Danni cagionati da vizio della cosa - Analisi normativa delle polizze cyber come contratti di a

Capitolo II: Analisi normativa delle polizze cyber come contratti di assicurazione contro i dann

4. Danni cagionati da vizio della cosa

Continuando con l'analisi, si può affermare che l'art. 1906 C.C., che si occupa di danni cagionati da vizio della cosa, definisce un ulteriore limite all'operatività della copertura assicurativa, disponendo che l'assicuratore non risponde dei danni prodotti da vizio intrinseco della cosa assicurata, che non gli sia stato denunziato, permettendo comunque il patto contrario. Da tale norma comunque si deduce immediatamente la possibilità che anche il vizio intrinseco sia garantito, ma a tal fine sarà necessaria appunto una previsione ad hoc134_.

La ratio di questa norma è quella di evitare che l'assicuratore debba rispondere del danno quando questo è intrinseco della cosa e che quindi, nonostante fosse già presente al momento della stipula del contratto, non gli è stato comunicato. Questa disposizione infatti risponde al principio generale per cui l'assicuratore risponde solamente per i danni determinati da cause che siano esterne all'assicurato135_.

Il legislatore in questa norma disciplina anche il caso in cui il vizio in questione abbia solamente aggravato il danno, prevedendo che l'assicuratore debba risponderne solamente nella misura in cui questo sarebbe stato a suo carico, qualora il vizio non fosse mai esistito. Si può ritenere corretta la disposizione, in quanto prevede la

133_P_ACE_{P., "E' possibile assegnare un valore economico alla voce «rischio cyber»?". ZeroUno.}

https://www.zerounoweb.it/techtarget/searchsecurity/cybercrime/e-possibile-assegnare-un-valore- economico-alla-voce-rischio-cyber/.

134_S_ALANDRA_{A., op. ult. cit., p. 332; D}_ONATI_{A., Trattato del diritto delle assicurazioni private, vol. II,}

Milano, 1952.

realizzazione di un riparto tra le conseguenze economiche pregiudizievoli facendo gravare sull'assicurato quella quota del danno che è dipesa dal vizio intrinseco del bene in questione.

Si considera, in sede di analisi della norma nel contesto cyber, il particolare esempio del difetto del software utilizzato dall'impresa. Nel caso in cui questo si verifichi infatti, è possibile che il sinistro sia causato o più semplicemente aggravato da questa condizione, causando maggiori danni. Risulta applicabile la disposizione dell'art. 1906 C.C. in questi casi, in quanto non si può far ricadere la responsabilità di una tale situazione sull'impresa di assicurazione.

In questi casi, l'impresa danneggiata dovrà rivolgersi al fornitore del software, che risponderà del danno in base alle caratteristiche del rapporto di fornitura che ha con il cliente danneggiato.

L'art. 1906 C.C. risulta avere un contenuto dispositivo e non imperativo, ammettendo la presenza di diverse pattuizioni. Queste ultime potranno essere a favore dell'assicurato o contro di esso, e sarà quindi così possibile che venga coperto interamente anche il danno aggravato o comunque determinato da vizio intrinseco della cosa, ma sarà anche possibile che nelle condizioni generali sia contenuta la previsione per cui l'indennizzo non è dovuto anche nel caso di un mero aggravamento del danno per vizio della cosa.

Il vizio deve essere occulto, non denunciato e non altrimenti conoscibile dall'assicuratore136_.

La norma si riferisce ad un vizio che è intrinseco, ovvero che non dipende dall'intervento di un agente esterno alla cosa: nel caso del software il vizio intrinseco si può identificare con un difetto di progettazione dello stesso, che lo ha reso più vulnerabile o comunque non adatto a svolgere la funzione per la quale è stato ideato e distribuito. Esso sarà quindi relativo ad una qualità naturale oppure ad un'alterazione non normale del bene ovvero un'alterazione che non si trova in tutte le cose di media

qualità. La dottrina tiene distinte le due ipotesi in quanto ritiene che il vizio che sia legato ad una qualità naturale della cosa, essendo inassicurabile per assenza del rischio secondo l'art. 1895 C.C., non ammetterebbe patto contrario a favore della sua indennizzabilità137_{. In ogni caso nel contesto cyber si ritiene più gravoso che un}

software soffra di difetti naturali piuttosto che di alterazione: nel caso in cui un programma venga fin dal principio creato con dei difetti di sistema, una sua eventuale distribuzione su larga scala potrebbe portare a danni molto significativi.

Si riconosce immediatamente la funzione di questa norma come completamento della disciplina degli artt. 1892 e 1893 C.C. riguardante le dichiarazioni inesatte o reticenti di cui si vedrà (Cap. III, paragrafi 4 e 5), rispetto alle quali però, sotto il profilo della denuncia del vizio, pone tuttavia dei problemi di coordinamento, in relazione alle dichiarazioni sullo stato del rischio e alla denuncia dell'aggravamento del rischio. La dottrina maggioritaria comunque ammette l'applicazione combinata degli articoli in questione, dal momento che riguardano ambiti disciplinari diversi: gli artt. 1892 e 1893 C.C. riguardanti le dichiarazioni inesatte o reticenti si riferiscono allo stato del rischio, mentre l'art. 1906 C.C. ha ad oggetto le incidenze relative alla gravità del danno138_.

La giurisprudenza ha comunque affermato che l'ambito di applicazione dell'art. 1906 C.C. non può essere esteso alla assicurazione della responsabilità civile che riguardano cioè la responsabilità risarcitoria verso terzi per fatti connessi alla proprietà o al godimento del bene, nella quale infatti è mancante l'elemento della "cosa assicurata" nella sua materialità oggettiva139_.

Si fa riferimento nel caso specifico ai danni causati a terzi per la violazione di un sistema informatico causato o aggravato dai difetti di produzione del software utilizzato dall'impresa assicurata: in questo caso, seguendo l'indirizzo della giurisprudenza nella impossibilità di applicazione dell'art. 1905 C.C. a questa fattispecie in generale, si riterrebbe chiamato in causa l'assicuratore per la copertura del danno consistente nella richiesta di risarcimento da parte di un terzo per violazione o perdita

137_S_ALANDRA_{A., op. ult. cit.}

138_G_ASPERONI_N.,_F_ANELLI_{G., Il contratto di assicurazione, vol. I, Milano, 1971, p. 122.} 139_{Cass. Civ., Sez. I, 6 febbraio 1990, n. 797, in Giur. It., Mass., 1990.}

dei suoi dati personali da parte dell'assicurato, non essendo configurabile la materialità della cosa nel caso di richiesta di risarcimento verso terzi.

Nel documento Le coperture assicurative contro il cyber risk: analisi normativa e prospettive future (pagine 71-74)