TRIB
Sentenza 21 novembre 2024
Sentenza 21 novembre 2024
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Reggio Emilia, sentenza 21/11/2024, n. 1148 |
|---|---|
| Giurisdizione : | Trib. Reggio Emilia |
| Numero : | 1148 |
| Data del deposito : | 21 novembre 2024 |
Testo completo
5080 /2022 R.G.
TRIBUNALE DI REGGIO EMILIA PRIMA SEZIONE CIVILE IN NOME DEL POPOLO ITALIANO
Il giudice, lette le note delle parti;
PQM
deposita sentenza ex art. 281-sexies c.p.c.
Il Giudice Lorenzo Meoli
pagina 1 di 6 5080/2022 R.G.
TRIBUNALE DI REGGIO EMILIA PRIMA SEZIONE CIVILE IN NOME DEL POPOLO ITALIANO
Il giudice, dott. Lorenzo Meoli, ha pronunciato la seguente
SENTENZA nel procedimento n. R.G. 5080/2022, vertente TRA
, , in persona del l.r.p.t., con l'avv. Parte_1 P.IVA_1
- ATTRICE CONTRO
, in persona del l.r.p.t., con l'avv. Controparte_1 P.IVA_2
CANELLI FEDERICA;
- CONVENUTA
Oggetto: Appalto: altre ipotesi ex art. 1655 e ss. cc (ivi compresa l'azione ex 1669cc). Conclusioni: le parti hanno concluso come in atti.
PREMESSA LA SOCIETÀ ha convenuto in giudizio la società Parte_1 er chiederne la condanna al risarcimento del danno Controparte_1 ttuale. A sostegno della propria domanda, ha rappresentato:
▶di aver stipulato con la società un contratto con cui Controparte_1 affidava a quest'ultima la realizzazione della propria infrastruttura tecnologica, e la incaricava delle relative attività di assistenza, gestione, manutenzione e aggiornamento dei sistemi;
▶di aver subito, in data 18/2/2021, un attacco informatico che ha determinato la cancellazione dei propri file informatici, e di essere stata costretta a pagare una somma all'autore dell'attacco per decriptare i dati;
▶che l'attacco è stato possibile a causa di negligenze della , CP_1 che non aveva implementato una politica adeguata di cambio password, non aveva protetto adeguatamente le credenziali per l'accesso al sistema di backup, non aveva configurato correttamente i sistemi di protezione e non aveva aggiornato i sistemi operativi dei computer;
▶di aver patito i seguenti danni: € 13.561,28 per costo del personale rimasto inoperoso;
€ 8.490,75 per pagare il riscatto all'hacker autore pagina 2 di 6 dell'attacco, € 4.343,75 per il ripristino dei sistemi;
€ 2.500 per spese di consulenza tecnica;
€ 600 per compensi relativi a un servizio repository in cloud mai attivato dalla convenuta. Ha, pertanto, chiesto la condanna della al pagamento della CP_1 somma complessiva di € 29.495,78. La società si è costituita e ha chiesto il rigetto Controparte_1 della domand dell'attacco informatico, i rapporti tra le parti erano retti da un secondo contratto con cui l'attrice, per risparmiare, aveva scelto di non rinnovarle l'incarico di occuparsi delle attività di gestione della sicurezza, di backup dei dati e di cloud.
MOTIVI DELLA DECISIONE La domanda è solo parzialmente fondata. Bisogna premettere che la presente causa, avendo a oggetto un'ipotesi di responsabilità contrattuale, soggiace al principio per cui il creditore, sia che agisca per l'adempimento, sia che agisca per la risoluzione o per il risarcimento del danno, deve dare la prova della fonte negoziale o legale del suo diritto e, se previsto, del termine di scadenza, mentre può limitarsi ad allegare l'inadempimento della controparte: sarà il debitore convenuto a dover fornire la prova del fatto estintivo del diritto, costituito dall'avvenuto adempimento (Cass. S.U. 13533/2001). Ebbene, nel caso per cui si procede, la società è riuscita solo in Pt_1 parte ad adempiere al proprio onere probatorio, dal to che molti degli inadempimenti imputati alla convenuta non possono, all'esito dell'istruttoria, considerarsi riferibili ad obbligazioni contrattuali effettivamente gravanti sulla società . CP_1
Il tema centrale della presente causa è costituito dalla prova del titolo e, in particolare, del contenuto del contratto stipulato tra le parti. Con riguardo a tale tema, è opportuno evidenziare sin da subito che, nel complesso, la ricostruzione dell'attrice non è stata sempre coerente, dal momento che la ha modificato per tre volte la propria prospettazione, Pt_1 individuando ogni volta un titolo in tutto o in parte diverso. Ciò ha determinato una certa genericità delle allegazioni, nonché una forte lacunosità del materiale probatorio offerto. 1) In un primo momento, l'attrice aveva infatti imputato alla convenuta l'inadempimento del contratto stipulato dalle parti il 18/5/2018 (doc. 2). Tale accordo affidava effettivamente la sicurezza dei sistemi, i backup, e i servizi in cloud alla . CP_1
Tutta mostrato in via documentale dalla convenuta, tale contratto aveva durata annuale, ed era stato sostituito da un secondo contratto, stipulato nel 2019, che escludeva espressamente le prestazioni in questione (vd. doc. 1). 2) Nella prima memoria ex art. 183 co. 6 c.p.c., la è passata a Pt_1 sostenere che, alla scadenza di questo secondo contratto, arti sarebbe intervenuto un nuovo accordo che riaffidava alla le prestazioni CP_1 escluse durante l'anno precedente. Sarebbe quindi questo, in buona parte, il titolo posto alla base della domanda. Tale circostanza, però, oltre a non essere stata in alcun modo provata, risulta anche prospettata in modo generico, dal momento che l'attrice non ha allegato quale sarebbe l'effettivo contenuto di questo ulteriore e imprecisato pagina 3 di 6 contratto, neppure nei suoi elementi essenziali (durata, compenso, ecc.), limitandosi a sostenere che comprendeva anche la gestione della sicurezza. L'attrice fa riferimento a rapporti di fiducia e collaborazione che si sarebbero consolidati tra le parti, ma – ad avviso di questo Giudice – da tali rapporti (peraltro anch'essi prospettati in modo generico) non può certamente desumersi, in via presuntiva, la stipula di un nuovo contratto di contenuto diverso dal precedente (contratto che peraltro, laddove avesse effettivamente affidato alla convenuta maggiori prestazioni, avrebbe dovuto prevedere anche maggiori compensi). Al contrario, proprio l'assenza di ulteriori contratti scritti e/o di documentazione comprovante un'attività di rinegoziazione tra le parti impone di presumere che queste avessero inteso proseguire il proprio rapporto sulla base degli accordi già stipulati (vale a dire quelli del 2019). 3) Infine, nella seconda memoria ex art. 183 co. 6 c.p.c., l'attrice ha sostenuto che, dal momento che tra l'ottobre e il novembre 2019 le parti si erano scambiate delle e-mail sul tema della sicurezza dei sistemi (doc. 24), vi sarebbe in ogni caso un inadempimento della rispetto all'attività CP_1 di consulenza che le era stata richiesta in quel Questa ricostruzione (che, a ben vedere, introduce un addebito di responsabilità nuovo rispetto a quelli dedotti in citazione, se non addirittura un titolo diverso, laddove l'attrice intendesse considerare lo scambio di e-mail alla stregua di un rapporto negoziale in tutto o in parte autonomo) è però evidentemente tardiva, in quanto fa riferimento a fatti introdotti per la prima volta oltre il termine per le preclusioni assertive (vale a dire la prima memoria ex art. 183 co. 6 c.p.c.) e va pertanto disattesa. Peraltro, la medesima ricostruzione appare infondata anche nel merito, posto che le e-mail in questione, per forma e contenuto, costituiscono un mero confronto informale tra la e la su un tema generico Pt_1 CP_1
(difesa dai ransomware), non contengono un riferimento a uno specifico livello di sicurezza da raggiungere, e non possono pertanto essere considerati una vera e propria richiesta di verifica o di aumento delle misure protettive, che comunque non rientravano tra le obbligazioni della e CP_1 avrebbero dovuto essere oggetto di un separato incarico (del resto non è dato sapere se a tale e-mail erano seguiti contatti tra le parti sul punto). A ben vedere, le difficoltà della nell'individuare il titolo su cui Pt_1 fondare la propria domanda sono sin e di una certa approssimazione nella gestione del rapporto contrattuale da parte di entrambi i contraenti (i quali, perlomeno a quanto risulta, dopo il 2019 avevano smesso di regolamentare in modo esplicito il loro rapporto). È pertanto possibile, e forse anche probabile, che l'attrice non fosse completamente consapevole del contenuto del contratto intercorso con la convenuta e che desse per scontato che quest'ultima dovesse occuparsi della sicurezza dei sistemi, ma – considerato che tra le parti esisteva un contratto avente forma scritta, peraltro di agevole comprensione – tale circostanza è irrilevante, e certamente non basta per ritenere la convenuta gravata di ulteriori obbligazioni non previste in contratto e non concordate. Per tutti questi motivi, gli addebiti di responsabilità formulati dall'attrice dovranno essere valutati guardando esclusivamente al contenuto dei contratti stipulati nel 2018 (per ciò che attiene alle prestazioni istantanee e a quelle che non si erano esaurite alla scadenza del contratto) e nel 2019. pagina 4 di 6 A tal fine, è stata disposta una CTU, all'esito della quale è emerso quanto segue:
1) gli addebiti di responsabilità contenuti nell'atto di citazione alle lettere a), c) e d) riguardano prestazioni riferibili all'attività di gestione dei backup e della sicurezza, vale a dire attività che dopo il 2019 non competevano alla convenuta, e di conseguenza sono infondati (vd. pag. 28: “al momento dell'attacco la CONVENUTA non aveva la responsabilità della gestione dei KU e della Sicurezza ciononostante operava sui server attaccati per il loro mantenimento ed efficienza”);
2) con riguardo all'addebito b), può invece rilevarsi una responsabilità della convenuta, che aveva adempiuto con parziale negligenza le obbligazioni oggetto del contratto del 2018, configurando sin dall'inizio il modello di sicurezza in modo non conforme alle linee guida del produttore del software VE KU (le quali suggerivano di configurare un sistema di protezione dei dati autonomo dall'ambiente che doveva proteggere);
3) vi è, quindi, una corresponsabilità tra attrice e convenuta per i pregiudizi patiti dalla a causa dell'attacco informatico, che può essere Pt_1 ripartita in misura 6 ; ciò perché, secondo il CTU, il rispetto delle linee guida VE KU avrebbe potuto ridurre in modo significativo (80%) il rischio di perdere i dati, ma l'incidenza di tale errore sul rischio complessivo avrebbe potuto essere contenuta con un'adeguata attività di gestione dei backup e della sicurezza, che – da contratto – competeva alla di Pt_1 conseguenza, il contributo causale dell'inadempimento va dimezza on considerassimo il contratto di Gestione dei servizi informatici, la applicazione delle best practices avrebbe diminuito il rischio significativamente, forse dell'80%. Considerando la responsabilità della Governance IT, dei servizi di gestione dei KU e della Sicurezza in capo alla la incidenza % della non conformità iniziale deve essere Pt_1 diminuita, diciamo di un 50% circa”). Ad avviso di questo Giudice, gli esiti della CTU sono condivisibili. È vero che il perito non è stato in grado di formulare un giudizio certo sulla natura dell'attacco informatico, né tanto meno di stabilire con certezza (sul piano del nesso causale) se eventuali misure di sicurezza avrebbero potuto prevenire la perdita dei dati. Tuttavia, il giudizio probabilistico cui è pervenuto appare chiaro e ben motivato, e – ai fini della presente causa – può considerarsi sufficiente. Bisogna infatti ricordare che, per consolidata giurisprudenza di legittimità, nel processo civile vige la cd. regola della preponderanza dell'evidenza o "del più probabile che non", non essendo richiesta la prova della causalità oltre ogni ragionevole dubbio (cfr. Cass. Cass. S.U. 581/2008; n. 21619/2007)». Del resto, gli esiti della perizia non risultano smentiti dalle osservazioni dei CTP. In particolare, bisogna evidenziare come non siano condivisibili le critiche del CTP della , secondo cui le linee-guida VE KU CP_1 sarebbero mutevoli e in continuo aggiornamento, dal momento che il CTU ha chiarito come la regola di prudenza disattesa dalla convenuta fosse già contenuta in linee-guida ben anteriori all'epoca del contratto (2015). Le critiche del CTP della non appaiono invece rilevanti perché Pt_1 incentrate sul tema (già esaminato) degli obblighi contrattuali che gravavano sulla . CP_1
pagina 5 di 6 Quanto, infine, al criterio utilizzato dal CTU per il riparto delle responsabilità, deve ritenersi che – pur essendo lo stesso evidentemente approssimativo – appare coerente con il ragionamento seguito, che, nel comparare la responsabilità delle parti, assegna un peso maggiore alle negligenze della che avrebbe dovuto occuparsi costantemente della Pt_1 sicurezza e del backup dei dati. Peraltro, i CTP non hanno proposto metodi alternativi di attribuzione delle responsabilità. In conclusione, dunque, sul piano dell'an, la domanda della è Pt_1 fondata esclusivamente con riguardo al parziale inadempimento del contratto del 2018, limitando al 40% la responsabilità della . CP_1
Passando al diverso tema del quantum, questo Giudice ritiene di poter riconoscere all'attrice esclusivamente l'importo di € 3.396,30 individuato dal CTU, corrispondente al 40% delle somme pagate per il recupero dei file dall'autore dell'attacco informatico e per il ripristino dell'infrastruttura tecnologica e dell'implementazione delle misure di sicurezza. Le ulteriori somme richieste non sono dovute, in quanto:
1) l'asserito danno di € 13.561 patito dalla per spese di personale Pt_1 rimasto inoperoso, oltre a non essere provat creto (non essendovi prova che il personale sia rimasto davvero completamente inerte), appare comunque quantificato secondo un criterio non condivisibile in astratto;
le spese di personale, infatti, rappresentano un costo che l'attrice avrebbe dovuto sostenere in ogni caso;
semmai il danno potrebbe essere costituito dall'utile non realizzato nei giorni di inoperosità, ma sul punto non è stato dedotto nulla;
2) la somma di € 2.500 attiene a spese tecniche non necessarie e perlopiù superflue considerato l'esito del giudizio;
3) il pagamento di € 600 per il servizio di repository non è provato. La deve, dunque, essere condannata a pagare la somma di € CP_1
3.396,30, più interessi legali dalla domanda al saldo. Le spese di lite seguono la soccombenza, e sono liquidate in dispositivo facendo applicazione dei parametri di cui al DM 55/2014 riferiti all'importo del decisum (vale a dire € 3.396,30). Visto l'esito del giudizio e degli accertamenti peritali, le spese di CTU vanno ripartite al 50% tra le parti.
P.Q.M.
Il Tribunale, definitivamente pronunciando, così provvede:
▶accoglie in parte la domanda e condanna la convenuta al pagamento della somma di € 3.396,30, più interessi legali dalla domanda al saldo;
▶condanna la convenuta al pagamento delle spese di lite, che si liquidano in € 1.280 per onorari, più spese generali, IVA e CPA come per legge;
▶pone definitivamente a carico di entrambe le parti le spese di CTU.
Reggio Emilia, il 21/11/2024
Il Giudice
Lorenzo Meoli
pagina 6 di 6
TRIBUNALE DI REGGIO EMILIA PRIMA SEZIONE CIVILE IN NOME DEL POPOLO ITALIANO
Il giudice, lette le note delle parti;
PQM
deposita sentenza ex art. 281-sexies c.p.c.
Il Giudice Lorenzo Meoli
pagina 1 di 6 5080/2022 R.G.
TRIBUNALE DI REGGIO EMILIA PRIMA SEZIONE CIVILE IN NOME DEL POPOLO ITALIANO
Il giudice, dott. Lorenzo Meoli, ha pronunciato la seguente
SENTENZA nel procedimento n. R.G. 5080/2022, vertente TRA
, , in persona del l.r.p.t., con l'avv. Parte_1 P.IVA_1
- ATTRICE CONTRO
, in persona del l.r.p.t., con l'avv. Controparte_1 P.IVA_2
CANELLI FEDERICA;
- CONVENUTA
Oggetto: Appalto: altre ipotesi ex art. 1655 e ss. cc (ivi compresa l'azione ex 1669cc). Conclusioni: le parti hanno concluso come in atti.
PREMESSA LA SOCIETÀ ha convenuto in giudizio la società Parte_1 er chiederne la condanna al risarcimento del danno Controparte_1 ttuale. A sostegno della propria domanda, ha rappresentato:
▶di aver stipulato con la società un contratto con cui Controparte_1 affidava a quest'ultima la realizzazione della propria infrastruttura tecnologica, e la incaricava delle relative attività di assistenza, gestione, manutenzione e aggiornamento dei sistemi;
▶di aver subito, in data 18/2/2021, un attacco informatico che ha determinato la cancellazione dei propri file informatici, e di essere stata costretta a pagare una somma all'autore dell'attacco per decriptare i dati;
▶che l'attacco è stato possibile a causa di negligenze della , CP_1 che non aveva implementato una politica adeguata di cambio password, non aveva protetto adeguatamente le credenziali per l'accesso al sistema di backup, non aveva configurato correttamente i sistemi di protezione e non aveva aggiornato i sistemi operativi dei computer;
▶di aver patito i seguenti danni: € 13.561,28 per costo del personale rimasto inoperoso;
€ 8.490,75 per pagare il riscatto all'hacker autore pagina 2 di 6 dell'attacco, € 4.343,75 per il ripristino dei sistemi;
€ 2.500 per spese di consulenza tecnica;
€ 600 per compensi relativi a un servizio repository in cloud mai attivato dalla convenuta. Ha, pertanto, chiesto la condanna della al pagamento della CP_1 somma complessiva di € 29.495,78. La società si è costituita e ha chiesto il rigetto Controparte_1 della domand dell'attacco informatico, i rapporti tra le parti erano retti da un secondo contratto con cui l'attrice, per risparmiare, aveva scelto di non rinnovarle l'incarico di occuparsi delle attività di gestione della sicurezza, di backup dei dati e di cloud.
MOTIVI DELLA DECISIONE La domanda è solo parzialmente fondata. Bisogna premettere che la presente causa, avendo a oggetto un'ipotesi di responsabilità contrattuale, soggiace al principio per cui il creditore, sia che agisca per l'adempimento, sia che agisca per la risoluzione o per il risarcimento del danno, deve dare la prova della fonte negoziale o legale del suo diritto e, se previsto, del termine di scadenza, mentre può limitarsi ad allegare l'inadempimento della controparte: sarà il debitore convenuto a dover fornire la prova del fatto estintivo del diritto, costituito dall'avvenuto adempimento (Cass. S.U. 13533/2001). Ebbene, nel caso per cui si procede, la società è riuscita solo in Pt_1 parte ad adempiere al proprio onere probatorio, dal to che molti degli inadempimenti imputati alla convenuta non possono, all'esito dell'istruttoria, considerarsi riferibili ad obbligazioni contrattuali effettivamente gravanti sulla società . CP_1
Il tema centrale della presente causa è costituito dalla prova del titolo e, in particolare, del contenuto del contratto stipulato tra le parti. Con riguardo a tale tema, è opportuno evidenziare sin da subito che, nel complesso, la ricostruzione dell'attrice non è stata sempre coerente, dal momento che la ha modificato per tre volte la propria prospettazione, Pt_1 individuando ogni volta un titolo in tutto o in parte diverso. Ciò ha determinato una certa genericità delle allegazioni, nonché una forte lacunosità del materiale probatorio offerto. 1) In un primo momento, l'attrice aveva infatti imputato alla convenuta l'inadempimento del contratto stipulato dalle parti il 18/5/2018 (doc. 2). Tale accordo affidava effettivamente la sicurezza dei sistemi, i backup, e i servizi in cloud alla . CP_1
Tutta mostrato in via documentale dalla convenuta, tale contratto aveva durata annuale, ed era stato sostituito da un secondo contratto, stipulato nel 2019, che escludeva espressamente le prestazioni in questione (vd. doc. 1). 2) Nella prima memoria ex art. 183 co. 6 c.p.c., la è passata a Pt_1 sostenere che, alla scadenza di questo secondo contratto, arti sarebbe intervenuto un nuovo accordo che riaffidava alla le prestazioni CP_1 escluse durante l'anno precedente. Sarebbe quindi questo, in buona parte, il titolo posto alla base della domanda. Tale circostanza, però, oltre a non essere stata in alcun modo provata, risulta anche prospettata in modo generico, dal momento che l'attrice non ha allegato quale sarebbe l'effettivo contenuto di questo ulteriore e imprecisato pagina 3 di 6 contratto, neppure nei suoi elementi essenziali (durata, compenso, ecc.), limitandosi a sostenere che comprendeva anche la gestione della sicurezza. L'attrice fa riferimento a rapporti di fiducia e collaborazione che si sarebbero consolidati tra le parti, ma – ad avviso di questo Giudice – da tali rapporti (peraltro anch'essi prospettati in modo generico) non può certamente desumersi, in via presuntiva, la stipula di un nuovo contratto di contenuto diverso dal precedente (contratto che peraltro, laddove avesse effettivamente affidato alla convenuta maggiori prestazioni, avrebbe dovuto prevedere anche maggiori compensi). Al contrario, proprio l'assenza di ulteriori contratti scritti e/o di documentazione comprovante un'attività di rinegoziazione tra le parti impone di presumere che queste avessero inteso proseguire il proprio rapporto sulla base degli accordi già stipulati (vale a dire quelli del 2019). 3) Infine, nella seconda memoria ex art. 183 co. 6 c.p.c., l'attrice ha sostenuto che, dal momento che tra l'ottobre e il novembre 2019 le parti si erano scambiate delle e-mail sul tema della sicurezza dei sistemi (doc. 24), vi sarebbe in ogni caso un inadempimento della rispetto all'attività CP_1 di consulenza che le era stata richiesta in quel Questa ricostruzione (che, a ben vedere, introduce un addebito di responsabilità nuovo rispetto a quelli dedotti in citazione, se non addirittura un titolo diverso, laddove l'attrice intendesse considerare lo scambio di e-mail alla stregua di un rapporto negoziale in tutto o in parte autonomo) è però evidentemente tardiva, in quanto fa riferimento a fatti introdotti per la prima volta oltre il termine per le preclusioni assertive (vale a dire la prima memoria ex art. 183 co. 6 c.p.c.) e va pertanto disattesa. Peraltro, la medesima ricostruzione appare infondata anche nel merito, posto che le e-mail in questione, per forma e contenuto, costituiscono un mero confronto informale tra la e la su un tema generico Pt_1 CP_1
(difesa dai ransomware), non contengono un riferimento a uno specifico livello di sicurezza da raggiungere, e non possono pertanto essere considerati una vera e propria richiesta di verifica o di aumento delle misure protettive, che comunque non rientravano tra le obbligazioni della e CP_1 avrebbero dovuto essere oggetto di un separato incarico (del resto non è dato sapere se a tale e-mail erano seguiti contatti tra le parti sul punto). A ben vedere, le difficoltà della nell'individuare il titolo su cui Pt_1 fondare la propria domanda sono sin e di una certa approssimazione nella gestione del rapporto contrattuale da parte di entrambi i contraenti (i quali, perlomeno a quanto risulta, dopo il 2019 avevano smesso di regolamentare in modo esplicito il loro rapporto). È pertanto possibile, e forse anche probabile, che l'attrice non fosse completamente consapevole del contenuto del contratto intercorso con la convenuta e che desse per scontato che quest'ultima dovesse occuparsi della sicurezza dei sistemi, ma – considerato che tra le parti esisteva un contratto avente forma scritta, peraltro di agevole comprensione – tale circostanza è irrilevante, e certamente non basta per ritenere la convenuta gravata di ulteriori obbligazioni non previste in contratto e non concordate. Per tutti questi motivi, gli addebiti di responsabilità formulati dall'attrice dovranno essere valutati guardando esclusivamente al contenuto dei contratti stipulati nel 2018 (per ciò che attiene alle prestazioni istantanee e a quelle che non si erano esaurite alla scadenza del contratto) e nel 2019. pagina 4 di 6 A tal fine, è stata disposta una CTU, all'esito della quale è emerso quanto segue:
1) gli addebiti di responsabilità contenuti nell'atto di citazione alle lettere a), c) e d) riguardano prestazioni riferibili all'attività di gestione dei backup e della sicurezza, vale a dire attività che dopo il 2019 non competevano alla convenuta, e di conseguenza sono infondati (vd. pag. 28: “al momento dell'attacco la CONVENUTA non aveva la responsabilità della gestione dei KU e della Sicurezza ciononostante operava sui server attaccati per il loro mantenimento ed efficienza”);
2) con riguardo all'addebito b), può invece rilevarsi una responsabilità della convenuta, che aveva adempiuto con parziale negligenza le obbligazioni oggetto del contratto del 2018, configurando sin dall'inizio il modello di sicurezza in modo non conforme alle linee guida del produttore del software VE KU (le quali suggerivano di configurare un sistema di protezione dei dati autonomo dall'ambiente che doveva proteggere);
3) vi è, quindi, una corresponsabilità tra attrice e convenuta per i pregiudizi patiti dalla a causa dell'attacco informatico, che può essere Pt_1 ripartita in misura 6 ; ciò perché, secondo il CTU, il rispetto delle linee guida VE KU avrebbe potuto ridurre in modo significativo (80%) il rischio di perdere i dati, ma l'incidenza di tale errore sul rischio complessivo avrebbe potuto essere contenuta con un'adeguata attività di gestione dei backup e della sicurezza, che – da contratto – competeva alla di Pt_1 conseguenza, il contributo causale dell'inadempimento va dimezza on considerassimo il contratto di Gestione dei servizi informatici, la applicazione delle best practices avrebbe diminuito il rischio significativamente, forse dell'80%. Considerando la responsabilità della Governance IT, dei servizi di gestione dei KU e della Sicurezza in capo alla la incidenza % della non conformità iniziale deve essere Pt_1 diminuita, diciamo di un 50% circa”). Ad avviso di questo Giudice, gli esiti della CTU sono condivisibili. È vero che il perito non è stato in grado di formulare un giudizio certo sulla natura dell'attacco informatico, né tanto meno di stabilire con certezza (sul piano del nesso causale) se eventuali misure di sicurezza avrebbero potuto prevenire la perdita dei dati. Tuttavia, il giudizio probabilistico cui è pervenuto appare chiaro e ben motivato, e – ai fini della presente causa – può considerarsi sufficiente. Bisogna infatti ricordare che, per consolidata giurisprudenza di legittimità, nel processo civile vige la cd. regola della preponderanza dell'evidenza o "del più probabile che non", non essendo richiesta la prova della causalità oltre ogni ragionevole dubbio (cfr. Cass. Cass. S.U. 581/2008; n. 21619/2007)». Del resto, gli esiti della perizia non risultano smentiti dalle osservazioni dei CTP. In particolare, bisogna evidenziare come non siano condivisibili le critiche del CTP della , secondo cui le linee-guida VE KU CP_1 sarebbero mutevoli e in continuo aggiornamento, dal momento che il CTU ha chiarito come la regola di prudenza disattesa dalla convenuta fosse già contenuta in linee-guida ben anteriori all'epoca del contratto (2015). Le critiche del CTP della non appaiono invece rilevanti perché Pt_1 incentrate sul tema (già esaminato) degli obblighi contrattuali che gravavano sulla . CP_1
pagina 5 di 6 Quanto, infine, al criterio utilizzato dal CTU per il riparto delle responsabilità, deve ritenersi che – pur essendo lo stesso evidentemente approssimativo – appare coerente con il ragionamento seguito, che, nel comparare la responsabilità delle parti, assegna un peso maggiore alle negligenze della che avrebbe dovuto occuparsi costantemente della Pt_1 sicurezza e del backup dei dati. Peraltro, i CTP non hanno proposto metodi alternativi di attribuzione delle responsabilità. In conclusione, dunque, sul piano dell'an, la domanda della è Pt_1 fondata esclusivamente con riguardo al parziale inadempimento del contratto del 2018, limitando al 40% la responsabilità della . CP_1
Passando al diverso tema del quantum, questo Giudice ritiene di poter riconoscere all'attrice esclusivamente l'importo di € 3.396,30 individuato dal CTU, corrispondente al 40% delle somme pagate per il recupero dei file dall'autore dell'attacco informatico e per il ripristino dell'infrastruttura tecnologica e dell'implementazione delle misure di sicurezza. Le ulteriori somme richieste non sono dovute, in quanto:
1) l'asserito danno di € 13.561 patito dalla per spese di personale Pt_1 rimasto inoperoso, oltre a non essere provat creto (non essendovi prova che il personale sia rimasto davvero completamente inerte), appare comunque quantificato secondo un criterio non condivisibile in astratto;
le spese di personale, infatti, rappresentano un costo che l'attrice avrebbe dovuto sostenere in ogni caso;
semmai il danno potrebbe essere costituito dall'utile non realizzato nei giorni di inoperosità, ma sul punto non è stato dedotto nulla;
2) la somma di € 2.500 attiene a spese tecniche non necessarie e perlopiù superflue considerato l'esito del giudizio;
3) il pagamento di € 600 per il servizio di repository non è provato. La deve, dunque, essere condannata a pagare la somma di € CP_1
3.396,30, più interessi legali dalla domanda al saldo. Le spese di lite seguono la soccombenza, e sono liquidate in dispositivo facendo applicazione dei parametri di cui al DM 55/2014 riferiti all'importo del decisum (vale a dire € 3.396,30). Visto l'esito del giudizio e degli accertamenti peritali, le spese di CTU vanno ripartite al 50% tra le parti.
P.Q.M.
Il Tribunale, definitivamente pronunciando, così provvede:
▶accoglie in parte la domanda e condanna la convenuta al pagamento della somma di € 3.396,30, più interessi legali dalla domanda al saldo;
▶condanna la convenuta al pagamento delle spese di lite, che si liquidano in € 1.280 per onorari, più spese generali, IVA e CPA come per legge;
▶pone definitivamente a carico di entrambe le parti le spese di CTU.
Reggio Emilia, il 21/11/2024
Il Giudice
Lorenzo Meoli
pagina 6 di 6