N. R.G. 291/2023 CC
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
CORTE DI APPELLO DI VENEZIA
SEZIONE TERZA CIVILE
Il Collegio, composto dai seguenti magistrati: dott.ssa Rita Rigoni Presidente dott.ssa Barbara Gallo Consigliera Relatrice dott.ssa Silvia Franzoso
Consigliera ha pronunciato la seguente

SENTENZA

nella causa civile di II Grado (v. Appello avverso l'Ordinanza ex art. 702 ter c.p.c. del Tribunale di
Vicenza depositata in data 12.01.2023) iscritta al n. r.g. 291/2023 da:
(C.F. ), di seguito solo oppure , con il Controparte_1 P.IVA_1 P_ P_ patrocinio dell'avv. STEFANO ASTORRI del Foro di Roma, giusta procura in atti;
contro
(C.F. ), con il patrocinio dell'avv. GAETANO Controparte_2 C.F._1
CRISAFI del Foro di Vicenza, giusta procura in atti.

CONCLUSIONI

Per : P_
1 “riformare l'impugnata ordinanza RG. n. 6094/2021, resa dal Tribunale Civile di Vicenza e pubblicata in data 12.1.2023, e per l'effetto accogliere le domande articolate da nel precedente Controparte_1
grado di giudizio, come qui di seguito trascritte:
Nel merito
In via principale, respingere le domande tutte ex adverso avanzate perché infondate in fatto ed in diritto anche, all'occorrenza, escludendo il risarcimento, ex art. 1227, II co., c.c.;
In subordine, accertare e dichiarare che il comportamento colposo di ha concorso Controparte_2
a cagionare il danno, ex art. 1227, co I, c.c., diminuendo conseguentemente il risarcimento così da quantificare, anche in via equitativa, quanto eventualmente dovuto”.
Con ogni statuizione ritenuta consequenziale in ordine alla restituzione eventualmente pagata da
[...]
in ottemperanza all'impugnata ordinanza e al solo fine di evitare un procedimento esecutivo a P_
proprio carico.
Con vittoria di spese e compensi del doppio grado di Giudizio”;
per : CP_2
“Dichiararsi l'inammissibilità dei documenti nuovi prodotti da controparte nel proprio atto di appello
e contenuti nel corpo dell'atto di citazione per i motivi già esposti in comparsa di costituzione e risposta che in questa sede si intendono espressamente riproposti e che, ad ogni buon conto, vengono anche in questa sede contestati e disconosciuti.
Nel merito
… respingere siccome inammissibile, improcedibile o comunque infondato l'appello proposto da
[...]
in persona del legale rappresentante pro tempore, confermando la sentenza di primo Controparte_1
grado in ogni sua parte;
con vittoria di spese e compensi del presente giudizio oltre IVA e CPA come per legge in favore del sottoscritto procuratore che si dichiara antistatario.
Condannare ex art. 96 cpc avendo la stessa resistito nel giudizio di primo grado e Controparte_1 proposto l'odierno appello in evidente malafede ed in colpa grave”.
RAGIONI DELLA DECISIONE

1. Con ricorso ex art. 702 bis c.p.c. depositato il 02.11.2021, conveniva davanti al Controparte_2
Tribunale di Vicenza deducendo: P_
- di essere stato titolare di un conto corrente presso , Ufficio Mercato Nuovo di Vicenza;
P_

2 - di avere ricevuto in data 03.12.2020 dal numero telefonico di un sms contenente un link P_
nonché una chiamata ad opera di un sedicente operatore di (da numero verde) che gli aveva P_
chiesto di visualizzare il testo del messaggio per concludere una “procedura di sicurezza” (altrimenti il conto sarebbe stato bloccato) nonché di avere chiuso la telefonata senza fornire dati e credenziali personali;

- di avere verificato il giorno successivo che, a suo danno, erano state eseguite 97 operazioni non autorizzate da € 980,00 ciascuna, con “sottrazione” di complessive € 95.060,00;
- di avere chiesto ad un'impiegata di di chiudere il conto e di trasferire l'operatività, l'accredito P_
della pensione ed i buoni fruttiferi ivi depositati su un “nuovo” conto;

- di avere appreso in data 18.12.2020 che la sua pensione era stata accreditata sul “vecchio” conto corrente e - quindi - immediatamente “sottratta” mediante due operazioni per un totale di € 4.000,00;
- di avere verificato che i buoni fruttiferi risultavano dematerializzati e rimborsati per € 13.366,87, importo interamente “trasferito” mediante bonifici non autorizzati;

- di avere diffidato a pagare complessive € 112.418,72 e - in assenza di riscontro - di P_
avere promosso ricorso presso l'Arbitro Bancario Finanziario - Collegio di Milano, conclusosi con la condanna di alla restituzione di € 100.412,00, oltre interessi legali dal reclamo al saldo ed oltre P_
spese;
- di non avere ricevuto alcunché da e di pretendere € 112.418,72, oltre interessi di legge P_
dalla data dei prelievi illegittimi ed oltre spese di giudizio e della procedura conclusasi innanzi all'A.B.F..
spiegava che controparte doveva rispondere, quale responsabile del trattamento dei suoi dati CP_2 personali, dei danni conseguenti all'illegittima intrusione di terzi nel sistema telematico aziendale di che aveva determinato illegittime disposizioni di bonifico. P_
Per il ricorrente, la responsabilità dell'accaduto era interamente imputabile alla società intermediaria a causa della totale assenza di misure di controllo e di sicurezza, essendo mancata quella diligenza qualificata necessaria nell'esercizio di attività di gestione di dati sensibili, riservati e di elevata incidenza economica.
2. Si costituiva in giudizio , contestando la ricostruzione avversaria ed eccependo che era P_
stato messo a disposizione del cliente uno “strumento di pagamento” [v. App ] P_
rispondente agli standard tecnologici del momento;
che il funzionamento del “Poste ID” [v. sistema di autenticazione presente sull'App di ] prevedeva che la transazione disposta dal canale P_
home banking venisse firmata mediante un “certificato”; che, in caso di esito positivo, la transazione firmata generava una notifica che invitava il cliente ad attivare l'App, la quale serviva a verificare la
3 firma sulla transazione apposta dal canale, mostrava i dati della transazione all'utente e chiedeva il PIN per l'autorizzazione; che - poi - veniva generata una OTP [v. password “usa e getta”] contenente l'ID
Transazione; che l'App autorizzava la transazione inviando al Server di Firma di un P_
messaggio (cifrato e firmato) contenete OTP, ID Transazione, dati Transazione, PIN, identificativo della singola istanza dell'App; che la transazione veniva firmata tramite “chiave privata” presente sull'Hardware Security Module e sbloccata dal PIN inserito dall'utente (Dynamic Linking); che l'App, una volta ricevuta la transazione firmata (che includeva il certificato pubblico utilizzato), inviava i dati
Transazione e l'ID Transazione all'IDP (framework identità digitale di ); che P_ quest'ultimo, una volta ricevuta la transazione, verificava la firma apposta tramite la chiave pubblica all'interno del certificato e che la transazione non fosse stata alterata, apponendo la propria firma mediante chiave privata ed inoltrando la transazione al canale Back-End; che, dopo avere verificato le firme apposte da IDP ed utente, procedeva ad autorizzare l'operazione, restituendo l'esito all'utente; che, analizzando le evidenze elettroniche rilevate dai sistemi per le transazioni disconosciute, era stato riscontrato che le operazioni erano state effettuate da App Bancoposta, per la cui installazione e configurazione dispositiva degli strumenti di pagamento era necessario conoscere le credenziali di accesso ai servizi di internet banking, i dati della carta utilizzata per effettuare i pagamenti online (ossia
PAN, CVV2 e data di scadenza) e soprattutto la password dinamica “usa e getta” inviata sul numero di cellulare rilasciato dal cliente a , necessaria per impostare il “codice Poste Id” per P_
autorizzare le successive disposizioni di pagamento effettuate da App; che ciò dimostrava come il ricorrente avesse comunicato tutti i codici sopra specificati, causando - di fatto - la violazione del sistema di autenticazione informatica c.d. “a due fattori”, reputato il più sicuro ed affidabile;
che la carta di pagamento di titolarità del ricorrente si avvaleva di un sistema autorizzativo di tipo dinamico, funzionante mediante invio con sms della password dinamica sul numero di cellulare intestato al medesimo;
che al “truffatore” era stata indispensabile la ricezione di tali dati, necessari per CP_2 effettuare il c.d. “onboarding” della carta e della configurazione del Poste Id all'interno dell'App; che le successive transazioni - disconosciute da - erano state, infatti, disposte tramite inserimento CP_2 del codice “Poste Id” in App Bancoposta; che - pertanto -, nonostante la controparte si fosse premurata di descrivere la propria condotta come diligente e particolarmente accorta, risultava - al contrario - che aveva dato seguito alle comunicazioni truffaldine pervenute sul proprio telefono nonché alle conversazioni intercorse con i finti operatori e che aveva - quindi - comunicato i propri dati e quelli relativi al conto, consentendo al frodatore di completare la configurazione del codice “Poste Id” sul proprio dispositivo;
che le conclusioni a cui era giunto il Collegio A.B.F. non erano condivisibili laddove aveva richiamato la violazione del D.M. n. 112/2007, ovvero il “Regolamento di attuazione
4 della legge 17 agosto 2005, n. 166, recante «Istituzione di un sistema di prevenzione delle frodi sulle
», in quanto normativa dettata per il monitoraggio delle carte di pagamento, mentre nel caso di specie si era trattato di operazioni on line eseguite utilizzando sia codici di accesso statici sia password dinamiche inviate con sms sul numero certificato dal cliente; che non era tenuta alla restituzione della somma di € 95.060,00 chiesta da per le operazioni effettuate CP_2
in data 03.12.2020; che per le operazioni poste in essere in data successiva all'istanza di chiusura del conto oggetto d'indebita intrusione - ammontanti ad € 17.358,72 - non risultava provata né la domanda di chiusura immediata né la dichiarazione dell'impiegata di in ordine al trasferimento dei buoni P_
fruttiferi; che sia l'accredito della pensione (15 dicembre), sia la dematerializzazione dei buoni fruttiferi e relativi rimborsi (9/17 dicembre) erano avvenuti a ridosso del primo episodio del 3 dicembre, per cui - non risultando in quale data avesse chiesto la chiusura del conto - non ci CP_2
sarebbero stati i tempi tecnici necessari per procedere;
che neppure risultava che avesse CP_2
tempestivamente chiesto il blocco della “carta” (avvenuto solo in data 19.12.2020), circostanza rilevante in quanto le operazioni erano state effettuate tutte da App Bancoposta, per la cui installazione e configurazione dispositiva degli strumenti di pagamento erano previsti i dati della “carta”; che, qualora la carta essa fosse stata bloccata, non sarebbe stato possibile eseguire le operazioni dispositive, indipendentemente dal fatto che il conto fosse o meno ancora attivo, trovando - pertanto - applicazione l'art. 1227 c.c.
3. Con Ordinanza monocratica del 12.01.2023, il Tribunale di Vicenza ha statuito:
“condanna al pagamento in favore di della somma di Euro Controparte_1 Controparte_2
104.696,00, oltre agli interessi legali come indicato in motivazione fino al saldo;
condanna alla rifusione in favore di delle spese di lite, Controparte_1 Controparte_2
liquidate in Euro 6.307,00 per compenso oltre a rimborso spese generali, CPA e IVA ex lege, ed Euro
380,00 per anticipazioni, oltre ad Euro 20,00 a titolo di rimborso per la presentazione del ricorso all'A.B.F., rigetta la domanda ex art. 96 c.p.c..
La presente ordinanza è provvisoriamente esecutiva ex lege”.
4. Ad avviso del Giudice di prime cure, dal doc. 1 di (pagg. 5 e 6) si è potuto evincere che il P_
“truffatore” è riuscito a configurare in data 03.12.2020, alle ore 14.11, il certificato Poste ID e l'App
Bancoposta su un proprio dispositivo, sfruttando l'operatività online della carta di pagamento
“Bancoposta” collegata al conto (pag. 8 doc.1 ) e ad eseguire numerose transazioni in danno di P_
. Controparte_2
E' risultato altresì provato che proprio ha reso possibile tale configurazione, avendo CP_2
5 comunicato al “truffatore” i dati necessari e - in particolare - i codici segreti tramite sms giunto al suo cellulare in data 03.12.2020, alle ore 14.05 e/o 14.10 (doc. 2 ). CP_2
Fra le ore 14.34 e le ore 15.17 e poi - di nuovo - dalle ore 19.02 alle ore 19.40 sempre del 03.12.2020, il soggetto munito di certificato Poste ID appena creato ha eseguito 96 operazioni identiche (non 97 come riferito dal ricorrente) dell'importo di € 980,00 ciascuna, oltre commissioni, per complessive €
94.176,00.
Successivamente, vi sono stati ulteriori addebiti dal medesimo conto Bancoposta avvenuti fra il 09 ed il 16 dicembre 2020 per complessivi € 17.387,00 (nello specifico, € 4.966,00, oltre commissione, ed €
950,00 in data 09.12.2020; € 4.966,00, oltre commissione, ed € 400,00 in data 10.12.2020; € 2.100,00, oltre commissione, in data 11.12.2020; € 3.800,00, oltre commissione, in data 15.12.2020; € 200,00, oltre commissione, in data 16.12.2020).
Circa questi prelievi, non ha contestato i singoli importi, essendosi limitata ad osservare P_
l'assenza di prova della richiesta di chiusura immediata del conto nonché della dichiarazione dell'impiegata relativa al trasferimento dei buoni fruttiferi ed all'apertura di nuovo conto.
Pertanto, l'addebito fraudolento complessivo è stato determinato in € 111.563,00 (= 94.176,00 +
17.387,00).
Secondo il Tribunale, ha trovato applicazione la disciplina di cui al D.Lgs. n. 11/2010 e succ. mod.
(“Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva
97/5/CE”) nonché il Regolamento U.E. 2018/389 contenente disposizioni tecniche relative all'autenticazione, essendo indubbio che - identificata all'art. 1, l. “g” del D.Lgs. n. P_
11/2010 quale “prestatore di servizi di pagamento” - ha fornito (sotto la propria responsabilità) al cliente gli strumenti per poter configurare ed utilizzare l'App Bancoposta, costituente a tutti gli effetti il “mezzo” necessario per disporre in autonomia le varie operazioni di pagamento.
5. Avverso siffatta pronuncia, ha proposto Appello formulando le seguenti doglianze. P_
I. Sulle 96 operazioni eseguite in data 03.12.2020: violazione del D.Lgs. n. 11/2010 e dell'art. 12 delle disposizioni sulla legge in generale.
Il Tribunale di Vicenza ha errato nell'applicare analogicamente le disposizioni previste per le “carte di credito” di cui al D.M. n. 112/2007, così da ritenere che la colpa di escludesse il Controparte_2
dovere di restituzione esclusivamente per le prime sette operazioni (v. art. 8 lett. b D.M. n. 112/2007), ma non per le successive, rispetto alle quali - secondo il Giudicante - avrebbero dovuto entrare in funzione dei meccanismi di “blocco”, come previsto per le “carte di credito”.
Invece, la comunicazione a terzi dei codici personali di accesso al sistema che consente le operazioni
6 online ha implicato - senza dubbio - la violazione delle regole prudenziali poste a carico dell'utente.
Alla luce della predisposizione di un sistema di autenticazione “forte” a due fattori (conforme ai parametri UE) e della colpa grave del correntista che ha comunicato al terzo le proprie credenziali, non può che ricorrere l'ipotesi di cui al comma 4 dell'art. 12 del D.Lgs. n. 11/2010, con la conseguenza che avrebbe dovuto essere ritenuta esente da ogni responsabilità. P_
Con riferimento alla responsabilità gravante sul correntista per non aver adempito ai propri obblighi di custodia dei codici di sicurezza personalizzati, cristallizzata dagli artt. 7 e 12 comma 4 del D.Lgs. n.
11/2010, dalla semplice applicazione di tali norme avrebbe dovuto conseguire il rigetto delle domande di . CP_2
Per il caso in esame, la disciplina giuridica applicabile è quella del D.Lgs. n. 11/2010 che prevede che sia il pagatore a rispondere dei danni allorquando abbia agito colpa grave.
Ciò preclude il ricorso all'analogia, mancando il primo dei presupposti legittimanti e cioè la carenza di una disciplina applicabile;
inoltre, non sussiste nemmeno il secondo presupposto costituito dall'eadem ratio, perché trattasi di operazioni del tutto diverse rispetto a quelle eseguite con la “carta di credito” non emette carte di credito, ma solo carte di debito e carte prepagate). P_
La truffa è stata realizzata attraverso il pagamento di Bollettini postali online da un soggetto che appariva come correntista di ad altro soggetto che appariva parimenti correntista di P_ [...]
e non - come sostenuto da controparte - tramite “bonifici bancari” su cui il presidio antifrode P_
aggiuntivo avrebbe operato.
Il bollettino postale online è uno strumento di pagamento regolamentato dal D.P.R. 14 marzo 2001 n.
144, utilizzato solo da e si caratterizza per il fatto che - come nel nostro caso - comporta P_
pagamenti da un cliente di ad altro cliente di tutti e due i clienti hanno un conto corrente P_ P_
postale e non controlla gli scambi tra i suoi clienti, in quanto spesso accade che un P_
cliente di riceva più pagamenti di uguale importo con i bollettini postali. P_
Avendo il terzo utilizzato i codici di accesso di un correntista, non vi era alcuna “anomalia” rilevabile nelle operazioni eseguite e quindi non vi erano motivi per procedere al blocco del conto.
Poiché il “truffatore”, entrato nel conto corrente a seguito della comunicazione da parte del correntista delle proprie credenziali, ha eseguito pagamenti di Bollettini postali online in favore di una società, all'uopo costituita, che ha ricevuto il pagamento, ciò ha comportato il superamento anche del presidio antifrode aggiuntivo relativo all'esecuzione di operazione tramite bonifico.
II. Sulle operazioni successive al 03.12.2020: violazione dell'art. 2697 c.c. in materia di onere della prova.
non ha fornito alcuna dimostrazione dei presupposti a fondamento della sua istanza CP_2
7 restitutoria;
in particolare, non ha provato la richiesta di chiusura immediata del conto;
la dichiarazione dell'impiegata di che “avrebbe provveduto al trasferimento dei buoni fruttiferi sul nuovo conto”; P_
la presunta telefonata avvenuta in viva voce davanti alla predetta impiegata di in generale, i fatti P_
asseritamente avvenuti presso gli Uffici di P_
Sia l'accredito della pensione (avvenuto il 15 dicembre), sia la dematerializzazione dei buoni fruttiferi ed i relativi rimborsi (operazioni effettuate nei giorni 9/17 dicembre) sono avvenuti a ridosso del primo episodio del 3 dicembre, con la conseguenza che - non risultando in quale data avrebbe CP_2
chiesto la “chiusura del conto” - non c'erano i tempi tecnici necessari per disporla materialmente.
Neppure risulta che abbia tempestivamente chiesto il “blocco della carta” (avvenuto solo in CP_2
data 19.12.2020); tale circostanza è di chiara rilevanza, visto che le operazioni sono state effettuate tutte da App Bancoposta, per la cui installazione e configurazione dispositiva degli strumenti di pagamento erano necessari - come già detto - i dati della “carta”; quindi, se essa fosse stata bloccata non sarebbe stato possibile eseguire le operazioni dispositive, indipendentemente dal fatto che il
“conto” fosse o meno ancora attivo.
III. Sulla mancata applicazione dell'art. 1227 I comma c.c.
Il Tribunale di Vicenza, pur avendo accertato la colpa del ricorrente per aver comunicato le sue credenziali al “truffatore”, non solo non ha ritenuto esente da responsabilità, ma non ha P_
nemmeno considerato tale condotta rilevante ai fini della determinazione del danno risarcibile.
Se il fatto del creditore ha concorso a cagionare il danno, il risarcimento va diminuito secondo la gravità della colpa e l'entità delle conseguenze che ne sono derivate.
6. si è costituito in II Grado eccependo l'inammissibilità dei nuovi mezzi di prova Controparte_2
e dei nuovi documenti in appello (v. Bollettini postali online), stante il divieto di cui all'art. 702 quater
c.p.c., derogabile solo se la parte interessata dimostra di non aver potuto operare la produzione nel giudizio di I Grado per causa ad essa non imputabile e se il Collegio li ritiene indispensabili ai fini della decisione;
rilevando che solo in appello - ossia per la prima volta dall'inizio della causa P_
- ha sostenuto che la truffa sia stata realizzata tramite il pagamento di Bollettini postali online da un soggetto che appariva come correntista di ad altro soggetto che appariva parimenti P_
correntista di e non tramite “bonifici bancari”; osservando che l'identificazione del P_
mezzo utilizzato dai truffatori quale Bollettino postale online non è “idonea ad eliminare ogni possibile incertezza circa la ricostruzione fattuale accolta dalla pronuncia gravata” (v. Cass., S.U., n.
10790/2017), poiché non è previsto da nessuna norma che per il Bollettino postale online il prestatore possa disporre di presidi di sicurezza “diversi” e “meno stringenti” di quelli da utilizzare in caso di
“bonifici bancari”; mettendo in luce che non ha mai sostenuto prima che lo strumento P_
8 utilizzato dai truffatori sia stato quello dei Bollettini postali online, a cui non sarebbe applicabile il particolare presidio antifrode previsto dall'art. 8 del D.M. n. 12/2007, avendo sempre indicato - più genericamente - “operazioni on-line”; evidenziando l'inammissibilità di siffatta nuova eccezione ex art. 345 c.p.c. che andrebbe a ledere il principio generale del doppio grado di giurisdizione;
rimarcando che , non avendo disposto il “blocco” dello strumento di pagamento o P_ comunque altra misura idonea, pur in presenza dell'evidente indice di anomalia costituito dall'inoltro di sette o più richieste di autorizzazioni nelle 24 ore, non ha adottato adeguati presidi di sicurezza ai sensi dell'art 8 del D.M. n. 112/2007; sottolineando l'assenza di una previsione in base a cui sarebbe concesso agli intermediari di predisporre presidi di sicurezza “diversi” e “meno stringenti” nel caso di utilizzo di Bollettini postali online; replicando che mai sono state fornite “consapevolmente” le credenziali a terzi, ai quali è stata negata ogni richiesta (prima tramite sms e poi telefonicamente), sino ad arrivare a disinstallare l'applicazione di;
affermando che si è trattato di un caso di P_
c.d. phishing particolarmente sofisticato e subdolo, poiché i messaggi erano stati ricevuti in una chat denominata “Poste Info”, mentre la chiamata proveniva da un numero verde ed il soggetto che chiamava si presentava come impiegato di ed era a conoscenza di fatti riguardanti il conto postale P_
talmente precisi che chiunque, in totale buona fede, avrebbe potuto credere di stare effettivamente parlando con un operatore di insistendo che sarebbe spettato all'intermediario fornire la prova P_
del fatto estintivo od impeditivo della legittima pretesa risarcitoria derivante dall'inadempimento di al proprio dovere - previsto dalla legge - di predisporre adeguati sistemi di sicurezza;
P_
spiegando che è da ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, quale situazione prevedibile ed evitabile con appropriate misure destinate a verificare la titolarità delle operazioni in capo al cliente, la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare oppure a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.
7. Precisate le conclusioni e depositati gli scritti finali, la causa è stata trattenuta in decisione il
14.10.2024.


8. L'appello proposto risulta infondato e va respinto.
A. La Terza Sezione Civile della Corte di Cassazione, con la Sentenza n. 3780 del 12.02.2024, ha stabilito espressamente che gli Enti di Credito - nel caso di specie, proprio - devono P_ utilizzare delle soluzioni idonee per evitare l'uso fraudolento dei sistemi elettronici di pagamento, in base al principio di buona fede nell'esecuzione del contratto.
Come accaduto nella fattispecie che ci riguarda, la parte attrice aveva convenuto in giudizio
[...]
chiedendo che fosse accertata la sua responsabilità in merito a una frode subita sulla propria P_
9 carta “Postepay Evolution” [v. carta prepagata per accredito di stipendio o pensione, per inviare e ricevere bonifici, per domiciliare utenze e pagare bollettini]; difatti, si era verificato un “attacco” di phishing tramite la ricezione di una e-mail - apparentemente inviata da - con cui, attraverso uno P_
specifico link, era stato richiesto all'utente di inserire le credenziali di accesso al proprio conto;
dopo avere effettuato tale accesso, parte attrice si era accorta che le erano state addebitate sul conto delle spese che non aveva mai effettuato. si era difesa adducendo il principio per cui la responsabilità - in tali casi - era da attribuire P_
soltanto al cliente per aver comunicato incautamente a terzi i propri dati di accesso.
In I Grado, sono state riconosciute le ragioni di , ma il Giudice di II Grado ha accertato, ai sensi P_
del D.Lgs. n. 196/2003 (“Codice Privacy”), l'obbligo in capo al prestatore di servizi di rispondere degli effetti dannosi, causati da un'attività pericolosa, inerenti al trattamento di dati personali dei propri clienti, poiché l'uso e l'accesso fraudolento alle credenziali di accesso da parte di terzi è da includere fra i rischi professionali legati alle attività del prestatore di servizi di pagamento.
Nella particolare situazione, non aveva adottato appropriate misure tecniche volte a prevenire ed P_ evitare, o quanto meno limitare, condotte fraudolente finalizzate all'appropriazione delle credenziali della clientela.
Richiamando un precedente giurisprudenziale della Cassazione (v. Sez. I, sentenza n. 2950 del
3/2/2017), è stato stabilito che non aveva adottato la diligenza richiesta al c.d. accorto banchiere P_
ed avrebbe dovuto fornire prova della reale riconducibilità dell'operazione al cliente.
La decisione è stata impugnata da in sede di legittimità, sul presupposto che era stato l'utente a P_
non avere rispettato gli oneri di particolare cautela e diligenza nell'utilizzo dei propri dati;
inoltre, era stato proprio l'utente a consegnare spontaneamente le proprie credenziali a terzi, operando - peraltro - su un sito non appartenente a quindi, a quest'ultima azienda non si poteva imputare alcuna P_
colpa.
La Suprema Corte ha rigettato il ricorso, enunciando il principio in base al quale il professionista deve rispettare speciali oneri di diligenza, di natura tecnica, in merito ai servizi posti in essere a favore del cliente;
il parametro di riferimento deve essere quello dell'”accorto banchiere”, speciale declinazione del generale principio civilistico di buona fede contrattuale (art. 1176 co. 2 cc), in base al quale l'istituto di credito - nel valutare i rischi tipici del mestiere - deve esercitare un pregnante controllo tecnico, valutando la prevedibilità e l'evitabilità della condotta, in modo da essere esonerata da responsabilità solo se le azioni poste in essere vanno oltre la propria sfera di controllo.
La Cassazione ha - quindi - sancito che la responsabilità della banca , in tali circostanze, è da P_
10 escludere solo in presenza di una colpa grave dell'utente, elemento che la medesima banca deve provare quale fatto estintivo dell'altrui pretesa, senza omettere la verifica dell'adozione di specifiche misure di sicurezza.
Il rischio d'impresa - pertanto - ricomprende anche l'eventuale utilizzo di tecniche fraudolente come il phishing; la banca può sottrarsi solo se siano accaduti eventi che vadano oltre la diligenza richiesta al debitore.
Nel caso di interesse, non aveva provato di avere adottato queste misure di sicurezza, come P_
l'invio di un sms allert al titolare della carta per ogni singola operazione compiuta.
B. Con detta pronuncia, la Suprema Corte ha mutato approccio rispetto ai precedenti casi in materia di phishing (v. Cass. 13 marzo 2023, n. 7214), dato che ha rimarcato la necessità - per gli istituti di credito
(inclusa ) - di munirsi di appropriate misure di sicurezza;
sicuramente l'impiego di P_
tecniche quali gli sms allert può aiutare nell'evitare la realizzazione dell'evento fraudolento, ma questo potrebbe non bastare a fronte dell'utilizzo di sistemi di intelligenza artificiale da parte di hacker e truffatori.
Inoltre, la Cassazione ha fissato la regola per cui sono le banche a dover provare la riconducibilità assorbente dell'operazione al cliente truffato, gravemente imprudente-negligente (se non in dolo).
C. Ebbene, come la vicenda qui in decisione, quella definita dalla Corte ha riguardato un episodio di c.d. phishing, cioè di acquisizione dei dati di accesso tramite una “inconsapevole” collaborazione del cliente, il quale aveva aperto un link, apparentemente riferibile alla sua banca, pervenuto al suo recapito, ed aveva quindi inserito le proprie credenziali.
In entrambe le situazioni viene in risalto il rapporto negoziale di conto corrente che lega banca e cliente, nel quale - con riferimento alle obbligazioni relative alla gestione in sicurezza del conto - il cliente è il creditore e la banca è il debitore, ai sensi dell'art. 1218 c.c.
Se l'inadempimento è derivato da impossibilità della prestazione e l'impossibilità non è dipesa da una causa imputabile al debitore, quest'ultimo va esente da responsabilità; quindi, l'obbligazione si estingue (art. 1256 c.c.) ed il debitore non è più tenuto ad adempiere.
In caso contrario, il debitore è ritenuto responsabile dell'inadempimento e deve risarcire al creditore tutti i danni che ne sono derivati.
D. Pertanto, valorizzando il principio di buona fede e correttezza, si può considera esente da responsabilità il debitore a cui è richiesto un comportamento inesigibile.
Difatti, la Suprema Corte ha chiarito che:
“la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la
11 condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo” ed ha concluso che:
“la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare
l'uso non autorizzato dello strumento di pagamento, ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale”.
E. Con riguardo al profilo probatorio, mentre il cliente è tenuto soltanto a provare la fonte del proprio diritto, cioè il contratto di conto corrente ed il termine di scadenza, il debitore - cioè la banca - P_ deve provare il fatto estintivo dell'altrui pretesa;
sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio;
pertanto, “essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore”.
F. La Cassazione ha ritenuto che la banca ] - nella fattispecie sottoposta al suo giudizio (com'è P_
pure nella situazione demandata a questa Corte di merito) - avrebbe dovuto opportunamente provare
“di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invito al titolare della carta di appositi sms allert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto”.
In mancanza di tale prova, è imputabile alla banca ] il rischio che terzi accedano ai profili dei P_
clienti con condotte fraudolente.
In altre parole, per la Suprema Corte, se non ci sono di prove concrete fornite da parte dell'istituto di credito di aver adottato tutte le misure necessarie alla prevenzione delle frodi, è corretto attribuire al medesimo Istituto di credito il rischio professionale legato alla possibilità che terzi accedano fraudolentemente ai profili home banking dei clienti.


9. Dal momento che, nel caso concreto per cui è lite, non è contestato che vi sia stata una rapida successione di numerosissime operazioni “in uscita” dal conto di - vittima Controparte_2
obiettivamente inconsapevole di artifizi e raggiri provenienti da ignoti - presso P_
senza che egli abbia potuto rendersene conto nell'immediato per “bloccare” in tempo utile la carta ed il conto Postamat, visto che - pacificamente - nessuna di siffatte operazioni “in uscita” è stata accompagnata da sistema allert preventivo, non resta che confermare la Sentenza appellata.
12 10. Le spese di lite seguono la soccombenza di parte appellante, senza che vi sia responsabilità della stessa ex art. 96 c.p.c. perché il gravame non può essere reputato pretestuoso ed arbitrario, stante la delicatezza della materia del contendere e la modifica di orientamento giurisprudenziale di cui si è ampiamente detto.
11. La liquidazione degli esborsi del gravame viene operata in dispositivo applicando i parametri medi di cui al D.M. n. 55/2014 e successive modifiche ed integrazioni per le cause di valore compreso fra €
52.201,00 ed € 260.000,00 in cui rientra il decisum, rispetto alle fasi espletate.


P.Q.M.


Il Collegio, definitivamente pronunciando, ogni altra istanza ed eccezione disattesa o assorbita, così dispone:

1. RIGETTA l'Appello e CONFERMA la Sentenza impugnata.

2. CONDANNA l'appellante a rifondere all'appellato le spese del grado liquidate in € 9.991,00, oltre iva-cpa-spese generali come per legge, con distrazione a favore del difensore dichiaratosi antistatario.

3. DÀ ATTO, ai sensi dell'art. 13, comma 1 quater, del DPR 115/2002, della sussistenza dei presupposti processuali per il versamento da parte dell'appellante soccombente dell'ulteriore importo a titolo di contributo unificato pari a quello dovuto per l'appello, a norma del comma 1 bis dello stesso art. 13.
Venezia, 17.03.2025.
La Relatrice
Dott.ssa Barbara Gallo
La Presidente
Dott.ssa Rita Rigoni
13