CA
Sentenza 1 settembre 2025
Sentenza 1 settembre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Corte d'Appello Lecce, sentenza 01/09/2025, n. 649 |
|---|---|
| Giurisdizione : | Corte d'Appello Lecce |
| Numero : | 649 |
| Data del deposito : | 1 settembre 2025 |
Testo completo
R E P U B B L I C A I T A L I A N A
IN NOME DEL POPOLO ITALIANO
La Corte di Appello di Lecce - Sezione Prima Civile - composta dai Signori: dott. Riccardo MELE - Presidente
dott. Maurizio PETRELLI - Consigliere
dott.ssa Crescenza DONGIOVANNI - Giudice Aus. estensore ha pronunciato la seguente
S E N T E N Z A
nella causa civile in grado di appello iscritta al n. 423 del Ruolo Generale delle cause dell'anno 2022,
T R A
(c.f. ), in persona del legale rappresentante Parte_1 P.IVA_1
p.t., rappresentata e difesa dall'avv. Salvatore Parente, come da mandato in atti;
- APPELLANTE -
E
(c.f. , in persona del Controparte_1 P.IVA_2
legale rappresentante p.t., rappresentata e difesa dagli avv.ti Paolo Pellegrino e
Luigi Palazzo, come da mandato in atti;
- APPELLATA -
All'udienza del 17 aprile 2024 le parti hanno precisato le conclusioni come da relativo verbale, il cui contenuto deve intendersi qui integralmente richiamato e trascritto.
SVOLGIMENTO DEL PROCESSO
Con atto di citazione, ritualmente notificato, l' Controparte_1
Proc. n. 423/2022 RG - 1 - dott.ssa Controparte_2 (di qui in poi adì il Tribunale di Lecce e dedusse: CP_1
1. di essere intestataria del conto corrente n. 86161148, sul quale era attivo il servizio di home banking, e di essere, altresì, titolare della carta di debito
Postamat Impresa n. 82604581;
2. che a seguito di una verifica del saldo aveva appreso che in data
24/02/2020 vi era stata una illegittima disposizione di bonifico in favore della per l'importo di € 22.000,00, Parte_2
corrispondente alla quasi totalità delle somme depositate;
3. che l'Associazione non aveva mai intrattenuto rapporti di alcun genere con la detta e che l'attività di quest'ultima era Parte_2
del tutto estranea alle finalità dell' CP_1
4. che era stata sporta denuncia querela ed era stato infruttuosamente proposto reclamo a , nonché richiesta formalmente la Parte_1
restituzione delle somme alla destinataria del bonifico, richiesta rimasta priva di riscontro;
5. che doveva ritenersi responsabile per il bonifico non autorizzato in Pt_1
ragione di specifici obblighi di vigilanza incombenti sull'intermediario come previsto dal D.lgs. 11/2010.
In ragione dei fatti esposti chiese che la convenuta fosse condannata al risarcimento del danno quantificato in misura pari all'importo del bonifico,
nonché dell'ulteriore danno per la compromissione dell'attività sociale.
Si costituì che contestò la fondatezza della domanda. Parte_1
La causa, istruita documentalmente e a mezzo interrogatorio formale della legale rappresentante della venne decisa con sentenza n. CP_1 Controparte_3
Proc. n. 423/2022 RG - 2 - dott.ssa Crescenza Dongiovanni est. 3198/2021 pubblicata in data 19/11/2021 con la quale il Tribunale di Lecce
accolse la domanda di condanna al risarcimento di € 22.000,00 e rigettò
l'ulteriore domanda risarcitoria, così motivando:
“Va precisato che l'uso dei codici di accesso al sistema internet banking da parte di terzi
rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile,
mediante appropriate misure tecniche volte a vanificare la riferibilità delle operazioni alla
volontà del correntista. Ed infatti la non risponde del danno patito dal cliente, solo CP_4
qualora dimostri che il fatto sia attribuibile al dolo del correntista o a comportamenti dello
stesso talmente incauti da non poter essere fronteggiati in anticipo. Alcuna prova sotto questo
profilo è stata fornita da parte convenuta. Dal punto di vista legislativo, i prestatori dei servizi
di pagamento che forniscono servizi di home banking, disponendo dei dati sensibili del cliente
sono tenuti, ai sensi dell'art. 31 del d.lgs. 196/03, a proteggerli onde evitare accessi non
autorizzati. In particolare, l'art. 15 del detto decreto legislativo prevede che chiunque cagioni un
danno ad altri per effetto del trattamento dei dati personali é tenuto al risarcimento ai sensi
dell'art. 2050 c.c.. quindi, era tenuta ad adottare tutti gli accorgimenti necessari Parte_1
e adeguati a prevenire l'illecita captazione dei dati, per evitare accessi non autorizzati. Si tratta
di una forma di responsabilità oggettiva in cui il prestatore del servizio per andare esente da
responsabilità, non solo deve dimostrare di aver adottato tutte le misure idonee ad evitare il
danno, ma deve anche fornire la prova positiva di una causa esterna, imprevedibile ed
inevitabile, che sfugge alla sfera di controllo dell'esercente l'attività pericolosa.
La convenuta era, dunque, tenuta a garantire uno standard di sicurezza con diligenza tecnica
ex art. 1176, comma 2, c.c.. Nel caso di specie alcuna prova documentale é stata offerta dalla
convenuta neppure in merito ad altri bonifici, e di analoga entità, eseguiti in favore della
[...]
Nel caso di specie anche solo l'entità del bonifico avrebbe dovuto Parte_2
Proc. n. 423/2022 RG - 3 - dott.ssa Crescenza Dongiovanni est. insospettire e comportare il blocco del pagamento. Tali principi, inoltre, trovano puntuale
riscontro anche nel D.lgs. 11/2010, di attuazione della Direttiva CE 2007/64.
Quanto alla domanda risarcitoria, infine, la stessa andrà rigettata, poiché alcuna prova precisa
e puntuale risulta fornita da parte attrice circa i danni patiti, né é consentito il ricorso alla
liquidazione equitativa, in mancanza di prova certa del pregiudizio, atteso che al giudice é
consentita la liquidazione equitativa solo quando vi è prova del danno ma é di estrema difficoltà
una stima precisa dello stesso”.
Averso la sentenza non notificata ha proposto appello con Parte_1
atto di citazione del 17/05/2022 chiedendone la riforma con due motivi.
Si è costituita l'appellata resistendo al gravame e chiedendone il rigetto.
All'udienza Collegiale del 17 aprile 2024 le parti hanno precisato le conclusioni mediante note di trattazione scritta e la Corte ha trattenuto la causa in decisione con assegnazione dei termini ex art. 190 cod. proc. civ..
MOTIVI DELLA DECISIONE
Con il primo motivo l'appellante, al fine di evidenziare che l'operazione in conte-
stazione, non può che essere stata effettuata con inserimento delle credenziali e del codice dispositivo noti soltanto al correntista delegato e di escludere quindi la propria responsabilità in termini di sistemi di sicurezza adottati, ripercorre nuo-
vamente i passaggi necessari per l'operazione di pagamento online come allegati in primo grado.
Precisa, infatti, che per detta operazione è necessario dotarsi di un proprio dispo-
sitivo in grado di connettersi ad internet, digitare chiavi di accesso, ossia user-id e password, otp, che vengono assegnati ai titolari in maniera del tutto segreta me-
diante procedure che non rendono visibili i dati neppure al personale di Pt_1
Proc. n. 423/2022 RG - 4 - dott.ssa Crescenza Dongiovanni est. Evidenzia poi che per effettuare le operazioni online è necessario la bpol key (si-
stema composto da smart card contenente certificato di firma digitale unico per codice fiscale e il token usb su cui inserire la smart cart oltre al pin/puk formato da codici numerici per l'uso/sblocco della smart card). Nella fattispecie l'operazione risultava eseguita attraversi la bpol key in uso alla legale rappresen-
tante legale Controparte_5
Con il secondo motivo censura la sentenza per carenza di motivazione e malgo-
verno delle risultanze istruttorie. Il giudice si sarebbe limitato ad una sterile ap-
plicazione dell'art. 2050 cod. civ. e delle norme di cui al D.lgs. 11/2010, laddove di contro dalle emergenze istruttorie si evincerebbero diversi elementi per affer-
mare la colpa grave dell'attrice per non aver ben custodito i dati informatici utili per l'utilizzo on line, disattendendo le condizioni contrattuali note al cliente fin dalla data di richiesta del servizio on line, o concedendo a terzi di inserirsi sul proprio computer.
L'attrice non avrebbe assolto al proprio onere probatorio in ordine al danno conseguenza patito.
I motivi di appello, esaminabili congiuntamente, sono fondati.
Occorre in premessa precisare che nella fattispecie, oltre alle generali norme in materia contrattuale, viene in rilievo il decreto legislativo 27 gennaio 2010, n. 11,
che attua la direttiva europea 2007/64/CE relativa ai servizi di pagamento nel mercato interno, richiamato dalla stessa attrice nell'atto introduttivo e dal Tribu-
nale nella sentenza impugnata. Tale decreto disciplina le norme per i pagamenti,
introducendo nuove regole e tutele per gli utilizzatori di servizi di pagamento, ed ha l'obiettivo di creare un quadro normativo più chiaro e sicuro per i servizi di
Proc. n. 423/2022 RG - 5 - dott.ssa Crescenza Dongiovanni est. pagamento, proteggendo sia i prestatori che gli utilizzatori di tali servizi.
Si riportano le norme rilevanti per la soluzione della presente controversia.
In particolare l'art. 7) (Obblighi a carico dell'utente dei servizi di pagamento
in relazione agli strumenti di pagamento e alle credenziali di sicurezza
personalizzate) al comma 2 recita “ai fini di cui al comma 1, lettera a), l'utente, non
appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere
le credenziali di sicurezza personalizzate”.
L'art. 8) (Obblighi a carico del prestatore di servizi di pagamento in rela-
zione agli strumenti di pagamento) al comma 1 recita “Il prestatore di servizi di
pagamento che emette uno strumento di pagamento ha l'obbligo di: a) assicurare che le creden-
ziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall'utente abilitato a
usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest'ultimo ai sensi
dell'articolo 7”.
L'art. 10 (Prova di autenticazione ed esecuzione delle operazioni di paga-
mento) recita al comma 2 “Quando l'utente di servizi di pagamento neghi di aver auto-
rizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registra-
to dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di dispo-
sizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che
l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo
fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui
all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore
di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della
colpa grave dell'utente”.
L'art. 12 (Responsabilità del pagatore per l'utilizzo non autorizzato di
Proc. n. 423/2022 RG - 6 - dott.ssa Crescenza Dongiovanni est. strumenti o servizi di pagamento) al comma 4 recita “Qualora abbia agito in mo-
do fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7, con dolo o
colpa grave, l'utente sopporta tutte le perdite derivanti da operazioni di pagamento non autoriz-
zate e non si applica il limite di 50 euro di cui al comma 3”.
In particolare, le ultime due disposizioni stabiliscono che il PSP deve dimostrare la colpa dell'utente per evitare il rimborso di operazioni non autorizzate, ma l'utente rimane responsabile per comportamenti fraudolenti o negligenti.
Tra tante si richiama una recente sentenza della Cassazione secondo cui: “La re-
sponsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con partico-
lare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo
dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi,
va esclusa solo se ricorre una situazione di colpa grave dell'utente.” (cfr. Cass. n. 3780/2024
conforme Cass. n. 26916/2020).
Ciò precisato, si evidenzia che dai dati acquisiti al processo risulta che Pt_1
adottò un sistema di sicurezza alquanto complesso tale da impedire l'accesso ai dati personali del correntista da parte di terzi. Infatti, è circostanza incontestata,
per come allegata dalla convenuta in primo grado, che per l'esecuzione delle ope-
razioni online erano previsti diversi sistemi di autenticazione dell'utente.
In particolare, erano necessari, per l'accesso al sito di poste, il codice azienda
(composto da 10 caratteri), il codice utente attribuito dal sistema all'atto della abi-
litazione coincidente con il codice fiscale dell'utente firmatario e non modificabi-
le, password composta di almeno 12 caratteri da modificare ogni 180 giorni sola-
ri. Inoltre, per effettuare le operazioni dispositive, era necessario l'utilizzo della bpol key (sistema composto da smart card contenente certificato di firma digitale
Proc. n. 423/2022 RG - 7 - dott.ssa Crescenza Dongiovanni est. unico per codice fiscale e il token usb su cui inserire la smart cart oltre al pin/puk formato da codici numerici per l'uso/sblocco della smart card), circo-
stanza specificatamente ammessa anche durante l'interrogatorio dalla legale rap-
presentante della CP_1
Per eseguire le operazioni di bonifico, in aggiunta ai codici e alla password l'utente doveva, quindi, validare l'operazione con l'apposizione del codice “pin”
della smart card.
Occorre precisare che il sistema di autenticazione c.d. forte, a due o più fattori,
che sfrutta l'utilizzo di autenticazione come innanzi descritti, è previsto dal DL
15 dicembre 2017, n. 218, che ha recepito la Direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (PSD2) per far fronte alle truffe online c.d. fishing ed aumentare la sicurezza delle operazioni online dei clienti.
Orbene, alla luce di quanto innanzi precisato in fatto, l'operazione poteva essere eseguita solo attraverso l'utilizzo finale della bpol key.
Non era sufficiente, si vuol dire, che un hacker si inserisse semplicemente nel computer e trafugasse i dati, come adombrato dal querelante Controparte_6
(fratello di e vice presidente dell'associazione) il quale
[...] Controparte_5
nella denuncia querela (all. agli atti) ha testualmente dichiarato: “La chiavetta con la
quale mi collego telematicamente al sito di e quindi al conto corrente postale Parte_1
di cui sopra è stata sempre in mio possesso. Pertanto sono certo che ignoti sono riu-
sciti ad introdursi telematicamente nel computer dell'associazione e du-
plicare i codici di accesso e di disposizione del predetto conto corrente
postale”, ma occorreva un intervento fisico del titolare della bpol key, attraverso l'inserimento del token contenente il certificato digitale, nella porta usb del com-
Proc. n. 423/2022 RG - 8 - dott.ssa Crescenza Dongiovanni est. puter utilizzato per l'accesso al sito di e la digitazione del pin per la con- Pt_1
ferma dell'operazione.
Quindi prevedendo il sistema di autenticazione a più fattori, come specifi- Pt_1
cato, ha rispettato gli obblighi di cui all'art. 8 della citata normativa (art. 8) (Ob-
blighi a carico del prestatore di servizi di pagamento in relazione agli
strumenti di pagamento) “Il prestatore di servizi di pagamento che emette uno strumento
di pagamento ha l'obbligo di: ((a) assicurare che le credenziali di sicurezza personalizzate non
siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento, fatti
salvi gli obblighi posti in capo a quest'ultimo ai sensi dell'articolo 7).
Ma vi è di più, dall'istruttoria è emerso un comportamento gravemente negligen-
te della titolare del conto e assegnataria delle credenziali, per le seguenti ragioni.
Premesso che è circostanza incontestata che la bpol key utilizzata per l'operazione de qua era quella associata alla signora si evi- Controparte_5
denzia che la dichiarazione della resa durante l'interrogatorio, secondo cui CP_5
entrambe le chiavette in dotazione (una delle quali, era scaduta tre anni prima)
erano da ella custodite in un cassetto, risulta smentita dal fratello Parte_3
, il quale nella denuncia querela di cui innanzi, ha espressamente dichiara-
[...]
to di avere le mansioni per effettuare operazioni di pagamento per l'Associazione, e ha affermato che la chiavetta con la quale si collegava telemati-
camente al sito di era stata sempre in suo possesso. Ed inoltre nel Parte_1
reclamo, presentato a la ha dichiarato che la carta era in possesso del Pt_1 CP_5
delegato sul conto ossia . Parte_3
Ed ancora, durante l'interrogatorio, la ha ammesso di non conoscere la CP_5
procedura per compiere operazioni che prevedono l'uso del PIN dispositivo e
Proc. n. 423/2022 RG - 9 - dott.ssa Controparte_2 che “a volte in mia presenza la chiavetta è utilizzata da mio fratello dietro la mia supervisione”.
In un quadro del genere è evidente la condivisione della chiavetta e del pin, che avrebbero dovuto essere segreti e noti alla sola titolare, con CP_5 CP_5
soggetto non titolare (del tutto irrilevante ai fini della responsabilità è la circo-
stanza che il soggetto sia il fratello della . CP_5
È evidente che la titolare del dispositivo di firma e del pin, ha mancato di CP_5
custodire gli stessi, violando la normativa sopra richiamata (art. 7) e lasciando che di tali dispostivi di autenticazione se ne potesse far uso anche in sua assenza (ri-
leva infatti la circostanza che la chiavetta era sempre stata in possesso del
[...]
come da questi dichiarato nella denuncia querela), assumendosi i rischi Pt_3
relativi come quelli di cui oggi si discute.
Se ne deduce che l'attrice non ha adempiuto con la dovuta diligenza ai propri obblighi di custodia e protezione delle credenziali di sicurezza personalizzate del suo strumento di pagamento, ed è pertanto incorsa in una colpa grave ai sensi dell'artt. 7 co. II e 12 co. IV del D.lgs. 11/2010.
Sotto altro profilo, l'accertata colpa grave della rileva quale Controparte_5
caso fortuito che ha interrotto il nesso etiologico tra l'attività pericolosa ex art. 2050 cod. civ. (come qualificata dal primo giudice l'attività del PSP nei servizi on-
line) e l'evento dannoso.
Ne deriva l'accoglimento dell'appello e la condanna dell'appellata al pagamento in favore dell'appellante delle spese del doppio grado.
P.Q.M.
La Corte,
accoglie l'appello e per l'effetto, in riforma della sentenza impugnata, rigetta la
Proc. n. 423/2022 RG - 10 - dott.ssa Crescenza Dongiovanni est. domanda proposta dall'appellante;
condanna al pagamento in favore di Controparte_1 [...]
delle spese del doppio grado che liquida quanto al primo in com- Parte_1
plessivi € 2.500,00 oltre IVA, CAP e RF al 15% e quanto al secondo in comples-
sivi € 2.355,00 di cui € 355,00 per spese borsuali oltre IVA, CAP e RF al 15%.
Così deciso in Lecce, nella camera di consiglio del 2 luglio 2025.
Il Giudice Aus. estensore Il Presidente
(dott.ssa Crescenza Dongiovanni) (dott. Riccardo Mele)
Proc. n. 423/2022 RG - 11 - dott.ssa Crescenza Dongiovanni est.
IN NOME DEL POPOLO ITALIANO
La Corte di Appello di Lecce - Sezione Prima Civile - composta dai Signori: dott. Riccardo MELE - Presidente
dott. Maurizio PETRELLI - Consigliere
dott.ssa Crescenza DONGIOVANNI - Giudice Aus. estensore ha pronunciato la seguente
S E N T E N Z A
nella causa civile in grado di appello iscritta al n. 423 del Ruolo Generale delle cause dell'anno 2022,
T R A
(c.f. ), in persona del legale rappresentante Parte_1 P.IVA_1
p.t., rappresentata e difesa dall'avv. Salvatore Parente, come da mandato in atti;
- APPELLANTE -
E
(c.f. , in persona del Controparte_1 P.IVA_2
legale rappresentante p.t., rappresentata e difesa dagli avv.ti Paolo Pellegrino e
Luigi Palazzo, come da mandato in atti;
- APPELLATA -
All'udienza del 17 aprile 2024 le parti hanno precisato le conclusioni come da relativo verbale, il cui contenuto deve intendersi qui integralmente richiamato e trascritto.
SVOLGIMENTO DEL PROCESSO
Con atto di citazione, ritualmente notificato, l' Controparte_1
Proc. n. 423/2022 RG - 1 - dott.ssa Controparte_2 (di qui in poi adì il Tribunale di Lecce e dedusse: CP_1
1. di essere intestataria del conto corrente n. 86161148, sul quale era attivo il servizio di home banking, e di essere, altresì, titolare della carta di debito
Postamat Impresa n. 82604581;
2. che a seguito di una verifica del saldo aveva appreso che in data
24/02/2020 vi era stata una illegittima disposizione di bonifico in favore della per l'importo di € 22.000,00, Parte_2
corrispondente alla quasi totalità delle somme depositate;
3. che l'Associazione non aveva mai intrattenuto rapporti di alcun genere con la detta e che l'attività di quest'ultima era Parte_2
del tutto estranea alle finalità dell' CP_1
4. che era stata sporta denuncia querela ed era stato infruttuosamente proposto reclamo a , nonché richiesta formalmente la Parte_1
restituzione delle somme alla destinataria del bonifico, richiesta rimasta priva di riscontro;
5. che doveva ritenersi responsabile per il bonifico non autorizzato in Pt_1
ragione di specifici obblighi di vigilanza incombenti sull'intermediario come previsto dal D.lgs. 11/2010.
In ragione dei fatti esposti chiese che la convenuta fosse condannata al risarcimento del danno quantificato in misura pari all'importo del bonifico,
nonché dell'ulteriore danno per la compromissione dell'attività sociale.
Si costituì che contestò la fondatezza della domanda. Parte_1
La causa, istruita documentalmente e a mezzo interrogatorio formale della legale rappresentante della venne decisa con sentenza n. CP_1 Controparte_3
Proc. n. 423/2022 RG - 2 - dott.ssa Crescenza Dongiovanni est. 3198/2021 pubblicata in data 19/11/2021 con la quale il Tribunale di Lecce
accolse la domanda di condanna al risarcimento di € 22.000,00 e rigettò
l'ulteriore domanda risarcitoria, così motivando:
“Va precisato che l'uso dei codici di accesso al sistema internet banking da parte di terzi
rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile,
mediante appropriate misure tecniche volte a vanificare la riferibilità delle operazioni alla
volontà del correntista. Ed infatti la non risponde del danno patito dal cliente, solo CP_4
qualora dimostri che il fatto sia attribuibile al dolo del correntista o a comportamenti dello
stesso talmente incauti da non poter essere fronteggiati in anticipo. Alcuna prova sotto questo
profilo è stata fornita da parte convenuta. Dal punto di vista legislativo, i prestatori dei servizi
di pagamento che forniscono servizi di home banking, disponendo dei dati sensibili del cliente
sono tenuti, ai sensi dell'art. 31 del d.lgs. 196/03, a proteggerli onde evitare accessi non
autorizzati. In particolare, l'art. 15 del detto decreto legislativo prevede che chiunque cagioni un
danno ad altri per effetto del trattamento dei dati personali é tenuto al risarcimento ai sensi
dell'art. 2050 c.c.. quindi, era tenuta ad adottare tutti gli accorgimenti necessari Parte_1
e adeguati a prevenire l'illecita captazione dei dati, per evitare accessi non autorizzati. Si tratta
di una forma di responsabilità oggettiva in cui il prestatore del servizio per andare esente da
responsabilità, non solo deve dimostrare di aver adottato tutte le misure idonee ad evitare il
danno, ma deve anche fornire la prova positiva di una causa esterna, imprevedibile ed
inevitabile, che sfugge alla sfera di controllo dell'esercente l'attività pericolosa.
La convenuta era, dunque, tenuta a garantire uno standard di sicurezza con diligenza tecnica
ex art. 1176, comma 2, c.c.. Nel caso di specie alcuna prova documentale é stata offerta dalla
convenuta neppure in merito ad altri bonifici, e di analoga entità, eseguiti in favore della
[...]
Nel caso di specie anche solo l'entità del bonifico avrebbe dovuto Parte_2
Proc. n. 423/2022 RG - 3 - dott.ssa Crescenza Dongiovanni est. insospettire e comportare il blocco del pagamento. Tali principi, inoltre, trovano puntuale
riscontro anche nel D.lgs. 11/2010, di attuazione della Direttiva CE 2007/64.
Quanto alla domanda risarcitoria, infine, la stessa andrà rigettata, poiché alcuna prova precisa
e puntuale risulta fornita da parte attrice circa i danni patiti, né é consentito il ricorso alla
liquidazione equitativa, in mancanza di prova certa del pregiudizio, atteso che al giudice é
consentita la liquidazione equitativa solo quando vi è prova del danno ma é di estrema difficoltà
una stima precisa dello stesso”.
Averso la sentenza non notificata ha proposto appello con Parte_1
atto di citazione del 17/05/2022 chiedendone la riforma con due motivi.
Si è costituita l'appellata resistendo al gravame e chiedendone il rigetto.
All'udienza Collegiale del 17 aprile 2024 le parti hanno precisato le conclusioni mediante note di trattazione scritta e la Corte ha trattenuto la causa in decisione con assegnazione dei termini ex art. 190 cod. proc. civ..
MOTIVI DELLA DECISIONE
Con il primo motivo l'appellante, al fine di evidenziare che l'operazione in conte-
stazione, non può che essere stata effettuata con inserimento delle credenziali e del codice dispositivo noti soltanto al correntista delegato e di escludere quindi la propria responsabilità in termini di sistemi di sicurezza adottati, ripercorre nuo-
vamente i passaggi necessari per l'operazione di pagamento online come allegati in primo grado.
Precisa, infatti, che per detta operazione è necessario dotarsi di un proprio dispo-
sitivo in grado di connettersi ad internet, digitare chiavi di accesso, ossia user-id e password, otp, che vengono assegnati ai titolari in maniera del tutto segreta me-
diante procedure che non rendono visibili i dati neppure al personale di Pt_1
Proc. n. 423/2022 RG - 4 - dott.ssa Crescenza Dongiovanni est. Evidenzia poi che per effettuare le operazioni online è necessario la bpol key (si-
stema composto da smart card contenente certificato di firma digitale unico per codice fiscale e il token usb su cui inserire la smart cart oltre al pin/puk formato da codici numerici per l'uso/sblocco della smart card). Nella fattispecie l'operazione risultava eseguita attraversi la bpol key in uso alla legale rappresen-
tante legale Controparte_5
Con il secondo motivo censura la sentenza per carenza di motivazione e malgo-
verno delle risultanze istruttorie. Il giudice si sarebbe limitato ad una sterile ap-
plicazione dell'art. 2050 cod. civ. e delle norme di cui al D.lgs. 11/2010, laddove di contro dalle emergenze istruttorie si evincerebbero diversi elementi per affer-
mare la colpa grave dell'attrice per non aver ben custodito i dati informatici utili per l'utilizzo on line, disattendendo le condizioni contrattuali note al cliente fin dalla data di richiesta del servizio on line, o concedendo a terzi di inserirsi sul proprio computer.
L'attrice non avrebbe assolto al proprio onere probatorio in ordine al danno conseguenza patito.
I motivi di appello, esaminabili congiuntamente, sono fondati.
Occorre in premessa precisare che nella fattispecie, oltre alle generali norme in materia contrattuale, viene in rilievo il decreto legislativo 27 gennaio 2010, n. 11,
che attua la direttiva europea 2007/64/CE relativa ai servizi di pagamento nel mercato interno, richiamato dalla stessa attrice nell'atto introduttivo e dal Tribu-
nale nella sentenza impugnata. Tale decreto disciplina le norme per i pagamenti,
introducendo nuove regole e tutele per gli utilizzatori di servizi di pagamento, ed ha l'obiettivo di creare un quadro normativo più chiaro e sicuro per i servizi di
Proc. n. 423/2022 RG - 5 - dott.ssa Crescenza Dongiovanni est. pagamento, proteggendo sia i prestatori che gli utilizzatori di tali servizi.
Si riportano le norme rilevanti per la soluzione della presente controversia.
In particolare l'art. 7) (Obblighi a carico dell'utente dei servizi di pagamento
in relazione agli strumenti di pagamento e alle credenziali di sicurezza
personalizzate) al comma 2 recita “ai fini di cui al comma 1, lettera a), l'utente, non
appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere
le credenziali di sicurezza personalizzate”.
L'art. 8) (Obblighi a carico del prestatore di servizi di pagamento in rela-
zione agli strumenti di pagamento) al comma 1 recita “Il prestatore di servizi di
pagamento che emette uno strumento di pagamento ha l'obbligo di: a) assicurare che le creden-
ziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall'utente abilitato a
usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest'ultimo ai sensi
dell'articolo 7”.
L'art. 10 (Prova di autenticazione ed esecuzione delle operazioni di paga-
mento) recita al comma 2 “Quando l'utente di servizi di pagamento neghi di aver auto-
rizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registra-
to dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di dispo-
sizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che
l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo
fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui
all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore
di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della
colpa grave dell'utente”.
L'art. 12 (Responsabilità del pagatore per l'utilizzo non autorizzato di
Proc. n. 423/2022 RG - 6 - dott.ssa Crescenza Dongiovanni est. strumenti o servizi di pagamento) al comma 4 recita “Qualora abbia agito in mo-
do fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7, con dolo o
colpa grave, l'utente sopporta tutte le perdite derivanti da operazioni di pagamento non autoriz-
zate e non si applica il limite di 50 euro di cui al comma 3”.
In particolare, le ultime due disposizioni stabiliscono che il PSP deve dimostrare la colpa dell'utente per evitare il rimborso di operazioni non autorizzate, ma l'utente rimane responsabile per comportamenti fraudolenti o negligenti.
Tra tante si richiama una recente sentenza della Cassazione secondo cui: “La re-
sponsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con partico-
lare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo
dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi,
va esclusa solo se ricorre una situazione di colpa grave dell'utente.” (cfr. Cass. n. 3780/2024
conforme Cass. n. 26916/2020).
Ciò precisato, si evidenzia che dai dati acquisiti al processo risulta che Pt_1
adottò un sistema di sicurezza alquanto complesso tale da impedire l'accesso ai dati personali del correntista da parte di terzi. Infatti, è circostanza incontestata,
per come allegata dalla convenuta in primo grado, che per l'esecuzione delle ope-
razioni online erano previsti diversi sistemi di autenticazione dell'utente.
In particolare, erano necessari, per l'accesso al sito di poste, il codice azienda
(composto da 10 caratteri), il codice utente attribuito dal sistema all'atto della abi-
litazione coincidente con il codice fiscale dell'utente firmatario e non modificabi-
le, password composta di almeno 12 caratteri da modificare ogni 180 giorni sola-
ri. Inoltre, per effettuare le operazioni dispositive, era necessario l'utilizzo della bpol key (sistema composto da smart card contenente certificato di firma digitale
Proc. n. 423/2022 RG - 7 - dott.ssa Crescenza Dongiovanni est. unico per codice fiscale e il token usb su cui inserire la smart cart oltre al pin/puk formato da codici numerici per l'uso/sblocco della smart card), circo-
stanza specificatamente ammessa anche durante l'interrogatorio dalla legale rap-
presentante della CP_1
Per eseguire le operazioni di bonifico, in aggiunta ai codici e alla password l'utente doveva, quindi, validare l'operazione con l'apposizione del codice “pin”
della smart card.
Occorre precisare che il sistema di autenticazione c.d. forte, a due o più fattori,
che sfrutta l'utilizzo di autenticazione come innanzi descritti, è previsto dal DL
15 dicembre 2017, n. 218, che ha recepito la Direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (PSD2) per far fronte alle truffe online c.d. fishing ed aumentare la sicurezza delle operazioni online dei clienti.
Orbene, alla luce di quanto innanzi precisato in fatto, l'operazione poteva essere eseguita solo attraverso l'utilizzo finale della bpol key.
Non era sufficiente, si vuol dire, che un hacker si inserisse semplicemente nel computer e trafugasse i dati, come adombrato dal querelante Controparte_6
(fratello di e vice presidente dell'associazione) il quale
[...] Controparte_5
nella denuncia querela (all. agli atti) ha testualmente dichiarato: “La chiavetta con la
quale mi collego telematicamente al sito di e quindi al conto corrente postale Parte_1
di cui sopra è stata sempre in mio possesso. Pertanto sono certo che ignoti sono riu-
sciti ad introdursi telematicamente nel computer dell'associazione e du-
plicare i codici di accesso e di disposizione del predetto conto corrente
postale”, ma occorreva un intervento fisico del titolare della bpol key, attraverso l'inserimento del token contenente il certificato digitale, nella porta usb del com-
Proc. n. 423/2022 RG - 8 - dott.ssa Crescenza Dongiovanni est. puter utilizzato per l'accesso al sito di e la digitazione del pin per la con- Pt_1
ferma dell'operazione.
Quindi prevedendo il sistema di autenticazione a più fattori, come specifi- Pt_1
cato, ha rispettato gli obblighi di cui all'art. 8 della citata normativa (art. 8) (Ob-
blighi a carico del prestatore di servizi di pagamento in relazione agli
strumenti di pagamento) “Il prestatore di servizi di pagamento che emette uno strumento
di pagamento ha l'obbligo di: ((a) assicurare che le credenziali di sicurezza personalizzate non
siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento, fatti
salvi gli obblighi posti in capo a quest'ultimo ai sensi dell'articolo 7).
Ma vi è di più, dall'istruttoria è emerso un comportamento gravemente negligen-
te della titolare del conto e assegnataria delle credenziali, per le seguenti ragioni.
Premesso che è circostanza incontestata che la bpol key utilizzata per l'operazione de qua era quella associata alla signora si evi- Controparte_5
denzia che la dichiarazione della resa durante l'interrogatorio, secondo cui CP_5
entrambe le chiavette in dotazione (una delle quali, era scaduta tre anni prima)
erano da ella custodite in un cassetto, risulta smentita dal fratello Parte_3
, il quale nella denuncia querela di cui innanzi, ha espressamente dichiara-
[...]
to di avere le mansioni per effettuare operazioni di pagamento per l'Associazione, e ha affermato che la chiavetta con la quale si collegava telemati-
camente al sito di era stata sempre in suo possesso. Ed inoltre nel Parte_1
reclamo, presentato a la ha dichiarato che la carta era in possesso del Pt_1 CP_5
delegato sul conto ossia . Parte_3
Ed ancora, durante l'interrogatorio, la ha ammesso di non conoscere la CP_5
procedura per compiere operazioni che prevedono l'uso del PIN dispositivo e
Proc. n. 423/2022 RG - 9 - dott.ssa Controparte_2 che “a volte in mia presenza la chiavetta è utilizzata da mio fratello dietro la mia supervisione”.
In un quadro del genere è evidente la condivisione della chiavetta e del pin, che avrebbero dovuto essere segreti e noti alla sola titolare, con CP_5 CP_5
soggetto non titolare (del tutto irrilevante ai fini della responsabilità è la circo-
stanza che il soggetto sia il fratello della . CP_5
È evidente che la titolare del dispositivo di firma e del pin, ha mancato di CP_5
custodire gli stessi, violando la normativa sopra richiamata (art. 7) e lasciando che di tali dispostivi di autenticazione se ne potesse far uso anche in sua assenza (ri-
leva infatti la circostanza che la chiavetta era sempre stata in possesso del
[...]
come da questi dichiarato nella denuncia querela), assumendosi i rischi Pt_3
relativi come quelli di cui oggi si discute.
Se ne deduce che l'attrice non ha adempiuto con la dovuta diligenza ai propri obblighi di custodia e protezione delle credenziali di sicurezza personalizzate del suo strumento di pagamento, ed è pertanto incorsa in una colpa grave ai sensi dell'artt. 7 co. II e 12 co. IV del D.lgs. 11/2010.
Sotto altro profilo, l'accertata colpa grave della rileva quale Controparte_5
caso fortuito che ha interrotto il nesso etiologico tra l'attività pericolosa ex art. 2050 cod. civ. (come qualificata dal primo giudice l'attività del PSP nei servizi on-
line) e l'evento dannoso.
Ne deriva l'accoglimento dell'appello e la condanna dell'appellata al pagamento in favore dell'appellante delle spese del doppio grado.
P.Q.M.
La Corte,
accoglie l'appello e per l'effetto, in riforma della sentenza impugnata, rigetta la
Proc. n. 423/2022 RG - 10 - dott.ssa Crescenza Dongiovanni est. domanda proposta dall'appellante;
condanna al pagamento in favore di Controparte_1 [...]
delle spese del doppio grado che liquida quanto al primo in com- Parte_1
plessivi € 2.500,00 oltre IVA, CAP e RF al 15% e quanto al secondo in comples-
sivi € 2.355,00 di cui € 355,00 per spese borsuali oltre IVA, CAP e RF al 15%.
Così deciso in Lecce, nella camera di consiglio del 2 luglio 2025.
Il Giudice Aus. estensore Il Presidente
(dott.ssa Crescenza Dongiovanni) (dott. Riccardo Mele)
Proc. n. 423/2022 RG - 11 - dott.ssa Crescenza Dongiovanni est.