R.G. n. 758/2024
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE D'APPELLO DI MILANO
SEZIONE PRIMA CIVILE nelle persone dei magistrati:
- Domenico Bonaretti Presidente relatore
- Alessandra Arceri Consigliere
- Lorenzo Orsenigo Consigliere ha pronunciato la seguente
SENTENZA
nella causa di cui al n. r.g. 758/2024, promossa con atto di citazione notificato in data

5.3.2024 e posta in deliberazione all'esito della discussione ex art. 350 bis c.p.c. svoltasi all'udienza del 9.4.2025
TRA
RT RI (C.F. ), rappresentata e difesa, come da C.F._1
procura in atti, dall'avv. Franco Balconi ed elettivamente domiciliata presso il di lui studio in Brugherio (MB), viale Lombardia n. 233
Appellante
E
Banco PM S.p.a. (C.F. ), rappresentata e difesa, come da procura in atti, P.IVA_1
dall'avv. Valerio Stanisci ed elettivamente domiciliata presso la pec del difensore
Email_1
Appellata
pagina 1 di 10 Oggetto: rapporti bancari
CONCLUSIONI
Per RT RI
NEL MERITO


1. Previa riforma della sentenza impugnata, accertata l'esclusiva responsabilità contrattuale e/o extracontrattuale di Banco BPM S.p.a in relazione ai fatti descritti in narrativa, condannarsi la stessa
a risarcire all'attrice appellante RT RI la complessiva somma di € 24.582,00.= oltre agli interessi come per legge dal dovuto al saldo, ovvero quant'altra somma maggiore o minore sarà ritenuta di giustizia.


2. In subordine, accertato e dichiarato [il grado] il grado di responsabilità contrattuale e/o extracontrattuale di Banco BPM S.p.a. in relazione ai fatti descritti in narrativa, condannarsi la stessa
a risarcire all'attrice appellante RT RI la relativa somma oltre agli interessi come per legge dal dovuto al saldo.


3. Con vittoria di compensi d'avvocato per entrambi i gradi di giudizio.


4. Con restituzione delle spese legali, spontaneamente corrisposte a BPM dopo la sentenza di primo grado.
Per Banco BPM S.p.a.
Rigettare l'appello in quanto infondato in fatto e in diritto.
Con vittoria di spese, competenze e onorari del presente giudizio.
FATTO E PROCESSO
Con atto di citazione notificato il 4.3.2021 RT RI conveniva in giudizio dinanzi al Tribunale di Milano Banco PM s.p.a., chiedendo che:
- fosse accertata la responsabilità esclusiva della Banca - a titolo contrattuale o extracontrattuale - per la frode informatica perpetrata da ignoti ai suoi danni mediante l'esecuzione e l'addebito, sui conti correnti a lei intestati, di quattro bonifici non autorizzati¹; ¹ Nel dettaglio: pagina 2 di 10 - per l'effetto, la convenuta fosse condannata al pagamento dell'importo complessivo di
€ 24.582,00 (ovvero della diversa somma ritenuta di giustizia) a titolo di risarcimento del danno patrimoniale, oltre interessi legali dal dovuto al saldo.
Si costituiva in giudizio PM (2.9.2021), contestando la fondatezza della domanda avversaria ed escludendo la possibilità di ravvisare una qualsiasi responsabilità della
Banca in relazione alla truffa perpetrata ai danni dell'attrice.
All'esito, il Tribunale, con sentenza n. 1154 resa e pubblicata il 31 gennaio 2024, ha rigettato la domanda della sig.ra RI, condannandola al pagamento delle spese di lite.
Il primo giudice, alla luce della documentazione in atti e dell'istruttoria orale esperita², ha ritenuto che la frode – per come perpetrata – fosse riconducibile esclusivamente alla condotta incauta e negligente tenuta dall'attrice.
In particolare, ha osservato che:
- non risultava provato che il truffatore fosse già in possesso delle credenziali di accesso all'home banking della sig.ra RI (username e password) nel momento in cui aveva preso contatti con la stessa;

• in data 3 agosto 2020, ore 16:02: bonifico in favore di NA IC, per un importo pari ad € 9.900,00, dal c/c 00002170;
• in data 4 agosto 2020, ore 14:41: bonifico in favore di Del Giudice Immacolata, per un importo pari ad € 4.990,00, dal c/c 00004977;
• in data 4 agosto 2020, ore 14:48: bonifico in favore di Del Giudice Immacolata, per un importo pari ad € 4.990,00, dal c/c 00002170;
• in data 4 agosto 2020, ore 15:52: bonifico in favore di NA IC per un importo pari ad € 9.300,00. dal c/c 00002170.
Nell'immediatezza dei fatti occorsi, la Banca convenuta riusciva a bloccare unicamente la cifra di € 4.598,00, che veniva, quindi, riaccreditata sul c/c 002170. ² Il Tribunale ha ammesso la testimonianza del sig. ND CA, figlio della sig.ra RI, il quale, nel corso dell'udienza del 15 dicembre 2022, ha dichiarato quanto segue:
- in data 3 agosto 2020, si trovava in auto con la madre nel momento in cui quest'ultima riceveva una telefonata, che veniva messa in vivavoce;

- sul display del telefono della sig.ra RI compariva la dicitura "Youalert", corrispondente a uno dei numeri di servizio del Banco PM;

- l'interlocutore, qualificatosi come dipendente della banca, segnalava la presenza di bonifici anomali sui conti correnti intestati alla madre e richiedeva la comunicazione del codice Otp per procedere al blocco delle operazioni.
pagina 3 di 10 - anche a ritenere provata tale circostanza (non potendosi escludere che, per effetto di una violazione del sistema informatico, le credenziali dell'attrice fossero state abusivamente carpite),
risultava comunque palese come la fase successiva fosse stata caratterizzata da una condotta ampiamente collaborativa dell'interessata, che aveva fornito i codici Otp ricevuti via sms per concludere le operazioni, senza previamente verificare mediante accesso on line al proprio conto corrente l'esistenza delle segnalate operazioni anomale.
Con atto di citazione notificato in data 5 marzo 2024, la sig.ra RI ha proposto appello, lamentando che il Tribunale avrebbe erroneamente escluso la responsabilità della Banca - anche solo concorrente - in relazione al pregiudizio subito dalla cliente.
La causa è stata iscritta sub r.g. 758/2024 e la prima udienza fissata per il giorno
13.11.2024.
Banco PM si è costituita anche nel presente grado di giudizio (22.10.2024), contestando la fondatezza del gravame avverso e chiedendone dunque il rigetto.
Alla prima udienza (13.11.2024) le parti, su invito dell'istruttore, hanno precisato le rispettive conclusioni e la causa è stata rinviata per la discussione davanti al Collegio, ex art. 350 bis c.p.c., all'udienza del giorno 9.4.2025 (con termine per il deposito di note conclusionali sino al 31.3.2025).
Fruiti i termini concessi, alla fissata udienza e all'esito della discussione, la Corte ha trattenuto la causa in decisione ai sensi dell'art. 281 sexies, ultimo comma, c.p.c.
MOTIVI DELLA DECISIONE
L'appello è infondato per le ragioni di seguito esposte.
La sig.ra RI, infatti, pur riconoscendo come incauta e superficiale la propria condotta, sostiene che sussisterebbe comunque un profilo di negligenza imputabile alla
Banca.
pagina 4 di 10 In particolare, la difesa della sig.ra RI afferma che l'Istituto di credito non avrebbe adottato misure idonee a garantire un adeguato livello di protezione dei sistemi di sicurezza preposti alla tutela dell'integrità delle operazioni della clientela, evidenziando che il truffatore disponeva delle credenziali di accesso al sistema di home banking ed era riuscito a contattare l'odierna appellante tramite un'utenza telefonica riconducibile alla
Banca.
Pertanto, il Tribunale avrebbe dovuto riconoscere - quantomeno - un concorso di colpa in capo a PM.
In primo luogo, la Corte osserva che è pacifico e risulta dal contratto “Service on the
Web”, sottoscritto dalla RI e relativo ai rapporti di conto corrente accesi presso
PM (doc. 3 primo grado PM, v. in particolare Sezione I, Accesso e Utilizzo sicuro del Servizio
Youweb), che la Banca si avvaleva di una procedura di autenticazione forte, necessaria per l'accesso all'home banking e per l'effettuazione di tutte le operazioni bancarie on line (ad eccezione di quelle ritenute a basso rischio, quali, ad esempio, i pagamenti verso beneficiari già censiti dal cliente o in cui il cliente risulta sia ordinante, sia beneficiario).
A tal fine, “La Banca fornisce al Cliente, con apposita documentazione rappresentata dal “Foglio Codici” allegato al presente contratto i codici e i dispositivi personalizzati di sicurezza iniziali, necessari per l'accesso e per l'utilizzo del Servizio. Essi consistono in:
- un codice identificativo assegnato dalla Banca e non modificabile;

- un PIN (Personale Identification Number) di primo accesso che dovrà successivamente essere personalizzato a cura del Cliente;

- un dispositivo di sicurezza (o Token) […].
Ricorrendo, infine, la necessità di verifiche preventive di sistema, predisposte ai fini antifrode, può essere richiesto al Cliente di dover confermare l'esecuzione di un'operazione in corso tramite inserimento di password numerica monouso (OTP) inviata dalla Banca via SMS al numero di telefono cellulare predefinito dichiarato dal
Cliente […]”. pagina 5 di 10 In sostanza, quindi, il cliente, al momento della sottoscrizione del contratto, ottiene le credenziali di accesso (username e password) e un dispositivo di sicurezza (Token), che permette la generazione di un codice monouso composto da una sequenza di numeri, che consentono l'accesso al sistema di home banking e l'utilizzo del servizio contrattualmente pattuito.
Per talune operazioni, come le disposizioni di bonifico oggetto di contestazione, è inoltre previsto che il cliente, dopo averne richiesto l'esecuzione, debba confermare l'operazione mediante l'inserimento di una password numerica monouso (c.d. OTP, One
Time Password), trasmessa dalla Banca tramite sms al numero di telefono cellulare associato all'utenza del cliente.
L'art. 5 di tale contratto pone, inoltre, in capo al cliente l'onere di custodire diligentemente i codici di accesso consegnati dalla Banca.
Ciò premesso, dalla documentazione versata in atti e dalle dichiarazioni rese in primo grado dal figlio della sig.ra RI, emerge che:
- la sig.ra RI aveva ricevuto una prima chiamata il 3 agosto 2020 da un numero che aveva salvato in rubrica come LE (corrispondente ad uno dei numeri di servizio del Banco PM) e l'interlocutore, qualificatosi come dipendente dell'Istituto di credito, informandola della presenza di presunti bonifici anomali sui suoi conti correnti, le avrebbe chiesto, al fine di bloccare tali operazioni, di comunicare il codice Otp ricevuto via sms dalla Banca (cfr. testimonianza ND
CA ud. 15.12.2022);
- la sig.ra RI aveva fornito all'interlocutore il codice Otp ricevuto dalla Banca
e contestualmente aveva ricevuto diversi sms da un numero salvato sulla sua rubrica come “Banco BPM” del seguente tenore “Gentile Cliente, la revoca del bonifico e (sic) stata confermata. Cordiali saluti. Banco BPM” (cfr. doc. 2 primo grado RI);
pagina 6 di 10 - come risulta dalla relazione dell'Ufficio Prevenzione Frodi di PM (cfr. doc. 4 PM primo grado), il cui contenuto non è stato oggetto di contestazione alcuna da parte dell'attrice nel corso del primo grado di giudizio:
a. i messaggi ricevuti dalla sig.ra RI contenenti il codice Otp erano del seguente tenore: “ATTENZIONE! 9.900,00 EUR in addebito sul conto. Per
CONFERMARE il bonifico IBAN [...], inserisci
OTP 001868, ALTRIMENTI chiama il 800024024”.
b. la sig.ra RI, subito dopo aver disposto il primo bonifico il 3 agosto (ore
14:59), aveva ricevuto un messaggio in cui le veniva comunicata l'avvenuta modifica del Pin per accedere all'home banking (ore 15:02);
c. la Banca ha posto in essere un programma continuativo di awarness verso la clientela, programma finalizzato a promuovere la consapevolezza dei rischi connessi all'utilizzo dei servizi bancari online e volto a fornire indicazioni concrete su come riconoscere le principali minacce informatiche e adottare comportamenti adeguati a prevenirle, raccomandando in modo esplicito di non divulgare a terzi credenziali riservate, quali codici di accesso, password e codici Otp;

- il giorno successivo, il 4 agosto 2020, la sig.ra RI veniva nuovamente contattata dal presunto dipendente di PM ed autorizzava altri tre bonifici con le medesime modalità, il tutto mentre riceveva – oltre ai messaggi contenenti gli Otp per completare le operazioni – un sms dalla Banca che la informava circa il fatto che i massimali per la disposizione dei bonifici erano stati innalzati (cfr. doc. 4 PM cit.);
- la sig.ra RI si è resa conto di essere stata vittima di un raggiro soltanto in data 5 agosto 2020, quando, dopo essere stata contattata da un vero dipendente del
Banco PM che le segnalava movimenti sospetti sui conti a lei intestati, si recava presso la filiale di SO (presso cui erano accesi i conti correnti), ottenendo conferma degli addebiti mai autorizzati;

pagina 7 di 10 - sempre in data 5 agosto 2020 la sig.ra RI ha sporto denuncia per truffa contro ignoti (cfr. doc. 4 primo grado RI).
Così ricostruiti i fatti oggetto di causa, la Corte ritiene che la responsabilità per i danni subiti debba essere integralmente attribuita alla sig.ra RI, a fronte della sua condotta gravemente negligente e incauta.
In primo luogo, va osservato che non vi è prova in atti del fatto che i truffatori fossero in possesso delle credenziali di accesso al conto corrente della RI per effetto di una violazione del sistema informatico utilizzato dalla Banca.
Infatti:
- in sede di denuncia, la sig.ra RI non ha specificato che l'interlocutore fosse a conoscenza delle sue credenziali di accesso (cfr. doc. 4 primo grado RI);
- il figlio della sig.ra RI ha unicamente confermato che l'interlocutore telefonico aveva dichiarato di essere a conoscenza dell'esistenza di una pluralità di rapporti di conto corrente intestati alla madre presso PM, senza tuttavia riferire di essere in possesso delle credenziali di accesso ai conti (cfr. verb. ud.
15.12.2022).
Pertanto, in assenza di qualsiasi prova che i truffatori fossero in possesso delle credenziali di accesso ai conti della sig.ra RI, non può ritenersi configurabile una responsabilità della Banca per aver loro consentito di acquisire tali dati riservati.
D'altronde, anche a ritenere che le credenziali di accesso all'home banking dell'odierna appellante siano state abusivamente carpite tramite violazione dei sistemi di sicurezza della Banca, si osserva che la sig.ra RI - amministratrice di condominio e dunque verosimilmente avvezza alla gestione ricorrente di operazioni bancarie di analoga natura
- avrebbe agevolmente potuto rendersi conto della natura fraudolenta dell'operazione, già al momento in cui è stata contattata dai truffatori ed evitare così il verificarsi dell'evento dannoso.
pagina 8 di 10 Il messaggio ricevuto dalla RI contenente il codice numerico Otp, infatti, riportava in modo chiaro ed esplicito che esso era finalizzato a “confermare” un bonifico in uscita, specificando l'importo e l'Iban del destinatario.
Inoltre, ut supra evidenziato, pochi minuti dopo il bonifico (ore 14:59), la sig.ra RI riceveva un sms che confermava la modifica del Pin di accesso al proprio home banking
(ore 15:02), ulteriore segnale di compromissione dell'account che avrebbe dovuto allertarla circa l'effettiva intrusione nel proprio profilo bancario.
I segnali d'allarme appena evidenziati avrebbero dovuto suscitare nella sig.ra RI quantomeno il sospetto di trovarsi vittima di una truffa, inducendola a tentare l'accesso al proprio home banking (rendendosi conto così che non era possibile accedere con il Pin utilizzato sino a quel momento) e a contattare la filiale presso cui erano appoggiati i conti correnti, anziché fare affidamento esclusivo sulle dichiarazioni dell'interlocutore telefonico o sugli sms di apparente conferma della revoca (contenenti, peraltro, un grave errore grammaticale, idoneo a destare ulteriori sospetti sull'affidabilità del presunto dipendente di PM).
Infine, la sig.ra RI ha del tutto trascurato le specifiche indicazioni offerte dalla
Banca mediante il programma di sensibilizzazione relativo alle truffe telefoniche sopra ricordato e ha scelto volontariamente di fornire i codici Otp richiesti ai truffatori, così dimostrando una grave trascuratezza e inosservanza delle più elementari regole di cautela.
E tale negligenza appare ancor più significativa se si considera che tra la prima operazione fraudolenta e le tre successive - sviluppatesi con le medesime modalità - trascorsero circa 24 ore, arco temporale nel quale la sig.ra RI avrebbe potuto compiere le necessarie verifiche e, quantomeno, evitare l'esecuzione degli ulteriori bonifici, limitando così il danno patrimoniale subito.
In definitiva, la condotta della cliente, connotata da colpa grave, risulta l'unica causa scatenante dell'evento dannoso, non essendo emersi nel presente giudizio profili di concorso colposo da parte dell'istituto di credito.
La Corte ritiene, pertanto, che l'appello non possa trovare accoglimento. pagina 9 di 10 Quanto, infine, alle spese del presente grado di giudizio, esse seguono la soccombenza e, tenuto conto della natura e del valore della controversia, dell'impegno difensivo in concreto richiesto e prestato dai difensori delle parti, nonché dei parametri e criteri tutti ex D.M. n. 55/2014 e ss.mm.ii, pare congruo liquidarle secondo i parametri minimi dello scaglione di riferimento (5.201-26.000), e dunque in complessivi € 1.984,00 (di cui euro
567,00 per la fase di studio, euro 461,00 per la fase introduttiva ed euro 956,00 per la fase decisionale;
nulla per la fase istruttoria, che non si è svolta), oltre spese forfetarie (15%) e oneri di legge, se e in quanto dovuti.


P.Q.M.


La Corte, disattesa o assorbita ogni contraria o ulteriore domanda, istanza ed eccezione, definitivamente pronunciando nel contraddittorio delle parti, così provvede:
1) respinge l'appello proposto da RT RI avverso la sentenza del Tribunale di Milano n. 1154 resa e pubblicata il 31 gennaio 2024, sentenza che dunque conferma;

2) condanna l'appellante alla rifusione, in favore di Banco PM S.p.a., delle ulteriori spese del grado, che liquida in euro 1.984,00 per compensi, oltre rimborso forfetario nella misura del 15%, Iva e cpa come per legge;

3) dà atto che sussistono, in capo a parte appellante, i presupposti di cui all'art. 13, comma 1 – quater, del D.P.R. n. 115/02 per il versamento dell'ulteriore importo a titolo di contributo unificato pari a quello dovuto a norma del comma 1 – bis art. 13 cit.
Milano, 9 aprile 2025
Il presidente est.
Domenico Bonaretti
pagina 10 di 10