CA
Sentenza 1 dicembre 2025
Sentenza 1 dicembre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Corte d'Appello Milano, sentenza 01/12/2025, n. 3267 |
|---|---|
| Giurisdizione : | Corte d'Appello Milano |
| Numero : | 3267 |
| Data del deposito : | 1 dicembre 2025 |
Testo completo
RG n. 1304\2024
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO LA CORTE D'APPELLO DI MILANO
Nelle persone dei magistrati dott. Giuseppe Ondei Presidente dott.ssa Serena Baccolini Consigliere dott.ssa Ernesta Occhiuto Consigliere relatore ha pronunciato la seguente SENTENZA
nella causa iscritta al n. r.g. 1304/2024 promossa in grado d'appello
da
C.F. ) in persona del legale rappresentante p.t., con il patrocinio Parte_1 P.IVA_1 dell'avv. David Morganti, come da procura acclusa alla comparsa di costituzione del primo grado di giudizio, con elezione di domicilio presso lo studio di quest'ultimo, a Roma, Via Giovanni Paisiello n.
40 – ; Email_1
Appellante nei confronti di
(C.F. ) con l'avv. Simona Controparte_1 C.F._1
Pellegrino, come da procura acclusa alla comparsa di costituzione, con elezione di domicilio presso lo studio di quest'ultima, a Milano, Via Boccaccio n. 27 Email_2
Appellato
Oggetto: responsabilità banca, phishing
*
CONCLUSIONI Per l'appellante Parte_1
“Piaccia all'Ecc.ma Corte d'Appello adita, disattesa ogni contraria istanza, eccezione e deduzione, in accoglimento del presente appello avverso la sentenza n. 3126/2024 del Tribunale di Milano, emessa il pagina 1 di 12 21 marzo 2024, pubblicata il 21 marzo 2024 e notificata in pari data, e in riforma di detta pronuncia, per tutte le ragioni sopra esposte nella parte motiva:
1. in via principale, rigettare interamente la domanda proposta dal Sig. Parte_2 perché infondata in fatto ed in diritto e non provata;
2. sempre in via principale, con integrale riforma della sentenza impugnata: dichiarare la sentenza n.
3126/2024 del Tribunale di Milano nulla per difetto di motivazione e/o esame di un fatto decisivo;
3. in via subordinata, nella denegata ipotesi di mancato accoglimento della domanda formulata in via principale, escludere o ridurre la condanna a carico di previo accertamento e Parte_1 declaratoria della esclusiva, preponderante o concorrente responsabilità del Sig. Parte_2 nella causazione del danno ai sensi dell'art. 1227, comma 2 o 1, c.c.;
[...]
4. accertato il diritto di ad ottenere la restituzione di tutte le somme corrisposte in Parte_1 esecuzione della sentenza di primo grado, condannare il sig. a restituire Parte_2 alla Compagnia tutte le somme percepite in esecuzione della sentenza n. 3126/2024 del Tribunale di
Milano, pari ad euro 19.828,93, oltre interessi e rivalutazione monetaria dal pagamento al saldo;
5. in ogni caso, con vittoria delle spese di lite del doppio grado di giudizio, il tutto oltre oneri e accessori, rimborso forfettario, IVA e CPA.”
Per l'appellato Controparte_1
“Piaccia alla Ecc.ma Corte d'Appello di Milano, ogni altra istanza eccezione e deduzione respinta:
In principalità e nel merito:
a) respingere con la miglior formula il proposto appello in quanto infondato confermando integralmente la sentenza impugnata.
b) condannare l'appellante alla rifusione delle spese del presente giudizio oltre accessori di Legge con distrazione dell'importo del compensi a favore del sottoscritto difensore distrattario, espressamente autorizzata ad incassare somme”.
* SVOLGIMENTO DEL PROCESSO
A. a impugnato la sentenza del Tribunale di Milano n. 3126\2024 del 21.3.2024 Parte_1 che, in accoglimento delle domande svolte da , ha condannato la Controparte_1 banca al pagamento della somma di € 15.400,15 oltre interessi e delle spese di lite del grado, per €
3.387,00 oltre accessori.
B. Il giudizio di primo grado
pagina 2 di 12 ha domandato al Tribunale di Milano di condannare l pagamento della CP_1 Parte_1 somma di € 14.700,00 corrispondente al valore complessivo di tre bonifici di € 4.900,00 ciascuno, disposti in data 18.4.2023 dal suo conto corrente in favore di istituti bancari lituani e verso tre conti correnti intestati a soggetti a lui ignoti.
Ha dichiarato di aver “disconosciuto” i suddetti ordini di bonifico il giorno successivo all'emissione degli stessi e che la banca, ciò nonostante, ha dato loro esecuzione.
Più precisamente, in punto di fatto, ha riferito:
- di lavorare da anni come muratore in Italia, ma di comprendere poco la lingua italiana;
- che in data 18.4.2023 sono stati disposti tre ordini di bonifico dell'importo di 4.900,00 euro ciascuno dal conto corrente a lui intestato presso l'istituto di credito resistente, in favore di tre diversi soggetti, a lui ignoti, aventi conti correnti in Lituania;
-di essersi recato presso la filiale di Cesano Boscone della banca appena avuto contezza dei pagamenti disposti dal suo conto, al fine di contestarli, non avendoli mai ordinati;
- di avere in tal modo evitato che la banca desse esecuzione ad un'ulteriore richiesta di bonifico, nelle more sopraggiunta, per € 13.000,00, in favore di una onlus turca;
- di aver sporto denuncia in data 19.4.2023 e di aver diffidato il giorno seguente, il 20.4.2023, la banca a rimborsargli l'importo corrispondente al valore dei suddetti pagamenti disconosciuti.
Ha, quindi, negato di aver ricevuto eventuali notifiche push e di aver autorizzato l'accesso di terzi all'area a lui riservata nel sistema di Internet banking predisposto dalla banca, evidenziando, altresì, come evidenti elementi di anomalia nelle disposizioni di bonifico ricevute dalla convenuta - consistite nella disposizione dei bonifici a favore di nuovi beneficiari, per importi di identica cifra, inferiore a
5.000 euro, verso conti correnti aperti in un paese straniero senza alcun collegamento apparente con il correntista, eseguiti a notte fonda e nell'arco di pochi minuti - avrebbero reso prudente, nel caso di specie, che l'istituto approntasse ulteriori verifiche prima di dare corso all'effettiva esecuzione delle disposizioni di pagamento.
Ha, pertanto, imputato l'esecuzione dei pagamenti ad un malfunzionamento dei sistemi di sicurezza della convenuta, e sostenuto che la banca è tenuta a corrispondergli l'importo equivalente al valore dei bonifici disconosciuti, a titolo di risarcimento del danno. ritualmente costituita, ha insistito per il rigetto della domanda svolta dall'attore. Parte_1
Ha ritenuto che il perfezionamento dell'evento dannoso in capo all'attore sia imputabile esclusivamente ad una condotta negligente dello stesso, e non alla banca. A sostegno della propria tesi ha addotto che
- tra le parti all'epoca dei fatti era in corso un contratto di conto corrente e che aveva attivo il CP_1 servizio di home banking, utilizzabile tramite token attivabile con un software installato tramite app pagina 3 di 12 fornita dalla banca (denominata “You App”) e scaricata sul cellulare del cliente in data 10.2.2023 grazie ad una one time password inviata dalla banca al numero di cellulare di quest'ultimo;
- tutte le disposizioni eseguite tramite il conto on line erano subordinate all'autenticazione c.d. “forte” del cliente, in linea con gli obblighi imposti alle banche dalla direttiva 2015/2366/UE, recepita in Italia con d.lgs. 218/2017, con la conseguenza che nessuna disposizione poteva essere impartita da tale conto on line senza avere conoscenza del numero cliente o del pin statico e della one time password, generata con il mobile token installato sul cellulare del cliente oppure della sua impronta digitale.
Ha, quindi, ritenuto che chi ha autorizzato le disposizioni disconosciute fosse a conoscenza di tali dati e/o aveva libero accesso al telefono del cliente, tramite il quale poteva toccare il messaggio contenente la notifica della one time password inviate sul cellulare del cliente, autorizzando il pagamento disposto.
Ha prodotto l'elenco delle notifiche inviate al cliente nel periodo nel quale sono stati eseguiti i bonifici e una consulenza tecnica di parte che attesterebbe il corretto funzionamento del sistema di pagamento, dal quale emergerebbe che le disposizioni disconosciute dal cliente sono state effettuate tutte (compresa quella alla in favore di onlus turca poi non eseguita) tra le ore 2.58.01 e le ore 3.06.00 del mattino, tramite accesso al sito internet della banca “YouWeb”, e non tramite l'uso dell'app dal cellulare del cliente, eseguito da indirizzo IP e device che “risultano NON essere quelli abituali del cliente”. La relazione tecnica evidenzia altresì tanto che il primo accesso alla pagina del cliente è avvenuto solo dopo due tentativi di accesso negati, quanto che anche nel caso di ricezione di notifiche c.d. “push” solo il log-in alla pagina personale del cliente può essere realizzato toccando il messaggio ricevuto sullo smartphone, mentre l'esecuzione delle operazioni è subordinata all'inserimento della one time password (generata dal token
o ricevuta con notificazione) e dall'inserimento del pin dispositivo o dall'uso dell'impronta digitale del cliente sul telefono tramite il quale viene utilizzata l'app.
Sulla base di queste premesse, a ritenuto di aver provato, ai sensi del disposto di Parte_1 cui all'art. 10 del d.lgs. 11/2010, che le operazioni disconosciute sono state autenticate, correttamente registrate e contabilizzate e che non hanno subito le conseguenze del malfunzionamento delle procedure necessarie alla loro esecuzione o altri inconvenienti.
In estrema sintesi, la banca ha sostenuto:
- che l'esecuzione delle disposizioni di bonifico è stata possibile solo in forza di negligenza da imputare al cliente in ordine alla custodia del suo telefono e/o alla conservazione delle credenziali di accesso alla pagina personale di Internet banking;
-che avrebbe quindi “abboccato” ad un atto di phishing; CP_1
-che tale fatto costituisce colpa grave idonea ad escludere la responsabilità dell'istituto per il mancato pagamento degli importi corrispondenti ai bonifici eseguiti e disconosciuti.
pagina 4 di 12
C. La sentenza del Tribunale
Il primo giudice ha accolto la domanda svolta dall'attore condannando la banca al risarcimento del danno.
A fondamento della decisione ha, innanzitutto, richiamato il disposto dell'art. 2050 c.p.c., e degli artt.10 e 11 del Dlgs n. 11\2010, rilevando che è l'istituto di credito a dover provare di aver adottato tutte le misure idonee ad evitare il danno in base alla specifica natura dei dati, del trattamento, al fine di prevenire l'accesso o il trattamento non autorizzato, mentre il danneggiato deve solo provare il danno e il nesso di causalità.
Ha rilevato che qualora l'utente neghi di aver autorizzato un'operazione di pagamento già effettuata, disconoscendola, come nel caso di specie, l'onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio, il quale è tenuto a rifondere il correntista, tranne ove vi sia un motivato sospetto di frode, e salva la possibilità per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l'operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall'utilizzatore, la restituzione dell'importo rimborsato.
Il Tribunale ha, così, ritenuto che l'attore abbia dato prova del nesso causale e del danno, CP_1 essendo pacifici e documentali tanto i tre bonifici effettuati il 18.4.2023 a favore di soggetto lituano e il quarto bonifico “bloccato” prima che venisse eseguito a favore di onlus turca, quanto il disconoscimento delle operazioni del 19.4.2023.
Al contrario ha reputato che la banca non abbia adempiuto all'onere probatorio sulla stessa gravante e non abbia provveduto a rimborsare al pagatore l'importo delle operazioni disconosciute, senza avere sospetto di frode, unico caso nel quale avrebbe potuto sospendere il rimborso dandone comunicazione a
Banca d'Italia a norma dell'art. 11, comma 2, d.lgs. 11/2010.
Il primo giudice ha poi ulteriormente evidenziato che la banca ha la possibilità di porre in essere condotte idonee a bloccare tempestivamente le richieste di pagamento truffaldine, potendo altresì identificare, anche grazie alle relazioni interbancarie, i beneficiari di tali disposizioni.
Inoltre, ha ritenuto che l'istituto, nel caso di specie, non abbia dimostrato quanto sostenuto nei propri scritti difensivi, cioè che il cliente abbia comunicato o mostrato a terzi le proprie credenziali di accesso al conto on line, né che abbia agito con negligenza, imprudenza o imperizia, tenuto conto delle sue specifiche caratteristiche personali.
Ha poi evidenziato che la banca era conoscenza di una serie di dati oggettivi tramite i quali avrebbe potuto e dovuto rendersi conto dell'anomalia delle operazioni di pagamento apparentemente poste in pagina 5 di 12 essere dal cliente tramite il conto on-line, essendo state eseguite le quattro disposizioni di bonifico disconosciute nel cuore della notte, nel giro di pochi minuti, verso paesi stranieri e soggetti privi alcun apparente legame con il cliente, per un importo che avrebbe eroso l'intera provvista disponibile sul conto corrente di quest'ultimo, disposte tutte on line da indirizzo IP e con un device diversi da quelli abitualmente utilizzati dal cliente, dopo due tentativi di accesso al conto falliti. La banca, inoltre, secondo il primo giudice, ha avuto a disposizione due giorni lavorativi prima di eseguire il bonifico, e nonostante il cliente si sia prontamente attivato e abbia disconosciuto gli ordini, di pagamento
(“disconoscimento compiuto peraltro prima del termine convenuto tra le parti per l'esecuzione degli ordini di bonifico”), la banca ha, comunque, dato “sollecitamente” corso a tali bonifici, eseguendo il loro pagamento, a discapito degli evidenti indici di anomalia delle operazioni.
Infine, il Tribunale ha rilevato che la banca non ha nemmeno documentato o altrimenti provato di essersi effettivamente attivata per ottenere, dal prestatore del servizio di pagamento del beneficiario dell'operazione, il consenso alla revoca dell'operazione ai sensi dell'art. 17.5 d.lgs. 28/2010. Ha pertanto ritenuto che la condotta della banca sia stata incompatibile con il livello di diligenza richiesto agli istituti di credito nell'esercizio professionale dell'attività bancaria.
Sulla base di tali motivazioni ha condannato al risarcimento dei danni patiti Parte_1 dall'attore in conseguenza dell'inadempimento della convenuta all'obbligo di cui all'art. 11, comma 2,
d.lgs. 11/2010 in misura pari all'importo dei bonifici disconosciuti e non rimborsati per € 14.700,00 oltre interessi.
D. I motivi di appello
La banca ha svolto tre motivi di impugnazione con i quali, in estrema sintesi, ha lamentato l'erronea valutazione delle risultanze processuali e l'omessa valutazione di elementi decisivi ai fini del decidere.
In particolare, con il primo motivo ha rilevato che il primo giudice non avrebbe considerato alcune dichiarazioni rese da nel corso del giudizio, precisamente: CP_1
1. nel ricorso introduttivo del primo grado di giudizio: “un hacker, grazie ad un falla nel sistema di sicurezza che la banca è tenuta ad approntare ed a mantenere costantemente aggiornato, è riuscito ad appropriarsi dei dati personali dell'istante”;
2. nella denuncia sporta: “Mi sono reso conto che il mio telefono non rispondeva alle mie azioni, per esempio se provavo ad attivare il volume, cliccando sul pulsante che abilita la suoneria dopo qualche minuto questa si disabilitava automaticamente, ancora provando ad accedere ai messaggi mi rendevo conto che l'applicazione si bloccava e veniva espulso immediatamente, come se l'accesso ai messaggi di testo fosse inabilitato”. pagina 6 di 12 Secondo l'appellante, sulla base di tali dichiarazioni confessorie, il Tribunale avrebbe dovuto accertare che, lungi dall'essersi verificata una “falla” del sistema informatico della Banca, come ex adverso dedotto e non provato, sia stato invece il cellulare di ad essere hackerato. CP_1
Con il secondo motivo la banca ha ritenuto l'erroneità della sentenza della parte in cui ha affermato che, anche ove avesse dimostrato che avesse comunicato a terzi i codici di accesso al proprio CP_1 conto online, comunque avrebbe dovuto anche dimostrare che tale condotta fosse frutto di inescusabile negligenza, imprudenza o imperizia del cliente, tenuto conto delle sue specifiche caratteristiche personali.
In merito a tale aspetto, l'appellante ha ritenuto che il Tribunale non abbia correttamente valutato i fatti e gli elementi probatori. In particolare, ha rilevato di aver provato sia di aver adottato soluzioni idonee a prevenire e ad evitare l'uso fraudolente dei sistemi elettronici di pagamento (massimo grado di sicurezza possibile: attraverso la predisposizione di un sistema di autenticazione a due fattori, e in particolare il codice utente, una password di accesso statica e una password one time generata dal token
(OTP), oltre a idonea campagna informativa per evitare truffe), sia che l'evento è stato causato dalla colpa grave del cliente, per non aver denunciato immediatamente e senza indugio l'hackeraggio subito.
Per tali ragioni l'appellante ha insistito nel ritenere la colpa grave di il quale non solo CP_1 avrebbe permesso l'hackeraggio del suo cellulare ma, una volta avvedutosene, invece di bloccare immediatamente il suo conto, contattando il servizio di call center della banca, è rimasto inerte e ha subito il prelievo dei suddetti importi, per poi recarsi soltanto la mattina seguente presso la filiale della banca e successivamente a sporgere denuncia.
Con il terzo motivo ha lamentato l'omessa disamina del concorso di colpa del Parte_1 cliente ex art. 1227, comma 2 e 1 c.c. In estrema sintesi, la banca ha ritenuto che, considerate da un lato l'assenza di anomalie o intrusioni nel sistema informatico, dall'altro l'autorizzazione all'accesso all'home banking e alle disposizioni di pagamento (tutte segnalate e notificate al cliente), nonché
l'avvenuto hackeraggio del cellulare, sussiste un concorso di colpa di nella causazione CP_1 dell'evento, in termini di cooperazione involontaria.
Per tali ragioni ha chiesto la riforma della sentenza e la condanna dell'appellato alla restituzione di quanto pagato in esecuzione della stessa.
E. Le argomentazioni dell'appellato ha insistito per il rigetto dell'appello e la conferma della sentenza. CP_1
Ha osservato, svolgendo alcune precisazioni in relazione a quanto dedotto dall'appellante, pur senza distinguere specificatamente i tre motivi di appello, che pagina 7 di 12 -la sera del 17 aprile si è semplicemente reso conto che il proprio telefono non rispondeva perfettamente ai comandi, ma non ha capito o ritenuto che fosse stato hackerato;
- non ha ricevuto alcuna mail o messaggio “all'origine dell'evento” in quanto, come già dichiarato nella denuncia, aveva solo osservato che il proprio telefono la sera precedente ai prelievi contestati presentava alcune anomalie nel funzionamento;
- a fronte degli anomali bonifici in oggetto, il sistema automatico di sicurezza della banca avrebbe dovuto bloccare le operazioni sino all'apertura della filiale, al fine di chiedere conferma al correntista delle disposizioni predisposte, avendo per contratto l'istituto di credito due giorni lavorativi di tempo prima di eseguire l'ordine di bonifico;
- dall'esame della relazione tecnica sintetica prodotta dalla banca emerge tanto chele disposizioni fraudolente sono state effettuate tramite Youweb, quanto chelo IP ed il “Device” risultano non essere quelli abituali del cliente (L' IP - Internet protocol - è costituito da una serie di numeri assegnata ad ogni dispositivo connesso a una rete di computer o a internet, mentre Device è qualsiasi dispositivo elettronico);
-non aveva mai utilizzato e non utilizza lo strumento dell'home banking per dare disposizioni bancarie.
A dimostrazione di quanto affermato ha prodotto l'estratto conto intestato allo stesso riportante tutte le operazioni dall'apertura del conto corrente (il 10.2.2023) al 28.6.2023, comprese quelle contestate del
17/18.4.2023, da cui emergerebbe che avrebbe effettuato solo prelievi, accredito dello stipendio e pagamenti con il bancomat.
F. Il processo del secondo grado di giudizio
All'esito della prima udienza, il 16.10.2024, il Collegio ha fissato l'udienza del 26.11.2025 per la rimessione della causa in decisione ai sensi dell'art. 352 c.p.c., poi anticipata al 22.10.2025, previa assegnazione di nuovi termini di legge per il deposito degli scritti difensivi.
* MOTIVI DELLA DECISIONE
Ritiene la Corte che l'appello sia infondato e che debba essere rigettato per le seguenti ragioni.
1. Il primo ed il secondo motivo di appello
Il primo ed il secondo motivo di appello, devono essere trattati congiuntamente in quanto strettamente connessi e interdipendenti.
Con riguardo agli elementi in fatto valutati dal primo giudice, deve primariamente essere osservato che l'appellato ha provato tanto il danno quanto il nesso causale (bonifici e addebito sul conto corrente). È, inoltre, documentale che lo stesso si sia attivato tempestivamente per evitare il danno. Tant'è che grazie pagina 8 di 12 al suo intervento repentino la banca non ha dato esecuzione al quarto bonifico a favore della onlus turca. Nonostante i bonifici siano stati effettuati nel cuore della notte (tra le ore 2.00 e le ore 4.00 del mattino del 18.4.2023), non appena resosi conto dell'accaduto, si è immediatamente attivato, CP_1 recandosi presso la filiale della banca per disconoscere gli ordini di bonifico. Il giorno seguente ha sporto denuncia, e due giorni dopo ha diffidato la banca, che nel frattempo aveva dato esecuzione ai bonifici, chiedendo il rimborso dell'importo corrispondente al valore dei pagamenti disconosciuti.
Né è possibile affermare che lo stesso, con la sua condotta, abbia permesso o facilitato il perpetrarsi della violazione ad opera di terzi. ha sempre negato di aver ricevuto eventuali notifiche push e tanto meno di aver autorizzato CP_1
l'accesso di terzi all'area a lui riservata nel sistema di Internet banking predisposto dalla banca. Né tali anomalie sono emerse, non essendo state rinvenute nemmeno dalla consulenza tecnica depositata dalla banca, che si è limitata ad affermare il corretto funzionamento del sistema. Quanto all'addotto hackeraggio, si deve rilevare che l'appellato non è un tecnico, né un esperto informatico, fa il muratore e non parla correttamente la lingua italiana. Il fatto che abbia dichiarato che la sera prima aveva notato che il telefono non rispondeva perfettamente ai comandi (“per esempio se provavo ad attivare il volume, cliccando sul pulsante che abilita la suoneria dopo qualche minuto questa si disabilitava automaticamente, ancora provando ad accedere ai messaggi mi rendevo conto che l'applicazione si bloccava e venivo espulso immediatamente, come se l'accesso ai messaggi di testo fosse inabilitato…”) non implica necessariamente che ci sia stato tout court un hackeraggio, e soprattutto che la suddetta circostanza avrebbe dovuto porre in allarme circa il funzionamento dell'applicazione del CP_1 banking on line. Non si rinvengono elementi concreti, né sono presumibili, in base ai quali sia possibile ritenere che abbia tenuto una condotta colpevolmente omissiva, per non essersi accorto la sera CP_1 prima che quel momentaneo mal funzionamento del telefono avrebbe potuto dare luogo ad un intrusione nel banking on line.
Non può, pertanto, affermarsi che abbia “abboccato” colpevolmente ad un atto di phishing, in CP_1 quanto per le circostanze concrete con cui si si sono svolti i fatti, e per le qualità e attitudini soggettive dello stesso, non si sarebbe potuta esigere una differente condotta da parte sua, alla stregua della diligenza del caso. Ciò a prescindere dal fatto che la banca abbia adottato le misure idonee ad evitare il danno in base alla specifica natura dei dati e a garantire il massimo grado di sicurezza possibile
(predisposizione di un sistema di autenticazione a due fattori, codice utente, password di accesso statica e password one time generata dal token (OTP), oltre a idonea campagna informativa per evitare truffe).
Tutto ciò premesso, occorre poi ulteriormente osservare che, contrariamente a quanto sostenuto dalla banca, quest'ultima avrebbe dovuto accorgersi di una serie di anomalie prima di eseguire i bonifici. Si è pagina 9 di 12 trattato, infatti, di disposizioni di bonifico verso beneficiari nuovi, per importi di identica cifra, inferiore ai 5.000 euro, che complessivamente andavano ad esaurire la provvista presente sul conto corrente, disposti verso conti correnti aperti in un Paese straniero, la Lituania, senza alcun collegamento apparente con il correntista, eseguiti a notte fonda e nell'arco di pochi minuti.
Come rilevato anche dalla consulenza di parte della banca, le operazioni sono state eseguite dopo due tentativi di autenticazione infruttuosa, utilizzando le credenziali del cliente da un device e tramite IP non ordinariamente utilizzati dal cliente - quindi non dalla app del telefono.
Inoltre, costituisce circostanza pacifica, e suffragata dalla produzione documentale di il fatto CP_1 che quest'ultimo non aveva giammai utilizzato l'applicazione sul telefono per effettuare bonifici, dal momento che le operazioni eseguite dallo stesso riguardavano solo prelievi, accredito dello stipendio e pagamenti con il bancomat.
In considerazione di tali circostanze la banca avrebbe dovuto essere più prudente e approntare ulteriori verifiche prima di dare corso all'effettiva esecuzione delle disposizioni di pagamento, e comunque attivarsi per cercare di ottenere dal prestatore di servizio del beneficiario del bonifico la revoca dell'operazione.
Sul punto si richiama la motivazione efficacemente resa del Tribunale: “Il compimento di tale attività di verifica e di segnalazione delle anomalie al cliente sarebbe stato agevole, anche tenuto conto di come la resistente abbia avuto a disposizione, ai sensi dell'art. 53, comma 5 e dell'art. 54, comma 2, delle condizioni generali di conto corrente (doc. 4 res.), due giorni lavorativi prima di eseguire il bonifico, ritenendo gli ordini di bonifico ricevuti fuori dall'orario di apertura al pubblico come eseguiti la giornata operativa successiva ed essendosi obbligata ad eseguire i bonifici entro la fine della giornata operativa successiva alla ricezione dell'ordine di pagamento. Nonostante il cliente si sia attivato direttamente ed immediatamente per disconoscere gli ordini di pagamento, disconoscimento compiuto peraltro prima del termine convenuto tra le parti per l'esecuzione degli ordini di bonifico, la convenuta ha dato sollecitamente corso a tali bonifici, eseguendo il loro pagamento, a discapito degli evidenti indici di anomalia delle operazioni…La resistente non ha nemmeno, del resto, documentato o altrimenti provato di essersi effettivamente attivata per ottenere dal prestatore del servizio di pagamento del beneficiario dell'operazione, il consenso alla revoca dell'operazione ai sensi dell'art.
17.5 d.lgs. 28/2010, senza esito”.
In conclusione, si deve ritenere che a fronte dell'assenza di negligenza in capo al cliente e della solerzia con la quale ha tempestivamente edotto la banca, denunciato l'accaduto e disconosciuto le operazioni, la banca non solo non si è accorta delle anomalie relative ai bonifici (come sopra dettagliatamente pagina 10 di 12 indicate) e vi ha dato imprudentemente esecuzione, ma non si è neanche attivata per evitare il danno, cercando di bloccare le operazioni o di ottenere il consenso alla revoca delle stesse.
Per tali ragioni i primi due motivi di appello sono infondati.
2. Il terzo motivo di appello
Dalle superiori conclusioni consegue il rigetto del terzo motivo di doglianza espresso dall'appellante, afferente alla sussistenza del concorso di colpa tra il cliente e la banca. L'insussistenza di un contegno negligente e rimproverabile in capo a per le ragioni sopra esposte, e al pari la carenza di CP_1 diligenza rinvenuta nella condotta dell'istituto di credito, nei termini indicati, preclude la configurabilità di un concorso di colpa.
3. Le spese di lite
Le spese di lite seguono la soccombenza. Sono poste a carico dell'appellante e liquidate a favore dell'appellato, come da dispositivo, in applicazione dei parametri medi, tenuto conto del valore della causa, dell'assenza di attività istruttoria, della complessità della controversia e della quantità e qualità delle questioni da decidere (precisamente: euro 1.134,00 per la fase di studio, euro 921,00 per la fase introduttiva, euro 1.911,00 per la fase decisionale).
Per Questi Motivi
La Corte d'Appello di Milano, definitivamente pronunciando sull'appello proposto da Parte_1
avverso la sentenza n. 3126\2024 del Tribunale di Milano, ogni contraria istanza disattesa e/o
[...] assorbita, così provvede:
1) rigetta l'appello proposto da , per l'effetto, conferma la sentenza n.3126\2024 Parte_1 del Tribunale di Milano;
2) condanna al pagamento a favore di Parte_1 Controparte_1 delle spese di giudizio del presente grado, liquidate per compensi in complessivi € 3.966,00 oltre spese forfettarie nella misura del 15%, IVA e CPA a favore del procuratore antistatario costituito;
3) dà atto che sussistono a carico dell'appellante i presupposti di cui all'art. 13, co. 1 quater D.P.R.
115/02 per il versamento dell'ulteriore importo a titolo di contributo unificato pari a quello dovuto a norma del comma 1 bis art. 13 cit.
Milano, 22 ottobre 2025.
Il Consigliere est. Ernesta Occhiuto Il Presidente Giuseppe Ondei
pagina 11 di 12 pagina 12 di 12
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO LA CORTE D'APPELLO DI MILANO
Nelle persone dei magistrati dott. Giuseppe Ondei Presidente dott.ssa Serena Baccolini Consigliere dott.ssa Ernesta Occhiuto Consigliere relatore ha pronunciato la seguente SENTENZA
nella causa iscritta al n. r.g. 1304/2024 promossa in grado d'appello
da
C.F. ) in persona del legale rappresentante p.t., con il patrocinio Parte_1 P.IVA_1 dell'avv. David Morganti, come da procura acclusa alla comparsa di costituzione del primo grado di giudizio, con elezione di domicilio presso lo studio di quest'ultimo, a Roma, Via Giovanni Paisiello n.
40 – ; Email_1
Appellante nei confronti di
(C.F. ) con l'avv. Simona Controparte_1 C.F._1
Pellegrino, come da procura acclusa alla comparsa di costituzione, con elezione di domicilio presso lo studio di quest'ultima, a Milano, Via Boccaccio n. 27 Email_2
Appellato
Oggetto: responsabilità banca, phishing
*
CONCLUSIONI Per l'appellante Parte_1
“Piaccia all'Ecc.ma Corte d'Appello adita, disattesa ogni contraria istanza, eccezione e deduzione, in accoglimento del presente appello avverso la sentenza n. 3126/2024 del Tribunale di Milano, emessa il pagina 1 di 12 21 marzo 2024, pubblicata il 21 marzo 2024 e notificata in pari data, e in riforma di detta pronuncia, per tutte le ragioni sopra esposte nella parte motiva:
1. in via principale, rigettare interamente la domanda proposta dal Sig. Parte_2 perché infondata in fatto ed in diritto e non provata;
2. sempre in via principale, con integrale riforma della sentenza impugnata: dichiarare la sentenza n.
3126/2024 del Tribunale di Milano nulla per difetto di motivazione e/o esame di un fatto decisivo;
3. in via subordinata, nella denegata ipotesi di mancato accoglimento della domanda formulata in via principale, escludere o ridurre la condanna a carico di previo accertamento e Parte_1 declaratoria della esclusiva, preponderante o concorrente responsabilità del Sig. Parte_2 nella causazione del danno ai sensi dell'art. 1227, comma 2 o 1, c.c.;
[...]
4. accertato il diritto di ad ottenere la restituzione di tutte le somme corrisposte in Parte_1 esecuzione della sentenza di primo grado, condannare il sig. a restituire Parte_2 alla Compagnia tutte le somme percepite in esecuzione della sentenza n. 3126/2024 del Tribunale di
Milano, pari ad euro 19.828,93, oltre interessi e rivalutazione monetaria dal pagamento al saldo;
5. in ogni caso, con vittoria delle spese di lite del doppio grado di giudizio, il tutto oltre oneri e accessori, rimborso forfettario, IVA e CPA.”
Per l'appellato Controparte_1
“Piaccia alla Ecc.ma Corte d'Appello di Milano, ogni altra istanza eccezione e deduzione respinta:
In principalità e nel merito:
a) respingere con la miglior formula il proposto appello in quanto infondato confermando integralmente la sentenza impugnata.
b) condannare l'appellante alla rifusione delle spese del presente giudizio oltre accessori di Legge con distrazione dell'importo del compensi a favore del sottoscritto difensore distrattario, espressamente autorizzata ad incassare somme”.
* SVOLGIMENTO DEL PROCESSO
A. a impugnato la sentenza del Tribunale di Milano n. 3126\2024 del 21.3.2024 Parte_1 che, in accoglimento delle domande svolte da , ha condannato la Controparte_1 banca al pagamento della somma di € 15.400,15 oltre interessi e delle spese di lite del grado, per €
3.387,00 oltre accessori.
B. Il giudizio di primo grado
pagina 2 di 12 ha domandato al Tribunale di Milano di condannare l pagamento della CP_1 Parte_1 somma di € 14.700,00 corrispondente al valore complessivo di tre bonifici di € 4.900,00 ciascuno, disposti in data 18.4.2023 dal suo conto corrente in favore di istituti bancari lituani e verso tre conti correnti intestati a soggetti a lui ignoti.
Ha dichiarato di aver “disconosciuto” i suddetti ordini di bonifico il giorno successivo all'emissione degli stessi e che la banca, ciò nonostante, ha dato loro esecuzione.
Più precisamente, in punto di fatto, ha riferito:
- di lavorare da anni come muratore in Italia, ma di comprendere poco la lingua italiana;
- che in data 18.4.2023 sono stati disposti tre ordini di bonifico dell'importo di 4.900,00 euro ciascuno dal conto corrente a lui intestato presso l'istituto di credito resistente, in favore di tre diversi soggetti, a lui ignoti, aventi conti correnti in Lituania;
-di essersi recato presso la filiale di Cesano Boscone della banca appena avuto contezza dei pagamenti disposti dal suo conto, al fine di contestarli, non avendoli mai ordinati;
- di avere in tal modo evitato che la banca desse esecuzione ad un'ulteriore richiesta di bonifico, nelle more sopraggiunta, per € 13.000,00, in favore di una onlus turca;
- di aver sporto denuncia in data 19.4.2023 e di aver diffidato il giorno seguente, il 20.4.2023, la banca a rimborsargli l'importo corrispondente al valore dei suddetti pagamenti disconosciuti.
Ha, quindi, negato di aver ricevuto eventuali notifiche push e di aver autorizzato l'accesso di terzi all'area a lui riservata nel sistema di Internet banking predisposto dalla banca, evidenziando, altresì, come evidenti elementi di anomalia nelle disposizioni di bonifico ricevute dalla convenuta - consistite nella disposizione dei bonifici a favore di nuovi beneficiari, per importi di identica cifra, inferiore a
5.000 euro, verso conti correnti aperti in un paese straniero senza alcun collegamento apparente con il correntista, eseguiti a notte fonda e nell'arco di pochi minuti - avrebbero reso prudente, nel caso di specie, che l'istituto approntasse ulteriori verifiche prima di dare corso all'effettiva esecuzione delle disposizioni di pagamento.
Ha, pertanto, imputato l'esecuzione dei pagamenti ad un malfunzionamento dei sistemi di sicurezza della convenuta, e sostenuto che la banca è tenuta a corrispondergli l'importo equivalente al valore dei bonifici disconosciuti, a titolo di risarcimento del danno. ritualmente costituita, ha insistito per il rigetto della domanda svolta dall'attore. Parte_1
Ha ritenuto che il perfezionamento dell'evento dannoso in capo all'attore sia imputabile esclusivamente ad una condotta negligente dello stesso, e non alla banca. A sostegno della propria tesi ha addotto che
- tra le parti all'epoca dei fatti era in corso un contratto di conto corrente e che aveva attivo il CP_1 servizio di home banking, utilizzabile tramite token attivabile con un software installato tramite app pagina 3 di 12 fornita dalla banca (denominata “You App”) e scaricata sul cellulare del cliente in data 10.2.2023 grazie ad una one time password inviata dalla banca al numero di cellulare di quest'ultimo;
- tutte le disposizioni eseguite tramite il conto on line erano subordinate all'autenticazione c.d. “forte” del cliente, in linea con gli obblighi imposti alle banche dalla direttiva 2015/2366/UE, recepita in Italia con d.lgs. 218/2017, con la conseguenza che nessuna disposizione poteva essere impartita da tale conto on line senza avere conoscenza del numero cliente o del pin statico e della one time password, generata con il mobile token installato sul cellulare del cliente oppure della sua impronta digitale.
Ha, quindi, ritenuto che chi ha autorizzato le disposizioni disconosciute fosse a conoscenza di tali dati e/o aveva libero accesso al telefono del cliente, tramite il quale poteva toccare il messaggio contenente la notifica della one time password inviate sul cellulare del cliente, autorizzando il pagamento disposto.
Ha prodotto l'elenco delle notifiche inviate al cliente nel periodo nel quale sono stati eseguiti i bonifici e una consulenza tecnica di parte che attesterebbe il corretto funzionamento del sistema di pagamento, dal quale emergerebbe che le disposizioni disconosciute dal cliente sono state effettuate tutte (compresa quella alla in favore di onlus turca poi non eseguita) tra le ore 2.58.01 e le ore 3.06.00 del mattino, tramite accesso al sito internet della banca “YouWeb”, e non tramite l'uso dell'app dal cellulare del cliente, eseguito da indirizzo IP e device che “risultano NON essere quelli abituali del cliente”. La relazione tecnica evidenzia altresì tanto che il primo accesso alla pagina del cliente è avvenuto solo dopo due tentativi di accesso negati, quanto che anche nel caso di ricezione di notifiche c.d. “push” solo il log-in alla pagina personale del cliente può essere realizzato toccando il messaggio ricevuto sullo smartphone, mentre l'esecuzione delle operazioni è subordinata all'inserimento della one time password (generata dal token
o ricevuta con notificazione) e dall'inserimento del pin dispositivo o dall'uso dell'impronta digitale del cliente sul telefono tramite il quale viene utilizzata l'app.
Sulla base di queste premesse, a ritenuto di aver provato, ai sensi del disposto di Parte_1 cui all'art. 10 del d.lgs. 11/2010, che le operazioni disconosciute sono state autenticate, correttamente registrate e contabilizzate e che non hanno subito le conseguenze del malfunzionamento delle procedure necessarie alla loro esecuzione o altri inconvenienti.
In estrema sintesi, la banca ha sostenuto:
- che l'esecuzione delle disposizioni di bonifico è stata possibile solo in forza di negligenza da imputare al cliente in ordine alla custodia del suo telefono e/o alla conservazione delle credenziali di accesso alla pagina personale di Internet banking;
-che avrebbe quindi “abboccato” ad un atto di phishing; CP_1
-che tale fatto costituisce colpa grave idonea ad escludere la responsabilità dell'istituto per il mancato pagamento degli importi corrispondenti ai bonifici eseguiti e disconosciuti.
pagina 4 di 12
C. La sentenza del Tribunale
Il primo giudice ha accolto la domanda svolta dall'attore condannando la banca al risarcimento del danno.
A fondamento della decisione ha, innanzitutto, richiamato il disposto dell'art. 2050 c.p.c., e degli artt.10 e 11 del Dlgs n. 11\2010, rilevando che è l'istituto di credito a dover provare di aver adottato tutte le misure idonee ad evitare il danno in base alla specifica natura dei dati, del trattamento, al fine di prevenire l'accesso o il trattamento non autorizzato, mentre il danneggiato deve solo provare il danno e il nesso di causalità.
Ha rilevato che qualora l'utente neghi di aver autorizzato un'operazione di pagamento già effettuata, disconoscendola, come nel caso di specie, l'onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio, il quale è tenuto a rifondere il correntista, tranne ove vi sia un motivato sospetto di frode, e salva la possibilità per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l'operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall'utilizzatore, la restituzione dell'importo rimborsato.
Il Tribunale ha, così, ritenuto che l'attore abbia dato prova del nesso causale e del danno, CP_1 essendo pacifici e documentali tanto i tre bonifici effettuati il 18.4.2023 a favore di soggetto lituano e il quarto bonifico “bloccato” prima che venisse eseguito a favore di onlus turca, quanto il disconoscimento delle operazioni del 19.4.2023.
Al contrario ha reputato che la banca non abbia adempiuto all'onere probatorio sulla stessa gravante e non abbia provveduto a rimborsare al pagatore l'importo delle operazioni disconosciute, senza avere sospetto di frode, unico caso nel quale avrebbe potuto sospendere il rimborso dandone comunicazione a
Banca d'Italia a norma dell'art. 11, comma 2, d.lgs. 11/2010.
Il primo giudice ha poi ulteriormente evidenziato che la banca ha la possibilità di porre in essere condotte idonee a bloccare tempestivamente le richieste di pagamento truffaldine, potendo altresì identificare, anche grazie alle relazioni interbancarie, i beneficiari di tali disposizioni.
Inoltre, ha ritenuto che l'istituto, nel caso di specie, non abbia dimostrato quanto sostenuto nei propri scritti difensivi, cioè che il cliente abbia comunicato o mostrato a terzi le proprie credenziali di accesso al conto on line, né che abbia agito con negligenza, imprudenza o imperizia, tenuto conto delle sue specifiche caratteristiche personali.
Ha poi evidenziato che la banca era conoscenza di una serie di dati oggettivi tramite i quali avrebbe potuto e dovuto rendersi conto dell'anomalia delle operazioni di pagamento apparentemente poste in pagina 5 di 12 essere dal cliente tramite il conto on-line, essendo state eseguite le quattro disposizioni di bonifico disconosciute nel cuore della notte, nel giro di pochi minuti, verso paesi stranieri e soggetti privi alcun apparente legame con il cliente, per un importo che avrebbe eroso l'intera provvista disponibile sul conto corrente di quest'ultimo, disposte tutte on line da indirizzo IP e con un device diversi da quelli abitualmente utilizzati dal cliente, dopo due tentativi di accesso al conto falliti. La banca, inoltre, secondo il primo giudice, ha avuto a disposizione due giorni lavorativi prima di eseguire il bonifico, e nonostante il cliente si sia prontamente attivato e abbia disconosciuto gli ordini, di pagamento
(“disconoscimento compiuto peraltro prima del termine convenuto tra le parti per l'esecuzione degli ordini di bonifico”), la banca ha, comunque, dato “sollecitamente” corso a tali bonifici, eseguendo il loro pagamento, a discapito degli evidenti indici di anomalia delle operazioni.
Infine, il Tribunale ha rilevato che la banca non ha nemmeno documentato o altrimenti provato di essersi effettivamente attivata per ottenere, dal prestatore del servizio di pagamento del beneficiario dell'operazione, il consenso alla revoca dell'operazione ai sensi dell'art. 17.5 d.lgs. 28/2010. Ha pertanto ritenuto che la condotta della banca sia stata incompatibile con il livello di diligenza richiesto agli istituti di credito nell'esercizio professionale dell'attività bancaria.
Sulla base di tali motivazioni ha condannato al risarcimento dei danni patiti Parte_1 dall'attore in conseguenza dell'inadempimento della convenuta all'obbligo di cui all'art. 11, comma 2,
d.lgs. 11/2010 in misura pari all'importo dei bonifici disconosciuti e non rimborsati per € 14.700,00 oltre interessi.
D. I motivi di appello
La banca ha svolto tre motivi di impugnazione con i quali, in estrema sintesi, ha lamentato l'erronea valutazione delle risultanze processuali e l'omessa valutazione di elementi decisivi ai fini del decidere.
In particolare, con il primo motivo ha rilevato che il primo giudice non avrebbe considerato alcune dichiarazioni rese da nel corso del giudizio, precisamente: CP_1
1. nel ricorso introduttivo del primo grado di giudizio: “un hacker, grazie ad un falla nel sistema di sicurezza che la banca è tenuta ad approntare ed a mantenere costantemente aggiornato, è riuscito ad appropriarsi dei dati personali dell'istante”;
2. nella denuncia sporta: “Mi sono reso conto che il mio telefono non rispondeva alle mie azioni, per esempio se provavo ad attivare il volume, cliccando sul pulsante che abilita la suoneria dopo qualche minuto questa si disabilitava automaticamente, ancora provando ad accedere ai messaggi mi rendevo conto che l'applicazione si bloccava e veniva espulso immediatamente, come se l'accesso ai messaggi di testo fosse inabilitato”. pagina 6 di 12 Secondo l'appellante, sulla base di tali dichiarazioni confessorie, il Tribunale avrebbe dovuto accertare che, lungi dall'essersi verificata una “falla” del sistema informatico della Banca, come ex adverso dedotto e non provato, sia stato invece il cellulare di ad essere hackerato. CP_1
Con il secondo motivo la banca ha ritenuto l'erroneità della sentenza della parte in cui ha affermato che, anche ove avesse dimostrato che avesse comunicato a terzi i codici di accesso al proprio CP_1 conto online, comunque avrebbe dovuto anche dimostrare che tale condotta fosse frutto di inescusabile negligenza, imprudenza o imperizia del cliente, tenuto conto delle sue specifiche caratteristiche personali.
In merito a tale aspetto, l'appellante ha ritenuto che il Tribunale non abbia correttamente valutato i fatti e gli elementi probatori. In particolare, ha rilevato di aver provato sia di aver adottato soluzioni idonee a prevenire e ad evitare l'uso fraudolente dei sistemi elettronici di pagamento (massimo grado di sicurezza possibile: attraverso la predisposizione di un sistema di autenticazione a due fattori, e in particolare il codice utente, una password di accesso statica e una password one time generata dal token
(OTP), oltre a idonea campagna informativa per evitare truffe), sia che l'evento è stato causato dalla colpa grave del cliente, per non aver denunciato immediatamente e senza indugio l'hackeraggio subito.
Per tali ragioni l'appellante ha insistito nel ritenere la colpa grave di il quale non solo CP_1 avrebbe permesso l'hackeraggio del suo cellulare ma, una volta avvedutosene, invece di bloccare immediatamente il suo conto, contattando il servizio di call center della banca, è rimasto inerte e ha subito il prelievo dei suddetti importi, per poi recarsi soltanto la mattina seguente presso la filiale della banca e successivamente a sporgere denuncia.
Con il terzo motivo ha lamentato l'omessa disamina del concorso di colpa del Parte_1 cliente ex art. 1227, comma 2 e 1 c.c. In estrema sintesi, la banca ha ritenuto che, considerate da un lato l'assenza di anomalie o intrusioni nel sistema informatico, dall'altro l'autorizzazione all'accesso all'home banking e alle disposizioni di pagamento (tutte segnalate e notificate al cliente), nonché
l'avvenuto hackeraggio del cellulare, sussiste un concorso di colpa di nella causazione CP_1 dell'evento, in termini di cooperazione involontaria.
Per tali ragioni ha chiesto la riforma della sentenza e la condanna dell'appellato alla restituzione di quanto pagato in esecuzione della stessa.
E. Le argomentazioni dell'appellato ha insistito per il rigetto dell'appello e la conferma della sentenza. CP_1
Ha osservato, svolgendo alcune precisazioni in relazione a quanto dedotto dall'appellante, pur senza distinguere specificatamente i tre motivi di appello, che pagina 7 di 12 -la sera del 17 aprile si è semplicemente reso conto che il proprio telefono non rispondeva perfettamente ai comandi, ma non ha capito o ritenuto che fosse stato hackerato;
- non ha ricevuto alcuna mail o messaggio “all'origine dell'evento” in quanto, come già dichiarato nella denuncia, aveva solo osservato che il proprio telefono la sera precedente ai prelievi contestati presentava alcune anomalie nel funzionamento;
- a fronte degli anomali bonifici in oggetto, il sistema automatico di sicurezza della banca avrebbe dovuto bloccare le operazioni sino all'apertura della filiale, al fine di chiedere conferma al correntista delle disposizioni predisposte, avendo per contratto l'istituto di credito due giorni lavorativi di tempo prima di eseguire l'ordine di bonifico;
- dall'esame della relazione tecnica sintetica prodotta dalla banca emerge tanto chele disposizioni fraudolente sono state effettuate tramite Youweb, quanto chelo IP ed il “Device” risultano non essere quelli abituali del cliente (L' IP - Internet protocol - è costituito da una serie di numeri assegnata ad ogni dispositivo connesso a una rete di computer o a internet, mentre Device è qualsiasi dispositivo elettronico);
-non aveva mai utilizzato e non utilizza lo strumento dell'home banking per dare disposizioni bancarie.
A dimostrazione di quanto affermato ha prodotto l'estratto conto intestato allo stesso riportante tutte le operazioni dall'apertura del conto corrente (il 10.2.2023) al 28.6.2023, comprese quelle contestate del
17/18.4.2023, da cui emergerebbe che avrebbe effettuato solo prelievi, accredito dello stipendio e pagamenti con il bancomat.
F. Il processo del secondo grado di giudizio
All'esito della prima udienza, il 16.10.2024, il Collegio ha fissato l'udienza del 26.11.2025 per la rimessione della causa in decisione ai sensi dell'art. 352 c.p.c., poi anticipata al 22.10.2025, previa assegnazione di nuovi termini di legge per il deposito degli scritti difensivi.
* MOTIVI DELLA DECISIONE
Ritiene la Corte che l'appello sia infondato e che debba essere rigettato per le seguenti ragioni.
1. Il primo ed il secondo motivo di appello
Il primo ed il secondo motivo di appello, devono essere trattati congiuntamente in quanto strettamente connessi e interdipendenti.
Con riguardo agli elementi in fatto valutati dal primo giudice, deve primariamente essere osservato che l'appellato ha provato tanto il danno quanto il nesso causale (bonifici e addebito sul conto corrente). È, inoltre, documentale che lo stesso si sia attivato tempestivamente per evitare il danno. Tant'è che grazie pagina 8 di 12 al suo intervento repentino la banca non ha dato esecuzione al quarto bonifico a favore della onlus turca. Nonostante i bonifici siano stati effettuati nel cuore della notte (tra le ore 2.00 e le ore 4.00 del mattino del 18.4.2023), non appena resosi conto dell'accaduto, si è immediatamente attivato, CP_1 recandosi presso la filiale della banca per disconoscere gli ordini di bonifico. Il giorno seguente ha sporto denuncia, e due giorni dopo ha diffidato la banca, che nel frattempo aveva dato esecuzione ai bonifici, chiedendo il rimborso dell'importo corrispondente al valore dei pagamenti disconosciuti.
Né è possibile affermare che lo stesso, con la sua condotta, abbia permesso o facilitato il perpetrarsi della violazione ad opera di terzi. ha sempre negato di aver ricevuto eventuali notifiche push e tanto meno di aver autorizzato CP_1
l'accesso di terzi all'area a lui riservata nel sistema di Internet banking predisposto dalla banca. Né tali anomalie sono emerse, non essendo state rinvenute nemmeno dalla consulenza tecnica depositata dalla banca, che si è limitata ad affermare il corretto funzionamento del sistema. Quanto all'addotto hackeraggio, si deve rilevare che l'appellato non è un tecnico, né un esperto informatico, fa il muratore e non parla correttamente la lingua italiana. Il fatto che abbia dichiarato che la sera prima aveva notato che il telefono non rispondeva perfettamente ai comandi (“per esempio se provavo ad attivare il volume, cliccando sul pulsante che abilita la suoneria dopo qualche minuto questa si disabilitava automaticamente, ancora provando ad accedere ai messaggi mi rendevo conto che l'applicazione si bloccava e venivo espulso immediatamente, come se l'accesso ai messaggi di testo fosse inabilitato…”) non implica necessariamente che ci sia stato tout court un hackeraggio, e soprattutto che la suddetta circostanza avrebbe dovuto porre in allarme circa il funzionamento dell'applicazione del CP_1 banking on line. Non si rinvengono elementi concreti, né sono presumibili, in base ai quali sia possibile ritenere che abbia tenuto una condotta colpevolmente omissiva, per non essersi accorto la sera CP_1 prima che quel momentaneo mal funzionamento del telefono avrebbe potuto dare luogo ad un intrusione nel banking on line.
Non può, pertanto, affermarsi che abbia “abboccato” colpevolmente ad un atto di phishing, in CP_1 quanto per le circostanze concrete con cui si si sono svolti i fatti, e per le qualità e attitudini soggettive dello stesso, non si sarebbe potuta esigere una differente condotta da parte sua, alla stregua della diligenza del caso. Ciò a prescindere dal fatto che la banca abbia adottato le misure idonee ad evitare il danno in base alla specifica natura dei dati e a garantire il massimo grado di sicurezza possibile
(predisposizione di un sistema di autenticazione a due fattori, codice utente, password di accesso statica e password one time generata dal token (OTP), oltre a idonea campagna informativa per evitare truffe).
Tutto ciò premesso, occorre poi ulteriormente osservare che, contrariamente a quanto sostenuto dalla banca, quest'ultima avrebbe dovuto accorgersi di una serie di anomalie prima di eseguire i bonifici. Si è pagina 9 di 12 trattato, infatti, di disposizioni di bonifico verso beneficiari nuovi, per importi di identica cifra, inferiore ai 5.000 euro, che complessivamente andavano ad esaurire la provvista presente sul conto corrente, disposti verso conti correnti aperti in un Paese straniero, la Lituania, senza alcun collegamento apparente con il correntista, eseguiti a notte fonda e nell'arco di pochi minuti.
Come rilevato anche dalla consulenza di parte della banca, le operazioni sono state eseguite dopo due tentativi di autenticazione infruttuosa, utilizzando le credenziali del cliente da un device e tramite IP non ordinariamente utilizzati dal cliente - quindi non dalla app del telefono.
Inoltre, costituisce circostanza pacifica, e suffragata dalla produzione documentale di il fatto CP_1 che quest'ultimo non aveva giammai utilizzato l'applicazione sul telefono per effettuare bonifici, dal momento che le operazioni eseguite dallo stesso riguardavano solo prelievi, accredito dello stipendio e pagamenti con il bancomat.
In considerazione di tali circostanze la banca avrebbe dovuto essere più prudente e approntare ulteriori verifiche prima di dare corso all'effettiva esecuzione delle disposizioni di pagamento, e comunque attivarsi per cercare di ottenere dal prestatore di servizio del beneficiario del bonifico la revoca dell'operazione.
Sul punto si richiama la motivazione efficacemente resa del Tribunale: “Il compimento di tale attività di verifica e di segnalazione delle anomalie al cliente sarebbe stato agevole, anche tenuto conto di come la resistente abbia avuto a disposizione, ai sensi dell'art. 53, comma 5 e dell'art. 54, comma 2, delle condizioni generali di conto corrente (doc. 4 res.), due giorni lavorativi prima di eseguire il bonifico, ritenendo gli ordini di bonifico ricevuti fuori dall'orario di apertura al pubblico come eseguiti la giornata operativa successiva ed essendosi obbligata ad eseguire i bonifici entro la fine della giornata operativa successiva alla ricezione dell'ordine di pagamento. Nonostante il cliente si sia attivato direttamente ed immediatamente per disconoscere gli ordini di pagamento, disconoscimento compiuto peraltro prima del termine convenuto tra le parti per l'esecuzione degli ordini di bonifico, la convenuta ha dato sollecitamente corso a tali bonifici, eseguendo il loro pagamento, a discapito degli evidenti indici di anomalia delle operazioni…La resistente non ha nemmeno, del resto, documentato o altrimenti provato di essersi effettivamente attivata per ottenere dal prestatore del servizio di pagamento del beneficiario dell'operazione, il consenso alla revoca dell'operazione ai sensi dell'art.
17.5 d.lgs. 28/2010, senza esito”.
In conclusione, si deve ritenere che a fronte dell'assenza di negligenza in capo al cliente e della solerzia con la quale ha tempestivamente edotto la banca, denunciato l'accaduto e disconosciuto le operazioni, la banca non solo non si è accorta delle anomalie relative ai bonifici (come sopra dettagliatamente pagina 10 di 12 indicate) e vi ha dato imprudentemente esecuzione, ma non si è neanche attivata per evitare il danno, cercando di bloccare le operazioni o di ottenere il consenso alla revoca delle stesse.
Per tali ragioni i primi due motivi di appello sono infondati.
2. Il terzo motivo di appello
Dalle superiori conclusioni consegue il rigetto del terzo motivo di doglianza espresso dall'appellante, afferente alla sussistenza del concorso di colpa tra il cliente e la banca. L'insussistenza di un contegno negligente e rimproverabile in capo a per le ragioni sopra esposte, e al pari la carenza di CP_1 diligenza rinvenuta nella condotta dell'istituto di credito, nei termini indicati, preclude la configurabilità di un concorso di colpa.
3. Le spese di lite
Le spese di lite seguono la soccombenza. Sono poste a carico dell'appellante e liquidate a favore dell'appellato, come da dispositivo, in applicazione dei parametri medi, tenuto conto del valore della causa, dell'assenza di attività istruttoria, della complessità della controversia e della quantità e qualità delle questioni da decidere (precisamente: euro 1.134,00 per la fase di studio, euro 921,00 per la fase introduttiva, euro 1.911,00 per la fase decisionale).
Per Questi Motivi
La Corte d'Appello di Milano, definitivamente pronunciando sull'appello proposto da Parte_1
avverso la sentenza n. 3126\2024 del Tribunale di Milano, ogni contraria istanza disattesa e/o
[...] assorbita, così provvede:
1) rigetta l'appello proposto da , per l'effetto, conferma la sentenza n.3126\2024 Parte_1 del Tribunale di Milano;
2) condanna al pagamento a favore di Parte_1 Controparte_1 delle spese di giudizio del presente grado, liquidate per compensi in complessivi € 3.966,00 oltre spese forfettarie nella misura del 15%, IVA e CPA a favore del procuratore antistatario costituito;
3) dà atto che sussistono a carico dell'appellante i presupposti di cui all'art. 13, co. 1 quater D.P.R.
115/02 per il versamento dell'ulteriore importo a titolo di contributo unificato pari a quello dovuto a norma del comma 1 bis art. 13 cit.
Milano, 22 ottobre 2025.
Il Consigliere est. Ernesta Occhiuto Il Presidente Giuseppe Ondei
pagina 11 di 12 pagina 12 di 12