CA
Sentenza 16 giugno 2025
Sentenza 16 giugno 2025
Commentari • 0
Sul provvedimento
| Citazione : | Corte d'Appello Milano, sentenza 16/06/2025, n. 1755 |
|---|---|
| Giurisdizione : | Corte d'Appello Milano |
| Numero : | 1755 |
| Data del deposito : | 16 giugno 2025 |
Testo completo
N. R.G. 3271/2023
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE D'APPELLO DI MILANO
Sezione prima civile nelle persone dei seguenti magistrati:
Domenico Bonaretti Presidente
Alessandra Arceri Consigliere Rel.
Cristina Ravera Consigliere
ha pronunciato la seguente
SENTENZA
nella causa iscritta al n. 3271/2023 R.G. promossa in grado d'appello
da
C.F. ) elettivamente domiciliata in Parte_1 P.IVA_1 Pt_1 [...]
Via Cordusio n. 4, Milano, rappresentata e difesa dagli Avv.ti Gabriella Parte_2
Maria Ingegneri e Patrizia Modugno, come da delega in atti
APPELLANTE
contro
(C.F. ) elettivamente domiciliata in Viale Abruzzi n. Controparte_1 C.F._1
83, Milano, presso lo studio dell'Avv. Marco Maria Donzelli che la rappresenta e difende come da delega in atti
APPELLATA pag. 1
Oggetto: Bancari (deposito bancario, cassetta di sicurezza, apertura di credito bancario)-appello vs. sentenza n. 8223/2023 emessa dal Tribunale di Milano e pubblicata in data 23 ottobre 2023
CONCLUSIONI DELLE PARTI
Per parte appellante: “Voglia l'Ecc.ma Corte d'Appello di Milano, contrariis reiectis, in via principale: accogliere per i motivi tutti dedotti in narrativa il proposto appello e, per l'effetto, in riforma della sentenza n.8223/2023 emessa dal Tribunale di Milano, VI sezione civile, in persona del
Giudice Unico Dott.ssa R . resa nel procedimento R.G. 40432/2020, accogliere tutte le CP_2 conclusioni avanzate nel giudizio di primo grado che qui si riportano “respingere le domande tutte avanzate dalla parte attrice nei confronti di in quanto inammissibili, Parte_1
improponibili e comunque infondate in fatto e diritto e conseguentemente dichiarare e accertare
l'esclusiva responsabilità di parte attrice nella causazione del danno lamentato;
- in via subordinata: nella denegata e non creduta ipotesi in cui si dovesse ravvisare la colpa nella condotta dell'esponente in relazione ai fatti per cui è causa, accertato e dichiarato il concorso del fatto Parte_1
colposo e la preminente gravità della colpa della stessa parte attrice e/o la preminente importanza delle conseguenze derivatene, a mente dell'art. 1227, mandare assolta la concludente, per l'intero o nella percentuale che sarà ritenuta di giustizia”. - in via istruttoria: ci si oppone, fin d'ora, alle eventuali istanze istruttorie formulate da parte controparte in quanto inammissibili, irrilevanti, inconferenti e/o superate da produzioni documentali;
si richiede di essere ammessi a prova contraria sui fatti di cui ai mezzi ex adverso richiesti ed eventualmente ammessi e ci si riserva di ulteriormente controdedurre in merito.”
Per parte appellata: “Piaccia all'Ecc.ma Corte d'Appello adita così giudicare: (1) nel merito, in via principale: dichiarare inammissibile e/o respingere l'appello proposto da Parte_1
per le ragioni esposte in atti, confermando quindi la sentenza n. 8823 del 2023 resa dal Tribunale di
Milano, Dott.ssa Rossella Filippi, a definizione del giudizio rubricato al n. 40432 del Ruolo Generale degli Affari Civili dell'anno 2020. (2) in ogni caso: con vittoria di spese e competenze di causa, oltre rimborso forfettario ed accessori di legge.”
SVOLGIMENTO DEL PROCESSO
ha convenuto, dinanzi al Tribunale di Milano, al fine di ottenere Controparte_1 Parte_1
risarcimento dei danni patrimoniali in relazione a plurime operazioni di prelievo fraudolentemente pag. 2 attuate in data 12.03.2020 dal suo conto corrente Banco Posta n. 92696822 da parte di ignoti truffatori, mediante la tecnica nota come phishing, per il complessivo importo di € 15.753,00, oltre al risarcimento dei danni morali asseritamente subiti, quantificati dalla stessa attrice in € 1.000,00.
A tal fine, deduceva che:
-in data 12.03.2020, la riceveva un messaggio sms alle ore 15:09 da parte di “info poste” CP_1 dall'identico numero dal quale, a dir della stessa, riceveva sempre e periodicamente aggiornamenti e informazioni di sicurezza da parte di . In particolare, tramite detto sms, le veniva Parte_1
comunicata la sospensione dei servizi finanziari;
-immediatamente, riceveva una telefonata da un soggetto qualificatosi come operatore di
[...]
, il quale le rappresentava l'avvenuta sospensione del conto corrente per sicurezza, Parte_1
comunicandole la necessità di procedere insieme allo sblocco del conto;
a tal fine, l'attrice avrebbe dovuto comunicare all'operatore il codice numerico ricevuto sul telefono della stessa;
-l'attrice, stante la genuinità della comunicazione ricevuta tramite sms dall'identico numero dal quale riceveva sempre e periodicamente aggiornamenti e informazioni sulla sicurezza da parte di
[...]
provvedeva a fornire i codici ricevuti per messaggio;
Parte_1
-il giorno successivo, dopo essersi attenuta alle indicazioni rese dal sedicente operatore di , Pt_1 entrando nell'applicazione smartphone di dal proprio telefono riceveva una comunicazione Pt_1 avente ad oggetto la richiesta di voler “impostare tale numero quale dispositivo principale per effettuare operazioni”; insospettita, contattava dunque il servizio telefonico di e Parte_1
scopriva, dunque, che il proprio conto era stato depauperato per effetto di plurime operazioni fraudolente, per un totale di € 15.753,00 circa;
-tali operazioni venivano disconosciute e contestate dall'attrice, anche mediante reclamo inviato in data 14.03.2020 a Parte_1
- la società convenuta, quale titolare del trattamento di dati personali, avrebbe pertanto, in tesi attorea, provocato un danno alla signora , anche ai sensi dell'art. 2050 c.c., avendo mancato di attuare CP_1 misure idonee ad evitare che “il sito di venisse clonato”; difatti, anche a mente dell'art. 15 del Pt_1
Codice della Privacy il trattamento di dati personali rientra, necessariamente, nel concetto di “attività pericolosa”;
- assumeva inoltre l'attrice che l'attività bancaria, in quanto attività riservata, deve sottostare al canone di diligenza previsto dall'art. 1176, comma 2, c.c. (c.d. “diligenza dell'accorto banchiere”), pena il risarcimento dei danni secondo i normali canoni della responsabilità contrattuale. L'attrice pag. 3 deduceva dunque che le operazioni risultavano essere assolutamente non in linea con un'operatività
“fisiologica”, e pertanto, tali operazioni non potevano che risultare “anomale”, per frequenza e per tipologia, e che di ciò avrebbe dovuto avvedersi l'intermediario con la diligenza qualificata che da esso era dato attendersi;
-infine, la condotta tenuta dalla convenuta rilevava anche sotto il profilo della responsabilità extracontrattuale.
Costituendosi in giudizio, instava per il rigetto delle domande attoree, in quanto Parte_1 infondate in fatto ed in diritto;
in via subordinata, chiedeva l'accertamento del concorso colposo nella causazione del fatto ad opera della medesima attrice, ai sensi dell'art. 1227 c.c.
Il Tribunale di Milano, con la sentenza impugnata, n. 8223/2023, pubblicata in data 23 ottobre 2023, accoglieva la domanda attorea di risarcimento del danno di natura patrimoniale subito da
[...]
, condannando a corrispondere alla stessa la somma di € 15.753,00 oltre CP_1 Parte_1 rivalutazione monetaria oltre le spese di lite, liquidate, quest'ultime, in € 5.077,00 per compensi oltre accessori.
Il giudice di primo grado, individuando l'oggetto del giudizio quale risarcimento del danno da phishing bancario, cioè una truffa telematica tesa a carpire i dati del correntista al fine di procedere a pagamenti non autorizzati, ha richiamato la normativa di riferimento, ovvero: il D. Lgs. 11/2010 emanato in attuazione della Direttiva 2007/64 CE, successivamente modificato dal D. Lgs. 218/2017, in attuazione della Direttiva 2015/2366/UE, in vigore dal 13/01/2018 ed operativa dal 14/09/2019.
Effettuando poi espresso rinvio alla pronuncia di legittimità n. 13204/2023, il Tribunale chiariva che in caso di truffa informatica cd. phishing, incombe sul prestatore dei servizi di pagamento il duplice onere di provare sia di aver adottato tutte le misure di sicurezza necessarie per la protezione del cliente, sia del comportamento doloso o gravemente colposo del cliente medesimo, che abbia svolto ruolo causale nella determinazione del danno.
Ciò posto, con riferimento al primo profilo inerente all'onere di provare il corretto funzionamento delle misure di sicurezza, il Tribunale ha ritenuto come non avesse assolto l'onere Parte_1
probatorio richiesto.
In particolare, ha osservato che: “ non ha provato le misure adatte a prevenire la truffa Parte_1 informatica, come eccepito dall'attrice non venivano depositati i file log utili al fine della verificazione dei vari accessi, delle autenticazioni e del funzionamento della misure di sicurezza attivate, altresì non è provato che il sistema di scurezza di abbia reagito non Parte_1
pag. 4 risultando inoltrato alcun alert alla correntista né in relazione alla richiesta di cambiamento del numero telefonico né in relazione alle operazioni effettuate alquanto sospette considerato che i bonifici venivano effettuati in un arco temporale molto ristretto di circa 24 ore e soprattutto quasi a prosciugamento del conto come allegato dall'attrice e non contestato dalla convenuta.” (pagg. 5 e 6 della sentenza)”.
Del pari, il Tribunale ha rilevato come non risultasse provato alcun comportamento doloso o colposo del cliente.
Difatti, seppur pacifico fosse il fatto che la aveva comunicato il codice di accesso all'ignoto CP_1
truffatore, il Tribunale ha mosso i seguenti rilievi: il raggiro operato risultava sofisticato, in quanto il messaggio sms esca veniva inoltrato dal mittente InfoPoste che, come riferito dall'attrice, era una provenienza conosciuta per le periodiche comunicazioni che le venivano inoltrate da;
la Pt_1
successiva telefonata nell'immediatezza del suddetto messaggio rendeva attendibile che vi fosse realmente un problema relativo al suo account ed il rischio del blocco, con pregiudizio della gestione del conto nell'immediato; sul punto, la convenuta si era limitata ad allegare che il messaggio nel suo contenuto risultava sgrammaticato, senza contestare alcuna difformità nella intestazione del mandante;
non si riteneva, dunque, ravvisabile una “colpevole credulità” della parte la quale, a seguito della ricezione di una comunicazione dal solito account dal quale riceveva solitamente le comunicazioni da parte di , provvedeva ad allertarsi per il blocco dell'utenza, e seguiva le Pt_1
indicazioni ricevute da un soggetto che si dichiarava operatore di per la risoluzione della Pt_1
problematica.
Avverso tale decisum ha interposto appello , affidando l'impugnazione a tre motivi Parte_1
d'appello.
Si è costituita, nel presente grado d'appello, , chiedendo la declaratoria di Controparte_1
inammissibilità dell'impugnazione, nonché, nel merito, il rigetto.
All'udienza del 21 maggio 2025, depositati dalle parti gli scritti difensivi conclusionali nei termini previamente assegnati, il Consigliere Istruttore ha rimesso la causa al collegio per la decisione, ed in pari data la causa è stata discussa in camera di consiglio.
MOTIVI DELLA DECISIONE
Rileva la Corte, in via preliminare, che risultano destituite di fondamento le eccezioni di inammissibilità dell'appello.
pag. 5 Difatti, quanto all'eccezione di inammissibilità dell'appello per carenza dei requisiti prescritti dall'art. 342 c.p.c., va osservato che la difesa della ha sollevato tale eccezione sul rilievo per CP_1
cui i motivi dedotti mancherebbero di specificità e la decisione impugnata, non verrebbe
“minimamente presa in considerazione, sia con riguardo all'impugnazione della ricostruzione fattuale svolta dal Tribunale, sia con riguardo alle prove che il Giudice riconoscere essere state acquisite” (vd. pag. 6 della comparsa di costituzione e risposta).
Tale eccezione deve essere disattesa.
Al riguardo, va richiamato che, secondo la consolidata giurisprudenza della Corte di legittimità, alla quale questo Collegio intende aderire, “gli artt. 342 e 434 c.p.c., nel testo formulato dal d.l. n. 83 del
2012, conv. con modif. dalla l. n. 134 del 2012, vanno interpretati nel senso che l'impugnazione deve contenere, a pena di inammissibilità, una chiara individuazione delle questioni e dei punti contestati della sentenza impugnata e, con essi, delle relative doglianze, affiancando alla parte volitiva una parte argomentativa che confuti e contrasti le ragioni addotte dal primo giudice, senza che occorra
l'utilizzo di particolari forme sacramentali o la redazione di un progetto alternativo di decisione da contrapporre a quella di primo grado, ovvero la trascrizione totale o parziale della sentenza appellata, tenuto conto della permanente natura di "revisio prioris instantiae" del giudizio di appello, il quale mantiene la sua diversità rispetto alle impugnazioni a critica vincolata” (ex multis, Cass. civ.
n. 7675/2019; Cass. civ. n. 13535/2018; Cass. civ. SS.UU. 27199/2017).
La nuova formulazione dell'art. 342 c.p.c. intervenuta con il D. Lgs. n. 149/2022 (c.d. “Riforma
Cartabia”), applicabile ratione temporis all'appello in esame, non pare comportare una significativa novità dei principi giurisprudenziali appena richiamati in ordine alla specificità dei motivi d'appello.
Difatti, dalla lettura della norma si evince che l'obiettivo della previsione è sempre quello di porre sia il giudice, sia la parte appellata, in grado di conoscere compiutamente le critiche mosse alla sentenza.
Ebbene, nell'atto di appello proposto sono state individuate le statuizioni contestate della sentenza impugnata e sono state esposte le argomentazioni a contrasto delle valutazioni del primo giudice ed a sostegno delle richieste di riforma della decisione del Tribunale.
Quanto all'eccezione di inammissibilità ex art. 348 bis cpc, essa deve considerarsi superata dal momento che la Corte, in prima udienza, ha dato corso alla trattazione dell'appello ed ha poi fissato udienza di discussione nel merito del gravame.
Passando al merito dell'impugnazione, ritiene la Corte che l'appello sia fondato e, dunque, meritevole di accoglimento per le ragioni di seguito illustrate. pag. 6 I motivi d'appello possono essere trattati congiuntamente, stante la loro intrinseca connessione.
Sotto un primo profilo, l'appellante argomenta che erroneamente il giudice di prime cure non ha ravvisato la colpa grave dell'appellata nella causazione del fatto (I motivo d'appello).
Rappresenta, a tal proposito, che la condotta della , sostanziatasi nell'aver cliccato sul link CP_1
comparso nel messaggio sms ricevuto e nell'aver fornito al sedicente operatore telefonico le sue credenziali di accesso al conto, non può che rivestire i caratteri della colpa grave.
Sotto ulteriore profilo (secondo motivo d'appello), impugna la sentenza per aver escluso che Pt_1
avesse provato la sussistenza di misure atte a prevenire la truffa.
Infine, deduce l'erronea applicazione del d. lgs. n. 11/2020 ad opera del giudice di primo grado (terzo motivo d'appello), il quale non ha ravvisato la colpa grave della la quale, oltre a non essersi CP_1
attenuta ai doveri contrattuali con , ha violato quanto prescritto dal II comma dell'art. 7 del cit. Pt_1
d.lgs., a mente del quale “Ai fini di cui al comma 1, lettera a), l'utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate.”
Tanto premesso, va osservato in diritto che, per quel che concerne l'invocata responsabilità della società convenuta ex art. 2050 c.c., come anche recentemente posto in evidenza dalla giurisprudenza di legittimità e di merito, l'attività svolta da , in quanto relativa anche al trattamento Parte_1
informatico di dati personali, è da considerarsi pericolosa, in considerazione delle sempre più frequenti truffe informatiche (cosiddetto phishing), miranti a carpire fraudolentemente i suddetti dati per il compimento di operazioni illecite, per lo più finalizzate, come nel caso di specie, all'accesso ai dati personali del correntista per il trasferimento di somme dal conto corrente di questi a quello di terze persone (qualificazione confermata anche nella recente Cass. ord. N. 7214 del 2023).
Orbene, la presunzione di responsabilità contemplata dall'art. 2050 c.c. per attività pericolose può essere vinta solo con una prova particolarmente rigorosa, l'esercente è tenuto dimostrare di aver adottato tutte le misure idonee ad evitare il danno: pertanto non basta la prova negativa di non aver commesso alcuna violazione delle norme di legge o di comune prudenza, ma occorre quella positiva di avere impiegato ogni cura o misura volta ad impedire l'evento dannoso;
una volta fornita tale prova, egli può andare esente da responsabilità solo ove il fatto del danneggiato o del terzo appaia per la sua incidenza e rilevanza tale da escludere, in modo certo, il nesso causale tra attività pericolosa e l'evento e non già quando costituisce elemento concorrente nella produzione del danno, inserendosi in una situazione di pericolo che ne abbia reso possibile l'insorgenza a causa dell'inidoneità delle misure preventive adottate (Cass. 19 maggio 2022, n. 16170). pag. 7 Con specifico riferimento al settore di attività che occupa, poi, secondo il consolidato orientamento della giurisprudenza di legittimità, “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento, ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale” (così, da ultimo, Cass. sentenza n. 3780 del 12/02/2024). Pertanto, mentre “il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio
d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore” (così la citata sentenza della Cass. n. 3780/2024, che ha richiamato le conformi pronunce della Cass. n. 2950/17, n. 18045/19,
n. 26916/2020). Tra questi eventi, indubbiamente, ha un ruolo decisivo la colpa grave dell'utente, che con la sua condotta imprudente o negligente abbia reso possibile il perfezionamento dell'operazione illecita.
Se è vero, quindi, che l'entrata in vigore del D. Lgs. 11/2010 ha comportato un aggravamento degli oneri probatori posti a carico degli istituti di credito (in particolare, questi ultimi, per liberarsi da responsabilità, sono tenuti a dimostrare che possiedono un sistema di sicurezza “forte” e che non vi
è stato alcun malfunzionamento dei software) è altrettanto vero che ogni nesso di riferibilità di quanto lamentato dal correntista all'istituto di credito viene interrotto laddove sussista un comportamento gravemente negligente del cliente, che da solo – assurgendo a fattore causale efficiente e determinante
- abbia reso possibile la perpetrazione dell'illecito (Cass. 10638/2016).
Resta infatti – comunque - in capo ai clienti un principio di autoresponsabilità e un obbligo di cautela particolarmente qualificata nell'esecuzione delle operazioni di pagamento tramite il sistema home banking.
***
Ciò posto, invero, alla luce delle circostanze da ritenersi provate per stessa ammissione e non contestazione dell'attrice, risulta nel caso che occupa impossibile addebitare responsabilità a
[...]
, a fronte del comportamento imprudente e negligente della stessa parte danneggiata. Pt_1
pag. 8 Nella presente fattispecie, è risultato innanzi tutto provato che abbia adottato un Parte_1 sistema di sicurezza tale da impedire l'accesso ai dati personali del correntista da parte di terzi.
In primo luogo, tale sistema di sicurezza si desume dalla sussistenza di un plurimo ordine di credenziali fornite e richieste, ossia le credenziali come nome utente, e la password dell' account, la quale coincide con il cd. “Codice ID” (trattasi di un codice di sei caratteri, scelto e personalizzato dall'utente in fase di abilitazione dei prodotti in app, il cui inserimento è necessario altresì, di volta in volta, al fine di autorizzare le singole operazioni dispositive online nell'app).
Inoltre, ad ulteriore dimostrazione della sicurezza delle misure adottate da , si osserva che Pt_1 quest'ultima ha ulteriormente precisato che, in caso di cambiamento del dispositivo ove usufruire dell'app – ciò che è avvenuto nel caso di specie, ove palesemente vi è stata l'installazione dell'app nel dispositivo dei truffatori – vi è automaticamente l'invio di un sms contenente una password monouso (OTP) al numero di cellulare rilasciato dal cliente a;
l'inserimento di tale OTP Parte_1 nell'app così installato nel nuovo dispositivo si appalesa necessario per poter impostare sul secondo device il Codice ID di cui sopra, e così, per autorizzare le operazioni eseguite in app.
Tale funzionamento, del resto, risulta del tutto in linea con la narrativa di parte attrice, in base alla quale quest'ultima, allorché ricevette la chiamata dal sedicente operatore postale ebbe, di lì a breve,
a fornire, a quest'ultimo, proprio “i codici” ricevuti per messaggio.
Inoltre, vi è prova che i servizi online forniti da , fra cui l' internet banking, siano stati Parte_1
certificati da appositi enti certificatori quali conformi ai più rigorosi ed affidabili standard internazionali (vd. doc. 13, fasc. I grado, , dal quale risulta che la stessa abbia ricevuto Parte_1 plurime volte ed in periodi antecedenti a quello dell'evento oggetto di giudizio, certificazioni di adeguatezza dei propri sistemi ai livelli di sicurezza richiesti).
Di conseguenza, non è possibile imputare a alcuna negligenza nell'adozione di Parte_1
sistemi di sicurezza atti a scongiurare l'eventualità di ingressi abusivi nell'account dei correntisti.
Dall'altro lato, ed in secondo luogo, è certo che la abbia commesso evidenti violazioni degli CP_1 obblighi di diligenza previsti, legalmente, all'art. 7 del D.Lgs. già citato, ma anche delle specifiche raccomandazioni diramate da per proteggere i propri correntisti dall'eventualità Parte_1
di frodi informatiche.
Non solo, anche dalla lettura dell'art. 7, punto della sezione B) delle condizioni contrattuali attinenti al conto NC (vd. doc. 8, fasc. I grado, ), sottoscritto fra le parti, emerge che … “il Cliente Pt_1 ha l'obbligo di utilizzare la Carta e le Credenziali di sicurezza personalizzate in conformità con
pag. 9 quanto previsto dalle presenti Condizioni Contrattuali e dal Contratto Quadro” (vd. punto 1), e ancora, che “il Correntista non dovrà comunicare mai a terzi i dati della carta, i codici personali, il
PIN e/o le altre Credenziali di sicurezza personalizzate…”. (vd. punto 9).
Ed invero è la stessa attrice ad aver ammesso che ella, in data 12.03.2020, ebbe a ricevere un messaggio sms da parte di “info ” e che, dopo aver ricevuto una chiamata, subito dopo l'avvenuta Pt_1
ricezione del predetto messaggio, da parte di un soggetto qualificatosi come operatore di
[...]
ebbe a fornire i codici ricevuti sempre per messaggio, attenendosi alle direttive del Parte_1
sedicente operatore postale.
La , peraltro, oltre ad aver ammesso di aver fornito i codici ricevuti per messaggio, non ha CP_1
mai negato di aver inserito le proprie credenziali di accesso cliccando sul link contenuto nel messaggio “esca” consentendo, di fatto, ai malfattori, di creare un duplicato del suo account su un device in loro possesso, ove poi inserire i codici dalla stessa forniti e portare a compimento l'operazione di sottrazione.
Ebbene, il primo elemento di anomalia e di condotta incauta dell'attrice, odierna appellata, deriva proprio dalla circostanza di aver dato seguito al predetto sms, il quale conteneva delle evidentissime storture (nessun utilizzo di punteggiatura;
l'utilizzo della A maiuscola in assenza di precedente punto1) oltre al carattere generico del messaggio e del blocco dell'utenza (non vi era alcun tipo di indicazione tecnica, figurando soltanto la locuzione “per mancato aggiornamento”) e della sussistenza di un link – cui accedere per sbloccare la carta – ictu oculi non riferibile a . Parte_1
La condotta incauta di parte attrice è poi proseguita nel momento in cui la stessa, come poc'anzi riportato, rispondeva ad una chiamata telefonica in cui un sedicente operatore di si offriva di Pt_1
aiutarla per completare le operazioni necessarie allo sblocco della carta e procedeva, a tal fine, a fornire al truffatore i vari codici ricevuti per messaggio.
Anche l'incauta e pedissequa obbedienza a quanto richiestole dall'ignoto interlocutore ha evidentemente avuto un ruolo determinante nella causazione del danno, posto che come ammesso dalla stessa , dopo aver ricevuto la chiamata nell'immediatezza della ricezione del messaggio CP_1
sms – avvenuta, quest'ultima, alle 15.09 del 12.03.2020- la stessa provava ad entrare nell' app soltanto alle 18.00 del giorno successivo, “dopo essersi attenuta alle indicazioni rese dall'operatore di (vd. pag. 1, atto di citazione in I grado). Pt_1 1 Il messaggio così si presentava: “Gentile cliente Abbiamo sospeso la sua Utenza Postale per mancato aggiornamento per sbloccare la sua carta compila il form https://certificaapp.com” (vd. doc. 2, fasc. I grado, Scilletta). pag. 10 Inoltre, va anche valorizzato nella valutazione complessiva della condotta della , che CP_1 quest'ultima, all'epoca dei fatti, aveva 52 anni;
trattasi, pertanto, di soggetto dal quale si poteva pretendere un livello di diligenza dell'uomo medio di quell'età, non trattandosi di soggetto in età anziana e, dunque, del tutto avulso della nota campagna di sensibilizzazione rispetto ai sempre più frequenti episodi di phishing.
Deve, pertanto, escludersi la responsabilità di in relazione al danno sofferto Parte_1 dall'odierna parte appellata, essendo questo esclusivamente riconducibile alla colpa grave della stessa parte danneggiata, che ha rivestito ruolo di fattore causale esclusivo e determinante.
Conclusivamente l'appello deve essere accolto, e la sentenza del Tribunale deve essere riformata, con rigetto della domanda di e con conseguente condanna della stessa alla restituzione Controparte_1
delle somme versatele in esecuzione della sentenza di primo grado.
Le spese, che devono essere regolate per entrambi i gradi, sono poste a carico dell'odierna appellata soccombente, e sono liquidate secondo i valori minimi, in considerazione della natura dell'attività difensiva prestata, secondo lo scaglione relativo al valore della causa (valore dichiarato in euro
15.753,00), con esclusione, sia nel presente grado di giudizio, sia nel giudizio di primo grado, della fase istruttoria-trattazione, non svoltasi.
P.Q.M.
La Corte d'Appello di Milano, definitivamente pronunciando sull'appello proposto da CP_1
avverso la sentenza n. 8223/2023 del Tribunale di Milano, pubblicata in data 23 ottobre 2023, così dispone:
a) accoglie l'appello e, in riforma della sentenza appellata, respinge la domanda di , Controparte_1
dichiarandola tenuta e condannandola alla restituzione di quanto ricevuto in esecuzione della sentenza di primo grado;
b) condanna a rifondere in favore di le spese di lite, liquidate per Controparte_1 Parte_1
il primo grado in euro 1.700,00 per compensi, e per il secondo grado in euro 1.984,00 per compensi, oltre, per entrambi i gradi, rimborso forfetario nella misura del 15%, oltre IVA e CPA.
Così deciso in Milano, il 21 maggio 2025.
Il Consigliere est. Il Presidente
Alessandra Arceri Domenico Bonaretti pag. 11
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE D'APPELLO DI MILANO
Sezione prima civile nelle persone dei seguenti magistrati:
Domenico Bonaretti Presidente
Alessandra Arceri Consigliere Rel.
Cristina Ravera Consigliere
ha pronunciato la seguente
SENTENZA
nella causa iscritta al n. 3271/2023 R.G. promossa in grado d'appello
da
C.F. ) elettivamente domiciliata in Parte_1 P.IVA_1 Pt_1 [...]
Via Cordusio n. 4, Milano, rappresentata e difesa dagli Avv.ti Gabriella Parte_2
Maria Ingegneri e Patrizia Modugno, come da delega in atti
APPELLANTE
contro
(C.F. ) elettivamente domiciliata in Viale Abruzzi n. Controparte_1 C.F._1
83, Milano, presso lo studio dell'Avv. Marco Maria Donzelli che la rappresenta e difende come da delega in atti
APPELLATA pag. 1
Oggetto: Bancari (deposito bancario, cassetta di sicurezza, apertura di credito bancario)-appello vs. sentenza n. 8223/2023 emessa dal Tribunale di Milano e pubblicata in data 23 ottobre 2023
CONCLUSIONI DELLE PARTI
Per parte appellante: “Voglia l'Ecc.ma Corte d'Appello di Milano, contrariis reiectis, in via principale: accogliere per i motivi tutti dedotti in narrativa il proposto appello e, per l'effetto, in riforma della sentenza n.8223/2023 emessa dal Tribunale di Milano, VI sezione civile, in persona del
Giudice Unico Dott.ssa R . resa nel procedimento R.G. 40432/2020, accogliere tutte le CP_2 conclusioni avanzate nel giudizio di primo grado che qui si riportano “respingere le domande tutte avanzate dalla parte attrice nei confronti di in quanto inammissibili, Parte_1
improponibili e comunque infondate in fatto e diritto e conseguentemente dichiarare e accertare
l'esclusiva responsabilità di parte attrice nella causazione del danno lamentato;
- in via subordinata: nella denegata e non creduta ipotesi in cui si dovesse ravvisare la colpa nella condotta dell'esponente in relazione ai fatti per cui è causa, accertato e dichiarato il concorso del fatto Parte_1
colposo e la preminente gravità della colpa della stessa parte attrice e/o la preminente importanza delle conseguenze derivatene, a mente dell'art. 1227, mandare assolta la concludente, per l'intero o nella percentuale che sarà ritenuta di giustizia”. - in via istruttoria: ci si oppone, fin d'ora, alle eventuali istanze istruttorie formulate da parte controparte in quanto inammissibili, irrilevanti, inconferenti e/o superate da produzioni documentali;
si richiede di essere ammessi a prova contraria sui fatti di cui ai mezzi ex adverso richiesti ed eventualmente ammessi e ci si riserva di ulteriormente controdedurre in merito.”
Per parte appellata: “Piaccia all'Ecc.ma Corte d'Appello adita così giudicare: (1) nel merito, in via principale: dichiarare inammissibile e/o respingere l'appello proposto da Parte_1
per le ragioni esposte in atti, confermando quindi la sentenza n. 8823 del 2023 resa dal Tribunale di
Milano, Dott.ssa Rossella Filippi, a definizione del giudizio rubricato al n. 40432 del Ruolo Generale degli Affari Civili dell'anno 2020. (2) in ogni caso: con vittoria di spese e competenze di causa, oltre rimborso forfettario ed accessori di legge.”
SVOLGIMENTO DEL PROCESSO
ha convenuto, dinanzi al Tribunale di Milano, al fine di ottenere Controparte_1 Parte_1
risarcimento dei danni patrimoniali in relazione a plurime operazioni di prelievo fraudolentemente pag. 2 attuate in data 12.03.2020 dal suo conto corrente Banco Posta n. 92696822 da parte di ignoti truffatori, mediante la tecnica nota come phishing, per il complessivo importo di € 15.753,00, oltre al risarcimento dei danni morali asseritamente subiti, quantificati dalla stessa attrice in € 1.000,00.
A tal fine, deduceva che:
-in data 12.03.2020, la riceveva un messaggio sms alle ore 15:09 da parte di “info poste” CP_1 dall'identico numero dal quale, a dir della stessa, riceveva sempre e periodicamente aggiornamenti e informazioni di sicurezza da parte di . In particolare, tramite detto sms, le veniva Parte_1
comunicata la sospensione dei servizi finanziari;
-immediatamente, riceveva una telefonata da un soggetto qualificatosi come operatore di
[...]
, il quale le rappresentava l'avvenuta sospensione del conto corrente per sicurezza, Parte_1
comunicandole la necessità di procedere insieme allo sblocco del conto;
a tal fine, l'attrice avrebbe dovuto comunicare all'operatore il codice numerico ricevuto sul telefono della stessa;
-l'attrice, stante la genuinità della comunicazione ricevuta tramite sms dall'identico numero dal quale riceveva sempre e periodicamente aggiornamenti e informazioni sulla sicurezza da parte di
[...]
provvedeva a fornire i codici ricevuti per messaggio;
Parte_1
-il giorno successivo, dopo essersi attenuta alle indicazioni rese dal sedicente operatore di , Pt_1 entrando nell'applicazione smartphone di dal proprio telefono riceveva una comunicazione Pt_1 avente ad oggetto la richiesta di voler “impostare tale numero quale dispositivo principale per effettuare operazioni”; insospettita, contattava dunque il servizio telefonico di e Parte_1
scopriva, dunque, che il proprio conto era stato depauperato per effetto di plurime operazioni fraudolente, per un totale di € 15.753,00 circa;
-tali operazioni venivano disconosciute e contestate dall'attrice, anche mediante reclamo inviato in data 14.03.2020 a Parte_1
- la società convenuta, quale titolare del trattamento di dati personali, avrebbe pertanto, in tesi attorea, provocato un danno alla signora , anche ai sensi dell'art. 2050 c.c., avendo mancato di attuare CP_1 misure idonee ad evitare che “il sito di venisse clonato”; difatti, anche a mente dell'art. 15 del Pt_1
Codice della Privacy il trattamento di dati personali rientra, necessariamente, nel concetto di “attività pericolosa”;
- assumeva inoltre l'attrice che l'attività bancaria, in quanto attività riservata, deve sottostare al canone di diligenza previsto dall'art. 1176, comma 2, c.c. (c.d. “diligenza dell'accorto banchiere”), pena il risarcimento dei danni secondo i normali canoni della responsabilità contrattuale. L'attrice pag. 3 deduceva dunque che le operazioni risultavano essere assolutamente non in linea con un'operatività
“fisiologica”, e pertanto, tali operazioni non potevano che risultare “anomale”, per frequenza e per tipologia, e che di ciò avrebbe dovuto avvedersi l'intermediario con la diligenza qualificata che da esso era dato attendersi;
-infine, la condotta tenuta dalla convenuta rilevava anche sotto il profilo della responsabilità extracontrattuale.
Costituendosi in giudizio, instava per il rigetto delle domande attoree, in quanto Parte_1 infondate in fatto ed in diritto;
in via subordinata, chiedeva l'accertamento del concorso colposo nella causazione del fatto ad opera della medesima attrice, ai sensi dell'art. 1227 c.c.
Il Tribunale di Milano, con la sentenza impugnata, n. 8223/2023, pubblicata in data 23 ottobre 2023, accoglieva la domanda attorea di risarcimento del danno di natura patrimoniale subito da
[...]
, condannando a corrispondere alla stessa la somma di € 15.753,00 oltre CP_1 Parte_1 rivalutazione monetaria oltre le spese di lite, liquidate, quest'ultime, in € 5.077,00 per compensi oltre accessori.
Il giudice di primo grado, individuando l'oggetto del giudizio quale risarcimento del danno da phishing bancario, cioè una truffa telematica tesa a carpire i dati del correntista al fine di procedere a pagamenti non autorizzati, ha richiamato la normativa di riferimento, ovvero: il D. Lgs. 11/2010 emanato in attuazione della Direttiva 2007/64 CE, successivamente modificato dal D. Lgs. 218/2017, in attuazione della Direttiva 2015/2366/UE, in vigore dal 13/01/2018 ed operativa dal 14/09/2019.
Effettuando poi espresso rinvio alla pronuncia di legittimità n. 13204/2023, il Tribunale chiariva che in caso di truffa informatica cd. phishing, incombe sul prestatore dei servizi di pagamento il duplice onere di provare sia di aver adottato tutte le misure di sicurezza necessarie per la protezione del cliente, sia del comportamento doloso o gravemente colposo del cliente medesimo, che abbia svolto ruolo causale nella determinazione del danno.
Ciò posto, con riferimento al primo profilo inerente all'onere di provare il corretto funzionamento delle misure di sicurezza, il Tribunale ha ritenuto come non avesse assolto l'onere Parte_1
probatorio richiesto.
In particolare, ha osservato che: “ non ha provato le misure adatte a prevenire la truffa Parte_1 informatica, come eccepito dall'attrice non venivano depositati i file log utili al fine della verificazione dei vari accessi, delle autenticazioni e del funzionamento della misure di sicurezza attivate, altresì non è provato che il sistema di scurezza di abbia reagito non Parte_1
pag. 4 risultando inoltrato alcun alert alla correntista né in relazione alla richiesta di cambiamento del numero telefonico né in relazione alle operazioni effettuate alquanto sospette considerato che i bonifici venivano effettuati in un arco temporale molto ristretto di circa 24 ore e soprattutto quasi a prosciugamento del conto come allegato dall'attrice e non contestato dalla convenuta.” (pagg. 5 e 6 della sentenza)”.
Del pari, il Tribunale ha rilevato come non risultasse provato alcun comportamento doloso o colposo del cliente.
Difatti, seppur pacifico fosse il fatto che la aveva comunicato il codice di accesso all'ignoto CP_1
truffatore, il Tribunale ha mosso i seguenti rilievi: il raggiro operato risultava sofisticato, in quanto il messaggio sms esca veniva inoltrato dal mittente InfoPoste che, come riferito dall'attrice, era una provenienza conosciuta per le periodiche comunicazioni che le venivano inoltrate da;
la Pt_1
successiva telefonata nell'immediatezza del suddetto messaggio rendeva attendibile che vi fosse realmente un problema relativo al suo account ed il rischio del blocco, con pregiudizio della gestione del conto nell'immediato; sul punto, la convenuta si era limitata ad allegare che il messaggio nel suo contenuto risultava sgrammaticato, senza contestare alcuna difformità nella intestazione del mandante;
non si riteneva, dunque, ravvisabile una “colpevole credulità” della parte la quale, a seguito della ricezione di una comunicazione dal solito account dal quale riceveva solitamente le comunicazioni da parte di , provvedeva ad allertarsi per il blocco dell'utenza, e seguiva le Pt_1
indicazioni ricevute da un soggetto che si dichiarava operatore di per la risoluzione della Pt_1
problematica.
Avverso tale decisum ha interposto appello , affidando l'impugnazione a tre motivi Parte_1
d'appello.
Si è costituita, nel presente grado d'appello, , chiedendo la declaratoria di Controparte_1
inammissibilità dell'impugnazione, nonché, nel merito, il rigetto.
All'udienza del 21 maggio 2025, depositati dalle parti gli scritti difensivi conclusionali nei termini previamente assegnati, il Consigliere Istruttore ha rimesso la causa al collegio per la decisione, ed in pari data la causa è stata discussa in camera di consiglio.
MOTIVI DELLA DECISIONE
Rileva la Corte, in via preliminare, che risultano destituite di fondamento le eccezioni di inammissibilità dell'appello.
pag. 5 Difatti, quanto all'eccezione di inammissibilità dell'appello per carenza dei requisiti prescritti dall'art. 342 c.p.c., va osservato che la difesa della ha sollevato tale eccezione sul rilievo per CP_1
cui i motivi dedotti mancherebbero di specificità e la decisione impugnata, non verrebbe
“minimamente presa in considerazione, sia con riguardo all'impugnazione della ricostruzione fattuale svolta dal Tribunale, sia con riguardo alle prove che il Giudice riconoscere essere state acquisite” (vd. pag. 6 della comparsa di costituzione e risposta).
Tale eccezione deve essere disattesa.
Al riguardo, va richiamato che, secondo la consolidata giurisprudenza della Corte di legittimità, alla quale questo Collegio intende aderire, “gli artt. 342 e 434 c.p.c., nel testo formulato dal d.l. n. 83 del
2012, conv. con modif. dalla l. n. 134 del 2012, vanno interpretati nel senso che l'impugnazione deve contenere, a pena di inammissibilità, una chiara individuazione delle questioni e dei punti contestati della sentenza impugnata e, con essi, delle relative doglianze, affiancando alla parte volitiva una parte argomentativa che confuti e contrasti le ragioni addotte dal primo giudice, senza che occorra
l'utilizzo di particolari forme sacramentali o la redazione di un progetto alternativo di decisione da contrapporre a quella di primo grado, ovvero la trascrizione totale o parziale della sentenza appellata, tenuto conto della permanente natura di "revisio prioris instantiae" del giudizio di appello, il quale mantiene la sua diversità rispetto alle impugnazioni a critica vincolata” (ex multis, Cass. civ.
n. 7675/2019; Cass. civ. n. 13535/2018; Cass. civ. SS.UU. 27199/2017).
La nuova formulazione dell'art. 342 c.p.c. intervenuta con il D. Lgs. n. 149/2022 (c.d. “Riforma
Cartabia”), applicabile ratione temporis all'appello in esame, non pare comportare una significativa novità dei principi giurisprudenziali appena richiamati in ordine alla specificità dei motivi d'appello.
Difatti, dalla lettura della norma si evince che l'obiettivo della previsione è sempre quello di porre sia il giudice, sia la parte appellata, in grado di conoscere compiutamente le critiche mosse alla sentenza.
Ebbene, nell'atto di appello proposto sono state individuate le statuizioni contestate della sentenza impugnata e sono state esposte le argomentazioni a contrasto delle valutazioni del primo giudice ed a sostegno delle richieste di riforma della decisione del Tribunale.
Quanto all'eccezione di inammissibilità ex art. 348 bis cpc, essa deve considerarsi superata dal momento che la Corte, in prima udienza, ha dato corso alla trattazione dell'appello ed ha poi fissato udienza di discussione nel merito del gravame.
Passando al merito dell'impugnazione, ritiene la Corte che l'appello sia fondato e, dunque, meritevole di accoglimento per le ragioni di seguito illustrate. pag. 6 I motivi d'appello possono essere trattati congiuntamente, stante la loro intrinseca connessione.
Sotto un primo profilo, l'appellante argomenta che erroneamente il giudice di prime cure non ha ravvisato la colpa grave dell'appellata nella causazione del fatto (I motivo d'appello).
Rappresenta, a tal proposito, che la condotta della , sostanziatasi nell'aver cliccato sul link CP_1
comparso nel messaggio sms ricevuto e nell'aver fornito al sedicente operatore telefonico le sue credenziali di accesso al conto, non può che rivestire i caratteri della colpa grave.
Sotto ulteriore profilo (secondo motivo d'appello), impugna la sentenza per aver escluso che Pt_1
avesse provato la sussistenza di misure atte a prevenire la truffa.
Infine, deduce l'erronea applicazione del d. lgs. n. 11/2020 ad opera del giudice di primo grado (terzo motivo d'appello), il quale non ha ravvisato la colpa grave della la quale, oltre a non essersi CP_1
attenuta ai doveri contrattuali con , ha violato quanto prescritto dal II comma dell'art. 7 del cit. Pt_1
d.lgs., a mente del quale “Ai fini di cui al comma 1, lettera a), l'utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate.”
Tanto premesso, va osservato in diritto che, per quel che concerne l'invocata responsabilità della società convenuta ex art. 2050 c.c., come anche recentemente posto in evidenza dalla giurisprudenza di legittimità e di merito, l'attività svolta da , in quanto relativa anche al trattamento Parte_1
informatico di dati personali, è da considerarsi pericolosa, in considerazione delle sempre più frequenti truffe informatiche (cosiddetto phishing), miranti a carpire fraudolentemente i suddetti dati per il compimento di operazioni illecite, per lo più finalizzate, come nel caso di specie, all'accesso ai dati personali del correntista per il trasferimento di somme dal conto corrente di questi a quello di terze persone (qualificazione confermata anche nella recente Cass. ord. N. 7214 del 2023).
Orbene, la presunzione di responsabilità contemplata dall'art. 2050 c.c. per attività pericolose può essere vinta solo con una prova particolarmente rigorosa, l'esercente è tenuto dimostrare di aver adottato tutte le misure idonee ad evitare il danno: pertanto non basta la prova negativa di non aver commesso alcuna violazione delle norme di legge o di comune prudenza, ma occorre quella positiva di avere impiegato ogni cura o misura volta ad impedire l'evento dannoso;
una volta fornita tale prova, egli può andare esente da responsabilità solo ove il fatto del danneggiato o del terzo appaia per la sua incidenza e rilevanza tale da escludere, in modo certo, il nesso causale tra attività pericolosa e l'evento e non già quando costituisce elemento concorrente nella produzione del danno, inserendosi in una situazione di pericolo che ne abbia reso possibile l'insorgenza a causa dell'inidoneità delle misure preventive adottate (Cass. 19 maggio 2022, n. 16170). pag. 7 Con specifico riferimento al settore di attività che occupa, poi, secondo il consolidato orientamento della giurisprudenza di legittimità, “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento, ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale” (così, da ultimo, Cass. sentenza n. 3780 del 12/02/2024). Pertanto, mentre “il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio
d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore” (così la citata sentenza della Cass. n. 3780/2024, che ha richiamato le conformi pronunce della Cass. n. 2950/17, n. 18045/19,
n. 26916/2020). Tra questi eventi, indubbiamente, ha un ruolo decisivo la colpa grave dell'utente, che con la sua condotta imprudente o negligente abbia reso possibile il perfezionamento dell'operazione illecita.
Se è vero, quindi, che l'entrata in vigore del D. Lgs. 11/2010 ha comportato un aggravamento degli oneri probatori posti a carico degli istituti di credito (in particolare, questi ultimi, per liberarsi da responsabilità, sono tenuti a dimostrare che possiedono un sistema di sicurezza “forte” e che non vi
è stato alcun malfunzionamento dei software) è altrettanto vero che ogni nesso di riferibilità di quanto lamentato dal correntista all'istituto di credito viene interrotto laddove sussista un comportamento gravemente negligente del cliente, che da solo – assurgendo a fattore causale efficiente e determinante
- abbia reso possibile la perpetrazione dell'illecito (Cass. 10638/2016).
Resta infatti – comunque - in capo ai clienti un principio di autoresponsabilità e un obbligo di cautela particolarmente qualificata nell'esecuzione delle operazioni di pagamento tramite il sistema home banking.
***
Ciò posto, invero, alla luce delle circostanze da ritenersi provate per stessa ammissione e non contestazione dell'attrice, risulta nel caso che occupa impossibile addebitare responsabilità a
[...]
, a fronte del comportamento imprudente e negligente della stessa parte danneggiata. Pt_1
pag. 8 Nella presente fattispecie, è risultato innanzi tutto provato che abbia adottato un Parte_1 sistema di sicurezza tale da impedire l'accesso ai dati personali del correntista da parte di terzi.
In primo luogo, tale sistema di sicurezza si desume dalla sussistenza di un plurimo ordine di credenziali fornite e richieste, ossia le credenziali come nome utente, e la password dell' account, la quale coincide con il cd. “Codice ID” (trattasi di un codice di sei caratteri, scelto e personalizzato dall'utente in fase di abilitazione dei prodotti in app, il cui inserimento è necessario altresì, di volta in volta, al fine di autorizzare le singole operazioni dispositive online nell'app).
Inoltre, ad ulteriore dimostrazione della sicurezza delle misure adottate da , si osserva che Pt_1 quest'ultima ha ulteriormente precisato che, in caso di cambiamento del dispositivo ove usufruire dell'app – ciò che è avvenuto nel caso di specie, ove palesemente vi è stata l'installazione dell'app nel dispositivo dei truffatori – vi è automaticamente l'invio di un sms contenente una password monouso (OTP) al numero di cellulare rilasciato dal cliente a;
l'inserimento di tale OTP Parte_1 nell'app così installato nel nuovo dispositivo si appalesa necessario per poter impostare sul secondo device il Codice ID di cui sopra, e così, per autorizzare le operazioni eseguite in app.
Tale funzionamento, del resto, risulta del tutto in linea con la narrativa di parte attrice, in base alla quale quest'ultima, allorché ricevette la chiamata dal sedicente operatore postale ebbe, di lì a breve,
a fornire, a quest'ultimo, proprio “i codici” ricevuti per messaggio.
Inoltre, vi è prova che i servizi online forniti da , fra cui l' internet banking, siano stati Parte_1
certificati da appositi enti certificatori quali conformi ai più rigorosi ed affidabili standard internazionali (vd. doc. 13, fasc. I grado, , dal quale risulta che la stessa abbia ricevuto Parte_1 plurime volte ed in periodi antecedenti a quello dell'evento oggetto di giudizio, certificazioni di adeguatezza dei propri sistemi ai livelli di sicurezza richiesti).
Di conseguenza, non è possibile imputare a alcuna negligenza nell'adozione di Parte_1
sistemi di sicurezza atti a scongiurare l'eventualità di ingressi abusivi nell'account dei correntisti.
Dall'altro lato, ed in secondo luogo, è certo che la abbia commesso evidenti violazioni degli CP_1 obblighi di diligenza previsti, legalmente, all'art. 7 del D.Lgs. già citato, ma anche delle specifiche raccomandazioni diramate da per proteggere i propri correntisti dall'eventualità Parte_1
di frodi informatiche.
Non solo, anche dalla lettura dell'art. 7, punto della sezione B) delle condizioni contrattuali attinenti al conto NC (vd. doc. 8, fasc. I grado, ), sottoscritto fra le parti, emerge che … “il Cliente Pt_1 ha l'obbligo di utilizzare la Carta e le Credenziali di sicurezza personalizzate in conformità con
pag. 9 quanto previsto dalle presenti Condizioni Contrattuali e dal Contratto Quadro” (vd. punto 1), e ancora, che “il Correntista non dovrà comunicare mai a terzi i dati della carta, i codici personali, il
PIN e/o le altre Credenziali di sicurezza personalizzate…”. (vd. punto 9).
Ed invero è la stessa attrice ad aver ammesso che ella, in data 12.03.2020, ebbe a ricevere un messaggio sms da parte di “info ” e che, dopo aver ricevuto una chiamata, subito dopo l'avvenuta Pt_1
ricezione del predetto messaggio, da parte di un soggetto qualificatosi come operatore di
[...]
ebbe a fornire i codici ricevuti sempre per messaggio, attenendosi alle direttive del Parte_1
sedicente operatore postale.
La , peraltro, oltre ad aver ammesso di aver fornito i codici ricevuti per messaggio, non ha CP_1
mai negato di aver inserito le proprie credenziali di accesso cliccando sul link contenuto nel messaggio “esca” consentendo, di fatto, ai malfattori, di creare un duplicato del suo account su un device in loro possesso, ove poi inserire i codici dalla stessa forniti e portare a compimento l'operazione di sottrazione.
Ebbene, il primo elemento di anomalia e di condotta incauta dell'attrice, odierna appellata, deriva proprio dalla circostanza di aver dato seguito al predetto sms, il quale conteneva delle evidentissime storture (nessun utilizzo di punteggiatura;
l'utilizzo della A maiuscola in assenza di precedente punto1) oltre al carattere generico del messaggio e del blocco dell'utenza (non vi era alcun tipo di indicazione tecnica, figurando soltanto la locuzione “per mancato aggiornamento”) e della sussistenza di un link – cui accedere per sbloccare la carta – ictu oculi non riferibile a . Parte_1
La condotta incauta di parte attrice è poi proseguita nel momento in cui la stessa, come poc'anzi riportato, rispondeva ad una chiamata telefonica in cui un sedicente operatore di si offriva di Pt_1
aiutarla per completare le operazioni necessarie allo sblocco della carta e procedeva, a tal fine, a fornire al truffatore i vari codici ricevuti per messaggio.
Anche l'incauta e pedissequa obbedienza a quanto richiestole dall'ignoto interlocutore ha evidentemente avuto un ruolo determinante nella causazione del danno, posto che come ammesso dalla stessa , dopo aver ricevuto la chiamata nell'immediatezza della ricezione del messaggio CP_1
sms – avvenuta, quest'ultima, alle 15.09 del 12.03.2020- la stessa provava ad entrare nell' app soltanto alle 18.00 del giorno successivo, “dopo essersi attenuta alle indicazioni rese dall'operatore di (vd. pag. 1, atto di citazione in I grado). Pt_1 1 Il messaggio così si presentava: “Gentile cliente Abbiamo sospeso la sua Utenza Postale per mancato aggiornamento per sbloccare la sua carta compila il form https://certificaapp.com” (vd. doc. 2, fasc. I grado, Scilletta). pag. 10 Inoltre, va anche valorizzato nella valutazione complessiva della condotta della , che CP_1 quest'ultima, all'epoca dei fatti, aveva 52 anni;
trattasi, pertanto, di soggetto dal quale si poteva pretendere un livello di diligenza dell'uomo medio di quell'età, non trattandosi di soggetto in età anziana e, dunque, del tutto avulso della nota campagna di sensibilizzazione rispetto ai sempre più frequenti episodi di phishing.
Deve, pertanto, escludersi la responsabilità di in relazione al danno sofferto Parte_1 dall'odierna parte appellata, essendo questo esclusivamente riconducibile alla colpa grave della stessa parte danneggiata, che ha rivestito ruolo di fattore causale esclusivo e determinante.
Conclusivamente l'appello deve essere accolto, e la sentenza del Tribunale deve essere riformata, con rigetto della domanda di e con conseguente condanna della stessa alla restituzione Controparte_1
delle somme versatele in esecuzione della sentenza di primo grado.
Le spese, che devono essere regolate per entrambi i gradi, sono poste a carico dell'odierna appellata soccombente, e sono liquidate secondo i valori minimi, in considerazione della natura dell'attività difensiva prestata, secondo lo scaglione relativo al valore della causa (valore dichiarato in euro
15.753,00), con esclusione, sia nel presente grado di giudizio, sia nel giudizio di primo grado, della fase istruttoria-trattazione, non svoltasi.
P.Q.M.
La Corte d'Appello di Milano, definitivamente pronunciando sull'appello proposto da CP_1
avverso la sentenza n. 8223/2023 del Tribunale di Milano, pubblicata in data 23 ottobre 2023, così dispone:
a) accoglie l'appello e, in riforma della sentenza appellata, respinge la domanda di , Controparte_1
dichiarandola tenuta e condannandola alla restituzione di quanto ricevuto in esecuzione della sentenza di primo grado;
b) condanna a rifondere in favore di le spese di lite, liquidate per Controparte_1 Parte_1
il primo grado in euro 1.700,00 per compensi, e per il secondo grado in euro 1.984,00 per compensi, oltre, per entrambi i gradi, rimborso forfetario nella misura del 15%, oltre IVA e CPA.
Così deciso in Milano, il 21 maggio 2025.
Il Consigliere est. Il Presidente
Alessandra Arceri Domenico Bonaretti pag. 11