R.G. n. 950/2023
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE D'APPELLO DI MILANO
Sezione Prima Civile nelle persone dei seguenti magistrati:
dr. Serena Baccolini Presidente
dr. Marco Del Vecchio Consigliere dr. Manuela Cortelloni Consigliere relatore ha pronunciato la seguente
SENTENZA
nella causa iscritta al n. r.g. 950/2023 promossa in grado d'appello
DA
(C.F. ), elettivamente domiciliato in Roma, via F.P. Dè Calboli Parte_1 P.IVA_1
n. 54, presso lo studio dell'avv. Valerio Stanisci, che lo rappresenta e difende come da delega in atti;

appellante
CONTRO
(C.F. ), elettivamente domiciliato in Gallarate Controparte_1 C.F._1
(MI), via Borghi n. 8, presso lo studio dell'avv. Marco Colombo, che lo rappresenta e difende come da delega in atti, unitamente all'avv. Andrea Evasio Maria Aspesi;

appellato
pagina 1 di 10 Avente ad oggetto: contratti bancari – frode informatica

Sulle seguenti conclusioni
Per Parte_1
“Voglia l'Ill.ma Corte di Appello di Milano adita, contrariis reiectis, in accoglimento del presente appello, riformare la Sentenza n. 1434/2022 resa in data 14.10.2022 dal Tribunale di Busto Arsizio,
Sez. III, in persona della dott.ssa Francesca Capotorti, all'esito del giudizio R.G.n. 5547/2020, pubblicata in data 14.10.2022 e non notificata per tutti i motivi indicati nelle premesse del presente atto e, per l'effetto, rigettare tutte le domande spiegate da parte attrice in quanto infondate in fatto e in diritto oltreché non provate.
Con vittoria di spese del doppio grado di giudizio oltre spese generali, IVA e CPA come per legge.”.
Per Controparte_1
“Piaccia all'Illustrissima Corte di Appello di Milano, respinta ogni contraria istanza ed eccezione, confermare la sentenza n. 1434/2022 emessa il 14.10.2022 dal Tribunale di Busto Arsizio, all'esito della causa individuata all'R.G. 5547/2020.
Con vittoria di spese e compensi professionali oltre accessori”.
SVOLGIMENTO DEL PROCESSO
1. conveniva in giudizio, avanti al Tribunale di Busto Arsizio, Controparte_1 [...]
affinchè venisse condannato al risarcimento dei danni subiti, indicati in euro Pt_1
6.898,00 o in quella diversa misura che risultasse provata in corso di causa, in conseguenza della frode informatica verificatasi in data 11 maggio 2020.
2. L'attore essenzialmente allegava che:
- in data 11.5.2020, alle ore 12,48, riceveva - in coda ai precedenti messaggi ricevuti dalla Banca - un “sms” con l'indicazione “YOUALERT”, proveniente dal numero ufficiale di;
Parte_1
- con tale messaggio veniva allertato di un tentativo di accesso al conto corrente n. 26262 e veniva invitato a inserire i propri dati nel “link” ivi indicato (risultando comunicato quanto segue: “A pagina 2 di 10 causa di un accesso non autorizzato si prega di inserire i dati al seguente link per verifica https://www.contoattenzione.it/bpm”);
- dopo avere effettuato l'accesso al link, che conduceva alla schermata home della sua banca,
l'attore inseriva le credenziali e il suo numero di telefono chiedendo di essere ricontattato;

- il giorno successivo, un (sedicente) funzionario della lo contattava utilizzando il numero Pt_2
verde e gli comunicava che vi era stato un tentativo di accesso al suo conto corrente e che i bonifici in uscita erano stati bloccati: l'uno era un bonifico ordinario di euro 4.900,00 e gli altri due erano
“bonifici istantanei” di euro 1.980,00 ciascuno;
quindi, gli veniva richiesto di indicare i codici OTP al fine di ottenere nuovamente la disponibilità di tali somme di denaro;

- alle ore 15,30 dello stesso giorno, l'attore veniva contattato dalla propria Filiale e gli veniva comunicato che era stato vittima di una frode informatica;

- il medesimo si recava in e, poi, presso la Stazione Carabinieri per sporgere denuncia – Pt_2
querela;
- la non bloccava nessuno dei due bonifici, neppure quello ordinario, sebbene fosse stata Pt_2
tempestivamente richiesta in tale senso;

- infine, proponeva reclamo, che veniva respinto, dando avvio all'azione giudiziaria.
3. Integrato il contraddittorio fra le parti, il Tribunale di Busto Arsizio, con sentenza n.
1434/2022 pubblicata in data 14 ottobre 2022, così disponeva:
“condanna al pagamento, in favore di della somma di € Parte_1 Controparte_1
6.748,00 oltre rivalutazione ed interessi compensativi nella misura legale sulla somma via via rivalutata annualmente dal 12.5.2020 alla data della presente sentenza;
condanna Parte_1
a rifondere a le spese di giudizio, liquidate in € 264,00 per esborsi ed €
[...] Controparte_1
3.065,00 per compensi, oltre spese generali al 15%, IVA e CPA”.
4. Il Tribunale di Busto Arsizio così motivava.


4.A. Innanzi tutto, riteneva infondata l'eccezione di difetto di legittimazione attiva sollevata dalla
– per essere il conto corrente cointestato sia a che alla sorella – in quanto, Pt_2 Controparte_1 ai sensi dell'art. 1854 c.c., gli intestatari sono “creditori o debitori in solido”.


4.B. Quanto all'onere di allegazione e prova, veniva richiamato il disposto di cui all'art. 10 d.lgs.
28 gennaio 2010, n. 11, come modificato dal d.lgs. 218/2017 e in base al quale la Banca, onde pagina 3 di 10 liberarsi da responsabilità, deve allegare e dimostrare che il cliente ha agito con frode, dolo o colpa
grave.
Nella specie, si escludeva un malfunzionamento di sistema da parte della Pt_2
Peraltro, le circostanze fattuali esaminate e delineate in premessa, complessivamente valutate, portavano ad escludere la “colpa grave” di Controparte_1
Il Tribunale, ravvisando una “colpa lieve” del cliente, ai sensi dell'art. 12, comma 4, d.lgs. cit., riteneva che dovesse essere posta a suo carico una somma pari ad euro 50,00 per ciascuna operazione e di cui teneva conto ai fini della liquidazione del danno.


4.C. Di conseguenza, veniva condannato al risarcimento dei danni pari ad euro Parte_1
6.748,00, oltre a interessi legali e rivalutazione monetaria dal 12.5.2020 (quale data di esecuzione dei bonifici) sino all'emanazione della sentenza di primo grado.
5. ha proposto appello, avverso la sentenza n. 1434/2022, per un unico motivo Parte_1 così rubricato: “Violazione e/o falsa applicazione degli artt. 7 e 12 d.lgs. 11/2010, erronea valutazione delle risultanze istruttorie”, per le ragioni che in seguito verranno partitamente esaminate.
6. si è costituito in appello e ha concluso per il rigetto dell'impugnazione. Controparte_1
7. Celebrata la prima udienza di comparizione in data 27 settembre 2023, la causa veniva avviata all'udienza del 4 dicembre 2024 per la rimessione in decisione, con l'assegnazione dei termini di cui all'art. 352 c.p.c.
La decisione è stata assunta nella camera di consiglio in pari data.
MOTIVI DELLA DECISIONE
I. Con un unico motivo di appello impugna la sentenza di primo grado Parte_1 per avere escluso la “colpa grave” di nella valutazione della vicenda Controparte_1
per cui è causa e, in particolare, per non avere tenuto conto:
- che, così come accertato, non vi sono stati malfunzionamenti del sistema informatico della
Banca;
- la frode è stata realizzata in virtù della condotta gravemente colposa del cliente che ha fornito le credenziali e i codici OTP al sedicente funzionario allorquando veniva contattato telefonicamente;

pagina 4 di 10 - lo stesso Tribunale ha ravvisato l'imprudenza del correntista, avendolo sanzionato con il pagamento di euro 50,00 per ciascuna operazione;

- il link indicato nel messaggio SMS inviato a era anomalo, in quanto Controparte_1 terminava “bpm” – (“https:/www.contoattenzione.it/bpm”) e tale anomalia poteva essere percepita dal cliente;

- inoltre, gli intermediari bancari non inviano messaggi di tale contenuto, né gli operatori sono abilitati a chiedere telefonicamente le credenziali e i codici OTP.
Ciò premesso, la Corte ritiene che l'appello non sia meritevole di accoglimento, per le seguenti principali considerazioni.
I.A. Dal punto di vista normativo, si osserva che l'art. 7 d.lgs. 11/2010 cit.¹ e successive modifiche
– rubricato “Obblighi a carico dell'utente dei servizi di pagamento in relazione agli strumenti di pagamento e alle credenziali di sicurezza personalizzate” - preveda quanto segue:
“1. L'utente abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di:
a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso e che devono essere obiettivi, non discriminatori e proporzionati;

b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
2. Ai fini di cui al comma 1, lettera a), l'utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”.
Inoltre, l'art. 10 – “Prova di autenticazione ed esecuzione delle operazioni di pagamento” dispone che:
1. “Qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che ¹ Di attuazione della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno;
pagina 5 di 10 non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato … non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo”.
[…]

7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Infine, l'art. 12 – titolato “Responsabilità del pagatore per l'utilizzo non autorizzato di strumenti o servizi di pagamento” – prevede che:
“[…]
2ter. “Il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento, salvo il caso in cui abbia agito in modo fraudolento”;
3. “negli altri casi, salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all'articolo 7, con dolo o colpa grave, il pagatore può sopportare, per un importo comunque non superiore a euro 50, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita”;

4. qualora, invece, il pagatore abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7, con dolo o colpa grave, l'utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 50 euro di cui al comma 3”.
I.B. Secondo l'interpretazione di questa Corte, già accolta in precedenti analoghi, la responsabilità del “prestatore di servizi di pagamento” ha natura contrattuale, nel senso che il correntista deve pagina 6 di 10 allegare e provare il titolo e può limitarsi ad allegare che non ha autorizzato l'operazione di pagamento.
Spetta, invece, alla Banca l'allegazione e la prova della riferibilità dell'operazione effettuata tramite strumenti informatici alla “colpa grave” o al “dolo” o alla “frode” dell'utente.
Invero, come affermato in diverse occasioni dalla Corte di Legittimità, appare del tutto
“ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento
– prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente – la possibilità di un'utilizzazione dei codici di accesso al
sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo” – (cfr. Cass. Civ. Sez. 6 – 3, ordinanza 26 novembre
2020, n. 26916).²
La prova liberatoria offerta dalla Banca va valutata in concreto, richiedendo l'allegazione delle conoscenze tecniche acquisite in un determinato momento storico e che si evolvono nel tempo,
tenuto conto della specifica operazione di pagamento effettuata e delle altre circostanze che connotano la vicenda in decisione.
La stessa richiede, quindi, la dimostrazione – da parte del prestatore di servizi di pagamento – di avere adottato le misure tecniche idonee a contenere gli eventi potenzialmente dannosi per il cliente, ivi compresa l'ipotesi di captazione dei codici di accesso per operazioni on line ovvero l'illegittima esecuzione di ordini di bonifico. ² Nello stesso senso: Cass. Civ., Sez. 3, sentenza 12 febbraio 2024, n. 3780: “La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente”.
(Nella specie, la S.C. - in applicazione di tale principio - ha confermato la decisione di merito che aveva ritenuto gravante su ai fini della non riferibilità al cliente delle operazioni fraudolente eseguite con Controparte_2 la sua carta Postepay, la dimostrazione della previa adozione di mezzi di prevenzione dell'uso illecito dei sistemi elettronici di pagamento, quali, ad esempio, l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione).
pagina 7 di 10 Sempre da un punto di vista generale – si osserva che la colpa del cliente può dirsi “grave” solo laddove risulti provata una negligenza inescusabile, da parte dell'utilizzatore medio e non professionale, da valutare sempre in base alle circostanze del caso concreto.
I.C. Tenuto conto della normativa in precedenza ricordata e dei principi generali indicati, questa
Corte ritiene che – nel caso concreto – la valutazione data dal Tribunale di Busto Arsizio sia condivisibile e meritevole di conferma.
I fatti già delineati in premessa, complessivamente valutati, portano a ritenere che la truffa perpetrata ai danni di fosse sofistica e costruita in modo tale da sorprendere Controparte_1
l'utilizzatore mediamente diligente.
Sinteticamente, si ricorda:
- l'invio di un SMS sul cellulare dell'appellato in coda a precedenti messaggi (tutti genuini) già ricevuti dal correntista da parte della Banca e, quindi, l'utilizzo del sistema di comunicazione che, da tempo, era in uso fra tali parti;

- l'assenza, nel testo del messaggio, di errori grammaticali o sintattici o di incoerenze rispetto al contenuto del messaggio, con il quale si allertava il cliente di un tentativo di accesso al conto corrente;

- l'indicazione di un link che, una volta aperto, consentiva il collegamento alla “schermata” di
; Parte_1
- il contatto telefonico proveniente da un apparente funzionario e da un numero di telefono che era il numero verde della stessa (8000224024) – contatto che era stato Pt_2 preannunciato tramite l'accesso a tale link e su richiesta dello stesso correntista.
A ciò si aggiunga che la non ha dato prova di avere inviato informazioni specifiche al Pt_2 correntista (se non quelle presenti solo nella “schermata home” e destinate alla generalità degli utenti) circa i pericoli relativi alle frodi informatiche e che possono essere attuate in svariate forme,
non risultando prodotta alcuna documentazione a riguardo.
La non ha, inoltre, allegato che le operazioni di pagamento fossero accompagnate da Pt_2 CP_3
nel caso di accesso e/o utilizzo del conto corrente (cfr. Cass. Civ. 3780/2024 cit.).
pagina 8 di 10 Non appare sufficiente - a tali fini e, in particolare, al fine di scongiurare i pericoli insidiosi delle truffe informatiche - allegare di avere un sistema di autenticazione forte, essendo invece necessario allegare e dimostrare quali siano i sistemi di protezione dall'intrusione esterna adottati dalla Pt_2
onde utilizzare in sicurezza il sistema home banking, solitamente incentivato dagli stessi Istituti di
Credito nei confronti dei propri clienti.
Conclusivamente, appare corretta la valutazione del Tribunale nella misura in cui ha ritenuto “Il meccanismo di aggressione utilizzato … certamente insidioso, in quanto particolarmente sofisticato e caratterizzato da un effetto sorpresa capace di spiazzare l'utilizzatore, grazie alla
perfetta inserzione nell'ambiente informatico originale e nella correlata simulazione di un messaggio tale da indurre una persona di normale avvedutezza in errore sulla provenienza della richiesta e sulla plausibilità della stessa” – (pg. 9 sentenza).
L'unico profilo di “colpa” – (non grave) – valorizzato dal Tribunale è stato quello relativo alla denominazione del link e che aveva, quale termine finale, l'indicazione “bpm” - indicazione che era diversa da quella ufficiale della Banca.
Peraltro – correttamente – si è ritenuto che, alla luce delle altre circostanze indicate e dell'unica
“negligenza” riferibile al correntista, la stessa non integrasse la “colpa grave” invocata da parte appellante.
In ultimo, si rileva che, nel caso in esame, la – seppur tempestivamente richiesta da parte del Pt_2
cliente - non provvedeva neppure a bloccare il “bonifico ordinario”, così da contenere, quanto meno, il danno dal medesimo subito.
Per tutte le considerazioni sopra esposte, l'appello viene respinto con conferma della sentenza impugnata.
II. Le spese di lite seguono la soccombenza e si liquidano in dispositivo, in base al d.m.
55/2014, modificato dal d.m. 147/2022, applicati i parametri medi, in ragione del valore della causa, delle questioni trattate e dell'attività difensiva profusa (che esclude la fase istruttoria).
pagina 9 di 10 Si dà atto, ai sensi dell'art. 13, comma 1 quater d.p.r. 115/2002 e successive modifiche, che sussistono i presupposti per il pagamento, da parte di , di un ulteriore importo a Parte_1 titolo di contributo unificato pari a quello versato per l'impugnazione.


P.Q.M.


La Corte d'Appello di Milano, definitivamente pronunciando, disattesa ogni diversa o contraria domanda e eccezione, così dispone:
- respinge l'appello proposto da nei confronti di e, Parte_1 Controparte_1 per l'effetto, conferma la sentenza n. 1434/2022 pubblicata dal Tribunale di Busto
Arsizio in data 14 ottobre 2024;
- condanna alla rifusione, in favore di delle Parte_1 Controparte_1
ulteriori spese del grado che liquida in euro 3.397,00 per compensi, oltre al rimborso delle spese generali nella misura del 15%, Iva e cpa come per legge;

- dichiara, ai sensi dell'art. 13, comma 1 quater d.p.r. 115/2002 e successive modifiche, che sussistono i presupposti per il pagamento, da parte di , di un Parte_1
ulteriore importo a titolo di contributo unificato pari a quello versato per l'impugnazione.
Così deciso in Milano, nella camera di consiglio del 4 dicembre 2024
Il Consigliere estensore Il Presidente
Manuela Cortelloni Serena Baccolini
pagina 10 di 10