N. R. G. 117/2023
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE DI APPELLO DI BOLOGNA
SEZIONE TERZA CIVILE
Riunita in Camera di Consiglio nelle persone dei seguenti Magistrati:
Dott. Andrea MA Presidente
Dott. Antonella Romano Consigliere
Dott. Luca Marchi Consigliere Ausiliario Relatore ha pronunciato la seguente
SENTENZA nella causa civile d'appello iscritta al n. 117 del ruolo generale dell'anno 2023 promossa da
(c.f. ) in persona del legale Parte_1 P.IVA_1
rappresentante pro tempore in carica, rappresentata e difesa dall'Avv. Lucio Ghia (c.f.
) con domicilio digitale eletto all'indirizzo p.e.c. C.F._1
, giusta procura in atti Email_1
APPELLANTE contro c.f. in persona del Controparte_1 P.IVA_2
legale rappresentante pro tempore in carica, rappresentata e difesa dall'Avv. Andrea Assogna
(c.f. ed elettivamente domiciliata presso il suo studio in Corso della C.F._2
Repubblica n. 65 a Forlì, giusta procura in atti
APPELLATA
IN PUNTO A: appello avverso la sentenza del Tribunale di Ravenna n. 596/2022 del 17.11.2022, pubblicata il 21.11.2022.
Le parti hanno precisato le rispettive conclusioni all'udienza del 17.9.2024:
Appellante Parte_1
“in riforma ed annullamento della sentenza n. 596/2022, pubblicata in data 21 novembre
pagina 1 di 12 2022, notificata in data 21 dicembre 2022, nel giudizio RG 672/2019, Giudice Dott. Vicini, rigettando ad ogni modo tutte le domande della e per l'effetto dichiarare che nulla CP_1
è dovuto dalla AN;
Cont
- Condannare la alla restituzione in favore di di tutte le somme eventualmente CP_1 versate a titolo di sorte capitale, interessi e spese legali, in esecuzione della n. 596/2022;
- Condannare la alla refusione dei compensi e delle spese legali per entrambi i CP_1 gradi di Giudizio;

- Nominare comunque un Consulente tecnico d'Ufficio.”
Appellata : Controparte_1
“rigettare l'impugnazione della con sede in Roma, Parte_2 avverso la sentenza del Tribunale di Ravenna n. 596/2022, pubblicata il 21/11/2022 –
Giudice dott. Massimo Vicini – perché infondata in fatto ed in diritto, con vittoria delle spese, delle competenze e dell'onorario del grado del giudizio, con opposizione al richiesto rinnovo della consulenza d'ufficio e nomina di nuovo consulente tecnico d'ufficio.”
SVOLGIMENTO DEL PROCESSO
1. La (da qui ), con Parte_3 CP_1
atto di citazione del 22.2.2019 conveniva in giudizio innanzi al Tribunale di Ravenna la da qui BNL o banca) esponendo: Parte_1
Contr
- di essere titolare di un conto corrente presso l'agenzia di Cervia sul quale era attivato il servizio di home banking “business way”;
- il 06.08.2018, in occasione di un prelievo al Bancomat, di aver appreso che sussisteva un impegno di pagare € 37.680,07 per bonifici, rispettivamente per € 29.700,04 a Pt_4 favore di AL CH e per € 7.980,03 a favore di Persona_1
- di aver immediatamente disconosciuto detti bonifici, dato che le persone beneficiarie non erano conosciute e con le quali non aveva avuto rapporti commerciali;

- di aver presentato l'8.8.2018 denuncia–querela alla Questura di Ravenna e
Contr contestualmente di aver denunciato il fatto alla filiale con richiesta di rimborso della somma di € 37.680,07 per carenza dei sistemi di sicurezza;
Contr
- di aver proposto istanza di mediazione al cui procedimento non aderiva la
Contr
- la era responsabile del danno derivato all'attrice a causa dell'inadeguatezza in termini di sicurezza dei servizi di pagamento tramite home banking.
Contr L'attrice concludeva chiedendo la condanna della al pagamento di € 37.680,07.
Contr 2. si costituiva in giudizio, deducendo:
Contr
- l'attrice aveva sottoscritto con la un contratto che prevedeva la possibilità per la cliente di effettuare operazioni attraverso il sistema dell'home banking;
pagina 2 di 12 - per l'esecuzione delle operazioni, il sistema prevedeva un'”autenticazione di forte” al fine di evitare truffe e tentativi di phishing on line che richiedeva
1) il Codice cliente;

2) il PIN/codice segreto;

3) il Codice TP (One Time Password) usa e getta che poteva essere utilizzato per una sola operazione, generato sul dispositivo mobile del cliente (c.d. token);
- la banca aveva altresì adeguato tutti i sistemi secondo quanto disposto dalla Direttiva
(UE) 2015/2366, (PSD2-Payment Services Directive 2);
- le misure di sicurezza erano “forti” grazie all'introduzione della password TP ed erano note all'attrice che non le aveva mai contestate;

- con l'introduzione della password usa e getta (TP) comunicata sul dispositivo del cliente (telefono cellulare o chiavetta token), la banca aveva attuato tutto quanto nel proprio potere a tutela dei clienti ed alla prevenzione delle frodi on-line;
- la banca aveva anche indicato ai propri clienti, attraverso il documento denominato
Contr
“istruzioni , tutte le precauzioni da adottare per evitare di essere vittime di frodi, truffe e phishing;
- la responsabilità dell'accaduto era ascrivibile esclusivamente a colpa o grave imprudenza della cliente che si era fatta sottrarre il codice cliente e PIN ed addirittura la password usa e getta ricevuta al momento della predisposizione dell'operazione;
- la responsabilità dell'attrice era aggravata dal fatto che le erano state sottratte ben due password TP, essendo stati effettuati due bonifici verso due soggetti diversi e la stessa attrice non aveva mai ricevuto e-mail fraudolente;
Contr
- aveva tentato immediatamente di bloccare i bonifici senza riuscirvi.
Contr concludeva chiedendo il rigetto della domanda attrice.
3. Espletata la CTU, all'esito della trattazione, il Tribunale con sentenza n. 596/2022 accoglieva la domanda attrice.
4. Avverso la predetta decisione ha proposto appello la Parte_1
[...]
5. Si è costituita in giudizio la Controparte_1
chiedendo il rigetto del gravame.
6. All'udienza del 17.9.2024, tenutasi in modalità cartolare ex art. 127 ter c.p.c., precisate le conclusioni, la causa è stata trattenuta in decisione con assegnazione di termini di legge per pagina 3 di 12 memorie conclusive e repliche.
MOTIVI DELLA DECISIONE
7. Preliminarmente va precisato che l'istanza di discussione orale del 13.9.2024 formulata dall'appellante non è stata riproposta ex art. 352 co. 2 c.p.c. (nel testo applicabile ratione temporis trattandosi di impugnazione proposta prima del 28.2.2023 ex art. 35 co. 4 D.lgs. n.
149/2022 come mod. da L. n. 197/2022) alla scadenza del termine per il deposito delle memorie di replica.
8. Passando al merito, con il primo motivo di gravame, l'appellante si duole della sentenza impugnata laddove il Tribunale ha ritenuto che la banca non abbia fornito né la prova della condotta colposa o dolosa della , né che le misure tecnologiche adottate erano CP_1
idonee ad escludere l'abusivo utilizzo da parte di terzi. In sostanza, l'appellante contesta le conclusioni - recepite dal Tribunale - cui è pervenuto il CTU in quanto la misura di sicurezza prevista “Strong Customer Authentication” (SCA), conosciuta anche come “autenticazione forte” o “autenticazione a due fattori”, ovvero sull'utilizzo di un token TP fisico unitamente alle credenziali del cliente, era conforme alla Direttiva Europea PSD2 e quindi sufficiente a garantire la sicurezza delle operazioni di home banking. Nella fattispecie, l'appellata era in possesso del token (di cui non ha mai denunciato lo smarrimento o sottrazione) e quindi i codici TP “usa e getta” erano rimasti in possesso della che imprudentemente CP_1 aveva inserito in pagine web “fake” o consegnato a terzi, senza che la banca avesse potuto impedirlo. La banca avrebbe quindi adottato tutte le precauzioni necessarie ad evitare le frodi on-line, prevedendo l'utilizzo del PIN e della chiave usa e getta TP, come sistema all'avanguardia rispetto ai sistemi in precedenza usati (codice utente, password e codice segreto). Inoltre le operazioni di pagamento erano state correttamente autenticate tramite SCA
a due fattori, come confermato dal CTU: le distinte erano state firmate digitalmente dalla cliente, era stato utilizzato il codice TP fisico, era stato inserito il PIN. La responsabilità ascrivibile alla sarebbe inoltre aggravata dal fatto che si tratta di due bonifici a CP_1
soggetti diversi e la cliente era stata informata delle precauzioni da adottare per evitare frodi.
L'appellante conclude la doglianza criticando l'operato del CTU in quanto l'ausiliario del giudice non è stato in grado di verificare se le misure adottate dalla banca erano idonee a ridurre al minimo il rischio delle frodi, in quanto questa non era stata in grado di fornire gli
Contr audit di verifica di conformità alla UE 2015/2366 della AN d'IT (e ciò in quanto la non era mai stata oggetto di ispezione), né l'estratto delle transazioni oggetto di contenzioso pagina 4 di 12 (che la banca aveva invece consegnato).
9. L'appello è fondato.
10. La giurisprudenza di legittimità colloca nell'ambito del rischio dell'imprenditore bancario, l'eventualità dell'esecuzione di un'operazione fraudolenta a mezzo del servizio di home banking, facendone discendere una responsabilità per la banca, qualificata come di tipo
“semioggettivo”, posto che l'evoluzione dei sistemi telematici, per l'esecuzione di operazioni bancarie, risponde ad un precipuo interesse della banca stessa (conf. da ultimo Cass. n.
16417/2022).
11. Ciò premesso, la Corte ritiene di dover ricostruire innanzitutto il quadro normativo di settore, tenuto conto del periodo in cui si sono verificati i fatti (agosto 2018). Al momento in cui sono stati effettuati i due bonifici contestati (6.8.2018), il settore dei servizi bancari di pagamento nel mercato interno era disciplinato dal D.lgs. n. 11/2010, modificato a seguito dell'entrata in vigore (il 13/01/2018) del D.lgs. n. 218/2017 di recepimento della Direttiva
2015/2366/UE (c.d. PSD2 - Payment Services Directive 2).
12. L'art. 10 del D.lgs n. 11/2010 - nel testo applicabile ratione temporis – stabilisce che “1.
Qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.


1-bis. Se l'operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze, l'operazione di pagamento è stata autenticata, correttamente registrata
e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato.

2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di
pagina 5 di 12 disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.”
13. La citata norma prevede che gli istituti di credito devono dimostrare il dolo o la colpa grave del cliente danneggiato per non aver adeguatamente custodito le credenziali di accesso al sistema di pagamento elettronico. In tal caso, la legge pone in capo all'istituto di credito l'obbligo di restituire le somme al correntista truffato (art. 11). La responsabilità dell'utilizzatore resta invece circoscritta ai casi di comportamento fraudolento, doloso o gravemente colposo inadempimento agli obblighi imposti dalla legge, e, in particolare, di tempestiva denuncia qualora lo strumento di pagamento sia stato rubato, smarrito, distrutto o laddove vi sia stata una operazione non autorizzata. Spetta invece all'istituto di credito dimostrare di avere adottato le misure idonee a garantire la sicurezza del servizio (cfr. Cass. n.
2950/2017).
14. In sintesi, la norma sancisce che nel caso di pagamento asseritamente non autorizzato o non eseguito correttamente, l'istituto di credito, per andare esente da responsabilità, è tenuto ad assolvere un triplice onere probatorio: a) di aver adottato le misure tecniche idonee a garantire la sicurezza delle transazione;
b) che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti;
c) che il cliente ha agito fraudolentemente, con dolo o con colpa grave.
Contr Sub a): l'adozione del sistema SCA da parte di
15. Quanto al primo profilo, l'art. 10 bis (Autenticazione e misure di sicurezza) del D.lgs n.
11/2010 stabilisce che “Conformemente all'articolo 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente quando
l'utente: a) accede al suo conto di pagamento on-line; b) dispone un'operazione di pagamento elettronico;
c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

2. Nel caso dell'avvio di un'operazione di pagamento elettronico di cui al paragrafo 1, lettera b), per le operazioni di pagamento elettronico a distanza, l'autenticazione forte del cliente applicata dai prestatori di servizi di pagamento comprende elementi che colleghino in maniera dinamica l'operazione a uno specifico importo e a un beneficiario specifico.”
16. In breve, l'autenticazione forte (SCA - Strong Customer Authentication), ai sensi della pagina 6 di 12 suddetta norma, consiste in “un'autenticazione basata sull'uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l'utente conosce), del possesso (qualcosa che solo l'utente possiede) e dell'inerenza (qualcosa che caratterizza
l'utente), che sono indipendenti, in quanto la violazione di uno non compromette l'affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione
(art. 1, co.1 lett. q-bis, D.lgs n. 11/2010).
17. Va però precisato che l'art. 5, co. 6 del D.lgs. n. 218/2017 ha previsto che “le misure di sicurezza di cui agli articoli 5-bis, commi 1, 2 e 3, 5-ter, 5-quater e 10-bis del decreto legislativo 27 gennaio 2010, n. 11, si applicano decorsi diciotto mesi dalla data di entrata in vigore delle norme tecniche di regolamentazione di cui all'articolo 98 della direttiva (UE) n.
2015/2366”. In particolare, la Commissione ha emanato il 27.11.2017 il Regolamento delegato (UE) n. 2018/389 che integra la Direttiva (UE) 2015/2366 per quanto riguarda le norme tecniche di regolamentazione per “l'autenticazione forte” del cliente. Detto regolamento, ai sensi dell'art. 38 par. 2, si applica dal 14.9.2019 e quindi gli obblighi riferiti alle predette misure di sicurezza, come modificate dal D.lgs. n. 218/2017, hanno efficacia a partire da tale data.
18. Sebbene la normativa di settore avesse rinviato al 2019 l'entrata in vigore del sistema di
“autenticazione forte”, e quindi tale obbligo ancora non fosse vigente all'epoca dei fatti di causa (6.8.2018), vi erano però già rimedi tecnici utilizzati dalla banche per arginare i rischi connessi all'utilizzo della home banking conformi al sistema di “autenticazione forte”; fra questi la One Time Password (TP) consistente nella doppia autenticazione e nella conferma dell'operazione con un PIN inviato tramite messaggio al titolare del conto ovvero quello del token TP, cioè un codice fornito sul telefono cellulare con un'apposita app o con un piccolo device dotato di un minischermo LCD generatore di codici, che permetteva di avere istantaneamente la password TP, costituita da un codice seriale identificativo preciso, a tempo (pochi secondi) che la banca riconosce in relazione al seriale ed alla temporizzazione ed al conto a cui è collegato.
Contr 19. Orbene il CTU ha verificato che la aveva già adottato il sistema di “autenticazione forte”, prima ancora che entrassero in vigore le norme tecniche della SCA: “La società attrice aveva sottoscritto con la ricorrente un contratto denominato BUSINESS WAY BNL (scheda servizio adesione del 15/12/2010). Tale servizio è costituito secondo le più recenti disposizioni da due livelli di sicurezza mediante una password denominata “statica” ed una password “dinamica” mediante token TP. Lo stesso CTU richiama la Direttiva PSD2 che pagina 7 di 12 “tra le tante indicazioni in termini di sicurezza e affidabilità delle transazioni informatiche, pone particolare attenzione alla SCA Strong Customer Authentication”, confermando che
“dai flussi digitali acquisiti dal CTU e trasmessi da parte del CTP per BNL, è possibile identificare come tra l'attore e l'istituto bancario vi fosse in atto un sistema di home banking con autenticazione SCA a due fattori”.
Contr 20. Pertanto, la aveva già adottato all'epoca un sistema di protezione contro le frodi conforme al SCA che era ritenuto “affidabile” ancor prima che entrassero in vigore le norme tecniche;
lo stesso CTU ha peraltro precisato che “le autorizzazioni a due fattori sono volte a garantire un più elevato grado di sicurezza delle transazioni operate mediante sistemi di home banking, in quanto le tecniche di attacco fraudolento alle credenziali di accesso risultavano già nel precedente decennio in fase di espansione esponenziale”. Sotto tale profilo non si comprende la richiesta del CTU di recepire gli audit verifica del sistema della Contr
considerato che è lo stesso ausiliario del giudice a ritenere affidabile il sistema SCA a due fattori di BNL, come peraltro ritenuto anche dalla normativa regolamentare europea.
21. Il sistema di BNL era quindi non solo coerente con la normativa che di lì a poco sarebbe entrata in vigore, ma era conforme “allo stato dell'arte” ed al sistema di “autenticazione forte”, non potendosi richiedere all'istituto l'adozione di ulteriori o diversi sistemi idonei a prevenire future azioni criminali non prevedibili o identificabili. Le tecniche fraudolente da parte di malintenzionati per indurre utenti privati a fornire, anche inconsapevolmente, informazioni utili per comprendere le credenziali di accesso a servizi informatici, sono molteplici (¹).
22. È ovvio che la tecnologia è in continua evoluzione così come la criminalità che si adopera per inventare metodi per bypassare i sistemi di sicurezza, ma nel momento storico in cui si
Contr sono verificati i fatti (agosto 2018), il sistema adottato da era da considerarsi sufficientemente sicuro ed adeguato.
23. D'altra parte, se da un lato l'art. 2 del Regolamento (UE) n. 2018/389 prevede che “i prestatori di servizi di pagamento dispongono di meccanismi di monitoraggio delle operazioni che consentono loro di rilevare le operazioni di pagamento non autorizzate o fraudolente ai fini dell'attuazione delle misure di sicurezza di cui all'articolo 1, lettere a) e
(¹) Le principali tecniche di frode sono: 1) phishing: con il quale si diffondono e-mail contenenti link a server esterni che apparentemente consentono di accedere al sito web dell'istituto bancario, ma che di fatto conducono a siti web contraffatti;
2) spoofing: chiamata telefonica effettuata dal falso operatore apparentemente riferibile a una utenza della banca;
3) smishing: SMS falsi;
4) Man in the middle o Man in the browser: i malintenzionati riescono ad intercettare ed entrare nella connessione tra l'utente e il server del servizio.
pagina 8 di 12 b)” ovvero dell'”autenticazione forte”, la norma è stata però interpretata dall'EBA (European
Banking Authority) nel senso che la banca non è tenuta ad effettuare un monitoraggio preventivo o in tempo reale (“Accordingly, for payments service providers to be able to benefit from the transaction risk analysis exemption under Article 18 of the RTS, they have to go beyond the general monitoring requirements required under Article 2 of these RTS and have mechanisms in place that enable “real time risk monitoring”, in other words a monitoring “before” the transaction is authorised. The general monitoring mechanism under
Article 2 of these RTS does not require enabling 'real time risk monitoring' and is usually carried out “after” the execution of the payment transaction.” - EBA Q&A n. 4090/2018 del
5.10.2018 - https://www.eba.europa.eu/single-rule-book-qa/qna/view/publicId/2018_4090).
Contr 24. Pertanto si può ragionevolmente ritenere che il sistema adottato all'epoca da fosse adeguato.
Sub b): la prova di autenticazione delle operazioni
25. Quanto all'autenticazione delle operazioni, va osservato che nel caso di specie non risulta essersi verificata alcuna anomalia nella disposizione delle operazioni di pagamento, le quali sono state eseguite direttamente dalla appellata ed autorizzate mediante un sistema SCA, con l'inserimento delle credenziali statiche, l'inserimento di una TP generata da un token fisico e di un ulteriore codice univocamente collegato all'operazione da autorizzare, come ha potuto accertare il CTU esaminando i log informatici in atti: “nella giornata del 06/08/2018 dall'ID
Utente 166107, assegnato alla persona di con c.f. e Parte_5 C.F._3
con abilitata l'autenticazione di PIN e TP, dal c/c [...] sono stati disposti due bonifici” ed ha precisato che “dai flussi bancari prodotti al CTU, le distinte risultano firmate digitalmente con certificato associato al cliente, in accordo con il contratto attivato tra le Parti con un sistema di autenticazione forte mediante l'utilizzo di un token TP fisico (come indicato anche nel file , già adottato all'epoca dei CodiceFiscale_4
fatti oggetto di causa. Le firme su file p7m sono state verificate con metodo basato su CRL
Certificate Revocation List, firme rilasciate dal Qualified Certification Service Provider
Actalis S.p.A.”. Dunque, risulta che ciascuna delle due operazioni è stata preceduta da un accesso all'home banking (alle 8.56 e alle 9.00) tramite i codici cliente e generazione di TP con dispositivo token che ha autenticato l'operazione e le distinte d pagamento risultano firmate digitalmente dall'appellata. Le operazioni di bonifico sono state autenticate, registrate correttamente e contabilizzate e non hanno subito le conseguenze del malfunzionamento delle procedure necessarie per la loro esecuzione.
pagina 9 di 12 Sub c): la condotta della CP_1
26. Posto che il sistema era da considerarsi all'epoca affidabile e che le operazioni sono state effettuate secondo detto sistema, resta da vagliare la sussistenza quanto meno della colpa
Contr grave in capo alla;
difatti sostiene che l'appellata avrebbe tenuto un CP_1
comportamento negligente o comunque gravemente imprudente, posto che non ha denunciato la sottrazione o perdita del token TP (rimasto sempre in suo possesso come risulta dalle denunce penali) e quindi non si giustifica come i malfattori siano entrati in possesso del codice temporaneo generato dal token.
27. Sul punto va rammentato che la colpa grave dell'utente può ritenersi provata anche attraverso il combinarsi di più elementi indiziari, sulla base delle risultanze agli atti del procedimento in relazione alle modalità con le quali l'operazione truffaldina è stata posta in essere. La prova della colpa grave a carico dell'istituto di credito ex art. 10 co. 2 del D. Lgs n.
11/2010, consiste nella prova dei fatti che, in connessione tra loro, possono ragionevolmente condurre a ritenere gravemente negligente la condotta del cliente. Questa prova può essere fornita anche per mezzo di presunzioni, purché queste siano gravi, precise e concordanti, ai sensi dell'art. 2729 c.c.
28. Nella fattispecie occorre rilevare che la non ha allegato alcuna circostanza CP_1
specifica tale da poter verificare se le operazioni contestate sono state compiute a seguito di un'attività riconducibile al vishing, smishing o altro. La ha contestato i bonifici CP_1
senza aver prodotto alcuna evidenza in relazione alle modalità di esecuzione della presunta attività fraudolenta che consenta di accertare se vi sia stata una falla nel sistema.
29. Difatti, nella denuncia alle forze dell'ordine, la ha precisato che il token TP è CP_1
rimasto sempre custodito dall'impiegata addetta ( e di non averlo utilizzato, Testimone_1
ma di non essere riuscita ad entrare nel sito home banking; difatti, nella denuncia del
8.8.2018, la denunciante ha precisato che “a partire dal giorno 3 agosto e fino al giorno 6 agosto i sistemi informatici di non consentivano alla di verificare on line il CP_2 CP_1 proprio conto corrente e di effettuare dallo stesso operazioni di remote banking”. Tale affermazione però contrasta con le risultanze del report di accesso all'home banking (all. D alla CTU) dal quale risulta che in realtà vi furono diversi accessi login-logout e furono effettuati altri bonifici dal 3 al 6 agosto). Anzi, nell'email del 7.8.2018 (non contestata) di segnalazione di phishing, si legge che la cliente aveva “riscontrato ieri dei rallentamenti in fase di accesso al sito BW” (doc. n. 5 dell'appellante).
pagina 10 di 12 30. In presenza di tali condizioni (sistema SCA, registrazione e autenticazione dell'operazione, token non smarrito o sottratto all'utente), un qualsiasi pagamento regolarmente effettuato ed in assenza di allegazione di ulteriori elementi fattuali (quali appunto l'aver ricevuto un SMS, una email o effettuato l'accesso a pagine fake), con il solo disconoscimento dell'operazione ad opera dell'utente si finirebbe per attribuire alla banca una responsabilità “totalmente oggettiva”, basata solo sulla dichiarazione dell'utente, rendendo incerta qualsiasi operazione che si sia svolta regolarmente secondo le procedure di sicurezza adottate.
31. In difetto quindi di contestualizzazione delle circostanze fattuali da parte della CP_1
circa la dinamica dei fatti, si deve ritenere che le operazioni siano state regolarmente effettuate e non si può ritenere sussistente una responsabilità in capo alla banca, la quale ha provato di aver adottato un sistema di autenticazione forte. La ha solo affermato di CP_1
non aver ricevuto messaggi e-mail (c.d. phishing), telefonici (c.d. vishing) o SMS (c.d. smishing), di essere stata sempre in possesso del token TP e di non aver riscontrato malfunzionamenti (tranne un certo rallentamento in fase di accesso al sito, circostanza però non necessariamente dipendente da un'azione fraudolenta altrui), ma non fornisce ulteriori elementi che consentano di ricostruire la dinamica dei fatti;

32. Né risulta agli atti che l'appellata avesse attivato l'ulteriore segnalazione via SMS delle operazioni ed allestito sistemi di protezione attraverso l'uso di software antivirus idoneo a bloccare eventuali malware sui computer dell'utente (tali malware possono introdursi anche attraverso e-mail o siti non riconducibili alla banca). E non può non darsi rilievo al fatto che la
Contr banca ha depositato le “istruzioni consegnate con il contratto con le quali vengono indicate le precauzioni da osservare (doc. 4).
33. D'altra parte, la banca non avrebbe potuto impedire la comunicazione a terzi del PIN e dell'TP temporaneo da parte della cliente. L'incauta rivelazione dei codici o l'inserimento in maschere fake integra una fattispecie di violazione da parte dell'utente dell'obbligo di diligente custodia delle credenziali di accesso all'home banking. Sulla base della documentazione agli atti, non emerge alcun elemento utile a caratterizzare la presunta frode all'origine delle operazioni disconosciute, essendovi invece elementi indiziari, che portano a ritenere che l'appellata abbia tenuto un comportamento gravemente colpevole, non potendosi altrimenti giustificare (ripetesi in assenza di altre allegazioni sulla dinamica dei fatti da parte della ) su come i terzi si siano eventualmente inseriti nell'operazione di home CP_1
banking.
pagina 11 di 12 34. In conclusione, l'appello va accolto con conseguente riforma dell'appellata sentenza.
35. In considerazione dell'esito del giudizio nel suo complesso e tenuto conto del principio secondo cui la riforma, anche parziale, della pronuncia di primo grado determina la caducazione "ex lege" anche della statuizione di condanna alle spese, l'appellata va condannata a rifondere all'appellante le spese del giudizio di primo grado che vanno liquidate come in sentenza del Tribunale e per il presente giudizio di appello, come in dispositivo, ai sensi del D.M. n. 55/2014 come modificato dal D.M. n. 147/2022, trattandosi di liquidazione successiva al 23.10.2022. Anche le spese di CTU vanno definitivamente poste a carico dell'appellata. Ne consegue altresì l'assorbimento del secondo motivo di gravame.


P.Q.M.


La Corte di Appello di Bologna, definitivamente pronunciando, ogni contraria istanza, deduzione ed eccezione disattesa o assorbita, così dispone:
- accoglie l'appello ed in riforma della sentenza del Tribunale di Ravenna n. 596/2022 pubblicata il 21.11.2022, rigetta la domanda proposta dalla
[...]
Parte_3
- condanna la rifondere a Parte_3 [...]
le spese di lite del giudizio di primo grado, che Parte_1 vengono liquidate in € 7.754,00 per compensi oltre spese forfettarie 15%, IVA e CPA come per legge, nonché le spese di lite del presente giudizio di appello, che vengono liquidate in € 804,00 per spese anticipate ed in € 6.500,00 per compensi oltre spese forfettarie 15%, IVA e CPA come per legge;

- pone a carico della le spese di Parte_3
CTU come già liquidate dal Tribunale di Ravenna.
Bologna, 15 luglio 2025.
Il Presidente
Dott. Andrea MA
Il Consigliere Ausiliario Relatore
Dott. Luca Marchi
pagina 12 di 12