurezza adottato appariva “inadeguato se raffrontato con quello adoperato da altri operatori

Un altro esempio è costituito da una sentenza del Tribunale di Milano del 4 dicembre 2014, in materia di phishing. Anche qui vi era un trasferimento di fondi non autorizzato dal correntista. La banca si era difesa sostenendo che, in realtà, la condotta sarebbe stata ascrivibile unicamente all’incuria del cliente che non avrebbe – a loro dire – adeguatamente protetto i codici di accesso.

Veniva, quindi, disposta C.T.U., all’esito della quale si evidenziava che i sistemi di sicurezza della banca coinvolta non apparivano conformi allo stato dell’arte. Infatti, il perito evidenziava che la prassi internazionale si era orientata per richiedere la cd. One-Time-Password (OTP) al fine di autorizzare operazioni dispositive. Si tratta, come noto, di codici alfanumerici generati attraverso dispositivi esterni nella disponibilità esclusiva del cliente (es. chiavette o smartphone) e validi solo per pochi secondi. Poiché la banca interessata non aveva, quindi, adottato siffatte misure di sicurezza (parliamo del 2014), il Giudice ha accolto la domanda risarcitoria del correntista.

Una soluzione, sostanzialmente analoga, era stata raggiunta dal Tribunale di Palermo, Sent. 12 gennaio 2010, dove era stato posto l’accento sulla inadeguatezza delle misure di sicurezza previste, atteso che: “Il PIN richiesto era di sole 4 cifre, mentre l’identificativo utente corrispondeva all’indirizzo e-mail di poste italiane del cliente (nel caso di specie (omissis)@posteitaliane.it), pertanto, facilmente ricavabile”.

In conclusione, dall’esame della giurisprudenza sviluppatasi con riferimento ai servizi di pagamento online, possiamo affermare che:

“l’intermediario sarà ritenuto responsabile per le operazioni non autorizzate effettuate in danno dei propri clienti quando non riuscirà a dimostrare di aver adottato misure di mitigazione dei rischi adeguate alla natura dell’attività e conformi allo stato dell’arte”.

Sottrazione di bitcoin – le condizioni generali dei servizi di exchange e il regime di responsabilità applicabile

Così delineato il quadro della responsabilità degli intermediari di servizi di pagamento, dobbiamo ora verificare se i principi affermati dalla giurisprudenza italiana possano o meno trovare applicazione anche nelle ipotesi di sottrazione di bitcoin da wallet digitali.

A prescindere dalla problematica qualificazione dei gestori dei wallet (per l’Agenzia delle Entrate sono equiparati ai cambiavalute) è indubbio che forniscano “servizi” nell’ambito di una attività di impresa.

La prima questione da esaminare è relativa alla legge applicabile. Abbiamo visto che ciascuno dei portali di scambio criptovalute analizzati “impone” all’utente una ben determinata legge regolatrice del rapporto.

Entra qui in gioco il regolamento comunitario Roma I, sulle obbligazioni contrattuali, secondo cui, nei rapporti con i consumatori (tale potrebbe essere definito un privato che acquista e vende bitcoin o altre criptovalute al di fuori di una attività professionale) si applica la legge del luogo di residenza abituale di questi ultimi o, comunque, anche laddove si applichi una legge scelta dalle parti, non si può privare i consumatori della protezione accordata loro dalle disposizioni nazionali inderogabili (art. 6).

Laddove trovasse applicazione la normativa Italiana, pertanto, le clausole di limitazione o esenzione di responsabilità previste nelle condizioni generali dei servizi di scambio criptovalute potrebbero essere ritenute vessatorie e, quindi, inefficaci. Ricordiamo che la clausola vessatoria è quella clausola che “malgrado la buona fede, determina a carico del consumatore un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto” (art. 33 D.lgs 206/2005). Tali clausole potrebbero essere efficaci solo se oggetto di trattativa individuale, con onere della prova a carico del professionista (art. 34, commi 4 e 5, D.lgs 206/2005). Tenendo in considerazione le modalità di conclusione dei contratti di servizio con i gestori dei portali in esame (si utilizza la modalità point and click nella sua forma più immediata) appare veramente difficile sostenere l’esistenza di una trattativa individuale.

Per quanto, invece, riguarda l’estensione dei principi giurisprudenziali sopra richiamati, a mio modesto avviso, ciò avverrebbe senza dubbio laddove si ravvisasse l’inefficacia della clausola di scelta della legge applicabile (per difetto di approvazione specifica o trattativa individuale). Ove ciò non avvenisse è, comunque, probabile che negli ordinamenti considerati (specialmente per quelli dei paesi comunitari) vi siano principi sostanzialmente analoghi. Basti pensare alle implicazioni in materia di privacy: sostenendo la tesi della equiparazione dell’accesso abusivo ai conti online ad una fattispecie di trattamento illecito di dati personali, troverebbero applicazione le “severe” previsioni del GDPR (ossia del nuovo regolamento generale sulla protezione dei dati personali).

Conclusioni

Alla luce delle riflessioni che abbiamo effettuato, si possono individuare i seguenti principi generali all’ipotesi della sottrazione dei bitcoin:

  • i gestori dei servizi di scambio criptovalute esercitano, a tutti gli effetti, una attività di impresa;
  • è preferibile utilizzare quei servizi che prevedano misure di sicurezza particolarmente rigorose per l’accesso all’account personale e, soprattutto, per l’autorizzazione di operazioni dispositive;
  • in presenza di una sottrazione di bitcoin (o di altre criptovalute) potrebbe sostenersi una responsabilità del gestore del servizio, in presenza di misure di sicurezza non coerenti con lo stato dell’arte;
  • le basi giuridiche della responsabilità di siffatti soggetti potrebbero essere individuate: (i) nella legge italiana, se ritenuta applicabile; (ii) nella disciplina europea sulla privacy (quanto meno con riferimento a tutte le ipotesi in cui essa trova applicazione a norma del GDPR).

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Related Posts
AVVOCATO,

CERCHI SENTENZE SU CASI ANALOGHI AL TUO?

CASSAZIONE.NET 4.0 L'EVOLUZIONE DELLO STUDIO LEGALE
PROVA GRATIS
close-link
Avvocato, vuole gestire tutta la sua professione con un'App?....
PROVA  ORA GRATIS
close-image