Media Markt non deve segnalare le lacune di sicurezza e gli aggiornamenti mancanti negli smartphone in vendita. Questo è stato deciso dal 6° Senato Civile del Tribunale Regionale Superiore di Colonia e ha confermato una decisione del Tribunale Regionale di Colonia che respingeva il ricorso.
L'Associazione dei Consumatori del Nord Reno-Westfalia (Verbraucherzentrale NRW) aveva intentato una causa contro un Media Markt di Colonia per non aver informato i suoi clienti sui sistemi operativi obsoleti. L'associazione dei consumatori aveva effettuato acquisti di prova al mercato dell'elettronica e aveva fatto esaminare gli smartphone acquistati da esperti dell'Ufficio federale per la sicurezza dell'informazione (BSI) per le lacune di sicurezza.
Gli specialisti ne hanno trovati diversi: Uno degli smartphone, un Mobistel Cynus T6 con Android 4.4 "Kitkat", aveva 15 delle 28 vulnerabilità di sicurezza testate, un altro solo una, anche se entrambi i dispositivi avevano nominalmente la stessa vecchia versione del sistema operativo Android preinstallata. Per quanto riguarda l'età del sistema operativo: "Kitkat" ha celebrato la sua prima volta il 31 ottobre 2013 sul Google Nexus 5.
La ragione di queste differenze è che il sistema operativo è adattato al modello di smartphone sviluppato dal rispettivo produttore e anche le nuove versioni del sistema operativo possono essere utilizzate solo se la nuova versione del sistema operativo è stata precedentemente adattata al rispettivo modello. Secondo il BSI, un dispositivo con 15 vulnerabilità di sicurezza rappresenta un rischio evidente per gli utenti. Dopo che l'ufficio ha contattato senza successo il produttore, l'associazione per la protezione dei consumatori ha preteso che l'operatore del mercato dell'elettronica smettesse di vendere i dispositivi senza riferimento alle lacune di sicurezza ed è andato in tribunale con un'azione per un'ingiunzione.
Motivi del licenziamento
Questo è stato ora respinto dal Tribunale Regionale così come dalla Corte Regionale Superiore di Colonia (caso n. 6 U 100/19). Il 6° Senato Civile del Tribunale Regionale Superiore ha giustificato il rigetto del ricorso affermando che non erano soddisfatti i requisiti per una richiesta di provvedimenti ingiuntivi. Sarebbe uno sforzo irragionevole per il mercato dell'elettronica ottenere informazioni sulle vulnerabilità di sicurezza per ogni singolo modello di smartphone offerto.
È vero che l'informazione sull'esistenza di vulnerabilità di sicurezza è importante per i consumatori, poiché questo potrebbe violare la loro privacy e i dati ottenuti potrebbero essere utilizzati in modo improprio per scopi fraudolenti. Tuttavia, bisognava anche tener conto del fatto che la società convenuta poteva determinare le vulnerabilità di sicurezza solo attraverso test, che dovevano riguardare il rispettivo tipo di smartphone. Non è stato anche possibile determinare tutte le vulnerabilità di sicurezza esistenti. Tutti i fornitori di sistemi operativi troverebbero essi stessi delle vulnerabilità di sicurezza nel sistema operativo di tanto in tanto - a volte solo come risultato di attacchi da parte di terzi. Infine, le lacune di sicurezza rilevabili potrebbero cambiare in qualsiasi momento, così che i test dovrebbero essere ripetuti a intervalli regolari.
Lo stesso vale, secondo la corte, per le informazioni sulla fornitura di aggiornamenti di sicurezza. Se gli aggiornamenti di sicurezza sarebbero ancora disponibili per un modello specifico non era solitamente noto al rivenditore specializzato al momento della vendita. Di conseguenza, non hanno la possibilità di ottenere queste informazioni senza l'intervento del produttore. Solo il produttore decide se e quando fornire un aggiornamento di sicurezza per il rispettivo modello di smartphone. Anche qui, le informazioni rilevanti possono cambiare ogni giorno, soprattutto perché il produttore non sa se e quando sarà pubblicato un aggiornamento di sicurezza che potrebbe essere adattato da lui.
Responsabilità spostata al cliente
I rivenditori TK possono quindi tirare un sospiro di sollievo, perché il problema del software obsoleto e le relative lacune di sicurezza è probabile che riguardi molti che vendono smartphone. Tuttavia, i fornitori di sicurezza come G Data criticano la sentenza. "Con questa sentenza, la Corte Regionale Superiore di Colonia ha ancora una volta scaricato la responsabilità sul consumatore, dando effettivamente carta bianca ai rivenditori per continuare a vendere dispositivi che persino il BSI ha certificato che pongono 'evidenti rischi di sicurezza per gli utenti'", trova Tim Berghoff, G Data Security Evangelist. "Questo rappresenta un grande passo indietro per la sicurezza dei dati personali, che notiamo con una scossa di testa. In definitiva, la sentenza mette la responsabilità proprio sulla parte - il consumatore - che è meno in grado di valutare se e in che misura un dispositivo ha un livello di sicurezza sufficientemente alto. È proprio qui, però, che i commercianti e anche i produttori sarebbero chiamati a indicare almeno i rischi - in questo modo, un potenziale acquirente avrebbe almeno la possibilità di prendere una decisione."