REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE DI APPELLO DI CALTANISSETTA
SEZIONE UNICA CIVILE composta dai magistrati
Dott. Emanuele De Gregorio Presidente
Dott. Maria Lucia Insinga Consigliere
Avv. Alberto Lo Giudice Giudice ausiliario dei quali il terzo relatore ed estensore, riunita in Camera di Consiglio, ha pronunciato la seguente
SENTENZA nella causa civile iscritta al n° 237/2021 R.G. promossa in questo grado
DA
, con sede legale in Sondrio (c.f. e Parte_1
p.i. n. ), in persona del legale rappresentante pro-tempore, elettivamente P.IVA_1
domiciliata in Palermo presso lo studio degli Avvocati D. Chinnici e R. Chinnici dai quali, anche disgiuntamente tra loro, è rappresentata e difesa come da procura in atti;

APPELLANTE
Contro
(C.F. ), nato a [...] il Controparte_1 C.F._1
29.06.1946 e residente a [...], elettivamente domiciliato a Caltanissetta presso lo studio legale dell'Avv. A. Capizzi, che lo rappresenta e difende come da mandato in atti;

APPELLATO
Con l'intervento volontario di già già Controparte_2 Parte_1 [...]
, con sede legale in Parma (c.f. e p.i. n. ), domiciliata in Controparte_3 P.IVA_2
Palermo presso lo studio degli Avvocati D. Chinnici e R. Chinnici dai quali, anche disgiuntamente tra loro, è rappresentata e difesa come da procura in atti;

INTERVENIENTE
* * * * * *
Conclusioni delle parti All'udienza cartolare del 27.03.2025 le parti costituite, mediante il deposito di note di trattazione scritta, hanno così concluso:
Per l'appellante; “1) riformare integralmente la sentenza n. 390/2021, resa inter partes dal Tribunale di Caltanissetta (G.O.P. dott.ssa Egle La Ferla) in data 30/06/2021, pubblicata in pari data e non notificata;
2) condannare parte appellata al pagamento delle spese, competenze ed onorari del doppio grado di giudizio”.
Per l'appellato: “Con le presenti note di trattazione scritta lo scrivente procuratore insiste in tutto quanto dedotto ed eccepito e si riporta integralmente a tutte le difese svolte nel presente giudizio da intendersi in questa sede integralmente ripetute e trascritte. Contesta
i motivi di appello e le conclusioni promosse dalla banca Parte_1
In ossequio a quanto disposto dall'Ill.ma Corte di Appello con Decreto del 11.3.2025, precisa le conclusioni riportandosi alle conclusioni dedotte con la comparsa costituzione
e risposta depositata nel presente giudizio in data 11.3.2022 e chiede che la causa venga posta in decisione con concessione dei termini di cui all'art. 190 c.p.c.”.
FATTI DI CAUSA
Con atto di citazione notificato il 31.05.2017, evocava in giudizio Controparte_1
la dinanzi al tribunale di Caltanissetta e, esponendo di essere Parte_1 stato vittima di una truffa “online” (phishing) ad opera di terzi sconosciuti, ne chiedeva la condanna al pagamento della somma di € 4.988,00, oltre interessi e spese.
Affermava all'uopo di avere sottoscritto, in data 23.7.2008, un contratto di “home banking” presso la filiale di Caltanissetta della convenuta e di avere aderito a tutte le condizioni contrattuali che in esso erano indicate.
In particolare, in virtù del succitato negozio l'attore poteva operare sul portale del servizio internet dell'istituto di credito e effettuare operazioni consultive dello stato del rapporto di conto corrente, nonché “operazioni dispositive”, in relazione alle quali indicava in contratto l'indirizzo e-mail e il numero di cellulare 3384747448, sia per Email_1 ricevere le relative comunicazioni sia per l'invio degli sms onde accedere alle funzioni dispositive.
In data 27.2.2016 (sabato pomeriggio) riceveva su una casella di posta elettronica diversa da quella da lui indicata in contratto ( , due e-mail Email_2
apparentemente inviate dalla banca (indirizzo , a Parte_1 Email_3 mezzo delle quali veniva informato della pendenza di un “procedimento sanzionatorio amministrativo” nei suoi confronti e, al contempo, richiesto di cliccare sul link della
“banca”, disponibile nella stessa e-mail ricevuta, al fine di conoscerne i dettagli.
Non avendo mai effettuato operazioni dispositive sul portale home banking, il predetto cliccava sul link indicato e, in perfetta buona fede, inseriva sul sito “clone” -così come richiestogli- l'userid e la password riferibili al proprio servizio di internet banking.
Ciò malgrado il pagamento non avveniva automaticamente, ma attraverso l'inserimento di un nuovo codice di conferma che gli veniva comunicato con un s.m.s. su un numero di cellulare diverso da quello certificato e comunicato alla banca al momento della sottoscrizione del contratto.
A questo punto, verificata la “lista dei movimenti”, si accorgeva quel sabato stesso di avere in effetti eseguito un'operazione di ricarica di una carta di credito sconosciuta denominata Cart@aperta, intestata a tale , per un importo Persona_1 complessivo di € 4.988,00.
Il lunedì successivo il si recava presso l'istituto bancario per richiedere, ma CP_1 senza riuscirvi, il blocco dell'accredito della somma dianzi indicata;
indi, a mezzo di apposita querela, denunciava l'accaduto agli organi di polizia postale.
Ritenendo che nella fattispecie sussistessero profili di responsabilità della banca convenuta per non avere “adottato tutti i sistemi di sicurezza ragionevolmente esigibili dall'accorto banchiere”, si rivolgeva a quest'ultima a mezzo di lettera raccomandata richiedendo il rimborso delle somme che gli erano state illegittimamente sottratte.
Dal momento che la succitata iniziativa non sortiva l'esito sperato, egli si risolveva ad adire le vie legali onde ottenere il soddisfacimento della pretesa risarcitoria nei termini che sono stati dianzi indicati.
Accettava il contraddittorio il che contestava “funditus” tutte le Parte_1 argomentazioni avversarie, evidenziando l'insussistenza di qualsiasi responsabilità in capo alla stessa e precisando che la sottrazione fraudolenta del denaro era da imputare unicamente a gravi negligenze dell'attore.
Con sentenza n° 390/2021 il Tribunale di Caltanissetta, in accoglimento della proposta domanda, condannava la convenuta al pagamento in favore dell'attore della somma di €
4.988,00, oltre interessi legali dalla domanda al saldo, nonché alla rifusione delle spese processuali.
Avverso la succitata pronuncia ha interposto gravame l'istituto di credito soccombente, incorporato successivamente per fusione nel lamentando Controparte_4 l'ingiustizia e l'erroneità del provvedimento del quale ha chiesto l'integrale riforma con condanna della controparte alla rifusione delle spese di lite.
Radicatosi il contraddittorio anche nella fase di appello, , nel Controparte_1
costituirsi in giudizio, ha contestato, perché infondate, le censure mosse dalla parte appellante;
ha chiesto per contro la conferma del provvedimento con vittoria delle spese del grado.
All'udienza cartolare del 27.03.2025, fissata per la precisazione delle conclusioni, mediante il deposito di note di trattazione scritta ex art. 127 ter c.p.c., sono state raccolte le conclusioni delle parti e la causa è stata posta in decisione con concessione dei termini ex art. 190 c.p.c. per il deposito delle comparse conclusionali e delle memorie di replica.
RAGIONI DELLA DECISIONE
Con i motivi che sorreggono il proposto gravame l'impugnante censura la sentenza per avere accolto la domanda avversaria ignorando del tutto la sussistenza di oggettivi elementi indicativi di una colpa grave dell'odierno appellato, e per avere apoditticamente e sinteticamente affermando che “Né, a giudizio di chi scrive, sono emersi elementi certi da cui si possa far discendere un addebito di colpa grave in capo all'attore”.
Richiama all'uopo i plurimi elementi (diverso indirizzo di posta elettronica, struttura del messaggio ricevuto, volontaria divulgazione dello userid e della password riferibili al servizio di internet banking;
etc) dai quali emergerebbe che la responsabilità per la perdita subita era ascrivibile unicamente al comportamento della parte appellata, ed evidenzia altresì l'errore in cui sarebbe incorso il giudice di prime cure per avere risolutamente affermato che: “l'eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche” e che l'Istituto di credito non aveva affatto dimostrato
“di avere attivato adeguati sistemi di protezione dalle frodi informatiche”.
Le doglianze sono fondate in tutta la loro articolazione per i motivi che di seguito si espongono.
Si premette anzitutto, come anche recentemente posto in evidenza dalla giurisprudenza di legittimità e di merito, che l'attività svolta da ”, in quanto relativa anche al Controparte_4
trattamento informatico di dati personali, è da considerarsi pericolosa, in considerazione delle sempre più frequenti truffe informatiche (phishing) miranti a carpire fraudolentemente i dati per il compimento di operazioni illecite, per lo più finalizzate, come nel caso in esame, all'accesso ai dati personali del correntista per il trasferimento di somme dal suo conto corrente a quello di terze persone (qualificazione confermata anche da Cass. 7214/2023).
Sennonché, nel caso di specie, alla luce delle evidenze istruttorie emerse in giudizio, ossia prove documentali e circostanze da ritenersi provate in assenza di contestazioni, risulta impossibile addebitare responsabilità a carico dell'istituto bancario appellante, a fronte del comportamento imprudente e negligente tenuto dal titolare del conto corrente.
In tal senso militano tutta una serie di considerazioni, così compendiabili:
-l'appellato ha ricevuto le e-mail fraudolente ad un indirizzo di posta elettronica che la banca appellante giammai avrebbe potuto Email_2
conoscere, atteso che quello indicato in contratto ( era ben diverso;
Email_4
-il pagamento di una cartella esattoriale, di regola, viene richiesto a mezzo di una pec e/o di una raccomandata a.r. e non a mezzo di e-mail;
- malgrado gli obblighi assunti (nella specie artt. 4 e 6) con il contratto siglato con la banca, l'appellato ha incautamente divulgato a terzi l'identificativo-userid e la password relative al proprio servizio di internet banking;

-la OTP (One Time Password) è pervenuta al su un numero di telefono CP_1
cellulare diverso rispetto a quello che era stato indicato nel contratto intercorso con la banca e che, pertanto, quest'ultima non poteva affatto conoscere;

-la falsa e-mail è pervenuta al disponente nella giornata di sabato (quando le banche sono cioè chiuse), elemento di anomalia che, purtroppo, non è stato adeguatamente e prudentemente valutato dall'appellato;
-la mancanza di esperienza nella gestione on-line del proprio conto corrente doveva cautamente suggerire al di attendere il lunedì successivo, onde poter CP_1
contattare il direttore della filiale di riferimento;

-il testo del messaggio ricevuto (“Ricarica carta 4.988,00 EUR n.837613, intestata S.I.I., per conferma inserisci codice di controllo 55805871”) era inequivocabile e tale da far comprendere a chiunque che si stava ordendo una truffa in suo danno;

-risulta, dal contenuto della documentazione depositata, che l'utilizzazione del servizio on line può avvenire esclusivamente attraverso l'inserimento di vari codici segreti in possesso dell'utente e sconosciuti allo stesso personale di Controparte_4
-l'operazione descritta nella domanda attorea, eseguita per via telematica, è avvenuta solo grazie all'utilizzo dei codici identificativi personali (user id, password, pin), del
[...]
, che egli stesso ha fornito "on line" al truffatore ed utilizzati per il compimento CP_1
dell'illecita operazione dispositiva. Ebbene, tutti questi elementi, se messi in correlazione tra loro, portano senz'altro a ritenere che la causa esclusiva dell'operazione che ha determinato l'addebito della somma di € 4998,00, e da individuare nella colposa e negligente condotta del il CP_1
quale ha digitato i propri codici personali consentendo all'ignoto truffatore di utilizzarli, per effettuare la disposizione fraudolenta.
Dalla dinamica degli eventi occorsi, invero, emerge come la banca abbia pienamente rispettato gli “standard” di sicurezza previsti dal contratto sottoscritto tra le parti e dalla legge, i quali prevedono l'autenticazione del cliente a "due fattori", ovverosia non solo tramite le credenziali cd. statiche (username e password), ma anche attraverso l'utilizzo di un codice dinamico, detto OTP, ovvero un codice cifrato monouso generato contestualmente all'accesso al servizio/esecuzione dell'operazione e con durata limitata nel tempo.
Non può pertanto sostenersi che l'Istituto bancario non abbia adottato gli accorgimenti necessari a garanzia della sicurezza dei propri clienti, osservandosi al riguardo come il servizio di sms alert, denominato Avvisa@mi, (che viene inviato al cliente non a fronte di tutte le operazioni dispositive ma solo di alcune che vengono preventivamente es espressamente selezionate dal correntista) non avrebbe comunque potuto impedire l'esito positivo dell'operazione truffaldina, in ragione della circostanza che quest'ultima è stata espressamente autorizzata dall'odierno appellato.
Giova infatti ricordare che il pagamento in parola non è stato autorizzato nell'immediato, dal momento che, essendo stato opportunamente attivato il sistema di autenticazione forte c.d. a “due fattori” -cui si è dianzi fatto cenno- è stata richiesta un'ulteriore autorizzazione da parte del che si è avuta con l'inserimento del codice di controllo. CP_1
Nel caso di specie, dunque, nel comportamento dell'appellato si rinviene quella condotta altamente incauta dell'appellato che interrompe il nesso eziologico tra l'attività pericolosa e l'evento dannoso, con conseguente esclusione della responsabilità della convenuta, così come già stato disposto dalla Suprema Corte con numerose pronunce che hanno riguardato casi analoghi (cfr. Cass. 9158/2018; Cass. 16417/2022).
Si tratta di un orientamento giurisprudenziale consolidato, tanto è vero che, ancora di recente, la Suprema Corte (Cassazione civile, sez. I, 13/03/2023 n. 7214), ha affermato che non può dubitarsi del comportamento decisamente imprudente e negligente del danneggiato, il quale abbia digitato i propri codici personali
(verosimilmente richiestigli con una e-mail fraudolenta), in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto del danneggiato e quindi ha escluso la restituzione delle somme prelevate da un conto corrente mediante bonifico online, atteso che la responsabilità è da addossarsi al danneggiato che ha incautamente fornito i propri codici personali verosimilmente a causa di un'attività di phishing.
Alla stregua delle considerazioni che precedono, dunque, l'appello deve essere accolto e la sentenza di primo grado deve essere integralmente riformata.
Le spese del doppio grado seguono la soccombenza finale del nei CP_1
confronti della parte originariamente convenuta e, in base allo scaglione di riferimento in relazione al valore della domanda avanzata e all'attività difensiva svolta (per il primo grado, fase studio, fase introduttiva, fase istruttoria, fase decisoria;
per il secondo grado fase studio, fase introduttiva, fase decisoria), sono liquidate in base agli atti, applicando i parametri indicati dal D.M. 55/2014, come in dispositivo.


P.Q.M.


La Corte, definitivamente pronunciando, in riforma della sentenza n° 390/2021 del
Tribunale di Caltanissetta, appellata da ( Parte_1 Pt_1
, così dispone:
[...]
1) rigetta le domande proposte da nei confronti della Controparte_1 [...]
(già ; Parte_1 Parte_1
2) condanna a rifondere alla Controparte_1 Parte_1
(già le spese del doppio grado del giudizio, che liquida, per il primo grado, Parte_1 in € 1.600,00 per compenso oltre 15% per rimborso forfetario spese generali, IVA e CPA
e per il secondo grado in € 1.800,00 per compenso, oltre 15% per rimborso forfetario spese generali, IVA e CPA.
Così deciso in Caltanissetta, nella camera di consiglio della Sezione civile della Corte, addì 10 settembre 2025
L'ESTENSORE (Mag. Aus.) IL PRESIDENTE
Avv. Alberto Lo Giudice Dott. Emanuele De Gregorio