REPUBBLICA ITALIANA
In nome del Popolo Italiano
LA CORTE DI APPELLO DI GENOVA
Sezione Prima Civile
riunita in camera di consiglio e così composta
Dott. Riccardo Baudinelli -Presidente
Dott. Stefano Tarantola -Consigliere
Dott.ssa Francesca Traverso -Consigliere relatore ha pronunciato la seguente
S E N T E N Z A
nella causa n.r.g. 268/2023 R.G. promossa da

C.F. ) Parte_1 P.IVA_1
elettivamente domiciliata presso lo studio del difensore PIERO RO sito in
VIALE PADRE SANTO 5/11, GENOVA (GE) rappresentata e difesa dagli Avv.ti
VITTORIO PISAPIA (C.F.: ) e PIERO RO (C.F.: C.F._1
) CodiceFiscale_2
appellante
1 nei confronti di

(CF: ) E (CF: CP_1 C.F._3 CP_2
) elettivamente domiciliati presso lo studio dei difensori C.F._4
VITTORIO MANDUCA e EVA ROCCA sito in VIALE MARTITI DELLA
LIBERTA' 7/20, ALBENGA, SAVONA (SV) -rappresentati e difesi dagli Avv.ti
VITTORIO MANDUCA (CF: ) e (CF: C.F._5 CP_3
) C.F._6
appellati
CONCLUSIONI
Per l'appellante : “Piaccia alla Corte Ecc.ma, respinta ogni Parte_1
contraria istanza, domanda, eccezione e/o deduzione, nonché quanto dedotto e/o eccepito dall'appellata nella sua comparsa in appello, in integrale riforma dell'ordinanza rep. n. 113/2023 in data 7 febbraio 2023 del Tribunale di Savona
(sezione II civile – Dottor Giovanni Maria Sacchi – NRG 3006/2021), pubblicata in data 7 febbraio 2023, comunicata in data 7 febbraio 2023, in accoglimento dell'atto di appello e dei relativi motivi e conclusioni I. - in via principale, accertata e dichiarata la legittimità delle condotte di respingere, per quanto occorrer Controparte_4
possa anche ai sensi dell'art. 1227 comma II cod. civ., tutte le avversarie domande;

II. - in via di subordine, nella denegata e non creduta ipotesi in cui dovesse essere accertato e dichiarato l'inadempimento contrattuale di alle Controparte_4
obbligazioni assunte, accertare e dichiarare altresì che il fatto colposo dei ricorrenti ha concorso a cagionare il danno e rendere quindi ogni conseguente e correlata statuizione;
III. - condannare gli appellati alla restituzione, in tutto o in parte, della somma di euro 34.536,17 versata dalla NC in esecuzione dell'Ordinanza qui impugnata, oltre interessi nella misura legale dalla data del pagamento, e comunque
2 dal dovuto (e nella misura dovuta), al saldo. Con vittoria di spese ed onorari di entrambi i gradi di giudizio, oltre rimborso forfettario spese, IVA e CPA.”;
Per gli appellati e : “Piaccia alla Ecc.ma Corte CP_1 CP_2
di Appello di Genova, contrariis reiectis, preso atto della declaratoria ex art. 9 comma
5 L. 488/99 e ss. modificazioni voglia: - in via principale, rigettare l'atto di appello del
08/03/2023 nonché tutte le domande formulate perché infondate e/o comunque non provate per le causali di in premessa;
- in ogni caso, porre le spese legali di primo e secondo grado a carico di parte appellante e con sentenza esecutiva”;
SVOLGIMENTO DEL PROCESSO
Come da sentenza impugnata “Con ricorso introduttivo ex art. 702bis i ricorrenti ed adivano questo Tribunale per sentir condannare la CP_1 CP_2 [...]
al risarcimento dei danni quantificati in € 23.561,00, previo Parte_1
accertamento dell'inadempimento degli obblighi su di essa incombenti.
In particolare, gli istanti deducevano che in data 30.06.2020 ignoti avevano effettuato un accesso abusivo al servizio remote banking offerto dalla , riuscendo Parte_1
a disporre due bonifici bancari dal loro conto corrente verso un conto estero, il primo di € 11.775,00 eseguito alle ore 22:07 circa, ed il secondo di € 11.786,00 eseguito alle ore 22:10 circa;
i ricorrenti asserivano di essersi recati la mattina dell'1.07.2020, alle ore 9:00, presso la loro filiale di Alassio, per segnalare l'accaduto e chiedere la revoca delle disposizioni di bonifico “on line”, nonché di essersi recati di lì a poco presso il più vicino Comando dei Carabinieri per sporgere querela contro ignoti.
Con ricorso introduttivo ex art. 702bis i ricorrenti ed CP_1 CP_2
adivano questo Tribunale per sentir condannare la al Parte_1
risarcimento dei danni quantificati in € 23.561,00, previo accertamento dell'inadempimento degli obblighi su di essa incombenti.
3 In particolare, gli istanti deducevano che in data 30.06.2020 ignoti avevano effettuato un accesso abusivo al servizio remote banking offerto dalla , riuscendo Parte_1
a disporre due bonifici bancari dal loro conto corrente verso un conto estero, il primo di € 11.775,00 eseguito alle ore 22:07 circa, ed il secondo di € 11.786,00 eseguito alle ore 22:10 circa;
i ricorrenti asserivano di essersi recati la mattina dell'1.07.2020, alle ore 9:00, presso la loro filiale di Alassio, per segnalare l'accaduto e chiedere la revoca delle disposizioni di bonifico “on line”, nonché di essersi recati di lì a poco presso il più vicino Comando dei Carabinieri per sporgere querela contro ignoti. Gli istanti deducevano che lo stesso servizio di assistenza reclami della resistente avesse riconosciuto l'accaduto, mediante una mail del 12.11.2020 del seguente tenore:
“abbiamo svolto tutti gli accertamenti necessari, da cui è emerso che i bonifici disconosciuti sono stati disposti tramite le credenziali associate alla sua utenza, carpite da terzi in modo illegittimo,” senza contestare la versione loro fornita (doc. 5 di parte ricorrente). I ricorrenti, pertanto, asserivano di esser stati molto probabilmente vittime di una frode informatica e, invocando gli artt. 2050 e 1176, co.2, c.c., addebitavano alla odierna resistente di non essersi adoperata a sufficienza per evitare il danno, avendo ella omesso di effettuare un controllo preventivo sul traffico anomalo e avendo omesso di effettuare, nell'immediatezza della segnalazione, le opportune verifiche.
Si costituiva la la quale evidenziava la carenza della domanda Controparte_4
sotto il profilo della allegazione dei fatti. A tal riguardo, la resistente invocava una serie di pronunce dell'ABI in cui veniva accertata una “presunzione di colpa” a carico del correntista in virtù della genericità dei fatti descritti. Per questo stesso motivo, la resistente riconduceva la vicenda non ad un probabile “malware” annidato nel telefonino – come descritto dai ricorrenti – bensì ad una presumibile ipotesi di
“phishing”, ritenendo che, a fronte di vari messaggi di avvertimento in tema di frodi online esistenti sul servizio di remote banking, verosimilmente erano stati gli stessi resistenti a provocarsi il danno cedendo incautamente le credenziali di accesso al servizio a sconosciuti adescatori.
4 In ogni caso, la resistente asseriva di aver posto in essere tutte le misure necessarie normalmente praticate per evitare questo tipo di fenomeno, avendo essa predisposto un sistema di sicurezza costituito da tre diversi momenti di autenticazione: il primo in sede di accesso al servizio, mediante la richiesta delle credenziali e di una password conosciuta solo dal cliente;
un secondo step generato dal sistema OTP inoltrato al telefonino del cliente (c.d. codice “O-Key) per autorizzare l'operazione; infine,
l'inserimento di un secondo codice dinamico (OTS) anch'esso inoltrato via SMS sul telefonino, che viene generato per le operazioni considerate “sospette”. Tali accorgimenti rientrano, secondo la resistente, nel concetto di “sistema di autenticazione forte” conforme alle indicazioni della normativa vigente (in particolare, il D.lgs.
11/2010, come modificato dal D.lgs. 218/2017). La in ogni caso, CP_5
sosteneva di aver tentato successivamente una procedura di “recall” rivelatasi purtroppo inefficace, e che nessun altro accorgimento avrebbe potuto attuare per evitare il danno.
Lo scrivente, ritenendo la causa non caratterizzata da una istruttoria complessa, non mutava il rito. A seguito dell'espletamento di una CTU, dopo aver disposto uno scambio di memorie conclusive, lo scrivente si riservava per la presente decisione”.
Con ordinanza n. 113/2023 del 07/02/2023, il Tribunale di Savona, in composizione monocratica, così decideva:
“- ACCERTA e dichiara l'inadempimento di Controparte_6
- CONDANNA per l'effetto la al Controparte_6
risarcimento del danno subito dai ricorrenti, quantificato in € 23.561,00. Sull''importo così riconosciuto decorrono interessi compensativi ad un tasso medio del 1% annuo da calcolarsi a far data dal 1.07.2020 fino alla pronunzia della presente sentenza, sulla somma dapprima originariamente devalutata alla medesima data e poi incrementata, anno per anno nominalmente, fino all'importo liquidato in base ai coefficienti ISTAT;

5 - CONDANNA la resistente alla refusione delle spese di lite in favore dei ricorrenti, che qui si liquidano in € 6.600,10 per compensi professionali, € 145,50 per spese vive ed € 585,60 di spese di CTP, oltre IVA e CPA se dovute, come per legge, e rimborso forfettario del 15% sull'importo relativo ai soli onorari.
- PONE le spese di CTU definitivamente a carico della resistente”.
Avverso tale decisione, proponeva appello dinanzi a questa Corte
[...]
con atto notificato in data 09.03.2023. Parte_1
Con comparsa si costituivano e , i quali CP_1 CP_2
instavano per il rigetto dell'appello.
Con ordinanza in data 17.07.2023 il Consigliere Istruttore rinviava all'udienza del
22.01.2025 per rimessione della causa in decisione assegnano alle parti i termini perentori di cui all'art. 352 comma 1 nn. 1, 2 e 3 c.p.c.; all'esito della quale udienza, visto l'art. 352 comma 2 c.p.c., il Consigliere Istruttore riservava la decisione al collegio.
MOTIVI DELLA DECISIONE
AD AVVISO DELLA CORTE, L'APPELLO È INFONDATO E DEVE ESSERE
RIGETTATO
PRIMO MOTIVO: erroneità dell'Ordinanza per non aver respinto la domanda in quanto generica e quindi inammissibile. Violazione del principio di chiarezza.
Secondo l'appellante il Tribunale avrebbe errato nel ritenere la domanda ammissibile e sufficientemente circostanziata “Nella specie la narrazione avversaria era tutt'altro che chiara e specifica. Infatti i ricorrenti si erano limitati ad allegare, in modo generico, che “ignoti” sarebbero acceduti “abusivamente al sistema informatico provvedendo ad effettuare due distinti bonifici bancari verso l'estero” (cfr. ricorso, pagg. 1-2); ciò senza chiarire, tra l'altro, non solo come sarebbe avvenuta la frode, ma neanche quale sarebbe stato il “sistema informatico” violato, ossia se proprio o della NC (salvo poi, con non poca contraddizione, affermare (senza provarlo) che l'asserito “attacco 6 informatico” sarebbe stato “perpetrato molto probabilmente con l'ausilio di qualche malware annidato nel proprio computer o telefonino”(cfr. ricorso, pag. 3)”. (atto d'appello, pagg. 10 e 11).
LA CORTE OSSERVA.
Il Motivo è infondato, come emerge dalla stessa prospettazione dell'appellante,
In primo luogo, quanto all'argomentazione secondo al quale il cliente sarebbe tenuto a specificare quale sia il sistema informatico violato, è evidente che l'accesso per via informatica ai conti accesi presso la banca può avvenire solo attraverso il sistema informatico predisposto e controllato dalla banca, a meno di ipotizzare e ammettere che esistano altri sistemi, al di fuori della sfera di controllo della banca, attraverso i quali si può accedere a detti conti: il che concreterebbe di per sé un evidente inadempimento della banca alle obbligazioni assunte di garantire la sicurezza dei conti, così come saranno meglio specificate nell'ambito dell'esame dei motivi di appello da
2 a 6.
Inoltre, se i ricorrenti hanno allegato “che “ignoti” sarebbero acceduti “abusivamente al sistema informatico provvedendo ad effettuare due distinti bonifici bancari verso l'estero”, non è possibile certo pretendere che siano i clienti a specificare in qual modo si sia verificata l'intrusione nel sistema informatico.
Se infatti la banca, in base alla ricostruzione effettuata nell'ambito dell'esame dei motivi di appello da 2) a 6), è obbligata a garantire la sicurezza del sistema, è chiaro che al cliente è sufficiente allegare l'inadempimento della banca a tale obbligazione
(violazione della sicurezza, con conseguente esecuzione di operazioni sul proprio conto ad opera di ignoti), mentre è la banca a dover provare di avere adempiuto all'obbligazione assunta, secondo i normali principi in materia di allegazione e prova dell'inadempimento alle obbligazioni contrattuali (Cass. Sez. U., 30/10/2001, n.
13533, Rv. 549956 – 01).
7 Ciò comporta che, nel caso specifico, è solo la a poter individuare – proprio allo CP_5
scopo di provare l'adempimento dell'obbligazione assunta – il modo in cui è concretamente avvenuta l'intrusione nel proprio sistema, mentre non può pretendere di ribaltare sul cliente l'onere di verificare come sia avvenuta in concreto la violazione di un sistema di sicurezza del quale non ha il controllo.
Solo la banca ha, del resto, la possibilità di compiere una siffatta verifica e appunto per questo – proprio in quanto il sistema di sicurezza appartiene alla sfera di controllo della banca e quindi in base al principio della vicinanza della prova affermato dalla
Giurisprudenza citata – l'onere probatorio incombe sul debitore inadempiente.
Se si imponesse al cliente di compiere la verifica in questione, che nella maggioranza dei casi non è in condizione di poter compiere, e quindi si pretendesse che il cliente, al fine di una adeguata allegazione, dovesse specificare, non solo le circostanze di tempo e di luogo in cui si è verificata l'intrusione degli ignoti sul suo conto e l'operazione dagli stessi fraudolentemente realizzata, ma anche di indicare con quali modalità concrete è stata attuata dagli ignoti la detta intrusione, vale a dire le modalità di violazione del sistema di sicurezza della banca, ciò significherebbe nella maggioranza dei casi precludere al cliente l'esercizio dell'azione e quindi vanificare la regola di distribuzione dell'onere probatorio affermata dalla Giurisprudenza.
Infatti, proprio la banca, nell'ambito del secondo motivo, sostiene che solo a fronte di una allegazione sufficientemente specifica, comprensiva delle modalità concrete in cui si sarebbe verifica la violazione del sistema di sicurezza, insorgerebbe l'onere probatorio a proprio carico.
Laddove la banca – a fronte dell'allegazione del cliente circa i modi e tempi della operazione contestata – ha tutte le possibilità di compiere le necessarie verifiche e quindi non viene in alcun modo pregiudicata nel suo diritto di difesa.
8 SECONDO MOTIVO: erroneità dell'ordinanza per aver comunque ritenuto responsabile la illogicità delle premesse della motivazione. Violazione e/o CP_5
falsa applicazione degli artt. 1218 e 2697 c.c. e d.lgs. n. 11/2010.
Secondo l'appellante la decisione del Tribunale sarebbe errata avendo confuso “(a) il piano dell'allegazione della domanda, con quelli (b) della prova della colpa grave del cliente e (c) della prova della adeguatezza del sistema della NC.
Senonché – fermo quanto dedotto nel I motivo – si tratta di profili distinti, dato che:
a) (solo) a fronte di una specifica allegazione da parte del cliente, la ha l'onere CP_5
di provare l'adeguatezza del proprio sistema;
prova che nella specie, come confermato dalla CTU, era stata fornita in modo documentale.
b) una volta assolto all'onere sub b), la deve dimostrare anche la colpa grave o CP_5
il dolo del cliente, prova che, in conformità ai principi generali, può essere fornita, come è stata fornita, anche con presunzioni.
In questa prospettiva, quindi, l'Ordinanza: (i) è incongrua (e pertanto erronea) dove confonde il profilo sub a) con quello sub b); (ii) viola gli artt. 1218 e 2697 c.c. e 10 ss.
D.Lgs. n. 11/2010 per aver ritenuto sussistente (e per di più non assolto) l'onere della prova a carico della NC pur a fronte di un'allegazione generica”.
L'appellante lamenta che erroneamente il giudice avrebbe ritenuto che “vi sarebbe una presunzione di colpa a carico del prestatore di servizi;
infatti: a) per un verso, si tratta, non di una presunzione di colpa, ma di un onere probatorio (in merito all'adeguatezza del sistema), che peraltro sorge, appunto, se vi sia specifica allegazione da parte del cliente;
b) per altro verso, nella specie, come si è detto, la ha comunque assolto CP_5
a tale onere.
Ed invero: a) anzitutto nel “doc. 5” avversario (qui riprodotto sub ns. doc. n. 13), la non ha affatto aderito alla (generica) “versione” del correntista: al contrario, essa CP_5
ha evidenziato che le operazioni erano state disposte “tramite le credenziali associate alla sua utenza”; che la abbia ipotizzato che “terzi” possano averle “carpite” “in CP_5
9 modo illegittimo” non esclude la colpa grave del cliente;
b) inoltre “la tesi del phishing”
è, invece, rilevante: infatti: (i) anzitutto, in tema di onere probatorio, affinché tale onere sorga, occorre, come si è visto, che vi sia una specifica allegazione (il che nella specie non è); (ii) fermo quanto sopra, la ha comunque provato la colpa grave, dato che CP_5
sia il contratto che le campagne della (cfr. ns. doc. B/3) hanno avvertito dei rischi CP_5
del phishing anche i ricorrenti;
(iii) proprio per questo, aver abboccato a una e-mail di phishing, come si deve ritenere essere avvenuto nella specie, è comunque una condotta talmente incauta da non poter essere fronteggiata in anticipo, non ricadendo nella sfera di controllo della NC (che può solo avvisare i clienti, come ha fatto, dei rischi del phishing, ma non può materialmente impedire che i clienti abbocchino a una tale frode e quindi comunichino le credenziali ai frodatori)” ( atto d'appello, pagg. da 13 a 15).
TERZO MOTIVO: erroneità dell'ordinanza e violazione di legge nella parte in cui ha ritenuto la responsabilità della CP_5
Per parte appellante la sentenza sarebbe erronea laddove ha fatto derivare la responsabilità della banca non solo dalla ritenuta mancanza di adeguatezza del sistema ma altresì dal “tema del limite giornaliero ed orario entro il quale è possibile revocare il bonifico e c) quello del recall” (appello pag. 22).
Secondo l'appellante “l'adeguatezza del sistema della NC era stata provata in modo documentale e confermata anche dalla CTU: infatti, da un lato, come si è visto, tale sistema è conforme alla normativa e, pertanto, adeguato a tutelare i clienti dal rischio di frodi informatiche;
dall'altro lato, anche la CTU ha dato atto che tale sistema di autenticazione è forte e conforme ai più elevati livelli di sicurezza (cfr. CTU, pag. 4: ns. docc. n. 7-8).
Senonché il Tribunale, per un verso, non ha considerato adeguatamente la documentazione probatoria prodotta dalla e, per altro verso, si è ingiustificata- CP_5
mente discostato anche dalle risultanze della CTU”.
10 Avrebbe pertanto errato a ritenere che “il sistema di sicurezza, essendo il presidio costituito dall'OTP su un dispositivo che in ipotesi potrebbe essere già compromesso, non sarebbe sufficientemente sicuro”.
In realtà secondo la prospettazione dell'appellante il sistema di sicurezza della banca sarebbe adeguato e rispetterebbe i dettami dell'art. 1, lettera q) bis, del D.lgs. n.11/2010 come accertato dalla CTU. il giudice si sarebbe discostato dalla CTU peraltro indicando una nozione di autenticazione forte diversa da quella prevista dalla legge.
Il CTU “ha accertato che: a) “per autenticarsi al servizio, il cliente deve effettuare una tantum il c.d. 'enrollment' dell'app su device mobile, operazione che abilita l'app a generare, su quello specifico device, le credenziali usa e getta necessarie per operare”; in altre parole, le credenziali non vengono inviate via sms, ma attraverso l'APP; b) in particolare, il “sig. poteva operare solo attraverso questa modalità, non avendo CP_1
chiesto “che la credenziale OTP sia sempre inviata via sms”; c) l'SMS viene inviato, non per generare le credenziali, ma “se l'operazione viene valutata sospetta di frode dal sistema antifrode (che la analizza in tempo reale)”; in tal caso: “viene inviato al numero mobile del cliente un sms contenente una descrizione dell'operazione e una credenziale usa e getta (detta OTS) necessaria, in aggiunta alla consueta OTP generata via app, per autorizzare l'operazione. Il cliente deve trascrivere il valore dell'OTS nell'apposito campo visualizzato dall'app (o dal browser)” (cfr. CTU, pagg. 4 e ss.).
Inoltre, al contrario di quanto sembra ritenere l'Ordinanza, l'utilizzo di dispositivi multifunzione, quali smartphone e tablet, come elemento per l'autenticazione forte del cliente è espressamente consentito dai Regulatory Technical Standards emanati dalla
European Banking Authority”.
Contrariamente a quanto ritenuto dal giudice per l'appellante le procedure utilizzate denotavano il rispetto della normativa e la sussistenza del “collegamento dinamico dell'operazione ad uno specifico importo e a un beneficiario” (…) il riferimento al collegamento dinamico deriva sempre dalla normativa europea PSD2, di cui i già citati
Regulatory Standards riportano i requisiti. Nella specie, e al di là del fatto CP_7
11 che il “collegamento dinamico” deriva già dal codice generato dall'APP, il codice di autenticazione OTS ricevuto tramite SMS rispecchia i requisiti: infatti, il testo dell'SMS (OTS) riporta l'indicazione del destinatario del bonifico e dell'importo; il codice è specifico per una singola transazione, un singolo destinatario e un singolo importo;
una variazione di importo o destinatario comportano un'invalidazione del codice ricevuto via SMS (cfr. ns. docc. nn. 2 e 4 fasc. I grado: ns. docc. B/2 e B/4 e
CTU).
Dunque, come risulta dai log e dalla chiamata al servizio evaluateRisk, il sistema antifrode ha compiutamente ed efficacemente classificato le transazioni, con un livello di rischio medio;
in ragione di tale livello di rischio, il sistema ha inviato una notifica e una richiesta di un codice di autenticazione aggiuntivo (OTS) sul numero di cellulare certificato e comunicato dai clienti alla NC;
il che conferma il corretto funzionamento del sistema antifrode”. (atto d'appello pagg. da 22 a 29).
QUARTO MOTIVO D'APPELLO: erroneità dell'ordinanza nella parte in cui ha ritenuto che la avrebbe dovuto provare “condotte più prudente e CP_5
attendiste”.
Secondo parte appellante avrebbe errato il giudice a ritenere responsabile la banca per la mancata adozione di ulteriori sistemi di sicurezza in quanto “non esiste alcuna disposizione né principio di diritto che imponga alla un monitoraggio delle CP_5
operazioni che siano riferibili al cliente (né l'Ordinanza ha motivato in alcun modo al riguardo), dato che ciò che la deve verificare è solo che le operazioni siano state CP_5
regolarmente autorizzate e ciò ai sensi del D.Lgs. n. 10/211 e, in particolare degli artt.
10, 10-bis, 11 e 12 - disposizioni che il Tribunale ha quindi violato e/o falsamente applicato” atto d'appello, da pag. 30 ed s.).
QUINTO MOTIVO: erroneità dell'ordinanza per aver ritenuto che la non CP_5
avrebbe posto in essere “tutti gli accorgimenti necessari” anche “con riferimento alla fase di autorizzazione dell'ordine di bonifico”.
12 L'appellante si duole della decisione laddove il giudice di prime cure ha ritenuto che la data di esecuzione del bonifico fosse quella del 1 luglio 2020 e non quella del 30 giugno: “Per le disposizioni di pagamento sono previsti degli orari limite (cut‐off) oltre i quali l'ordine si considera ricevuto il giorno lavorativo successivo”. Per il “Bonifico
Europeo Unico” il “limite orario (cut-off)” è il seguente: “ore 17,30 dei giorni lavorativi (escluse le festività internazionali). “Revoca: L'ordine o la prenotazione di un bonifico vengono elaborati ed inviati alla banca beneficiaria alle ore 17:30 del giorno di esecuzione;
entro tale data e orario è possibile precedere con la revoca della disposizione” (cfr. ns. doc. n. 15).
Dunque, la Guida ai Servizi distingue, per il Bonifico Europeo, il momento dell'inserimento dell'ordine e la data di esecuzione (ossia la data in cui, successivamente all'orario di cut-off, i sistemi della NC prenderanno in carico ed eseguiranno l'ordine di bonifico). In particolare: a) al momento dell'inserimento di un ordine di bonifico, il correntista può selezionare una data di esecuzione successiva al giorno corrente (ad esempio, l'ultimo giorno del mese), ossia può “prenotare” un bonifico. In tal caso, l'ordine verrà preso in carico dalla ed elaborato, dopo CP_5
l'orario di cut-off, nella data specificata dall'utente; b) la data di esecuzione a cui fa riferimento la definizione di cut-off è la data specificata dall'utente al momento della disposizione, che, in mancanza di prenotazione, è la data in cui il bonifico viene inserito dal cliente attraverso l'home banking (cfr. anche CTU, pag. 7); c) proprio per consentire la revoca fino all'orario di “cut-off”, l'inizio dell'elaborazione della transazione da parte dei sistemi informatici della NC avviene dopo la scadenza dell'orario di “cut-off” del giorno di esecuzione.
Nella specie le tracciature evidenziano che i due ordini di bonifico sono stati impartiti il 30 giugno 2020, alle ore 16:06 e 16:07. Alle 17,30 del giorno 30 giugno 2020, dunque, in assenza di revoca da parte del cliente, come contrattualmente consentito,
l'ordine è diventato irrevocabile”. (atto d'appello pagg. 33 e s.).
13 Inoltre, per l'appellante la banca ha effettuato i dovuti tentativi di recall del bonifico, pur non essendo provato che il cliente lo abbia richiesto.
SESTO MOTIVO: erroneità dell'ordinanza nella parte in cui non ha accertato la colpa grave dei ricorrenti.
Secondo l'appellante il Tribunale avrebbe errato nell'escludere la colpa grave dei clienti in quanto “l'ABF e la giurisprudenza hanno espresso, ormai da tempo, un orientamento che non è certo limitato ai casi richiamati dal Tribunale (“indebite sottrazioni e clonazioni di carte di credito con le quali erano stati effettuati prelievi presso diversi sportelli”).
Infatti: a) “l'adozione da parte dell'intermediario di un sistema di autenticazione forte” assicura “al Cliente il massimo grado di protezione e (…) consente altresì, salvo il ricorrere di una aggressione informatica attraverso mezzi particolarmente sofisticati, di considerare improbabili accessi non autorizzati da parte di terzi” (cfr. ABF Collegio di
Coordinamento, decisione n. 3498/2012); b) in presenza di un sistema di autenticazione forte, “si deve ritenere che le operazioni fraudolente sono state rese possibili per avere fornito a terzi estranei i propri codici identificativi” (ABF - Collegio di Milano – decisione n. 26419 del 17 dicembre 2019); c) in caso di sistema di autenticazione forte,
a due fattori, nonché di prova della corretta autenticazione, registrazione e contabilizzazione dell'operazione di pagamento, la mancata allegazione da parte del cliente delle precise modalità e circostanze di fatto della frode che afferma di aver patito rappresentano un elemento da cui desumere la colpa grave del cliente medesimo”
(appello pagg. 38 ed s.).
Secondo la prospettazione dell'appellante vi sarebbe nel caso di specie non solo un difetto di allegazione dei ricorrenti, non avendo gli stessi riferito alcuna circostanza idonea a riscostruire le modalità di svolgimento della asserita truffa, ma sarebbe stato ammesso dagli stessi che l'attacco informatico era stato subito dal proprio dispositivo e pertanto con il necessario ausilio del cliente (dinamica che il CTU non ha potuto peraltro accertare in assenza del dispositivo) e dunque con colpa.
14 Per l'appellante non “coglie nel segno l'affermazione secondo cui non apparirebbe
“rilevante la mancata sottoposizione del telefono cellulare all'accertamento peritale” in quanto non sarebbe “essenziale capire se la frode sia stata perpetrata tramite un
'malware', un 'trojan' piuttosto che uno 'spyware', e quindi comprendere la tipologia specifica di attacco informatico subito dal correntista (…), ma l'adeguatezza delle misure di sicurezza predisposte dalla banca in caso di movimentazioni anomale, frutto di frodi informatiche perpetrate da terzi. Inoltre, la resistente non ha dedotto, nello specifico, quali elementi la perizia fisica sul dispositivo avrebbe potuto dimostrare in proprio favore” (cfr. Ordinanza, pagg. 4 e 5). Infatti: a) anzitutto tale mancata sottoposizione del cellulare alla CTU rappresenta, per contro, riprova della colpa grave del cliente, dato che la mancata disponibilità in tal senso fa ulteriormente presumere che il cliente abbia incautamente risposto a un messaggio di phishing;
b) inoltre la può garantire l'adeguatezza dei propri sistemi, ma non dei dispositivi del cliente, CP_5
che ricadono nella sua sfera di controllo e custodia;
c) la non avrebbe dovuto CP_5
dedurre alcunché in merito al dispositivo, essendo dirimente quanto precisato sub a).
Infine, come si è detto, vanno considerate le campagne informative che in modo assiduo vengono proposte da tutti gli istituti di credito, come avvenuto anche nella specie (cfr. ns. doc. n. 3 fasc. I grado: ns. doc. B/3) nonché quanto segnalato anche nel contratto e nella Guida ai Servizi (cfr. ns. doc. n. 15); né i ricorrenti hanno allegato e tantomeno provato che il presunto l'inganno era tale che, per le particolari sua modalità
o caratteristiche, avrebbe potuto trarre in errore una persona di normale avvedutezza”.
(atto d'appello pagg. 40 e s.).
I motivi da 2 ad 6 devono essere esaminati unitariamente in virtù dell'intima connessione che li unisce.
LA CORTE OSSERVA QUANTO SEGUE.
Il rigetto del primo motivo comporta che deve essere disattesa la censura della banca, svolta nell'ambito del secondo motivo, secondo la quale, in manca di una specifica
15 allegazione da parte del cliente, non sarebbe insorto a carico della banca l'onere di provare l'adeguatezza del proprio sistema e/o della colpa grave del cliente.
L'art. 10 del D.l.vo 11/2010 (Prova di autenticazione ed esecuzione delle operazioni di pagamento) prevede che:
“1. Qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

1-bis. Se l'operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze, l'operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato. 2.
Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.
Preliminarmente la Corte osserva che la norma disciplina l'ipotesi di un pagamento non autorizzato eseguito;
risulta pertanto irrilevante, nella specie, la verifica del momento di esecuzione- elaborazione degli ordini di pagamento oggetto del settimo motivo di appello.
16 Nella specie, al di là di generiche affermazioni dell'appellante in senso contrario che non assurgono a contestazioni, costituisce fatto non contestato che gli odierni appellati non abbiano autorizzato i due bonifici del 30 giugno 2020, essendo tali disposizioni l'effetto di una truffa-intrusione informatica perpetrata ai danni del cliente.
Pertanto, la banca (prestatore di servizi) ha l'onere di fornire la prova (come correttamente ritenuto dal giudice di prime cure) della frode (commessa dall'utente) o che lo stesso abbia agito con dolo o con colpa grave, che ricorre quando l'ignoranza sia dipesa dall'omesso impiego di un minimo di diligenza, proprio anche delle persone scarsamente avvedute.
Come insegnato dalla Giurisprudenza, infatti, “La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente”. (Nella specie, la S.C. in applicazione del detto principio, ha confermato la decisione di merito che aveva ritenuto gravante su ai fini della non riferibilità al Controparte_8
cliente delle operazioni fraudolente eseguite con la sua carta Postepay, la dimostrazione della previa adozione di mezzi di prevenzione dell'uso illecito dei sistemi elettronici di pagamento, quali, ad esempio, l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione). (Cass. Sez. 3, 12/02/2024, n. 3780, Rv. 670096
- 01).
Nella specie la banca non ha adempiuto a tale onere probatorio.
Risulta al contrario che: i) il sistema di controllo della banca ha rilevato una anomalia il 23 giugno 2020 (accesso da IP insolito mai usato in precedenza):
17 ii) di tale evento non vengono notiziati in alcun modo i clienti;
iii) entrambi i bonifici del 30 giugno vengono ordinati nei confronti di sedicente persona fisica, con bonifico europeo;
iv) tali disposizioni come ritenuto correttamente dal giudice di prime cure rappresentano un evento eccezionale rispetto alla normale movimentazione del contro corrente, sia per importo, che per tipologia di bonifico e di beneficiario;
v) tale evento viene ritenuto potenzialmente frodatorio dal sistema (operazione valutata sospetta) che invia un ulteriore codice intercettato ed utilizzato dal truffatore (comparsa costituzione primo grado pag. 9):
vi) nessun tipo di avviso o informazione differente da quella utilizzata ordinariamente
(ovvero generazione di codice attraverso il medesimo dispositivo) è stata fornita al cliente onde poter revocare i bonifici (in violazione, peraltro, dell'art. 10 del D.l.vo
11/2010); vii) a partire dal 2020 si erano verificati accertati attacchi informatici ai dispositivi di utenti dei servizi di home banking, ma nonostante questo, non sono stati implementati i sistemi di sicurezza, né disposti ulteriori controlli (cfr. CTU pag. 6):
18 La Suprema Corte ha ribadito in numerose pronunce che “In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente. (Cass. Sez. 1, 03/02/2017, n.
2950, Rv. 643717 - 01)
Precisa la Corte in motivazione che “È indiscusso che, nel nostro ordinamento, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno o per l'adempimento deve provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi poi ad allegare la circostanza dell'inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo dell'altrui pretesa, costituito dall'avvenuto adempimento (v., ad es., Cass. 20 gennaio
2015, n. 826) ovvero dell'impossibilità della prestazione derivante da causa a lui non imputabile. Tale generale principio ha trovato una sua specificazione, con riguardo
19 all'utilizzazione di servizi e strumenti con funzione di pagamento, che si avvalgono di mezzi meccanici o elettronici, in quanto si è ritenuto che "non può essere omessa (...) la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire la sicurezza del servizio (...); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere" (Cass. 12 giugno 2007, n. 13777; v. anche Cass. 19 gennaio 2016, n. 806).
In tale cornice di riferimento, si osserva: a) per un verso, che la sentenza impugnata attribuisce rilievo, per una delle due operazioni delle quali si discute, all'assenza di prova certa dell'estraneità del ricorrente, laddove era piuttosto necessario accertare in positivo la riconducibilità dell'operazione a quest'ultimo; b) per altro verso, che la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente;
c) che, pertanto, ai fini del rigetto della domanda risarcitoria, non era sufficiente dare rilievo al — peraltro presuntivamente affermato — incauto comportamento del [cliente], che avrebbe consentito la sottrazione dei codici. Va aggiunto che, sebbene alla vicenda non sia applicabile ratione temporis (le operazioni delle quali si discute risalgono infatti al settembre 2005) la direttiva 2007/64/CE del Parlamento europeo e del consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno, cui è stata data attuazione con il d. Lgs. 27 gennaio 2010, n. 11 (v., in particolare, artt. 10 e ss.), il punto di equilibrio divisato da tale disciplina risulta essere sostanzialmente in linea con le regole generali relative alla ripartizione della prova in tema di inadempimento contrattuale e di verifica della diligenza dell'agente professionale. Infatti, l'impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato (art. 1218 cod. civ.) richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore. Ne discende che, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del
20 tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”.
(sottolineature dell'estensore).
Nella previsione normativa la colpa grave dell'utente, peraltro, diviene rilevante e valutabile solo se i sistemi di sicurezza della banca sono idonei a verificare se l'operazione sia effettivamente riconducibile all'utente e a impedirne conseguentemente l'esecuzione, che. nella specie, come ritenuto dal giudice di prime cure, non erano adeguati.
Nel caso in esame, infatti: i) il cliente si è accorto da solo dei bonifici eseguiti (cfr. denuncia all. 4):
ii) non sono stati inviati sms di allerta né inviato un avviso in relazione al cambio della domanda segreta avvenuto attraverso IP anomalo;
iii) non è stato sospeso l'ordine bonifico vista la movimentazione anomala pur evidenziata dal sistema;
iv) non è stato implementato il sistema di sicurezza nonostante gli attacchi informatici segnalati.
La banca, inoltre, pur essendo stata informata nell'immediatezza (ad horas) dagli utenti che le disposizioni di pagamento non erano loro attribuibili e non erano state autorizzate dagli stessi, non ha disposto il rimborso delle somme come previsto dall'art. 21 art. 11 D.lvo 11/2010 nonostante fin da subito sia emerso che l'utente sia stato vittima di frode come si evince, peraltro, dal modulo di rimborso e dalla denuncia presentata
(“faccio presente che l'accesso potrebbe essere avvenuto in maniera fraudolenta attraverso il mio cellulare in quanto l'applicazione home banking risultava bloccata”):
SETTIMO MOTIVO: erroneità dell'ordinanza per non aver escluso o comunque ridotto il risarcimento ex art. 1227 c.c. Secondo l'appellante la sentenza sarebbe erronea laddove “non ha applicato alla fattispecie l'art. 1227 c.c.: infatti, ammesso e non concesso che fosse configurabile una responsabilità della (il che, come si è CP_5
visto, non è), il risarcimento avrebbe comunque dovuto essere escluso o in ogni caso ridotto per difetto di nesso causale ovvero essendo il preteso danno riconducibile alla negligenza e/o al concorso di colpa dei ricorrenti, dato che, in particolare, ove frode vi sia stata, l'eventuale software non può che essere stato installato con la collaborazione del cliente (cfr. anche CTU, pagg. 5-6). Senonché il Tribunale non ha svolto neanche alcuna argomentazione al riguardo;
se avesse applicato l'art. 1227 c.c. (e si chiede che sia ora la Corte a farlo), avrebbe dovuto escludere o ridurre il risarcimento”. (atto d'appello pagg. 41 e s.).
La Corte osserva che – alla luce delle argomentazioni esposte nell'ambito dell'esame dei precedenti motivi di appello – non ricorrono i presupposti per l'applicazione dell'art. 1227 c.c. proprio in quanto, come affermato dalla Giurisprudenza citata, anche
«la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente».
22 OTTAVO MOTIVO: erroneità dell'ordinanza nella parte in cui ha condannato la al pagamento delle somme indicate in dispositivo. CP_5
L'appellante chiede in virtù dei motivi dedotti che venga riformata la sentenza ritenendo sussistente la colpa grave dell'utente e comunque venga applicato l'art. 1227
c.c..
La Corte osserva che non si tratta di autonomo motivo di appello, ma della semplice richiesta di riforma della sentenza impugnata, in conseguenza dell'accoglimento dei precedenti motivi.
TANTO PREMESSO, RITENUTANE L'INFONDATEZZA, L'APPELLO DEVE
ESSERE RIGETTATO.
SPESE - Ai sensi dell'art. 91 c.p.c. devono pertanto essere poste a carico della parte le spese del presente grado di giudizio, liquidate come Parte_1
da dispositivo in favore delle parti e EVA ROCCA, ritenendo, CP_1
quanto alla misura della liquidazione, che, avuto riguardo ai parametri generali di cui all'art. 4 DM 55/2014 e successive modificazioni , si possano applicare i valori medi dello scaglione di pertinenza della lite ed in particolare:
Tabelle: 2022 (D.M. n. 147 del 13/08/2022)
Competenza: corte d' appello
Valore della causa: da € 5.201 a € 26.000
Fase di studio della controversia, valore medio: € 1.134,00
Fase introduttiva del giudizio, valore medio: € 921,00
Fase istruttoria e/o di trattazione, valore medio: € 1.843,00
Fase decisionale, valore medio: € 1.911,00
23 Aumentato del 30 % per presenza di più parti aventi stessa posizione processuale (art.
4, comma 2) e quindi complessivamente € 7.551,70 per compensi di avvocato, oltre rimborso forfettario, iva e cpa come per legge.

P. Q. M.

La Corte di Appello
Ogni diversa o contraria domanda, eccezione e deduzione disattesa e reietta, definitivamente pronunciando,

1. rigetta l'appello proposto da , avverso la sentenza Parte_1
pronunciata inter partes, confermando integralmente la sentenza appellata;

2. condanna a rifondere le spese del presente grado di Parte_1
giudizio liquidate in € 7.551,70 per compensi di avvocato, oltre rimborso forfettario, iva e cpa come per legge in favore delle parti e EVA ROCCA; CP_1

3. si dà atto ai sensi dell'art. 13,1 quater, dpr nr. 115/2002 che l'impugnazione è stata completamente rigettata.
Genova, 7.05.2025.
Il Consigliere estensore
Dott. Francesca Traverso Il Presidente
Dott. Riccardo Baudinelli
24