R.G. n. 2424/2023
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE D'APPELLO DI MILANO
Sezione Prima Civile nelle persone dei seguenti magistrati:
dr. Domenico Bonaretti Presidente
dr. Beatrice Siccardi Consigliere dr. Manuela Cortelloni Consigliere relatore ha pronunciato la seguente
SENTENZA
nella causa iscritta al R.G. n. 2424/2023, promossa in grado di appello
DA
(C.F. ), elettivamente domiciliata in Milano, via Filippo Parte_1 P.IVA_1
Sassetti n. 32, presso lo studio dell'avv. Giacomo Bei, che la rappresenta e difende come da delega in atti;

appellante
CONTRO
C.F. ), elettivamente domiciliata in Milano, via Brisa n. 3, presso CP_1 P.IVA_2 lo studio dell'avv. Gian Piero Geminiani, che la rappresenta e difende come da delega in atti;
appellata
Avente ad oggetto: rapporti bancari

pagina 1 di 19 Sulle seguenti conclusioni
Per Pt_1 Parte_1
“Piaccia all'Ecc.ma Corte di Appello di Milano, in totale riforma della sentenza del Tribunale di
Milano n. 5555/2023, del 4 luglio 2023, pubblicata il 5 luglio 2023, pronunciata nel giudizio R.G.
n. 18391/2021, accogliere i motivi di appello, e perciò:
(i) respingere le domande di anche eventualmente in applicazione dell'art. 1227, I CP_1
e/o II comma, c.c.;
(ii) respingere tutti i motivi di appello incidentale formulati da CP_1
(iii) condannare al pagamento a favore di delle spese e dei CP_1 Parte_1
compensi di lite, sia del presente giudizio di appello che del giudizio di primo grado;

(iv) condannare all'integrale restituzione a delle somme CP_1 Parte_1
percepite in esecuzione della sentenza appellata, pari ad euro 55.154,00, oltre interessi legali al saggio ex art. 1284, I comma, c.c., dal 19-07-2023 (giorno del pagamento) al 07-09-2023 (giorno immediatamente precedente alla notifica dell'atto di appello) e al saggio ex art. 1284, IV comma,
c.c., dallo 08-09-2023 (giorno della notifica dell'atto di appello) fino al saldo.
In via istruttoria, insiste per l'ammissione dei mezzi di prova (prova per testimoni e ordine di esibizione) riproposti con il settimo motivo di appello principale”.
Per CP_1
“1. Rigettare tutti i motivi di appello proposti dalla appellante perché inammissibili ed Pt_2 infondati in fatto ed in diritto e, per l'effetto,

2. in via incidentale, confermare il dispositivo della impugnata sentenza del Tribunale di Milano n.
5555/2023, ma per i motivi indicati nell'appello incidentale al capitolo I;

3. in subordine, confermare la impugnata sentenza del Tribunale di Milano n. 5555/2023 nella sua integralità (compresa la parte motiva);

4. in ulteriore subordine incidentale, confermare il dispositivo della sentenza impugnata del
Tribunale di Milano n. 5555/2023, ma (o anche) per i motivi indicati nell'appello incidentale subordinato al capitolo III;

pagina 2 di 19 5. in ogni caso, condannare controparte a pagare spese e compensi del doppio grado di giudizio.

6. in via istruttoria respingere tutte le istanze istruttorie avversarie e, senza che quanto di seguito richiesto possa costituire accettazione dell'inversione dell'onere della prova (che è in capo all'istituto di credito), ove ritenuto opportuno, ammettere, con ordinanza ex art. 245 c.p.c., la prova per testimoni sui seguenti articoli di prova:
E' vero che, fino alla scoperta dell'esecuzione irregolare dei bonifici contestati (3 ottobre 2019), CP_1 effettuava bonifici con home banking dai C/C n. 2092/107915 e n. 37/3549 solo inserendo (oltre al nome utente e alla pw statica) il tramite SMS al cellulare del titolare sig. n. +393497771959? Pt_3
E' vero che mai ha ricevuto dalla convenuta un codice OTP via SMS sul cellulare del titolare sig. CP_1
n. +393497771959 per eseguire bonifici in home banking? Pt_3
E' vero che successivamente alla scoperta dell'esecuzione irregolare dei bonifici contestati, per CP_1 sicurezza, ha sempre solo eseguito disposizioni dai C/C n. 2092/107915 e n. 37/3549 allo sportello? NumeroDiC_ E' vero che l'indirizzo IP di è ? CP_1
E' vero che mai sono stati riscontrati problemi o malfunzionamenti ai sistemi informatici di o CP_1 attacchi di instant phishing o di software malevolo nei mesi di settembre e ottobre 2019 e precedenti?
Si indicano come testimoni i signori residente in [...] a Casteggio Pavia (c.a.p. 27045) Tes_1 ed , residente in [...] a Mozzanica Bergamo (c.a.p. 24050). Tes_2
Inoltre, l'appellata insiste perché venga disposto ai sensi dell'art. 210 c.p.c. ordine nei confronti sia della convenuta sia della terza banca con sede in via Università, 1 - 43121 Parma, c.f. Controparte_2
(prestatore dei servizi di pagamento per il beneficiario del bonifico contestato), di esibizione in P.IVA_3 giudizio, anche solo in copia fotografica, della documentazione relativa al nome, cognome, data e luogo di nascita, codice fiscale e residenza del titolare del conto corrente beneficiario del pagamento contestato in giudizio e di ogni altro documento o altra cosa di cui si ritenga necessaria l'acquisizione al processo, dando i provvedimenti opportuni circa il tempo, il luogo e il modo dell'esibizione.
Ove, infine, i documenti da 30 a 38 - facilmente scaricabili da Internet - fossero ritenuti come disconosciuti da Tes controparte, si chiede che il giudice ammetta prova per testi, con i testimoni indicati in precedenza ( e
, sul seguente articolo: “è vero che i documenti prodotti dall'attrice in primo grado sub. nn. da 30 a 38 Tes_2 sono riproduzione in pdf di quelli scaricati dal web mediante un qualsiasi browser (Chrome, Edge, Firefox) nella data indicata in alto a sinistra, digitando il link indicato in basso a sinistra di ciascuno di essi?”
Nell'ipotesi in cui, poi, le deduzioni suddette non siano ritenute sufficienti (seppur basate sulla comune conoscenza tecnica in internet, come da link prodotti), si chiede che il giudice nomini un perito affinché confermi che l'indirizzo IP 10.57.214.204 (compreso nel segmento di rete 10.0.0.0 e 10.255.255.255) è un indirizzo privato (locale) e non pubblico e, per questo, visibile e utilizzabile solo all'interno della rete locale della banca”.
pagina 3 di 19 SVOLGIMENTO DEL PROCESSO
1. conveniva in giudizio, avanti al Tribunale di Milano, , CP_1 Parte_1
affinché venisse condannata al risarcimento dei danni subiti in conseguenza della frode informatica della quale era stata vittima, frode realizzata a causa del mal funzionamento dei sistemi di sicurezza della Banca – danni quantificati in complessivi euro 38.822,00, oltre accessori.
2. L'attrice, a fondamento della proposta domanda, allegava principalmente quanto segue:
- che, in data 19.9.2019, alle ore 16.43, veniva eseguito il bonifico “istantaneo” di euro
38.822,00, avente quale beneficiario tale “ ” e quale causale “pagamento Persona_1 famiglia”, con addebito sul c/c della società attrice acceso presso;
Parte_1
- il bonifico avveniva tramite collegamento all'indirizzo IP 10.57.214.204 che l'attrice affermava non essere il proprio indirizzo internet - quest'ultimo, invece, corrispondente a IP
93.56218.12;
- il titolare della società, non aveva disposto tale bonifico istantaneo;
Parte_4
- inoltre, quel giorno, il sito della banca risultava non accessibile e in manutenzione sino al
“4/10 ore 5,00”;
- ulteriormente, la banca non aveva inviato, al medesimo attore, tramite SMS, il codice OTP,
(codice che precisava l'attore non era stato mai utilizzato anche in occasione dei precedenti bonifici), né lo stesso era stato utilizzato da parte attrice;

- infine, quel giorno, non si trovava a Milano;
Parte_4
- successivamente, in data 3.10.2019, la società tentava di eseguire un bonifico, a Pt_4
, per la somma pari ad euro 9.640,00, ma non vi riusciva;

[...]
- in seguito, venivano accertati tre tentativi di pagamento, per la stessa somma di euro
9.640,00, in favore di altri e diversi beneficiari aventi due distinti IBAN (nessuno dei quali riferibile a ), che tuttavia non erano andati buon fine;
Parte_4
- dalle successive indagini fatte dalla società, emergeva che il bonifico di euro 38.822,00 era stato eseguito su un conto corrente intestato non a , ma a Persona_1 Persona_2
deceduta il 27.4.2020 a Mortara e senza eredi;
quanto agli altri due tentativi di bonifico, i pagina 4 di 19 titolari degli IBAN risultavano essere “Viorel Eugen Mrejuica” di Roma e “Noemi Bellan” di Novara;

- inoltre, si accertava che l'indirizzo IP 10.57.214.204 fosse un indirizzo “privato” e non
“pubblico” (nel senso che era visibile dalla sola banca, ma non anche da così CP_1
da fare ipotizzare che vi fosse stato un malfunzionamento del sistema interno a quest'ultima);
- infine, aveva sporto denuncia – querela presso le Autorità competenti.
3. La si costituiva nel giudizio di primo grado e concludeva per il rigetto delle proposte Pt_2
domande.
4. Con sentenza n. 5555/2023 pubblicata in data 5 luglio 2023, il Tribunale di Milano così disponeva:
“Condanna il a pagare alla società la somma di euro 38.822,00, Parte_1 CP_1
su tale somma spettano gli interessi legali ex art. 1284, comma 4, c.c. dalla domanda al saldo;

condanna il a rimborsare alla società le spese di giudizio, che si Parte_1 CP_1
liquidano nell'importo di euro 7.545,00, di cui euro 7000 per compenso ed euro 545,00 per spese, oltre al rimborso spese forfettarie e agli accessori di legge”.
5. Essenzialmente, il primo Giudice così motivava:
- la disciplina applicabile al caso concreto era prevista dal d.lgs. 11/2010 e successive modifiche, tale che, nell'ipotesi di contestazione, da parte dell'utilizzatore del servizio di pagamento, di avere eseguito l'operazione, l'onere della prova che l'operazione fosse stata autenticata, correttamente registrata e contabilizzata e che non avesse subito le conseguenze di un malfunzionamento, era a carico della (art. 10, comma 1); inoltre, nell'ipotesi di Pt_2
operazione disconosciuta, l'utilizzo di uno strumento di pagamento registrato non era di per sé sufficiente a dimostrare che l'operazione fosse stata autorizzata dal cliente, dovendosi dimostrare che il cliente avesse agito con frode o colpa grave;
- nel caso di specie, la circostanza che l'SMS, con il codice OTP, fosse stato comunicato al cliente non era, di per sé, prova della frode o della colpa grave;

- quanto all'indirizzo utilizzato per l'esecuzione del bonifico (i.e. IP 10.57.214.204), nonostante le specifiche contestazioni dell'attrice, non risultavano allegate o documentate pagina 5 di 19 altre informazioni più precise da parte della essendosi quest'ultima limitata a Pt_2
replicare che i veri elementi di identificazione del cliente erano i codici di accesso al sistema (le credenziali e il codice otp);
- la causale “pagamenti famiglia” era anomala rispetto a un bonifico disposto da una società;
- infine, l'invio del codice otp tramite SMS appariva un sistema vulnerabile (nel 2019), poco affidabile e non sicuro, tanto che il Regolamento Delegato (UE) 2018/389 della
Commissione del 27 novembre 2017 consigliava l'adozione di migliori strumenti, che tenessero conto della continua evoluzione delle conoscenze informatiche.
6. ha proposto appello, avverso la sentenza n. 5555/2023, per i seguenti Parte_1
motivi:
I^ motivo: “Violazione e/o falsa applicazione del D.Lgs. 11/2010 (artt. 8, 10 e 10 bis), dell'art. 15
Codice della Privacy e degli artt. 1218, 2050 e 2697 del c.c.”;
II^ motivo: “Ulteriore violazione e/o falsa applicazione del D.Lgs. 11/2010, dell'art. 15 Codice della Privacy e degli artt. 2050 e 2697 c.c. ed errata valutazione dei fatti”;
III^ motivo: “Violazione del D.Lgs. 11/2010 (artt. 5, 8, 10, 10 bis e degli artt. 1218 e 2050 c.c.”;
IV^ motivo: “Violazione degli artt. 7 e 10 del D.Lgs. 11/2010 n. 11/2010 e dell'art. 1227, I e II comma, e 2697 c.c. Errata valutazione delle risultanze istruttorie”;
Parte V^ motivo: “Violazione dell'art. 112 c.p.c. (per omesso esame delle eccezioni di ) ed errata valutazione delle risultanze istruttorie”;
VI^ motivo: “Violazione dell'art. 112 c.p.c. in relazione alla clausola di esonero”;
Parte VII^ motivo: “Mancata ammissione dei mezzi di prova formulati da ”.
7. si è costituita nel presente grado di giudizio e ha concluso per il rigetto CP_1 dell'appello e la conferma della sentenza impugnata, proponendo anche appello incidentale.
8. Celebrata la prima udienza di comparizione in data 17 gennaio 2024 e assegnati i termini di cui all'art. 352 c.p.c., la causa veniva rinviata all'udienza del 26 marzo 2025 per la rimessione al collegio e decisa nella camera di consiglio in pari data.
MOTIVI DELLA DECISIONE
pagina 6 di 19 I. Con il primo motivo di appello, si duole della statuizione impugnata nella parte Parte_1 in cui ha ritenuto che la medesima non avesse adottato “appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente” (così, pg. 14 sentenza).
In particolare, la Banca evidenzia di avere adottato la c.d. “Strong Customer Authentication” (c.d.
S.C.A.), altrimenti nota come “autenticazione a due fattori” o “autenticazione forte”, così come risulta dalla documentazione contrattuale prodotta in giudizio (docc. nn. 6 e 7), dalla successiva comunicazione, al cliente, dell'adeguamento dei sistemi di sicurezza (doc. n. 8) e, infine, dalla
“Sezione Sicurezza” della home page del servizio in uso all'appellato (denominato You Business
Web), al quale ha aderito (doc. n. 9).
Essenzialmente – osserva parte appellante – il sistema di sicurezza adottato dalla Banca, al momento del fatto, richiedeva – ai fini dell'esecuzione dei bonifici mediante home banking – oltre all'utilizzo del codice cliente e della password (conosciuta solo dall'utilizzatore), anche l'inserimento della “One Time Password”, quale codice numerico monouso, generato da un
Tocken hardware o software, che il Cliente utilizza quale credenziale per l'autenticazione al sito e per autorizzare disposizioni bancarie” – (così come previsto nelle condizioni generali di contratto prodotte sub doc. n. 6).
Su tali basi, la lamenta il fatto che il Giudice di primo grado non abbia adeguatamente Pt_2
valutato, al fine di escludere la responsabilità della stessa in relazione ai fatti per cui è giudizio, il necessario inserimento di tale codice “O.T.P.” inviato dalla sul telefono cellulare di Pt_2 Pt_4
legale rappresentante di
[...] CP_1
Di conseguenza, si rileva come non sia stato valutato che – onde eseguire il bonifico citato – fosse necessario essere in possesso di tale codice, così come del telefono cellulare di sul Parte_4
quale veniva inviato tramite S.M.S.
Il primo motivo di appello può essere esaminato unitamente agli altri motivi proposti, in quanto strettamente connessi, poiché – tutti – funzionali alla valutazione della responsabilità della Banca in relazione ai fatti per cui è giudizio.
pagina 7 di 19 In particolare, con il secondo motivo, l'appellante si duole della valutazione del Tribunale nella parte in cui ha ritenuto che la comunicazione dell'O.T.P., mediante S.M.S., sia stata realizzata attraverso un “canale vulnerabile”.
L'appellante rileva che quanto valutato dal primo Giudice non sia pertinente rispetto alla fattispecie concreta, in quanto:
- la Società non ha mai lamentato di essere stata vittima di una clonazione della s.i.m.;
- inoltre, il codice O.T.P. (che ha durata limitata nel tempo) è (solo) il “codice di verifica” per disporre il pagamento;

- ai detti fini, l'utilizzatore riceve “ben due codici temporanei. Uno tramite token pacificamente generato da (come la stessa ha scritto sin dall'atto di CP_1 CP_1
citazione) e uno via SMS. Entrambi i codici sono stati utilizzati per disporre il pagamento, con la conseguenza che la sola ipotetica captazione da parte di terzi del codice OTP
Parte trasmesso via SMS non potrebbe avere avuto efficienza causale” – (pg. 16 appello ).
Con il terzo motivo di appello, la si duole della valutazione del Tribunale laddove ha Pt_2 ritenuto, quale ulteriore elemento di responsabilità della l'omesso rilievo dell'anomalia Pt_2 della “causale” - indicata in detto bonifico istantaneo con “pagamenti famiglia” - quale causale ritenuta “inconferente con la natura societaria dell'attrice” – (pg. 15 sentenza).
Osserva l'appellante che, al contrario, non ha alcun dovere di verifica delle causali delle operazioni di pagamento e che, peraltro, le stesse non sono neppure obbligatorie.
Con il quarto motivo, l'appellante si duole del fatto che il Tribunale non abbia adeguatamente considerato il contenuto dell'S.M.S. che si è generato automaticamente ed avente il seguente tenore:
“per autorizzare il bonifico di 38.822,00 EUR verso l'IBAN [...]
05034, inserisci l'otp 020516. Per info: 800.607.227”.
Di conseguenza – prospetta parte appellante – l'esecuzione di detto bonifico istantaneo richiedeva l'inserimento di tali dati, previamente inviati dalla al cellulare dell'utilizzatore. Pt_2
Infine, con il quinto motivo, la impugna la statuizione di primo grado, osservando che: Pt_2
pagina 8 di 19 - risulti documentato che l'indirizzo I.P. 10.57.214.204 sia stato utilizzato dalla Società, sia prima, sia successivamente all'esecuzione del bonifico 19.09.2019, così come dimostrato sub doc. n. 21;
- quindi, anche per tale ragione, non appare ipotizzabile che il bonifico sia stato eseguito da un terzo;

- in ogni caso, gli indirizzi I.P. non sono elementi di identificazione dell'utilizzatore
(contrariamente agli altri codici di sicurezza già indicati), atteso che è possibile collegarsi, al server della Banca, da indirizzi I.P. differenti.
Con il sesto motivo, l'appellante lamenta che il primo giudice non abbia correttamente valutato
l'assenza di responsabilità della trattandosi di fatti alla medesima non imputabili e, Pt_2 invece, riferibili al Cliente il quale – ai sensi di contratto – è “responsabile della custodia delle
Credenziali e del corretto utilizzo del Sistema di identificazione e delle credenziali, nonché di ogni conseguenza dannosa che possa derivare dall'utilizzo illegittimo anche ad opera di terzi e/o dallo smarrimento o sottrazione del Sistema di Identificazione o delle Credenziali” (cfr. contratti docc. nn. 6 e 7 banca).
Così delineate, nei tratti essenziali, le ragioni di censura di parte appellante, questa Corte ritiene che l'appello sia fondato, per le seguenti principali ragioni.
I.A. Preliminarmente, dal punto di vista normativo, si osserva come l'art. 7 d.lgs. 11/2010 cit.¹ e successive modifiche – rubricato “Obblighi a carico dell'utente dei servizi di pagamento in relazione agli strumenti di pagamento e alle credenziali di sicurezza personalizzate” – preveda quanto segue:
“1. L'utente abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di:
a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso e che devono essere obiettivi, non discriminatori e proporzionati;
¹ Di attuazione della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno;
pagina 9 di 19 b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
2. Ai fini di cui al comma 1, lettera a), l'utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”.
Inoltre, l'art. 10 – “Prova di autenticazione ed esecuzione delle operazioni di pagamento” – dispone che:
1. “Qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato … non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo”.
[…]

7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
I.B. Secondo l'interpretazione di questa Corte, alla quale si intende dare continuità, la responsabilità del “prestatore di servizi di pagamento” ha natura contrattuale, nel senso che il correntista deve allegare e provare il titolo e può limitarsi ad allegare di non avere autorizzato l'operazione di pagamento.
Spetta, invece, alla Banca l'allegazione e la prova della riferibilità dell'operazione, effettuata tramite strumenti informatici, alla “colpa grave” o al “dolo” o alla “frode” dell'utente.
pagina 10 di 19 Invero, come affermato in diverse occasioni dalla Corte di legittimità, appare del tutto
“ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento
– prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente – la possibilità di un'utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti
da non poter essere fronteggiati in anticipo” – (cfr. Cass. Civ. Sez. 6 – 3, ordinanza 26 novembre
2020, n. 26916).²
La prova liberatoria offerta dalla Banca va valutata in concreto, richiedendo l'allegazione delle conoscenze tecniche acquisite in un determinato momento storico e che si evolvono nel tempo, tenuto conto della specifica operazione effettuata e delle altre circostanze che connotano la vicenda in decisione.
Sempre da un punto di vista generale – si osserva che la colpa del cliente può dirsi “grave” laddove risulti provata una negligenza inescusabile, da parte dell'utilizzatore medio e non professionale, da valutare sempre in base alle circostanze del caso concreto.
I.C. Ciò premesso, in relazione alla fattispecie in esame, le censure di parte appellante risultano fondate.
(i) Innanzi tutto, occorre osservare che – così come evidenziato dalla Banca – la presente controversia non inerisca, neppure latamente, al diverso caso di clonazione della s.i.m. (come tipicamente avviene nei casi cc.dd. di pishing) e del conseguente utilizzo illecito dei dati registrati sul telefono cellulare dell'utilizzatore, da parte di terzi.
Inoltre, si premette che non è stato mai allegato lo smarrimento del cellulare da parte del legale rappresentante di né l'abusivo utilizzo da parte di terzi, essendosi piuttosto prospettato CP_1
l'irregolare funzionamento del sistema di sicurezza della Banca. ² Nello stesso senso: Cass. Civ., Sez. 3, sentenza 12 febbraio 2024, n. 3780: “La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente”;
.
pagina 11 di 19 (ii) Nel merito, si evidenzia come quest'ultima abbia adeguatamente documentato il sistema di
“autenticazione forte”, a tale epoca in uso, tenuto conto delle previsioni contrattuali vigenti fra le parti e di cui si è già dato atto, con particolare riferimento al necessario utilizzo del codice cliente, della password, del codice token generato dall'utilizzatore e del codice OTP inviato dalla Banca, sul telefono cellulare di quest'ultimo, tramite S.M.S.
Inoltre, risulta provata l'operatività, in relazione al bonifico oggetto di causa, di tali misure di sicurezza, ivi compreso l'invio del codice O.T.P. mediante S.M.S., avente il seguente tenore:
“per autorizzare il bonifico di 38.822,00 EUR verso l'IBAN [...]
05034, inserisci l'otp 020516. Per info: 800.607.227”.
L'S.M.S. risulta inviato, alle ore 16.46, sul cellulare avente numero: 349 7771959 e, a tale epoca, in uso a Parte_4
(iii) Ancora, la ha documentato che l'indirizzo I.P. 10.57.214.24 – (che l'allora attrice Pt_2
assumeva non essere mai stato utilizzato) – in realtà, è stato registrato in relazione a diverse operazioni di pagamento, eseguite dalla stessa Società, sia prima, sia dopo il bonifico oggetto di controversia del 19.9.2019.
Così, in particolare, risulta dal doc. n. 21 prodotto dalla Pt_2
pagina 12 di 19 Dallo storico che precede emerge come, dalla “postazione P5006200” in uso alla Società, già prima del 19.9.2019 venissero eseguite operazioni con tale indirizzo I.P.
La circostanza è confermata anche in relazione alla seconda postazione pacificamente associata alla
Società (P8005916) – (doc. n. 24 – avendosi riscontro dei seguenti dati: Pt_2
pagina 13 di 19 (iv) In ogni caso, è rilevante osservare che, così come evidenziato dalla Banca, gli indirizzi I.P. non siano i “codici identificativi” dell'utilizzatore, a differenza delle credenziali di accesso, statiche e dinamiche, già in precedenza ricordate.
Conclusivamente, la valutazione complessiva delle circostanze esposte porta a ritenere che il sistema di sicurezza e di autenticazione forte, in uso alla Banca, in data 19.9.2019, fosse operativo e che – in assenza di altre o diverse circostanze che possano, ad esempio, fare ritenere l'illecita captazione di dati da parte di terzi (quale circostanza, in realtà, neppure allegata dall'appellata) –
l'esecuzione di detto bonifico sia avvenuta con la collaborazione o, comunque, in conseguenza di una grave negligenza dell'utilizzatore nella custodia delle proprie credenziali di accesso e/o del proprio telefono cellulare, oltre che in violazione agli obblighi assunti contrattualmente e già in precedenza ricordati.
Pertanto, si ritiene che la abbia offerto la prova liberatoria alla quale era tenuta, in base ai Pt_2
principi generali delineati in premessa.
Le considerazioni sopra svolte assorbono, per l'effetto, il settimo motivo di appello, relativo alla mancata ammissione delle istanze istruttorie formulate dalla in primo grado. Pt_2
II. Le valutazioni in precedenza esposte non appaiono scalfite dalle ragioni poste a fondamento dell'appello incidentale proposto da con il quale – innanzi tutto – si censura la CP_1 sentenza di primo grado nella parte in cui ha ritenuto provata la “circostanza che alla cliente fosse
pagina 14 di 19 stato comunicato via SMS al numero di telefono cellulare registrato dalla banca la one time password (v. doc nn. 6 e 8 attrice)”.
Prospetta l'appellante incidentale che nessun S.M.S. sia stato mai inviato al telefono cellulare di e che, comunque, la documentazione avversaria era stata oggetto di Parte_4
disconoscimento, sin dalla prima difesa utile, con note scritte del 10.09.2021, così come ribadito con la prima memoria ex art. 183 c.p.c. e con i successivi atti difensivi.
Sul punto, osserva che si tratta di documentazione di formazione unilaterale della CP_1
Banca e che non sia noto come la stessa sia stata realizzata.
Ciò premesso, la Corte ritiene che l'appello incidentale sia infondato.
II.A. Innanzi tutto, il disconoscimento invocato da non risulta essere stato effettuato in CP_1
modo chiaro, esplicito e circostanziato.
Invero, nella prima difesa successiva al deposito della comparsa di costituzione e risposta in primo grado, con le citate note scritte 10.9.2021, si limitava ad osservare quanto segue: CP_1
“l'attrice in epigrafe indicata, tramite l'avvocato sottoscritto, dichiara:
• di contestare e non riconoscere quanto contenuto nei documenti 1, 2, 3 e 4 prodotti da parte convenuta,3
• che non le risulta mai pervenuta la comunicazione contenuta nel documento 8 di parte convenuta, nonché, contestando in fatto ed in diritto tutto quanto affermato e dedotto nella
comparsa di costituzione avversaria, richiamandosi alla ricostruzione dei fatti ed alle
argomentazioni giuridiche dedotte in citazione ed insistendo per l'accoglimento delle conclusioni ivi rassegnate” – (così, note di trattazione scritta 10 settembre 2021).
Le successive difese, svolte con la prima memoria ex art. 183 c.p.c. datata 9 ottobre 2021, quand'anche ancora tempestive ai fini del disconoscimento⁴, appaiono piuttosto volte a ³ Si trattava dei seguenti documenti: 1) storico bonifici effettuati da prima del 19-9-2021; 2) relazione CP_1 Part Part tecnica della struttura antifrode di;
3) dati del monitoraggio dei comportamenti antifrode di – Part P5006200; 4) dati del monitoraggio dei comportamenti antifrode di – P8005916; “contestare” l'idoneità della documentazione prodotta dalla Banca a offrire detta prova liberatoria, piuttosto che a “disconoscere” i contenuti di tale documentazione.
Soltanto con la terza memoria ex art. 183 c.p.c., affermava di “disconoscere” CP_1
l'ulteriore documentazione prodotta dalla ribadendo, quale “elemento dirimente”, che Pt_2
l'indirizzo I.P. 10.57.214.204 non fosse mai stato utilizzato da CP_1
Orbene, questa Corte osserva che – anche a ritenere che dette “contestazioni” (specialmente le prime) si debbano interpretare come “disconoscimento” e, in particolare, come “disconoscimento” effettuato in relazione alle riproduzioni meccaniche e informatiche prodotte dalla Banca – sul punto, ricorda che lo stesso non presenta gli stessi effetti del disconoscimento di cui all'art. 214
c.p.c., non impedendo al Giudice di accertare la conformità dei documenti disconosciuti all'originale attraverso altri mezzi di prova, ivi comprese le presunzioni.
Orbene, nel caso di specie, questa Corte ritiene che le circostanze in precedenza analizzate al § I) e, in particolare, la corrispondenza dello storico delle operazioni della con l'estratto dei dati Pt_2
Telecom (doc. n. 17) – (quali dati che sono stati registrati da un soggetto terzo rispetto alle parti in causa) – consenta di superare qualsiasi dubbio circa la loro idoneità probatoria ai fini della decisione.⁵
Inoltre, quello che era stato definito da parte appellata l'“elemento dirimente” ai fini della dimostrazione della responsabilità della Banca – cioè la non riferibilità dell'indirizzo IP 57.214.204
a – è risultato non fondato, atteso che lo storico dei bonifici prodotti in giudizio CP_1
evidenzia che, sia prima, sia successivamente al 19.9.2019, la Società effettuava operazioni di pagamento, mediante tale indirizzo I.P., dalle citate postazioni (pacificamente) alla stessa riferibili.
disconoscimento di conformità previsto rispettivamente dagli artt. 2719 e 2712 c.c. deve aver luogo nella prima udienza o nella prima risposta successiva alla produzione, valendo il medesimo onere di tempestività previsto dall'art. 157, comma 2, c.p.c. con riferimento al rilievo del difetto di un requisito di forma- contenuto dell'atto processuale stabilito nell'interesse della parte”;
pagina 16 di 19 Si evidenzia – sul punto – come tali ulteriori operazioni non siano mai state contestate da parte dell'utilizzatore dei servizi di pagamento e ciò contrasta con la tesi dal medesimo sostenuta in ordine all'erroneità di detto indirizzo I.P. o, comunque, alla sua non riferibilità alla Società.
Tali elementi presuntivi, complessivamente valutati, consentono di ritenere corretti e veritieri i dati registrati nei tabulati prodotti in giudizio.
Si osserva, infine, che la ha precisato come si tratti di tabulati elaborati dal server in uso e Pt_2
che, pertanto, appare altamente improbabile che gli stessi siano stati alterati, per il malfunzionamento del sistema, in mancanza di altre e diverse evidenze probatorie.
II.B. Le considerazioni sopra svolte fondano, altresì, il rigetto dell'appello incidentale subordinato, svolto da con il quale, principalmente, si evidenzia: CP_1
- la non correttezza della “relazione tecnica antifrode”, con particolare riferimento alle ritenute
“anomalie” delle operazioni registrate in data 3.10.2019 (cioè in relazione agli altri due tentativi di bonifico, non oggetto di controversia);
- l'omessa verifica, da parte della della non corrispondenza del beneficiario indicato nel Pt_2
bonifico del 19.9.2019 (tale ) con il titolare effettivo del conto corrente di Persona_1
destinazione.
Orbene, questa Corte ritiene che tali rilievi non appaiano dirimenti, in senso contrario rispetto alle conclusioni in precedenza raggiunte e, in particolare, né le indicate anomalie (che, peraltro, non si concentrano sul bonifico istantaneo del 19.9.2019, ma sui tentativi del 3.10.2019 e sui quali non vi
è stato un particolare approfondimento, in primo grado, in quanto non oggetto di domanda); né
l'erronea indicazione del beneficiario, atteso che la non ha l'obbligo di verifica e di Pt_2 controllo dell'esatta indicazione dello stesso, dovendosi solo adoperare per fornire all'utilizzatore le informazioni che possano risultare utili per il recupero delle somme versate a terzi (art. 24 d.lgs.
11/2010).
III. L'accoglimento dell'appello principale comporta, per l'effetto, la restituzione, da parte di delle somme già corrisposte dalla in esecuzione della sentenza di primo grado e CP_1 Pt_2
pagina 17 di 19 pari a euro 55.154,00 ⁶, oltre a interessi nella misura legale, ai sensi del 1° comma dell'art. 1284
c.c., dal pagamento del 19.7.2023 al soddisfo.
Diversamente da quanto richiesto da parte appellante, non si ritiene applicabile, alle restituzioni, il disposto di cui al 4° comma dell'art. 1284 c.c., considerato che la parte che ha eseguito il pagamento era a ciò tenuta ex lege in forza della provvisoria esecuzione della sentenza impugnata;
analogamente, la parte che risulta soccombente all'esito dell'appello, è obbligata, in via consequenziale, alle restituzioni.
Ciò ha la finalità di ristabilire l'equilibrio patrimoniale violato da una decisione risultata ingiusta
(Cass. Civ. nn. 30658/2017, 9245/2020), non integrando tecnicamente un indebito oggettivo e prescindendo dalla buona o mala fede dell'accipiens, tanto che gli interessi decorrono dal pagamento e non dalla domanda (Cass. Civ. nn. 5391/2013, 17374/2018).
Per tale ragione, il disposto di cui all'art. 1284, 4° comma, c.c. non appare compatibile con la natura dell'obbligazione restitutoria in esame, che prescinde da una valutazione di
“responsabilità” dell'accipiens (anche ove si ritenga che tale disposto trovi applicazione alle obbligazioni di fonte non contrattuale)⁷.
IV. Tenuto conto dell'esito complessivo del giudizio, le spese di lite di entrambi i gradi vengono poste a carico di in base alla soccombenza. CP_1
La liquidazione avviene in dispositivo, in base al d.m. 55/2014, modificato dal d.m. 147/2022, applicati i parametri medi, in ragione del valore della causa, delle questioni trattate e dell'attività difensiva concretamente profusa (che esclude, per l'appello, la fase istruttoria).
Si dà atto, ai sensi dell'art. 13, comma 1 quater, d.p.r. 115/2002 e successive modifiche, che sussistono i presupposti per il pagamento, da parte di di un ulteriore importo a titolo CP_1 di contributo unificato, pari a quello versato per l'appello incidentale.


P.Q.M.

⁷ In tale senso, Cass. Civ., n. 61/2023; pagina 18 di 19 La Corte d'Appello di Milano, definitivamente pronunciando, disattesa ogni diversa e contraria domanda ed eccezione, così dispone:
- accoglie l'appello proposto da e, in riforma della sentenza n. 5555/2023 Parte_1
resa dal Tribunale di Milano in data 5 luglio 2023, respinge la domanda proposta da
CP_1
- per l'effetto, dispone la restituzione, da parte di delle somme ricevute in CP_1
esecuzione della sentenza di primo grado e pari euro 55.154,00, oltre interessi legali, ai sensi dell'art. 1284, 1° comma, c.c., dal pagamento all'effettiva restituzione;

- condanna alla rifusione, in favore di delle spese processuali di CP_1 Parte_1
entrambi i gradi di giudizio, spese che liquida in complessivi euro 14.491,00 (di cui euro
7.545,00 per il primo grado ed euro 6.946,00 per l'appello), oltre al rimborso delle spese generali nella misura del 15%, Iva e cpa come per legge;

- dichiara, ai sensi dell'art. 13, comma 1 quater, d.p.r. 115/2002 e successive modifiche, che sussistono i presupposti per il pagamento, da parte di di un ulteriore importo a CP_1 titolo di contributo unificato, pari a quello versato per l'appello incidentale.
Così deciso in Milano, nella camera di consiglio del 26 marzo 2025
Il Consigliere estensore Il Presidente
Manuela Cortelloni Domenico Bonaretti
pagina 19 di 19 1. DA COMPARE FOOTNOTE PAGES ⁴ In senso contrario, si rimanda a Cass. Civ., II, ordinanza 24 febbraio 2023, n. 5755: “In caso di produzione in giudizio di una copia fotografica di scrittura, così come - più in generale - di una riproduzione meccanica, il
pagina 15 di 19 ⁵ Si rileva che, prima del giudizio, la – utilizzando i dati così ricevuti – comunicava a tutti i Pt_2 CP_1 passaggi che avevano caratterizzato l'esecuzione di detto bonifico alle 16,46 del 19.9.2021, ivi compresa la generazione del tokien e il successivo invio del codice OTP mediante SMS;
⁶ cfr. allegato E) Banca: contabile di pagamento;