CA
Sentenza 29 giugno 2025
Sentenza 29 giugno 2025
Commentari • 0
Sul provvedimento
| Citazione : | Corte d'Appello Milano, sentenza 29/06/2025, n. 1928 |
|---|---|
| Giurisdizione : | Corte d'Appello Milano |
| Numero : | 1928 |
| Data del deposito : | 29 giugno 2025 |
Testo completo
N. R.G. 3436/2024
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE D'APPELLO DI MILANO
Sezione seconda nelle persone dei seguenti magistrati:
Dott. Carlo Maddaloni Presidente
Dott. Giovanna Ferrero Consigliere rel.
Dott. Nicoletta Sommazzi Consigliere ha pronunciato la seguente
SENTENZA
nella causa iscritta al n.r.g. 3426/2024 promossa in grado d'appello
DA
P.IVA in persona del legale rappresentante pro tempore, Parte_1 P.IVA_1
con sede legale in Via Mentore Maggini n. 50 – Roma, rappresentata e difesa, in virtù di procura alle liti che si deposita telematicamente unitamente al presente atto, dall'Avv. Emilio Trucco del Foro di
Roma (C.F. ), che elegge domicilio presso il suo studio in Milano, Via C.F._1
Borghetto n. 3, ai sensi dell'art.176, comma secondo, c.p.c., il quale dichiara di voler ricevere le comunicazioni e le notifiche di legge al numero di fax 02/87251740, ovvero via posta certificata (PEC)
Email_1
APPELLANTE
CONTRO
con sede legale in Milano, Via Federico Confalonieri 4, in persona del Controparte_1
Presidente del Consiglio di Amministrazione e legale rappresentante pro tempore;
E
pagina 1 di 19 , con sede legale in Gordon House, Barrow Street, Dublino 4, Irlanda, TR
in persona del legale rappresentante pro tempore;
entrambe rappresentate e difese disgiuntamente dagli
Avv.ti Marco Berliri ( PEC ) e C.F._2 Email_2
Massimiliano Masnada ( ; PEC C.F._3
) del foro di Roma, nonché dagli Avv.ti Michele Email_3
Traversa ( ; PEC , Ambra Pacitti C.F._4 Email_4
( ; PEC e Giacomo Bertelli C.F._5 Email_5
( ; PEC del foro di Milano in virtù di procure generali C.F._6 Email_6
prodotte come All. A e All. B e di procura speciale in calce al presente atto, elettivamente domiciliate presso lo Studio Legale GA OV in Milano, Via Santa Maria alla Porta 2, fax 06.67582323;
APPELLATE
avente ad oggetto: altre ipotesi di responsabilità extracontrattuale non ricomprese nelle altre materie.
PER LA RIFORMA della sentenza n. 6427/2024 pronunciata dal Tribunale di Milano in data 21 giugno 2024 all'esito della causa R.G. n. 43067/2021.
Conclusioni:
Per Parte_1
“Voglia l'Ecc.ma Corte d'Appello adita, respinta ogni contraria istanza, eccezione e domanda, previa ogni declaratoria, così provvedere:
Nel merito in accoglimento dei motivi di appello e in riforma dell'appellata sentenza n. 6427/2024 pronunciata dal Tribunale di Milano in data 21 giugno 2024 all'esito della causa R.G. n. 43067/2021, accogliere integralmente le domande formulate da Parte Attrice e così in particolare: in via principale
- Accertare e dichiarare, per tutto quanto sopra rilevato, la piena responsabilità ex art 2043 c.c. di
(eventualmente anche in solido con per il danno ingiusto TR Controparte_1
arrecato all'Attrice con la propria condotta, e per l'effetto
- Condannare al risarcimento di tutti i danni non patrimoniali all'immagine e TR
alla reputazione, subìti da in conseguenza della temporanea pubblicazione Parte_1
online di maschere di avvisi di contenuto diffamatorio avvenuta il 21.06.2021, secondo ciò che sarà
pagina 2 di 19 ritenuto di giustizia in base ad una valutazione equitativa del Giudice, oltre gli interessi e la rivalutazione monetaria;
In via subordinata
- Nella denegata e non creduta ipotesi di rigetto della domanda attorea per carenza probatoria in merito alla quantificazione del risarcimento del danno richiesto, accertata comunque l'illiceità della condotta avversaria e così la piena responsabilità ex art 2043 c.c. di TR
(eventualmente anche in solido con per il danno ingiusto arrecato all'immagine e Controparte_1
alla reputazione dell'Attrice con la propria condotta, comunque condannare TR
(eventualmente anche in solido con ad un risarcimento simbolico per il Controparte_1
comportamento illegittimo posto in essere secondo ciò che sarà ritenuto di giustizia anche in base ad una valutazione equitativa del Giudice;
In via ulteriormente subordinata
- Ordinare, per i motivi spiegati, la pubblicazione della sentenza a cura e spese dell'appellante ex art.
120 c.p.c. In ogni caso
- Con vittoria di spese, compensi professionali ed accessori di legge di entrambi i gradi di giudizio”.
Per : Controparte_1 TR
“Voglia l'Ill.ma Corte d'Appello di Milano, respinta ogni istanza contraria, rigettare l'appello avversario in quanto inammissibile e/o infondato per i motivi riportati in narrativa e confermare, per
l'effetto, la sentenza n. 6427/2024 emessa dal Tribunale di Milano in data 21 giugno 2024”.
SVOLGIMENTO DEL PROCESSO
Quanto alla ricostruzione fattuale scrive il Tribunale: “Con atto di citazione ritualmente notificato,
ha citato in giudizio chiedendone l'accertamento della Parte_1 Controparte_1
responsabilità ex art. 2043 cod.civ. ed ex art. 595 commi 1 e 3 e 185 c.p. per averle arrecato un danno ingiusto attraverso il temporaneo inserimento del proprio dominio internet tra i siti considerati pericolosi, e quindi, per ottenere la condanna della convenuta al risarcimento dei danni cagionati dalla temporanea pubblicazione online di avvisi con contenuto asseritamente diffamatorio avvenuta il
21 giugno 2021, quantificati nella somma di 430.000 euro.
A sostegno delle proprie domande, la società attrice, svolgente attività di offerta di un servizio di cloud storage, ossia di conservazione di dati, ha dedotto che il 21 giugno 2021 il dominio babyloncloud.it era stato riconosciuto come sito pericoloso da parte dei servizi di sicurezza della convenuta e, quindi, da tutti i browser che a OO si appoggiano (doc. 8 ). Parte_1
pagina 3 di 19 In particolare, all'apertura dei siti web che insistono sul suddetto dominio, erano apparsi, per tutto il giorno, i seguenti messaggi di pericolo: “Gli utenti malintenzionati presenti sul sito user.babyloncloud.it potrebbero indurti con l'inganno a effettuare operazioni pericolose, come installare software o rivelare informazioni personali” e “La funzione OO Navigazione sicura ha rilevato di recente attività di phishing sul sito user.babyloncloud.it. I siti di phishing si spacciano per altri siti web per ingannarti.” (doc. 1 ). Benché si fosse attivata Parte_1 Parte_1
immediatamente per risolvere il problema, chiedendo a l'eliminazione degli avvisi, CP_1
l'accessibilità al sito internet era stata ripristinata solo tra le ore 19 e le 20 dello stesso giorno, mentre il dominio di terzo livello yourbackup.babyoncloud.it era stato rimosso dalla black-list solo due giorni dopo, tra le 19.00 e le 20.00 del 23 giugno 2021 (doc. 2 ). Parte_1
Sotto il profilo dell'illiceità della condotta censurata, l'attrice ha dedotto che la convenuta avrebbe inserito il dominio dell'attrice tra i siti pericolosi al fine di danneggiare l'immagine di Parte_1
a proprio vantaggio, considerato che si trova in concorrenza con analoghi servizi resi Parte_1
proprio da OO (in particolare, OO Drive) e che pertanto nella condotta di controparte sarebbe quindi ravvisabile un atto di concorrenza sleale ex art. 2598 cod.civ.
L'attrice ha altresì evidenziato che al momento dell'inserimento del proprio dominio all'interno della black-list di OO non vi erano elementi che potessero indurre a ritenere che la pagina web esponesse a malware o ridirigesse illegittimamente gli utenti su altri siti. Il dominio di , Parte_1
alla luce dei rilevamenti effettuati, era stato ritenuto altamente sicuro, e la società attrice, che era certificata ISO27001, si sottoponeva periodicamente a vulnerability assessment e penetration test
(docc. 4 e 5 ). Inoltre, a differenza di quanto accade nei casi in cui rilevi un'anomalia PT CP_2
o un pericolo, nel caso di specie, non sarebbe stato richiesto a alcun intervento PT Parte_1
correttivo.
Sotto il profilo del danno patito, ha dedotto che il temporaneo inserimento del proprio Parte_1
dominio internet all'interno della lista di siti considerati pericolosi da parte di aveva avuto CP_2
importanti ripercussioni sia sotto il profilo economico-commerciale, sia in termini di lesione del proprio diritto alla reputazione e all'immagine, in quanto le segnalazioni pubblicate online dalla convenuta avrebbero intaccato la considerazione che gli utenti avevano di , generando PT
pregiudizi nei suoi confronti.
La attrice ha in particolare evidenziato che, per oltre 11 ore, circa 50.000 utenti non avrebbero potuto accedere in sicurezza al dominio di parte attrice ritrovandosi a leggere avvisi che mettevano in dubbio
l'affidabilità della società. Secondo la prospettazione attorea, poiché i principali clienti della società sono grandi aziende nazionali e multinazionali che scelgono di acquisire o dismettere i servizi Cloud
pagina 4 di 19 sulla base di un lungo periodo di osservazione nel corso del quale valutano la sussistenza di un'alta affidabilità di servizio, la vicenda oggetto di causa aveva inciso sugli utili della società, determinando nel 2021 un rallentamento nella crescita dei profitti e la mancata acquisizione di ulteriori nuovi clienti.
Inoltre, la parte ha dedotto che la vicenda aveva allarmato un cliente importante quale e CP_3
reso necessari significativi investimenti in comunicazione per il ripristino della reputazione, nonché lo stallo di tutte le trattative in corso con nuovi clienti.
Con riferimento al quantum del danno, l'attrice ha prodotto un preventivo di spesa predisposto da
Botteega S.r.l. – Marketing Chili per una campagna di ripristino della brand reputation (doc. 9
), ritenuta necessaria per ripristinare una percezione positiva della società sia presso il PT
pubblico delle PMI sia nel settore Telco e Corporate Il danno patrimoniale è stato quindi quantificato nella somma di 280.000 euro, corrispondente alla spesa d sostenere per svolgere una campagna di ripristino della brand reputation, come da preventivo prodotto, oltre a 150.000 euro, a titolo di ristoro del danno per la mancata acquisizione di nuova clientela dopo la vicenda oggetto di giudizio.
Si è costituita eccependo il difetto di legittimazione passiva, e chiedendo l'accertamento CP_1
dell'infondatezza delle domande avversarie alla luce dell'estraneità della società al servizio oggetto di causa e, in ogni caso, in quanto infondate in fatto e in diritto.
La convenuta ha dedotto che il servizio “OO Chrome” per cui è causa, era fornito dalla società irlandese , mentre ha quale oggetto sociale la prestazione di TR CP_1
servizi di consulenza e assistenza nel settore pubblicitario e del marketing.
Nel merito, ha affermato la liceità della condotta denunciata, in quanto la stessa sarebbe CP_1
stata tenuta da nel rispetto di quanto previsto dal “Report Problemi di Sicurezza” e CP_2
dal “Rapporto sulla trasparenza di OO Navigazione Sicura”, al fine di tutelare gli utenti da un sito che appariva potenzialmente pericoloso.
Secondo la prospettazione della convenuta, , nel momento in cui informa il proprietario CP_2
del sito del fatto che quest'ultimo risulta compromesso o pericoloso, invita i proprietari dei siti web ad utilizzare il modulo disponibile se questi ritengono “che la funzione Navigazione sicura abbia classificato una pagina web in modo erroneo”, al fine di permettere a di effettuare un riesame CP_2
della sicurezza del sito potenzialmente pericoloso. Nel caso in esame , ricevuto l'avviso, Parte_1
dopo avere inviato una PEC alla società sbagliata, aveva avviato la procedura di richiesta di riesame
e ottenuto, in poche ore, la risoluzione del problema.
La convenuta ha poi dedotto che l'avviso mostrato agli utenti non poteva essere considerato diffamatorio in quanto, utilizzando una formula dubitativa, avvisa che “gli utenti malintenzionati potrebbero indurti con l'inganno a effettuare operazioni pericolose, come installare software o
pagina 5 di 19 rivelare informazioni personali” e che neppure poteva considerarsi sorretto da intenti discriminatorio nei confronti di , dal momento che riceveva numerose segnalazioni di potenziali PT CP_2
pericoli che vengono quotidianamente gestiti al fine di rendere sicura la navigazione su internet degli utenti .
ha, inoltre, allegato l'inesistenza di qualsiasi danno e del nesso causale, allegando la CP_1
genericità ed indeterminatezza della richiesta risarcitoria. L'assenza di prova in merito alla sussistenza stessa di un danno ed al nesso causale tra la condotta attribuita a e i presunti CP_2
danni, né sono stati indicati i criteri di determinazione criteri dei danni asseritamente subiti.
In seguito all'autorizzazione del Giudice alla chiamata in causa di , con atto di CP_2
citazione a integrazione del contraddittorio del 17 marzo 2022, ha convenuto in Parte_1
giudizio . TR
si è costituita in giudizio chiedendo il rigetto delle domande avversarie. CP_2
La convenuta riproposto la descrizione dei fatti già fornita da , evidenziando l'intervenuta CP_1
applicazione della disciplina prevista per il funzionamento del servizio “Navigazione sicura”, e che
ha azionato la procedura di richiesta di riesame e ottenuto in poco tempo la rimozione PT
dell'avviso contestato. La convenuta ha altresì affermato che non si è attenuta alle linee guida PT
fornite da ai proprietari di siti web e volte, oltre che allo sviluppo di siti web sicuri, anche alla CP_2
riduzione del rischio di blacklisting. Secondo la prospettazione della convenuta, il browser OO
Chrome, tramite la funzione “Navigazione Sicura”, aveva identificato alcuni URL ospitati dal dominio di parte attrice come potenziali siti di phishing, in quanto sul dominio di controparte erano ospitate delle pagine di terze parti che richiedevano i dati di accesso degli utenti.
Non risultando chiara ai sistemi di protezione di Navigazione Sicura la relazione tra l'azienda terza e il dominio di controparte, il browser aveva proceduto al “blocklisting” degli URL ritenuti potenzialmente pericolosi per gli utenti, in applicazione delle Linee Guida per i servizi di terze parti, pubblicando sul dominio di l'avviso contestato, senza tuttavia impedire l'accesso al dominio PT
avversario. La convenuta ha poi dedotto che, a fronte della segnalazione da parte di , Parte_1
aveva immediatamente risolto il problema e che in data 23 giugno 2021, a seguito del secondo appello dell'attrice relativo al diverso sottodominio “yourbackup.babyloncloud.it/”, aveva rimosso anche tale dominio dalla c.d. black-list di OO Chrome.
ha, quindi, contestato la dedotta antigiuridicità della condotta alla stessa attribuita, CP_2
allegando che l'intervento svolto aveva evitato che comportamenti illeciti potessero essere commessi sulla piattaforma e che, pertanto, si concretizzasse un danno nei confronti dei propri utenti. La parte
pagina 6 di 19 ha poi contestato la fondatezza della domanda risarcitoria, evidenziando l'assenza di prova sia del danno emergente, sia della dedotta perdita di clientela e di guadagno.
La causa, in seguito al deposito delle memorie ex art. 183 comma 6 c.p.c., è stata ritenuta matura per la decisione e, all'esito della precisazione delle conclusioni, è stata trattenuta in decisione con assegnazione dei termini previsti dall'art. 190 c.p.c.”.
Il Tribunale di Milano, in data 21 giugno 2024, con sentenza n. 6427/2024 così pronunciava
“- rigetta le domande svolte dall'attrice nei confronti di e Parte_1 Controparte_1
; TR
- condanna l'attrice alla rifusione in favore di e di alla Controparte_1 TR rifusione delle spese sostenute per il presente giudizio che si liquidano in complessivi € 22.426,95 per compensi, oltre rimborso forfettario, IVA (se non detraibile) e CPA come per legge”.
Accertava, anzitutto, la carenza di legittimazione passiva di rispetto al servizio OO CP_1
Chrome oggetto di causa, in quanto “come si evince dalla lettura dei 'Termini e condizioni del servizio', il servizio oggetto di causa è fornito in via esclusiva per lo dalla Controparte_4
società (doc. 1 ), come confermato anche dal doc. 2 prodotto dalla TR CP_1
convenuta , che contiene il link ad un modulo per segnalare eventuali errori nella CP_1
rilevazione di pericoli di phishing. non è, quindi, destinataria della pretesa creditoria CP_1
oggetto di causa, essendo unica titolare del rapporto dedotto in giudizio. TR
Occorre inoltre rilevare che a fronte dell'eccezione di , l'attrice non ha svolto difese sul CP_1 punto e non ha quindi fornito elementi che possano portare a diverse conclusioni”.
Quanto alla condotta di , il Tribunale sottolineava come essa non potesse essere CP_2
qualificata come illecita in quanto “l'inserimento del dominio di tra i siti pericolosi – Parte_1
cui è conseguita la pubblicazione dell'avviso oggetto di causa – consegue all'applicazione della procedura prevista per il funzionamento del servizio 'Navigazione sicura', sviluppato da CP_2
per proteggere gli utenti da siti potenzialmente pericolosi”.
[...]
Pur riconoscendo come pacifico che il sito di non fosse realmente pericoloso e che Parte_1
l'accusa di phishing fosse infondata, il Tribunale riteneva che non avesse rispettato le Parte_1
“Linee Guida per i servizi di terze parti”: il sito dell'odierna attrice ospitava, infatti, servizi di parti terze senza fornire le informazioni indicate dalle menzionate linee guida, il cui inserimento era consigliato da OO per scongiurare il rischio che il sito fosse “etichettato come ingegneria sociale”.
Le linee guida, accettate dalla società attrice, “suggerivano ai proprietari dei siti di dichiarare esplicitamente il rapporto esistente tra la parte proprietaria e la terza parte e di fornire anche un link
pagina 7 di 19 per ottenere ulteriori informazioni circa tali relazioni” raccomandazioni, queste, che non venivano seguite da . Parte_1
Nello specifico, sosteneva il Tribunale, la schermata prodotta da era priva di tali CP_2 informazioni. Inoltre, l'attrice non aveva contestato “l'accettazione delle citate condizioni regolanti il servizio, comprensive delle richiamate linee guida, ma nella memoria ex art. 183 comma 6 n.1 c.p.c. ha evidenziato che, poiché vende agli utenti il servizio , è naturale che gli utenti CP_3 Parte_1 eseguano il login direttamente sulle pagine di ”. PT
Quanto alla seconda schermata, prodotta solo con la comparsa conclusionale dall'attrice, anch'essa appariva priva delle informazioni indicate nelle Linee guida, trattandosi “di una pagina di accesso ospitata sul dominio di che mostra il logo della società ed è riconducibile, proprio PT CP_3 per la descritta “customizzazione”, alla società senza che siano fornite indicazioni circa il CP_3
rapporto tra e . Parte_1 CP_3
Proseguiva il Tribunale “[c]ome illustrato nella pagina “Report Problemi di sicurezza” della guida di
Search Console e nel “Rapporto sulla trasparenza di OO Navigazione sicura”, la funzionalità
“Navigazione Sicura”, proprio perché diretta a tutelare gli utenti da contenuti di c.d. phishing, individua siti web dall'aspetto simile ai siti web di riferimento, sulla base di testi o di immagini, e quindi anche sulla base di loghi, dai quali un utente potrebbe essere ingannato e portato a credere di interagire con il sito web legittimo (nel caso di specie, il sito web di . Quando il sistema CP_3
identifica un sito web come potenzialmente pericoloso, la funzionalità “Navigazione Sicura” include il dominio del sito web nella c.d. blacklist e mostra un avviso agli utenti che spiega brevemente perché il sito web a cui stanno provando ad accedere potrebbe essere pericoloso per i loro dispositivo e per i dati ivi contenuti (doc. 38 . Contestualmente, il servizio “Navigazione sicura” avvisa i CP_2
proprietari dei siti web e fornisce indicazioni per risolvere i problemi e chiedere il riesame del sito attraverso il Report “Problemi di sicurezza” (doc. 37 . Non avendo individuato le CP_2 CP_2
informazioni necessarie per accertare la relazione tra la società terza e il dominio di , il PT
sistema “Navigazione sicura” di OO, il 21 giugno 2021, ha correttamente proceduto al blocklisting degli URL potenzialmente pericolosi e ha pertanto, mostrato l'avviso contestato al fine di proteggere gli utenti dai rischi legati a possibili attività di phishing, senza comunque impedire l'accesso al dominio di parte attrice (doc.42 . CP_2
Riteneva, quindi, il Tribunale che il pericolo fosse stato correttamente segnalato a Parte_1
attraverso la piattaforma Search Console e che questa si fosse avvalsa di tale sistema per chiedere ed ottenere la rimozione dell'avviso. Pertanto, apparivano infondate le argomentazioni di circa PT
l'inidoneità del sistema di segnalazione fornito da CP_2
pagina 8 di 19 Quanto ai diversi tempi di rimozione, essi erano giustificati in ragione del fatto che l'appello iniziale del 21 giugno non concerneva specificamente il sottodominio yourbackup.babyloncloud.it, per il quale sarebbe stata necessaria una richiesta di revisione apposita ( in quanto non era tenuta a CP_2
conoscere quali fossero i sottodomini di ), e che tale sottodominio era stato rimosso il giorno PT
stesso della richiesta specifica (il 23 giugno).
Circa l'eccessiva lunghezza dei tempi di ripristino, il Tribunale rilevava che “l'appello relativo al sottodominio "yourbackup.babyloncloud.it/" è stato rimosso dalla c.d. black-list di OO Chrome nel giorno stesso in cui ha presentato la richiesta di riesame. In ogni caso, sul punto si deve PT
altresì rilevare che non ha dato prova di quale sia stato il danno causato dalla pubblicazione PT dell'avviso sul menzionato sottodominio: non è stato chiarito a quale schermata il sottodominio sbloccato solo il 23 giugno fosse effettivamente collegato”.
La condotta di sottolineava il Tribunale, non integrava il reato di diffamazione, poiché gli CP_2
avvisi non avevano portata offensiva, limitandosi a “mettere in evidenza la possibilità di un pericolo di phishing per gli utenti”.
Il Tribunale, infine, rigettava la richiesta di risarcimento avanzata da , non essendovi Parte_1
“adeguata prova né del danno, né dell'esistenza del nesso causale tra la condotta asseritamente lesiva tenuta da e i danni lamentati”. CP_2
Nello specifico, con riferimento al danno da lucro cessante, circa i rapporti con l'attrice si CP_3 era limitata a lamentare “un grande imbarazzo nonché la necessità di plurime rassicurazioni”, e pertanto, “a dedurre fatti che non sono indicativi di un concreto e serio pregiudizio valutabile in termini economici”. Era, altresì, certo che il rapporto con si proseguiva anche in seguito agli CP_3
eventi oggetto di causa.
Quanto, invece, ai rapporti con WindTre, veniva lamentato un danno “da ritardo nell'acquisizione causato dall'avviso oggetto di causa” che veniva sostenuto facendo riferimento ad uno scambio di mail da cui, tuttavia, non era desumibile alcun ritardo nelle trattative riconducibile alla vicenda.
Anche il riferimento all'andamento generale del fatturato, i bilanci mostravano una riduzione del tasso di crescita nel 2021 (30%) rispetto al 2020 (73%) che si rivelava, comunque, positiva. Con riferimento specifico al bilancio del 2021, il commento non menzionava l'incidente come causa della minore crescita, attribuendola invece a difficoltà globali del settore ICT.
In riferimento, invece, al danno emergente, il Tribunale rilevava una serie di incongruenze nel contenuto dei documenti prodotti che, inoltre, erano: i docc. 9, 17 e 19 costituiti esclusivamente da preventivi e prospetti formati dalla stessa società attrice, come tali, inidonei a fornire la prova degli pagina 9 di 19 effettivi esborsi;
il doc. 16, invece, faceva riferimento a fatture emesse da società diverse da Botteega
s.r.l.
La produzione, poi, di contratti a tempo indeterminato, presentati per dimostrare un aumento dei costi di comunicazione, venivano considerati non legati specificamente all'incidente ma, piuttosto, alla normale crescita aziendale. Inoltre, alcuni di essi erano successivi ai fatti o, addirittura, precedenti e le mansioni descritte non sembravano mirate a risolvere problemi specifici derivanti dalla segnalazione.
Infine, con riferimento al danno non patrimoniale asseritamente patito dall'attrice, il Tribunale rilevava il carattere generico delle allegazioni e richiamava il consolidato orientamento della giurisprudenza di legittimità secondo cui il danno alla reputazione di una persona giuridica non è “in re ipsa” ma deve essere concretamente provato come una diminuzione della considerazione dell'ente.
Il post pubblicato su LinkedIn dal legale rappresentante di , pubblicato per “spiegare la totale PT
estraneità di alle accuse mosse dalla convenuta e tranquillizzare gli utenti “non è stato PT
ritenuto sufficiente a dimostrare il danno, né è stata fornita prova delle numerose segnalazioni che avrebbero motivato tale azione.
Tale danno veniva, altresì, escluso dal fatto che la società aveva continuato ad acquisire nuovi clienti e ad accrescere il proprio fatturato anche dopo la vicenda in esame.
Avverso tale pronuncia propone appello con atto di citazione notificato il Parte_1
5.12.2024, lamentando, quale primo motivo di appello, come il giudice non abbia attribuito la giusta rilevanza alle false affermazioni pubblicate da OO. Difatti, è pacifico che non è mai stata rilevata alcuna attività illecita sui siti di , circostanza ammessa dalla stessa e riconosciuta dal PT CP_2
Tribunale ma considerata irrilevante nella valutazione della responsabilità.
Il secondo motivo, invece, è volto a rettificare alcune imprecisioni riguardanti la ricostruzione della vicenda.
Anzitutto, viene contestata l'attribuzione di una valenza vincolante alle Linee Guida proposte da
OO: non ha mai accettato né le “Condizioni” ( in quanto non è un utente del browser PT
OO Chrome) nè le Linee Guida che hanno, infatti, la caratteristica di direttive “suggerite”.
Meritevole di censura è, altresì, l'interpretazione del legame tra e essendo, la prima, PT CP_3
un mero fornitore della seconda. , cioè, crea e gestisce servizi software/portali che PT CP_3
rivende ai propri clienti. Questi servizi sono erogati attraverso domini e sottodomini di proprietà esclusiva di (es. babyloncloud.it, yourbackup.babyloncloud.it, PT
vodafonedrive.babyloncloud.it), senza che vi sia alcun reindirizzamento effettivo a siti di terze parti che giustificherebbe l'applicazione delle Linee Guida in questione.
pagina 10 di 19 Quanto al sottodominio esso non contiene alcun tipo di rinvio o richiamo né a Email_7
né ad altri soggetti terzi. E ciò vale anche con riferimento agli altri due sottodomini CP_3
(yourbackup.babyloncloud.it e vodafonedrive.babyloncloud.it) le quali non contengono alcun logo, testo o riferimento a ma solo una customizzazione cromatica rossa. Relativamente, invece, CP_3
alla pagina con il logo Vodafone Drive, essa non è mai stata presente sui domini di ed è stata, PT
anzi, artificiosamente inserita da senza indicarne l'URL di provenienza, sostenendo che fosse CP_2
quanto appariva agli utenti che accedevano ai domini dell'attrice.
Meritevole di critica risultava, altresì, il funzionamento del sistema di notifica di OO “Search
Console” il quale, a detta dell'appellante, essendo una funzione “interna”, non è stato in grado di garantire una pronta conoscibilità del blocco del proprio sito né, dunque, una veloce risoluzione del problema. Nel caso di specie, infatti, apprendeva del blocco dai propri utenti e non dal sistema PT
OO, restando per ore all'oscuro delle motivazioni del blocco e dell'esistenza di procedure di ripristino.
Tale sistema di notifiche, fa presente parte appellante, è considerato illecito perché impone strumenti di comunicazione privati in luogo di quelli ufficiali ( la PEC) e prevede la pubblicazione dell'avviso su una pagina privata contemporaneamente all'apparizione delle maschere di avviso sul web, senza alcun preavviso ai proprietari dei siti.
Parte appellante lamenta, inoltre, che il Giudice di prime cure non abbia adeguatamente considerato le tempistiche eccessive impiegate da per rimuovere tutti i suoi domini dalla blacklist. CP_2
Quale terzo motivo di appello, l'appellante contesta radicalmente la valutazione del Tribunale sulla portata non diffamatoria degli avvisi I messaggi pubblicati, infatti, utilizzavano formulazioni CP_2 categoriche e assertive, non dubitative (“gli utenti malintenzionati presenti sul sito”, “OO
Navigazione Sicura ha rilevato di recente attività di phishing”, “sito NON SICURO”) presentando come fatti accertati circostanze rivelatesi poi completamente false.
Quale ultimo motivo di appello viene lamentato il mancato riconoscimento, da parte del Giudice di prime cure, del danno all'immagine e alla reputazione patito da . A sostegno l'appellante PT
richiama alcune pronunce che riconoscono alle persone giuridiche il diritto al risarcimento del danno non patrimoniale per lesioni all'immagine ammettendo la prova del danno reputazionale mediante presunzioni semplici.
Si costituisce sottolineando, con riguardo al primo motivo di appello, il corretto CP_2 funzionamento del sistema “Navigazione Sicura” il quale aveva identificato pagine di login CP_3
ospitate sul dominio senza le necessarie indicazioni suggerite dalle Linee Guida, con Parte_1
ciò giustificando l'intervento del sistema di sicurezza.
pagina 11 di 19 Quanto al secondo motivo di appello, lamenta una violazione dell'art. 345 c.p.c. avendo CP_2
contestato per la prima volta in appello una schermata con il logo “Vodafone Drive” Parte_1
prodotta da fin dalla sua comparsa di costituzione nel giudizio di primo grado. Inoltre, CP_2
come affermato dal giudice di prime cure, non poteva escludersi che tale schermata (presente sul manuale online " Vodafone Drive by Babylon Cloud” e, comunque, priva delle informazioni indicate nelle Linee Guida) potesse apparire anche in presenza di altre pagine prive del logo “ e CP_3
“semplicemente customizzate” di rosso.
Tanto le schermate quanto gli URL, per espressa ammissione di controparte, appartengono a PT
e, pertanto, "Navigazione Sicura" ha correttamente inserito il Dominio Avversario in black-list.
Riguardo alle Linee Guida, chiarisce che queste non hanno carattere vincolante ma CP_2
costituiscono raccomandazioni tecniche volte a evitare che siti ospitanti servizi di terzi vengano identificati come potenzialmente pericolosi.
Quanto al sistema Search Console, parte appellata evidenzia come sia lo stesso appellante a conferma di aver utilizzato tale strumento per presentare appello, dimostrando il corretto funzionamento del sistema di notifica.
Infine, in riferimento alle tempistiche di rimozione, OO documenta che gli intervalli di 11 e 48 ore sono stati estremamente rapidi rispetto agli standard ordinari che prevedono tempi di diversi giorni o settimane per la riconsiderazione.
Relativamente al terzo motivo, argomenta che l'avviso contestato utilizzava una formula CP_2
dubitativa e non impediva la navigazione agli utenti, limitandosi ad avvertire: “gli utenti malintenzionati potrebbero indurti con l'inganno a effettuare operazioni pericolose”. Tale formulazione non può integrare il reato di diffamazione, che richiede affermazioni ingiuriose e calunniose del tutto immotivate che vadano oltre la continenza espositiva. Nel caso di specie, l'avviso era motivato dalla presenza effettiva di pagine di login riferibili a terzi in assenza delle misure suggerite, rappresentando quindi una legittima misura di protezione degli utenti piuttosto che un'affermazione diffamatoria.
Sul quarto e ultimo motivo, relativo all'esclusione del danno all'immagine e alla reputazione, CP_2
evidenzia l'estrema vaghezza e mutevolezza delle allegazioni delle voci danno da parte di PT
.
[...]
sottolinea che, conformemente alla giurisprudenza di legittimità, il danno non patrimoniale CP_2
deve essere allegato e provato specificamente, non potendo essere presunto dalle circostanze.
All'udienza del 13 maggio 2025 il Consigliere Istruttore, visto l'art. 350 bis c.p.c., invitava le parti a precisare le proprie conclusioni e fissava per la discussione l'udienza del 10 giugno 2025, dando pagina 12 di 19 termine alle parti per note difensive sino al 30.5.2025 e per note sostitutive d'udienza cinque giorni prima dell'udienza fissata. Al 10.6.2025 la Corte, nella composizione d'udienza, decideva la causa in camera di consiglio.
MOTIVI DELLA DECISIONE
L'appello non può trovare accoglimento, per le ragioni di seguito esposte.
I primi tre motivi possono essere congiuntamente valutati, in quanto logicamente connessi.
Vengono in primo luogo esaminate le censure svolte col secondo motivo di appello, in quanto logicamente preliminari, essendo attinenti alla ricostruzione dei termini della vicenda sottoposta all'esame della Corte che, come correttamente rilevata dal Tribunale attiene alla “controversa dedotta illiceità della condotta tenuta da consistente nel temporaneo inserimento del dominio internet CP_2
della società attrice tra i siti potenzialmente pericolosi, e alla lamentata portata diffamatoria degli avvisi pubblicati sul sito dell'attrice” ( pag 4 sentenza, riportata nella pag 11 dell'appello).
Ai fini dell'inquadramento e qualificazione della domanda, deve preliminarmente rilevarsi che PT
ha agito, prima nei confronti di e successivamente alla chiamata, di , CP_1 CP_2
invocando una responsabilità di tipo extracontrattuale ex art 2043 c.c., circostanza pacifica che si rileva dalla domanda proposta in citazione di primo grado.
Pertanto è gravata dall'onere di provare la colpa o il dolo, ossia l'illiceità della condotta, il nesso causale ed il danno.
Ritiene questa Corte che l'attrice non abbia assolto all'onere probatorio inerente l'illiceità della condotta di , ossia il soggetto legittimato passivo CP_2
I profili che, ad avviso della Corte, sono stati specificamente contestati nei motivi di appello, attengono sia alla osservanza delle linee guida “Navigazione sicura ” di che al motivo per il quale tale CP_2
sistema ha temporaneamente bloccato il dominio di come sito potenzialmente pericoloso, e PT
quindi viene in considerazione la figura della “azienda terza”.
Nella comparsa di costituzione di ( pag 7) e nella successiva comparsa di costituzione di CP_1
viene fatto uno specifico riferimento proprio alle linee guida che vengono così illustrate CP_2
“Al fine di migliorare il servizio e fornire un'esperienza di navigazione sempre più sicura e affidabile, ha sviluppato, nel contesto di OO Chrome, la funzione denominata "Navigazione sicura" (o CP_2
"Safe Browsing", in inglese) al fine di proteggere gli utenti di tutto il web dagli attacchi di c.d. ingegneria sociale2 , identificando i siti potenzialmente non sicuri e informando tempestivamente utenti e proprietari di siti web del potenziale pericolo. Il c.d. phishing, che rileva nel presente procedimento, è un esempio di ingegneria sociale in cui gli utenti sono portati con l'inganno a rivelare informazioni pagina 13 di 19 confidenziali, quali le loro credenziali di accesso3 . Nello specifico, Navigazione Sicura fornisce protezione su tutti i prodotti OO aiutando a proteggere oltre cinque miliardi di dispositivi ogni giorno4 e mostrando avvisi agli utenti quando tentano di navigare verso siti potenzialmente pericolosi o di scaricare contenuti potenzialmente pericolosi” ( pag 7 comparsa Googlie Ireland).
Nella memoria 183, comma 6, n. 1 c.p.c così argomenta: “in secondo luogo, la tesi di OO PT circa l'automatismo del proprio sistema di protezione 'Safe Browse' si fonda, ancora una volta, su allegazioni del tutto generiche e, in ogni caso, su un sistema 'interno' che non usa e non ha PT
mai usato." Si rileva pertanto che non ha specificamente contestato la mancata accettazione PT
delle linee giuda, affermando solo il “non uso”.
Rileva pertanto questa Corte che correttamente il giudice ha affermato, a pagina 6 della sentenza che
“al riguardo l'attrice non ha contestato l'accettazione delle citate condizioni regolanti di servizio, comprensive delle richiamate linee guida” .
Deve quindi ritenersi che abbia accettato le linee guida, pur se poi la stessa afferma di non PT
averle mai usate. Ed è stata proprio questa circostanza, rileva questo Collegio, a determinare la pubblicazione degli avvisi oggetto di causa, per quanto oltre verrà indicato.
Anche sotto il profilo dell'onere probatorio, poichè ha accettato le linee guida, anche se non le PT
ha seguite per sua scelta imprenditoriale, è a dover provare di aver seguito le regole per evitare PT
di essere segnalata come pericolosa, onere che non ha assolto, come qui di seguito viene argomentato. mette a disposizione di tutti gli sviluppatori e gestori di siti web delle "Linee Guida",in questo CP_2
caso, le policy del programma OO Safe Browse. Queste regole servono a proteggere gli utenti da pratiche ingannevoli come il phishing e il social engineering (ingegneria sociale). Chiunque voglia che il proprio sito sia accessibile tramite i prodotti OO (come il browser Chrome) e indicizzato dal motore di ricerca, accetta implicitamente di rispettare queste regole. È vero che sono consigliate ma è anche vero che costituiscono un avvertimento che può così riassumersi: “se non vengono rispettate, potrebbe accadere questo”.
Quindi il tono usato nei messaggi è potenzialmente dannoso ma, in realtà, costituisce un avvertimento obbligatorio perché quando si trova di fronte ad una pagina che rinvia a pagine di terzi senza CP_2
spiegarne il rapporto, come è successo nel caso di specie, agisce di default, senza preoccuparsi se la pagina è in mano a “cybercriminali” o, come nel nostro caso, ad un'azienda. L'utente viene informato del fatto che i dati che inserisce nella pagina di A, vanno a reindirizzarti sulla pagina di B. Questo è proprio il meccanismo che governa il phishing. Le linee guida, pertanto, hanno un senso proprio in questa logica preventiva: visto che non non può stare a verificare se la pagina di CP_2
reindirizzamento appartiene a dei soggetti “cybercriminali”, le linee guida consigliano di chiarire pagina 14 di 19 sempre i rapporti che ci sono, così si evitano problemi di rilevamenti automatici di siti potenzialmente pericolosi, che in realtà non lo sono, come nel caso di specie.
Proprio con riferimento al secondo profilo ossia quello della “società terza” di reindirizzamento, e del motivo per il quale vi è stato l'automatismo del messaggio di potenziale pericolo, questa Corte osserva quanto segue.
Come correttamente eccepito nella comparsa di costituzione e risposta in appello da , CP_2
l'odierno appellante muove contestazioni alla schermata prodotta in primo grado nella comparsa di costituzione da e qui di seguito riprodotta CP_2
solo nel secondo motivo di appello, affermando che “ non è mai stata presente su alcuno dei domini di
Babylon….” (pag 21 appello), mentre nella memoria ex articolo 183 numero 1, depositata successivamente alla data della costituzione in giudizio di così contesta a pag 6 “Difatti, CP_2
innanzitutto è bene rilevare come i sistemi OO mai avrebbero potuto individuare alcun legale tra il dominio di (.babyloncloud.it) e legame di cui PT CP_3 controparte deve necessariamente aver appreso tramite la segnalazione effettuata dall'Attrice dopo il blocco del sito e che ora sta sfruttando a proprio vantaggio. Vero è che nel dominio in parola vi
è un servizio destinato agli utenti ma la totalità del software ed i domini utilizzati sono CP_3
interamente riferibili alla sola BabylonCloud, e non poteva essere identificato un dominio collegato diverso, perché non c'era e non c'è (!) Sicchè non si comprende cosa nello specifico avrebbe fatto attivare il servizio di sicurezza OO” senza fare alcun riferimento alla schermata prodotta.
La contestazione svolta in appello, che la schermata non fosse presente nei domini di , è PT
quindi tardiva. Come deve rilevarsi che, sempre nella comparsa di costituzione risposta in primo grado,
pagina 15 di 19 ha prodotto altresì la sottostante schermata, CP_2
che unitamente alla prima rappresentava gli “URL identificati da Navigazione Sicura come potenzialmente riconducibili ad attività di c.d. phishing, indirizzassero a pagine di accesso dedicate agli utenti della società non risultando chiara ai sistemi di protezione di Navigazione Sicura la CP_3
relazione tra l'azienda terza e il , il browser ha proceduto al "blocklisting" degli Controparte_5
URL ritenuti potenzialmente pericolosi per gli utenti, in applicazione delle Linee Guida per i servizi di terze parti (cfr. doc. 42), applicando al Dominio Avversario l'Avviso Contestato”(pag 10 e 11 comparsa
). CP_2
L'odierno appellante, sempre nella memoria 183 sesto comma numero 1, non ha preso il precipua posizione su tale schermata, salvo poi produrla anch'esso solo con la comparsa conclusionale ove afferma a pag 7 e 8 “ Si ribadisce però che i sistemi OO mai avrebbero potuto individuare alcun legame tra il dominio di e Vodafone2 né tantomeno un diverso dominio collegato, perché non PT
c'era e non c'è (!) Difatti - e qui è importante fare un chiarimento –diversamente da quanto vuol fare credere la difesa avversaria (cfr. pag. 10 comparsa ) non è assolutamente vero che dal CP_2
sito di gli utenti venivano reindirizzati a pagine Vodafone. I siti indicati come esempi da PT
OO (http://yourbackup.babyloncloud.ite https://yourbackup.babyloncloud.it) presentavano – e presentano tutt'ora - la seguente schermata:” e riproduce quella sopra riportata , così continuando nella argomentazione “ E, a ben guardare, non vi è da nessuna parte il nome di (!) La pagina è CP_3
semplicemente customizzata e dunque colorata di rosso;
ma non sono indicati né il nome della società terza né il logo e la pagina così come l'URL appartengono unicamente a . Dunque non si PT pagina 16 di 19 comprende come abbia fatto OO (o meglio, un bot automatico) ad individuare una relazione tra il dominio dell'attrice e l'azienda terza”.
Rileva la Corte che, come emerge dalle allegazioni difensive svolte in giudizio, sviluppa una PT
tecnologia (un servizio di cloud storage) e la fornisce a un'altra azienda, che nel caso in esame è
la quale la presenta ai propri clienti finali con il proprio marchio "Vodafone Cloud", CP_3
"Vodafone Drive". Il cliente finale non sa che la tecnologia sottostante è di ed ecco Parte_1
perché lo dichiara esplicitamente rendendo, così, evidente la partnership tecnologica: CP_3
"Vodafone Cloud, powered by ". Parte_1
Il rapporto quindi fra e è in questi termini: il produttore ( ) e il venditore PT CP_3 PT
( stringono un accordo commerciale: si impegna a fornire la sua tecnologia cloud e CP_3 PT
a garantirne il funzionamento;
prende la piattaforma di Babylon, la "veste" con il proprio CP_3
marchio e la integra nei suoi sistemi. Il vantaggio è duplice: vende il proprio prodotto ad una PT grande azienda e quest'ultima non necessita di fare ricerche tecnologiche interne per sviluppare una tecnologia che le è utile.
Quindi, ritiene la Corte, il servizio a cui si accede non è di ma di ed è pertanto PT CP_3
corretto parlare di terze parti con riferimento al sistema cloud di CP_3
Proprio l'esame delle duplici schermate sopra riprodotte, che non contengono alcun riferimento alla relazione fra ed il terzo consente di individuare il motivo per il quale vi è stato il Pt_2 CP_3
messaggio automatico di pericolo.
Sostiene l'appellante che nella seconda schermata sopra riprodotta non vi è alcun riferimento alla società e, nel secondo motivo d'appello, afferma che “la combinazione delle due schermate CP_3 in parola è fuorviante ed ha tratto in errore il giudice” (pag 19 appello).
Il tribunale così ha motivato “l'attrice, peraltro, solo con la propria comparsa conclusionale, ha prodotto l'ulteriore schermata che segue, sostenendo che non essendo indicato il nome della società ed essendo la pagina semplicemente customizzata e dunque colorata di rosso del tutto CP_3
erroneamente OO aveva rilevato la presenza di un potenziale pericolo. Sul punto si rileva che anche tale schermata, che non esclude la presenza sul sito della prima peraltro inclusa anche sul manuale online Vodafone Drive by Babylon Cloud, appare comunque priva delle informazioni indicate nelle linee guida trattandosi di una pagina di accesso ospitata sul dominio di che mostra il PT
logo della società ed è riconducibile, proprio per la descritta customizzazione, alla società CP_3
senza che siano fornite indicazioni circa il rapporto tra e . CP_3 Parte_1 CP_3
Indubbiamente, rileva questa Corte, il tribunale erroneamente afferma che questa seconda schermata mostra il logo della società che è notoriamente diverso. CP_3
pagina 17 di 19 Tuttavia si conviene con il giudice di prime cure nel rilevare che la riconducibilità al terzo è CP_3
dovuta alla customizzazione con la colorazione in rosso e comunque la riproposizione di un logo -ossia una nuvola con all'interno un aereo di carta- che è il medesimo della prima schermata riprodotta anche in questa sentenza, ove viene associata a 'Vodafone drive', senza alcuna indicazione del rapporto fra e Parte_1 CP_3
Anche sotto questo profilo, pertanto, la censura non può ritenersi fondata.
Da quanto precede si rileva anche l'infondatezza del primo motivo d'appello dal momento che il sistema di rilevamento automatico dei siti potenzialmente pericolosi, ha operato nel caso di specie non perché fosse realmente pericoloso il sito di , ma proprio per il reindirizzamento ad una parte PT
terza della quale non si conosceva il rapporto con , circostanza come detto imputabile a PT quest'ultima, che pur avendo accettato le linee guida che prevedono proprio una esplicita dichiarazione dei rapporti fra il titolare del sito e la parte terza di reindirizzamento, non ne ha mai fatto uso.
'E pertanto infondato, quale ulteriore conseguenza, ad avviso della Corte, anche il terzo motivo, con cui si contesta l'erronea esclusione della portata diffamatoria delle maschere di avviso.
Prestano inoltre assorbiti tutti gli ulteriori profili sollevati nei primi tre motivi d'appello, ossia quelli inerenti la tempistica della rimozione delle maschere di avviso, e la invocata irrilevanza per PT
del sistema interno “Search Console”.
Il tribunale, osserva la Corte, pur avendo rigetta rigettato la domanda con riferimento all'an debeatur, ha comunque motivato in relazione alla omessa prova del danno.
Ritiene questa Corte che la conferma della sentenza in relazione alla insussistenza di una condotta colposa in capo a in relazione alle schermate di pericolo apparse sui siti , CP_2 PT
determina comunque l'assorbimento del quarto motivo d'appello con cui si censura la sentenza per aver escluso la diffamazione e non rilevato e liquidato il danno all'immagine ed alla reputazione di . PT
L'appello non merita, quindi, accoglimento e viene rigettato, con conferma dell'impugnata ordinanza.
L'esito della lite vede la soccombenza dell'appellante, che viene quindi condannato ex art 91 c.p.c. alla rifusione delle spese processuali del grado in favore della controparte, liquidate come in dispositivo sulla base del vigente D.M. n. 147/2022, con riferimento al valore della causa come dichiarato ai fini del contributo unificato giudiziale (scaglione da € 269.000,01 ad € 520.000,00) in rapporto ai valori medi previsti stante la media difficoltà delle questioni trattate, escludendo dal computo la voce relativa alla fase istruttoria assente nel presente grado.
Non sussistono i presupposti per la condanna dell'appellante ex art. 96 c.p.c.
Viene, inoltre, dichiarata la sussistenza degli estremi di cui all'articolo 13 comma 1- quater del d.p.r. n.
115/2002 (così come inserito dall'articolo 1 co 17. D.228/12) per il versamento da parte dell'appellante pagina 18 di 19 dell'ulteriore importo a titolo di contributo unificato, pari a quello dovuto per l'appello a norma del comma 1-bis dello stesso art. 13.
P.Q.M.
La Corte d'Appello, definitivamente pronunciando sull'appello proposto da Parte_1
contro
E avverso la sentenza n. 6427/2024 Controparte_1 TR
pronunciata dal Tribunale di Milano in data 21 giugno 2024, così provvede:
1. Rigetta l'appello e per l'effetto conferma l'ordinanza impugnata;
2. Condanna l'appellante alla rifusione delle spese processuali del grado in favore della controparte liquidate in € 4.389,00 per fase di studio, € 2.552,00 per fase introduttiva ed €
7.298,00 per fase decisionale oltre 15% per rimborso spese forfettarie e accessori di legge;
3. Dichiara la sussistenza degli estremi di cui all'articolo 13 comma 1-quater del d.p.r. n. 115/2002
(così come inserito dall'articolo 1 co 17. D.228/12) per il versamento da parte dell'appellante dell'ulteriore importo a titolo di contributo unificato, pari a quello dovuto per l'appello a norma del comma 1-bis dello stesso art. 13.
Così deciso in Milano, nella Camera di Consiglio del 10.6.2025
Il Consigliere Estensore Il Presidente
Dott.ssa Giovanna Ferrero Dott. Carlo Maddaloni
pagina 19 di 19
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE D'APPELLO DI MILANO
Sezione seconda nelle persone dei seguenti magistrati:
Dott. Carlo Maddaloni Presidente
Dott. Giovanna Ferrero Consigliere rel.
Dott. Nicoletta Sommazzi Consigliere ha pronunciato la seguente
SENTENZA
nella causa iscritta al n.r.g. 3426/2024 promossa in grado d'appello
DA
P.IVA in persona del legale rappresentante pro tempore, Parte_1 P.IVA_1
con sede legale in Via Mentore Maggini n. 50 – Roma, rappresentata e difesa, in virtù di procura alle liti che si deposita telematicamente unitamente al presente atto, dall'Avv. Emilio Trucco del Foro di
Roma (C.F. ), che elegge domicilio presso il suo studio in Milano, Via C.F._1
Borghetto n. 3, ai sensi dell'art.176, comma secondo, c.p.c., il quale dichiara di voler ricevere le comunicazioni e le notifiche di legge al numero di fax 02/87251740, ovvero via posta certificata (PEC)
Email_1
APPELLANTE
CONTRO
con sede legale in Milano, Via Federico Confalonieri 4, in persona del Controparte_1
Presidente del Consiglio di Amministrazione e legale rappresentante pro tempore;
E
pagina 1 di 19 , con sede legale in Gordon House, Barrow Street, Dublino 4, Irlanda, TR
in persona del legale rappresentante pro tempore;
entrambe rappresentate e difese disgiuntamente dagli
Avv.ti Marco Berliri ( PEC ) e C.F._2 Email_2
Massimiliano Masnada ( ; PEC C.F._3
) del foro di Roma, nonché dagli Avv.ti Michele Email_3
Traversa ( ; PEC , Ambra Pacitti C.F._4 Email_4
( ; PEC e Giacomo Bertelli C.F._5 Email_5
( ; PEC del foro di Milano in virtù di procure generali C.F._6 Email_6
prodotte come All. A e All. B e di procura speciale in calce al presente atto, elettivamente domiciliate presso lo Studio Legale GA OV in Milano, Via Santa Maria alla Porta 2, fax 06.67582323;
APPELLATE
avente ad oggetto: altre ipotesi di responsabilità extracontrattuale non ricomprese nelle altre materie.
PER LA RIFORMA della sentenza n. 6427/2024 pronunciata dal Tribunale di Milano in data 21 giugno 2024 all'esito della causa R.G. n. 43067/2021.
Conclusioni:
Per Parte_1
“Voglia l'Ecc.ma Corte d'Appello adita, respinta ogni contraria istanza, eccezione e domanda, previa ogni declaratoria, così provvedere:
Nel merito in accoglimento dei motivi di appello e in riforma dell'appellata sentenza n. 6427/2024 pronunciata dal Tribunale di Milano in data 21 giugno 2024 all'esito della causa R.G. n. 43067/2021, accogliere integralmente le domande formulate da Parte Attrice e così in particolare: in via principale
- Accertare e dichiarare, per tutto quanto sopra rilevato, la piena responsabilità ex art 2043 c.c. di
(eventualmente anche in solido con per il danno ingiusto TR Controparte_1
arrecato all'Attrice con la propria condotta, e per l'effetto
- Condannare al risarcimento di tutti i danni non patrimoniali all'immagine e TR
alla reputazione, subìti da in conseguenza della temporanea pubblicazione Parte_1
online di maschere di avvisi di contenuto diffamatorio avvenuta il 21.06.2021, secondo ciò che sarà
pagina 2 di 19 ritenuto di giustizia in base ad una valutazione equitativa del Giudice, oltre gli interessi e la rivalutazione monetaria;
In via subordinata
- Nella denegata e non creduta ipotesi di rigetto della domanda attorea per carenza probatoria in merito alla quantificazione del risarcimento del danno richiesto, accertata comunque l'illiceità della condotta avversaria e così la piena responsabilità ex art 2043 c.c. di TR
(eventualmente anche in solido con per il danno ingiusto arrecato all'immagine e Controparte_1
alla reputazione dell'Attrice con la propria condotta, comunque condannare TR
(eventualmente anche in solido con ad un risarcimento simbolico per il Controparte_1
comportamento illegittimo posto in essere secondo ciò che sarà ritenuto di giustizia anche in base ad una valutazione equitativa del Giudice;
In via ulteriormente subordinata
- Ordinare, per i motivi spiegati, la pubblicazione della sentenza a cura e spese dell'appellante ex art.
120 c.p.c. In ogni caso
- Con vittoria di spese, compensi professionali ed accessori di legge di entrambi i gradi di giudizio”.
Per : Controparte_1 TR
“Voglia l'Ill.ma Corte d'Appello di Milano, respinta ogni istanza contraria, rigettare l'appello avversario in quanto inammissibile e/o infondato per i motivi riportati in narrativa e confermare, per
l'effetto, la sentenza n. 6427/2024 emessa dal Tribunale di Milano in data 21 giugno 2024”.
SVOLGIMENTO DEL PROCESSO
Quanto alla ricostruzione fattuale scrive il Tribunale: “Con atto di citazione ritualmente notificato,
ha citato in giudizio chiedendone l'accertamento della Parte_1 Controparte_1
responsabilità ex art. 2043 cod.civ. ed ex art. 595 commi 1 e 3 e 185 c.p. per averle arrecato un danno ingiusto attraverso il temporaneo inserimento del proprio dominio internet tra i siti considerati pericolosi, e quindi, per ottenere la condanna della convenuta al risarcimento dei danni cagionati dalla temporanea pubblicazione online di avvisi con contenuto asseritamente diffamatorio avvenuta il
21 giugno 2021, quantificati nella somma di 430.000 euro.
A sostegno delle proprie domande, la società attrice, svolgente attività di offerta di un servizio di cloud storage, ossia di conservazione di dati, ha dedotto che il 21 giugno 2021 il dominio babyloncloud.it era stato riconosciuto come sito pericoloso da parte dei servizi di sicurezza della convenuta e, quindi, da tutti i browser che a OO si appoggiano (doc. 8 ). Parte_1
pagina 3 di 19 In particolare, all'apertura dei siti web che insistono sul suddetto dominio, erano apparsi, per tutto il giorno, i seguenti messaggi di pericolo: “Gli utenti malintenzionati presenti sul sito user.babyloncloud.it potrebbero indurti con l'inganno a effettuare operazioni pericolose, come installare software o rivelare informazioni personali” e “La funzione OO Navigazione sicura ha rilevato di recente attività di phishing sul sito user.babyloncloud.it. I siti di phishing si spacciano per altri siti web per ingannarti.” (doc. 1 ). Benché si fosse attivata Parte_1 Parte_1
immediatamente per risolvere il problema, chiedendo a l'eliminazione degli avvisi, CP_1
l'accessibilità al sito internet era stata ripristinata solo tra le ore 19 e le 20 dello stesso giorno, mentre il dominio di terzo livello yourbackup.babyoncloud.it era stato rimosso dalla black-list solo due giorni dopo, tra le 19.00 e le 20.00 del 23 giugno 2021 (doc. 2 ). Parte_1
Sotto il profilo dell'illiceità della condotta censurata, l'attrice ha dedotto che la convenuta avrebbe inserito il dominio dell'attrice tra i siti pericolosi al fine di danneggiare l'immagine di Parte_1
a proprio vantaggio, considerato che si trova in concorrenza con analoghi servizi resi Parte_1
proprio da OO (in particolare, OO Drive) e che pertanto nella condotta di controparte sarebbe quindi ravvisabile un atto di concorrenza sleale ex art. 2598 cod.civ.
L'attrice ha altresì evidenziato che al momento dell'inserimento del proprio dominio all'interno della black-list di OO non vi erano elementi che potessero indurre a ritenere che la pagina web esponesse a malware o ridirigesse illegittimamente gli utenti su altri siti. Il dominio di , Parte_1
alla luce dei rilevamenti effettuati, era stato ritenuto altamente sicuro, e la società attrice, che era certificata ISO27001, si sottoponeva periodicamente a vulnerability assessment e penetration test
(docc. 4 e 5 ). Inoltre, a differenza di quanto accade nei casi in cui rilevi un'anomalia PT CP_2
o un pericolo, nel caso di specie, non sarebbe stato richiesto a alcun intervento PT Parte_1
correttivo.
Sotto il profilo del danno patito, ha dedotto che il temporaneo inserimento del proprio Parte_1
dominio internet all'interno della lista di siti considerati pericolosi da parte di aveva avuto CP_2
importanti ripercussioni sia sotto il profilo economico-commerciale, sia in termini di lesione del proprio diritto alla reputazione e all'immagine, in quanto le segnalazioni pubblicate online dalla convenuta avrebbero intaccato la considerazione che gli utenti avevano di , generando PT
pregiudizi nei suoi confronti.
La attrice ha in particolare evidenziato che, per oltre 11 ore, circa 50.000 utenti non avrebbero potuto accedere in sicurezza al dominio di parte attrice ritrovandosi a leggere avvisi che mettevano in dubbio
l'affidabilità della società. Secondo la prospettazione attorea, poiché i principali clienti della società sono grandi aziende nazionali e multinazionali che scelgono di acquisire o dismettere i servizi Cloud
pagina 4 di 19 sulla base di un lungo periodo di osservazione nel corso del quale valutano la sussistenza di un'alta affidabilità di servizio, la vicenda oggetto di causa aveva inciso sugli utili della società, determinando nel 2021 un rallentamento nella crescita dei profitti e la mancata acquisizione di ulteriori nuovi clienti.
Inoltre, la parte ha dedotto che la vicenda aveva allarmato un cliente importante quale e CP_3
reso necessari significativi investimenti in comunicazione per il ripristino della reputazione, nonché lo stallo di tutte le trattative in corso con nuovi clienti.
Con riferimento al quantum del danno, l'attrice ha prodotto un preventivo di spesa predisposto da
Botteega S.r.l. – Marketing Chili per una campagna di ripristino della brand reputation (doc. 9
), ritenuta necessaria per ripristinare una percezione positiva della società sia presso il PT
pubblico delle PMI sia nel settore Telco e Corporate Il danno patrimoniale è stato quindi quantificato nella somma di 280.000 euro, corrispondente alla spesa d sostenere per svolgere una campagna di ripristino della brand reputation, come da preventivo prodotto, oltre a 150.000 euro, a titolo di ristoro del danno per la mancata acquisizione di nuova clientela dopo la vicenda oggetto di giudizio.
Si è costituita eccependo il difetto di legittimazione passiva, e chiedendo l'accertamento CP_1
dell'infondatezza delle domande avversarie alla luce dell'estraneità della società al servizio oggetto di causa e, in ogni caso, in quanto infondate in fatto e in diritto.
La convenuta ha dedotto che il servizio “OO Chrome” per cui è causa, era fornito dalla società irlandese , mentre ha quale oggetto sociale la prestazione di TR CP_1
servizi di consulenza e assistenza nel settore pubblicitario e del marketing.
Nel merito, ha affermato la liceità della condotta denunciata, in quanto la stessa sarebbe CP_1
stata tenuta da nel rispetto di quanto previsto dal “Report Problemi di Sicurezza” e CP_2
dal “Rapporto sulla trasparenza di OO Navigazione Sicura”, al fine di tutelare gli utenti da un sito che appariva potenzialmente pericoloso.
Secondo la prospettazione della convenuta, , nel momento in cui informa il proprietario CP_2
del sito del fatto che quest'ultimo risulta compromesso o pericoloso, invita i proprietari dei siti web ad utilizzare il modulo disponibile se questi ritengono “che la funzione Navigazione sicura abbia classificato una pagina web in modo erroneo”, al fine di permettere a di effettuare un riesame CP_2
della sicurezza del sito potenzialmente pericoloso. Nel caso in esame , ricevuto l'avviso, Parte_1
dopo avere inviato una PEC alla società sbagliata, aveva avviato la procedura di richiesta di riesame
e ottenuto, in poche ore, la risoluzione del problema.
La convenuta ha poi dedotto che l'avviso mostrato agli utenti non poteva essere considerato diffamatorio in quanto, utilizzando una formula dubitativa, avvisa che “gli utenti malintenzionati potrebbero indurti con l'inganno a effettuare operazioni pericolose, come installare software o
pagina 5 di 19 rivelare informazioni personali” e che neppure poteva considerarsi sorretto da intenti discriminatorio nei confronti di , dal momento che riceveva numerose segnalazioni di potenziali PT CP_2
pericoli che vengono quotidianamente gestiti al fine di rendere sicura la navigazione su internet degli utenti .
ha, inoltre, allegato l'inesistenza di qualsiasi danno e del nesso causale, allegando la CP_1
genericità ed indeterminatezza della richiesta risarcitoria. L'assenza di prova in merito alla sussistenza stessa di un danno ed al nesso causale tra la condotta attribuita a e i presunti CP_2
danni, né sono stati indicati i criteri di determinazione criteri dei danni asseritamente subiti.
In seguito all'autorizzazione del Giudice alla chiamata in causa di , con atto di CP_2
citazione a integrazione del contraddittorio del 17 marzo 2022, ha convenuto in Parte_1
giudizio . TR
si è costituita in giudizio chiedendo il rigetto delle domande avversarie. CP_2
La convenuta riproposto la descrizione dei fatti già fornita da , evidenziando l'intervenuta CP_1
applicazione della disciplina prevista per il funzionamento del servizio “Navigazione sicura”, e che
ha azionato la procedura di richiesta di riesame e ottenuto in poco tempo la rimozione PT
dell'avviso contestato. La convenuta ha altresì affermato che non si è attenuta alle linee guida PT
fornite da ai proprietari di siti web e volte, oltre che allo sviluppo di siti web sicuri, anche alla CP_2
riduzione del rischio di blacklisting. Secondo la prospettazione della convenuta, il browser OO
Chrome, tramite la funzione “Navigazione Sicura”, aveva identificato alcuni URL ospitati dal dominio di parte attrice come potenziali siti di phishing, in quanto sul dominio di controparte erano ospitate delle pagine di terze parti che richiedevano i dati di accesso degli utenti.
Non risultando chiara ai sistemi di protezione di Navigazione Sicura la relazione tra l'azienda terza e il dominio di controparte, il browser aveva proceduto al “blocklisting” degli URL ritenuti potenzialmente pericolosi per gli utenti, in applicazione delle Linee Guida per i servizi di terze parti, pubblicando sul dominio di l'avviso contestato, senza tuttavia impedire l'accesso al dominio PT
avversario. La convenuta ha poi dedotto che, a fronte della segnalazione da parte di , Parte_1
aveva immediatamente risolto il problema e che in data 23 giugno 2021, a seguito del secondo appello dell'attrice relativo al diverso sottodominio “yourbackup.babyloncloud.it/”, aveva rimosso anche tale dominio dalla c.d. black-list di OO Chrome.
ha, quindi, contestato la dedotta antigiuridicità della condotta alla stessa attribuita, CP_2
allegando che l'intervento svolto aveva evitato che comportamenti illeciti potessero essere commessi sulla piattaforma e che, pertanto, si concretizzasse un danno nei confronti dei propri utenti. La parte
pagina 6 di 19 ha poi contestato la fondatezza della domanda risarcitoria, evidenziando l'assenza di prova sia del danno emergente, sia della dedotta perdita di clientela e di guadagno.
La causa, in seguito al deposito delle memorie ex art. 183 comma 6 c.p.c., è stata ritenuta matura per la decisione e, all'esito della precisazione delle conclusioni, è stata trattenuta in decisione con assegnazione dei termini previsti dall'art. 190 c.p.c.”.
Il Tribunale di Milano, in data 21 giugno 2024, con sentenza n. 6427/2024 così pronunciava
“- rigetta le domande svolte dall'attrice nei confronti di e Parte_1 Controparte_1
; TR
- condanna l'attrice alla rifusione in favore di e di alla Controparte_1 TR rifusione delle spese sostenute per il presente giudizio che si liquidano in complessivi € 22.426,95 per compensi, oltre rimborso forfettario, IVA (se non detraibile) e CPA come per legge”.
Accertava, anzitutto, la carenza di legittimazione passiva di rispetto al servizio OO CP_1
Chrome oggetto di causa, in quanto “come si evince dalla lettura dei 'Termini e condizioni del servizio', il servizio oggetto di causa è fornito in via esclusiva per lo dalla Controparte_4
società (doc. 1 ), come confermato anche dal doc. 2 prodotto dalla TR CP_1
convenuta , che contiene il link ad un modulo per segnalare eventuali errori nella CP_1
rilevazione di pericoli di phishing. non è, quindi, destinataria della pretesa creditoria CP_1
oggetto di causa, essendo unica titolare del rapporto dedotto in giudizio. TR
Occorre inoltre rilevare che a fronte dell'eccezione di , l'attrice non ha svolto difese sul CP_1 punto e non ha quindi fornito elementi che possano portare a diverse conclusioni”.
Quanto alla condotta di , il Tribunale sottolineava come essa non potesse essere CP_2
qualificata come illecita in quanto “l'inserimento del dominio di tra i siti pericolosi – Parte_1
cui è conseguita la pubblicazione dell'avviso oggetto di causa – consegue all'applicazione della procedura prevista per il funzionamento del servizio 'Navigazione sicura', sviluppato da CP_2
per proteggere gli utenti da siti potenzialmente pericolosi”.
[...]
Pur riconoscendo come pacifico che il sito di non fosse realmente pericoloso e che Parte_1
l'accusa di phishing fosse infondata, il Tribunale riteneva che non avesse rispettato le Parte_1
“Linee Guida per i servizi di terze parti”: il sito dell'odierna attrice ospitava, infatti, servizi di parti terze senza fornire le informazioni indicate dalle menzionate linee guida, il cui inserimento era consigliato da OO per scongiurare il rischio che il sito fosse “etichettato come ingegneria sociale”.
Le linee guida, accettate dalla società attrice, “suggerivano ai proprietari dei siti di dichiarare esplicitamente il rapporto esistente tra la parte proprietaria e la terza parte e di fornire anche un link
pagina 7 di 19 per ottenere ulteriori informazioni circa tali relazioni” raccomandazioni, queste, che non venivano seguite da . Parte_1
Nello specifico, sosteneva il Tribunale, la schermata prodotta da era priva di tali CP_2 informazioni. Inoltre, l'attrice non aveva contestato “l'accettazione delle citate condizioni regolanti il servizio, comprensive delle richiamate linee guida, ma nella memoria ex art. 183 comma 6 n.1 c.p.c. ha evidenziato che, poiché vende agli utenti il servizio , è naturale che gli utenti CP_3 Parte_1 eseguano il login direttamente sulle pagine di ”. PT
Quanto alla seconda schermata, prodotta solo con la comparsa conclusionale dall'attrice, anch'essa appariva priva delle informazioni indicate nelle Linee guida, trattandosi “di una pagina di accesso ospitata sul dominio di che mostra il logo della società ed è riconducibile, proprio PT CP_3 per la descritta “customizzazione”, alla società senza che siano fornite indicazioni circa il CP_3
rapporto tra e . Parte_1 CP_3
Proseguiva il Tribunale “[c]ome illustrato nella pagina “Report Problemi di sicurezza” della guida di
Search Console e nel “Rapporto sulla trasparenza di OO Navigazione sicura”, la funzionalità
“Navigazione Sicura”, proprio perché diretta a tutelare gli utenti da contenuti di c.d. phishing, individua siti web dall'aspetto simile ai siti web di riferimento, sulla base di testi o di immagini, e quindi anche sulla base di loghi, dai quali un utente potrebbe essere ingannato e portato a credere di interagire con il sito web legittimo (nel caso di specie, il sito web di . Quando il sistema CP_3
identifica un sito web come potenzialmente pericoloso, la funzionalità “Navigazione Sicura” include il dominio del sito web nella c.d. blacklist e mostra un avviso agli utenti che spiega brevemente perché il sito web a cui stanno provando ad accedere potrebbe essere pericoloso per i loro dispositivo e per i dati ivi contenuti (doc. 38 . Contestualmente, il servizio “Navigazione sicura” avvisa i CP_2
proprietari dei siti web e fornisce indicazioni per risolvere i problemi e chiedere il riesame del sito attraverso il Report “Problemi di sicurezza” (doc. 37 . Non avendo individuato le CP_2 CP_2
informazioni necessarie per accertare la relazione tra la società terza e il dominio di , il PT
sistema “Navigazione sicura” di OO, il 21 giugno 2021, ha correttamente proceduto al blocklisting degli URL potenzialmente pericolosi e ha pertanto, mostrato l'avviso contestato al fine di proteggere gli utenti dai rischi legati a possibili attività di phishing, senza comunque impedire l'accesso al dominio di parte attrice (doc.42 . CP_2
Riteneva, quindi, il Tribunale che il pericolo fosse stato correttamente segnalato a Parte_1
attraverso la piattaforma Search Console e che questa si fosse avvalsa di tale sistema per chiedere ed ottenere la rimozione dell'avviso. Pertanto, apparivano infondate le argomentazioni di circa PT
l'inidoneità del sistema di segnalazione fornito da CP_2
pagina 8 di 19 Quanto ai diversi tempi di rimozione, essi erano giustificati in ragione del fatto che l'appello iniziale del 21 giugno non concerneva specificamente il sottodominio yourbackup.babyloncloud.it, per il quale sarebbe stata necessaria una richiesta di revisione apposita ( in quanto non era tenuta a CP_2
conoscere quali fossero i sottodomini di ), e che tale sottodominio era stato rimosso il giorno PT
stesso della richiesta specifica (il 23 giugno).
Circa l'eccessiva lunghezza dei tempi di ripristino, il Tribunale rilevava che “l'appello relativo al sottodominio "yourbackup.babyloncloud.it/" è stato rimosso dalla c.d. black-list di OO Chrome nel giorno stesso in cui ha presentato la richiesta di riesame. In ogni caso, sul punto si deve PT
altresì rilevare che non ha dato prova di quale sia stato il danno causato dalla pubblicazione PT dell'avviso sul menzionato sottodominio: non è stato chiarito a quale schermata il sottodominio sbloccato solo il 23 giugno fosse effettivamente collegato”.
La condotta di sottolineava il Tribunale, non integrava il reato di diffamazione, poiché gli CP_2
avvisi non avevano portata offensiva, limitandosi a “mettere in evidenza la possibilità di un pericolo di phishing per gli utenti”.
Il Tribunale, infine, rigettava la richiesta di risarcimento avanzata da , non essendovi Parte_1
“adeguata prova né del danno, né dell'esistenza del nesso causale tra la condotta asseritamente lesiva tenuta da e i danni lamentati”. CP_2
Nello specifico, con riferimento al danno da lucro cessante, circa i rapporti con l'attrice si CP_3 era limitata a lamentare “un grande imbarazzo nonché la necessità di plurime rassicurazioni”, e pertanto, “a dedurre fatti che non sono indicativi di un concreto e serio pregiudizio valutabile in termini economici”. Era, altresì, certo che il rapporto con si proseguiva anche in seguito agli CP_3
eventi oggetto di causa.
Quanto, invece, ai rapporti con WindTre, veniva lamentato un danno “da ritardo nell'acquisizione causato dall'avviso oggetto di causa” che veniva sostenuto facendo riferimento ad uno scambio di mail da cui, tuttavia, non era desumibile alcun ritardo nelle trattative riconducibile alla vicenda.
Anche il riferimento all'andamento generale del fatturato, i bilanci mostravano una riduzione del tasso di crescita nel 2021 (30%) rispetto al 2020 (73%) che si rivelava, comunque, positiva. Con riferimento specifico al bilancio del 2021, il commento non menzionava l'incidente come causa della minore crescita, attribuendola invece a difficoltà globali del settore ICT.
In riferimento, invece, al danno emergente, il Tribunale rilevava una serie di incongruenze nel contenuto dei documenti prodotti che, inoltre, erano: i docc. 9, 17 e 19 costituiti esclusivamente da preventivi e prospetti formati dalla stessa società attrice, come tali, inidonei a fornire la prova degli pagina 9 di 19 effettivi esborsi;
il doc. 16, invece, faceva riferimento a fatture emesse da società diverse da Botteega
s.r.l.
La produzione, poi, di contratti a tempo indeterminato, presentati per dimostrare un aumento dei costi di comunicazione, venivano considerati non legati specificamente all'incidente ma, piuttosto, alla normale crescita aziendale. Inoltre, alcuni di essi erano successivi ai fatti o, addirittura, precedenti e le mansioni descritte non sembravano mirate a risolvere problemi specifici derivanti dalla segnalazione.
Infine, con riferimento al danno non patrimoniale asseritamente patito dall'attrice, il Tribunale rilevava il carattere generico delle allegazioni e richiamava il consolidato orientamento della giurisprudenza di legittimità secondo cui il danno alla reputazione di una persona giuridica non è “in re ipsa” ma deve essere concretamente provato come una diminuzione della considerazione dell'ente.
Il post pubblicato su LinkedIn dal legale rappresentante di , pubblicato per “spiegare la totale PT
estraneità di alle accuse mosse dalla convenuta e tranquillizzare gli utenti “non è stato PT
ritenuto sufficiente a dimostrare il danno, né è stata fornita prova delle numerose segnalazioni che avrebbero motivato tale azione.
Tale danno veniva, altresì, escluso dal fatto che la società aveva continuato ad acquisire nuovi clienti e ad accrescere il proprio fatturato anche dopo la vicenda in esame.
Avverso tale pronuncia propone appello con atto di citazione notificato il Parte_1
5.12.2024, lamentando, quale primo motivo di appello, come il giudice non abbia attribuito la giusta rilevanza alle false affermazioni pubblicate da OO. Difatti, è pacifico che non è mai stata rilevata alcuna attività illecita sui siti di , circostanza ammessa dalla stessa e riconosciuta dal PT CP_2
Tribunale ma considerata irrilevante nella valutazione della responsabilità.
Il secondo motivo, invece, è volto a rettificare alcune imprecisioni riguardanti la ricostruzione della vicenda.
Anzitutto, viene contestata l'attribuzione di una valenza vincolante alle Linee Guida proposte da
OO: non ha mai accettato né le “Condizioni” ( in quanto non è un utente del browser PT
OO Chrome) nè le Linee Guida che hanno, infatti, la caratteristica di direttive “suggerite”.
Meritevole di censura è, altresì, l'interpretazione del legame tra e essendo, la prima, PT CP_3
un mero fornitore della seconda. , cioè, crea e gestisce servizi software/portali che PT CP_3
rivende ai propri clienti. Questi servizi sono erogati attraverso domini e sottodomini di proprietà esclusiva di (es. babyloncloud.it, yourbackup.babyloncloud.it, PT
vodafonedrive.babyloncloud.it), senza che vi sia alcun reindirizzamento effettivo a siti di terze parti che giustificherebbe l'applicazione delle Linee Guida in questione.
pagina 10 di 19 Quanto al sottodominio esso non contiene alcun tipo di rinvio o richiamo né a Email_7
né ad altri soggetti terzi. E ciò vale anche con riferimento agli altri due sottodomini CP_3
(yourbackup.babyloncloud.it e vodafonedrive.babyloncloud.it) le quali non contengono alcun logo, testo o riferimento a ma solo una customizzazione cromatica rossa. Relativamente, invece, CP_3
alla pagina con il logo Vodafone Drive, essa non è mai stata presente sui domini di ed è stata, PT
anzi, artificiosamente inserita da senza indicarne l'URL di provenienza, sostenendo che fosse CP_2
quanto appariva agli utenti che accedevano ai domini dell'attrice.
Meritevole di critica risultava, altresì, il funzionamento del sistema di notifica di OO “Search
Console” il quale, a detta dell'appellante, essendo una funzione “interna”, non è stato in grado di garantire una pronta conoscibilità del blocco del proprio sito né, dunque, una veloce risoluzione del problema. Nel caso di specie, infatti, apprendeva del blocco dai propri utenti e non dal sistema PT
OO, restando per ore all'oscuro delle motivazioni del blocco e dell'esistenza di procedure di ripristino.
Tale sistema di notifiche, fa presente parte appellante, è considerato illecito perché impone strumenti di comunicazione privati in luogo di quelli ufficiali ( la PEC) e prevede la pubblicazione dell'avviso su una pagina privata contemporaneamente all'apparizione delle maschere di avviso sul web, senza alcun preavviso ai proprietari dei siti.
Parte appellante lamenta, inoltre, che il Giudice di prime cure non abbia adeguatamente considerato le tempistiche eccessive impiegate da per rimuovere tutti i suoi domini dalla blacklist. CP_2
Quale terzo motivo di appello, l'appellante contesta radicalmente la valutazione del Tribunale sulla portata non diffamatoria degli avvisi I messaggi pubblicati, infatti, utilizzavano formulazioni CP_2 categoriche e assertive, non dubitative (“gli utenti malintenzionati presenti sul sito”, “OO
Navigazione Sicura ha rilevato di recente attività di phishing”, “sito NON SICURO”) presentando come fatti accertati circostanze rivelatesi poi completamente false.
Quale ultimo motivo di appello viene lamentato il mancato riconoscimento, da parte del Giudice di prime cure, del danno all'immagine e alla reputazione patito da . A sostegno l'appellante PT
richiama alcune pronunce che riconoscono alle persone giuridiche il diritto al risarcimento del danno non patrimoniale per lesioni all'immagine ammettendo la prova del danno reputazionale mediante presunzioni semplici.
Si costituisce sottolineando, con riguardo al primo motivo di appello, il corretto CP_2 funzionamento del sistema “Navigazione Sicura” il quale aveva identificato pagine di login CP_3
ospitate sul dominio senza le necessarie indicazioni suggerite dalle Linee Guida, con Parte_1
ciò giustificando l'intervento del sistema di sicurezza.
pagina 11 di 19 Quanto al secondo motivo di appello, lamenta una violazione dell'art. 345 c.p.c. avendo CP_2
contestato per la prima volta in appello una schermata con il logo “Vodafone Drive” Parte_1
prodotta da fin dalla sua comparsa di costituzione nel giudizio di primo grado. Inoltre, CP_2
come affermato dal giudice di prime cure, non poteva escludersi che tale schermata (presente sul manuale online " Vodafone Drive by Babylon Cloud” e, comunque, priva delle informazioni indicate nelle Linee Guida) potesse apparire anche in presenza di altre pagine prive del logo “ e CP_3
“semplicemente customizzate” di rosso.
Tanto le schermate quanto gli URL, per espressa ammissione di controparte, appartengono a PT
e, pertanto, "Navigazione Sicura" ha correttamente inserito il Dominio Avversario in black-list.
Riguardo alle Linee Guida, chiarisce che queste non hanno carattere vincolante ma CP_2
costituiscono raccomandazioni tecniche volte a evitare che siti ospitanti servizi di terzi vengano identificati come potenzialmente pericolosi.
Quanto al sistema Search Console, parte appellata evidenzia come sia lo stesso appellante a conferma di aver utilizzato tale strumento per presentare appello, dimostrando il corretto funzionamento del sistema di notifica.
Infine, in riferimento alle tempistiche di rimozione, OO documenta che gli intervalli di 11 e 48 ore sono stati estremamente rapidi rispetto agli standard ordinari che prevedono tempi di diversi giorni o settimane per la riconsiderazione.
Relativamente al terzo motivo, argomenta che l'avviso contestato utilizzava una formula CP_2
dubitativa e non impediva la navigazione agli utenti, limitandosi ad avvertire: “gli utenti malintenzionati potrebbero indurti con l'inganno a effettuare operazioni pericolose”. Tale formulazione non può integrare il reato di diffamazione, che richiede affermazioni ingiuriose e calunniose del tutto immotivate che vadano oltre la continenza espositiva. Nel caso di specie, l'avviso era motivato dalla presenza effettiva di pagine di login riferibili a terzi in assenza delle misure suggerite, rappresentando quindi una legittima misura di protezione degli utenti piuttosto che un'affermazione diffamatoria.
Sul quarto e ultimo motivo, relativo all'esclusione del danno all'immagine e alla reputazione, CP_2
evidenzia l'estrema vaghezza e mutevolezza delle allegazioni delle voci danno da parte di PT
.
[...]
sottolinea che, conformemente alla giurisprudenza di legittimità, il danno non patrimoniale CP_2
deve essere allegato e provato specificamente, non potendo essere presunto dalle circostanze.
All'udienza del 13 maggio 2025 il Consigliere Istruttore, visto l'art. 350 bis c.p.c., invitava le parti a precisare le proprie conclusioni e fissava per la discussione l'udienza del 10 giugno 2025, dando pagina 12 di 19 termine alle parti per note difensive sino al 30.5.2025 e per note sostitutive d'udienza cinque giorni prima dell'udienza fissata. Al 10.6.2025 la Corte, nella composizione d'udienza, decideva la causa in camera di consiglio.
MOTIVI DELLA DECISIONE
L'appello non può trovare accoglimento, per le ragioni di seguito esposte.
I primi tre motivi possono essere congiuntamente valutati, in quanto logicamente connessi.
Vengono in primo luogo esaminate le censure svolte col secondo motivo di appello, in quanto logicamente preliminari, essendo attinenti alla ricostruzione dei termini della vicenda sottoposta all'esame della Corte che, come correttamente rilevata dal Tribunale attiene alla “controversa dedotta illiceità della condotta tenuta da consistente nel temporaneo inserimento del dominio internet CP_2
della società attrice tra i siti potenzialmente pericolosi, e alla lamentata portata diffamatoria degli avvisi pubblicati sul sito dell'attrice” ( pag 4 sentenza, riportata nella pag 11 dell'appello).
Ai fini dell'inquadramento e qualificazione della domanda, deve preliminarmente rilevarsi che PT
ha agito, prima nei confronti di e successivamente alla chiamata, di , CP_1 CP_2
invocando una responsabilità di tipo extracontrattuale ex art 2043 c.c., circostanza pacifica che si rileva dalla domanda proposta in citazione di primo grado.
Pertanto è gravata dall'onere di provare la colpa o il dolo, ossia l'illiceità della condotta, il nesso causale ed il danno.
Ritiene questa Corte che l'attrice non abbia assolto all'onere probatorio inerente l'illiceità della condotta di , ossia il soggetto legittimato passivo CP_2
I profili che, ad avviso della Corte, sono stati specificamente contestati nei motivi di appello, attengono sia alla osservanza delle linee guida “Navigazione sicura ” di che al motivo per il quale tale CP_2
sistema ha temporaneamente bloccato il dominio di come sito potenzialmente pericoloso, e PT
quindi viene in considerazione la figura della “azienda terza”.
Nella comparsa di costituzione di ( pag 7) e nella successiva comparsa di costituzione di CP_1
viene fatto uno specifico riferimento proprio alle linee guida che vengono così illustrate CP_2
“Al fine di migliorare il servizio e fornire un'esperienza di navigazione sempre più sicura e affidabile, ha sviluppato, nel contesto di OO Chrome, la funzione denominata "Navigazione sicura" (o CP_2
"Safe Browsing", in inglese) al fine di proteggere gli utenti di tutto il web dagli attacchi di c.d. ingegneria sociale2 , identificando i siti potenzialmente non sicuri e informando tempestivamente utenti e proprietari di siti web del potenziale pericolo. Il c.d. phishing, che rileva nel presente procedimento, è un esempio di ingegneria sociale in cui gli utenti sono portati con l'inganno a rivelare informazioni pagina 13 di 19 confidenziali, quali le loro credenziali di accesso3 . Nello specifico, Navigazione Sicura fornisce protezione su tutti i prodotti OO aiutando a proteggere oltre cinque miliardi di dispositivi ogni giorno4 e mostrando avvisi agli utenti quando tentano di navigare verso siti potenzialmente pericolosi o di scaricare contenuti potenzialmente pericolosi” ( pag 7 comparsa Googlie Ireland).
Nella memoria 183, comma 6, n. 1 c.p.c così argomenta: “in secondo luogo, la tesi di OO PT circa l'automatismo del proprio sistema di protezione 'Safe Browse' si fonda, ancora una volta, su allegazioni del tutto generiche e, in ogni caso, su un sistema 'interno' che non usa e non ha PT
mai usato." Si rileva pertanto che non ha specificamente contestato la mancata accettazione PT
delle linee giuda, affermando solo il “non uso”.
Rileva pertanto questa Corte che correttamente il giudice ha affermato, a pagina 6 della sentenza che
“al riguardo l'attrice non ha contestato l'accettazione delle citate condizioni regolanti di servizio, comprensive delle richiamate linee guida” .
Deve quindi ritenersi che abbia accettato le linee guida, pur se poi la stessa afferma di non PT
averle mai usate. Ed è stata proprio questa circostanza, rileva questo Collegio, a determinare la pubblicazione degli avvisi oggetto di causa, per quanto oltre verrà indicato.
Anche sotto il profilo dell'onere probatorio, poichè ha accettato le linee guida, anche se non le PT
ha seguite per sua scelta imprenditoriale, è a dover provare di aver seguito le regole per evitare PT
di essere segnalata come pericolosa, onere che non ha assolto, come qui di seguito viene argomentato. mette a disposizione di tutti gli sviluppatori e gestori di siti web delle "Linee Guida",in questo CP_2
caso, le policy del programma OO Safe Browse. Queste regole servono a proteggere gli utenti da pratiche ingannevoli come il phishing e il social engineering (ingegneria sociale). Chiunque voglia che il proprio sito sia accessibile tramite i prodotti OO (come il browser Chrome) e indicizzato dal motore di ricerca, accetta implicitamente di rispettare queste regole. È vero che sono consigliate ma è anche vero che costituiscono un avvertimento che può così riassumersi: “se non vengono rispettate, potrebbe accadere questo”.
Quindi il tono usato nei messaggi è potenzialmente dannoso ma, in realtà, costituisce un avvertimento obbligatorio perché quando si trova di fronte ad una pagina che rinvia a pagine di terzi senza CP_2
spiegarne il rapporto, come è successo nel caso di specie, agisce di default, senza preoccuparsi se la pagina è in mano a “cybercriminali” o, come nel nostro caso, ad un'azienda. L'utente viene informato del fatto che i dati che inserisce nella pagina di A, vanno a reindirizzarti sulla pagina di B. Questo è proprio il meccanismo che governa il phishing. Le linee guida, pertanto, hanno un senso proprio in questa logica preventiva: visto che non non può stare a verificare se la pagina di CP_2
reindirizzamento appartiene a dei soggetti “cybercriminali”, le linee guida consigliano di chiarire pagina 14 di 19 sempre i rapporti che ci sono, così si evitano problemi di rilevamenti automatici di siti potenzialmente pericolosi, che in realtà non lo sono, come nel caso di specie.
Proprio con riferimento al secondo profilo ossia quello della “società terza” di reindirizzamento, e del motivo per il quale vi è stato l'automatismo del messaggio di potenziale pericolo, questa Corte osserva quanto segue.
Come correttamente eccepito nella comparsa di costituzione e risposta in appello da , CP_2
l'odierno appellante muove contestazioni alla schermata prodotta in primo grado nella comparsa di costituzione da e qui di seguito riprodotta CP_2
solo nel secondo motivo di appello, affermando che “ non è mai stata presente su alcuno dei domini di
Babylon….” (pag 21 appello), mentre nella memoria ex articolo 183 numero 1, depositata successivamente alla data della costituzione in giudizio di così contesta a pag 6 “Difatti, CP_2
innanzitutto è bene rilevare come i sistemi OO mai avrebbero potuto individuare alcun legale tra il dominio di (.babyloncloud.it) e legame di cui PT CP_3 controparte deve necessariamente aver appreso tramite la segnalazione effettuata dall'Attrice dopo il blocco del sito e che ora sta sfruttando a proprio vantaggio. Vero è che nel dominio in parola vi
è un servizio destinato agli utenti ma la totalità del software ed i domini utilizzati sono CP_3
interamente riferibili alla sola BabylonCloud, e non poteva essere identificato un dominio collegato diverso, perché non c'era e non c'è (!) Sicchè non si comprende cosa nello specifico avrebbe fatto attivare il servizio di sicurezza OO” senza fare alcun riferimento alla schermata prodotta.
La contestazione svolta in appello, che la schermata non fosse presente nei domini di , è PT
quindi tardiva. Come deve rilevarsi che, sempre nella comparsa di costituzione risposta in primo grado,
pagina 15 di 19 ha prodotto altresì la sottostante schermata, CP_2
che unitamente alla prima rappresentava gli “URL identificati da Navigazione Sicura come potenzialmente riconducibili ad attività di c.d. phishing, indirizzassero a pagine di accesso dedicate agli utenti della società non risultando chiara ai sistemi di protezione di Navigazione Sicura la CP_3
relazione tra l'azienda terza e il , il browser ha proceduto al "blocklisting" degli Controparte_5
URL ritenuti potenzialmente pericolosi per gli utenti, in applicazione delle Linee Guida per i servizi di terze parti (cfr. doc. 42), applicando al Dominio Avversario l'Avviso Contestato”(pag 10 e 11 comparsa
). CP_2
L'odierno appellante, sempre nella memoria 183 sesto comma numero 1, non ha preso il precipua posizione su tale schermata, salvo poi produrla anch'esso solo con la comparsa conclusionale ove afferma a pag 7 e 8 “ Si ribadisce però che i sistemi OO mai avrebbero potuto individuare alcun legame tra il dominio di e Vodafone2 né tantomeno un diverso dominio collegato, perché non PT
c'era e non c'è (!) Difatti - e qui è importante fare un chiarimento –diversamente da quanto vuol fare credere la difesa avversaria (cfr. pag. 10 comparsa ) non è assolutamente vero che dal CP_2
sito di gli utenti venivano reindirizzati a pagine Vodafone. I siti indicati come esempi da PT
OO (http://yourbackup.babyloncloud.ite https://yourbackup.babyloncloud.it) presentavano – e presentano tutt'ora - la seguente schermata:” e riproduce quella sopra riportata , così continuando nella argomentazione “ E, a ben guardare, non vi è da nessuna parte il nome di (!) La pagina è CP_3
semplicemente customizzata e dunque colorata di rosso;
ma non sono indicati né il nome della società terza né il logo e la pagina così come l'URL appartengono unicamente a . Dunque non si PT pagina 16 di 19 comprende come abbia fatto OO (o meglio, un bot automatico) ad individuare una relazione tra il dominio dell'attrice e l'azienda terza”.
Rileva la Corte che, come emerge dalle allegazioni difensive svolte in giudizio, sviluppa una PT
tecnologia (un servizio di cloud storage) e la fornisce a un'altra azienda, che nel caso in esame è
la quale la presenta ai propri clienti finali con il proprio marchio "Vodafone Cloud", CP_3
"Vodafone Drive". Il cliente finale non sa che la tecnologia sottostante è di ed ecco Parte_1
perché lo dichiara esplicitamente rendendo, così, evidente la partnership tecnologica: CP_3
"Vodafone Cloud, powered by ". Parte_1
Il rapporto quindi fra e è in questi termini: il produttore ( ) e il venditore PT CP_3 PT
( stringono un accordo commerciale: si impegna a fornire la sua tecnologia cloud e CP_3 PT
a garantirne il funzionamento;
prende la piattaforma di Babylon, la "veste" con il proprio CP_3
marchio e la integra nei suoi sistemi. Il vantaggio è duplice: vende il proprio prodotto ad una PT grande azienda e quest'ultima non necessita di fare ricerche tecnologiche interne per sviluppare una tecnologia che le è utile.
Quindi, ritiene la Corte, il servizio a cui si accede non è di ma di ed è pertanto PT CP_3
corretto parlare di terze parti con riferimento al sistema cloud di CP_3
Proprio l'esame delle duplici schermate sopra riprodotte, che non contengono alcun riferimento alla relazione fra ed il terzo consente di individuare il motivo per il quale vi è stato il Pt_2 CP_3
messaggio automatico di pericolo.
Sostiene l'appellante che nella seconda schermata sopra riprodotta non vi è alcun riferimento alla società e, nel secondo motivo d'appello, afferma che “la combinazione delle due schermate CP_3 in parola è fuorviante ed ha tratto in errore il giudice” (pag 19 appello).
Il tribunale così ha motivato “l'attrice, peraltro, solo con la propria comparsa conclusionale, ha prodotto l'ulteriore schermata che segue, sostenendo che non essendo indicato il nome della società ed essendo la pagina semplicemente customizzata e dunque colorata di rosso del tutto CP_3
erroneamente OO aveva rilevato la presenza di un potenziale pericolo. Sul punto si rileva che anche tale schermata, che non esclude la presenza sul sito della prima peraltro inclusa anche sul manuale online Vodafone Drive by Babylon Cloud, appare comunque priva delle informazioni indicate nelle linee guida trattandosi di una pagina di accesso ospitata sul dominio di che mostra il PT
logo della società ed è riconducibile, proprio per la descritta customizzazione, alla società CP_3
senza che siano fornite indicazioni circa il rapporto tra e . CP_3 Parte_1 CP_3
Indubbiamente, rileva questa Corte, il tribunale erroneamente afferma che questa seconda schermata mostra il logo della società che è notoriamente diverso. CP_3
pagina 17 di 19 Tuttavia si conviene con il giudice di prime cure nel rilevare che la riconducibilità al terzo è CP_3
dovuta alla customizzazione con la colorazione in rosso e comunque la riproposizione di un logo -ossia una nuvola con all'interno un aereo di carta- che è il medesimo della prima schermata riprodotta anche in questa sentenza, ove viene associata a 'Vodafone drive', senza alcuna indicazione del rapporto fra e Parte_1 CP_3
Anche sotto questo profilo, pertanto, la censura non può ritenersi fondata.
Da quanto precede si rileva anche l'infondatezza del primo motivo d'appello dal momento che il sistema di rilevamento automatico dei siti potenzialmente pericolosi, ha operato nel caso di specie non perché fosse realmente pericoloso il sito di , ma proprio per il reindirizzamento ad una parte PT
terza della quale non si conosceva il rapporto con , circostanza come detto imputabile a PT quest'ultima, che pur avendo accettato le linee guida che prevedono proprio una esplicita dichiarazione dei rapporti fra il titolare del sito e la parte terza di reindirizzamento, non ne ha mai fatto uso.
'E pertanto infondato, quale ulteriore conseguenza, ad avviso della Corte, anche il terzo motivo, con cui si contesta l'erronea esclusione della portata diffamatoria delle maschere di avviso.
Prestano inoltre assorbiti tutti gli ulteriori profili sollevati nei primi tre motivi d'appello, ossia quelli inerenti la tempistica della rimozione delle maschere di avviso, e la invocata irrilevanza per PT
del sistema interno “Search Console”.
Il tribunale, osserva la Corte, pur avendo rigetta rigettato la domanda con riferimento all'an debeatur, ha comunque motivato in relazione alla omessa prova del danno.
Ritiene questa Corte che la conferma della sentenza in relazione alla insussistenza di una condotta colposa in capo a in relazione alle schermate di pericolo apparse sui siti , CP_2 PT
determina comunque l'assorbimento del quarto motivo d'appello con cui si censura la sentenza per aver escluso la diffamazione e non rilevato e liquidato il danno all'immagine ed alla reputazione di . PT
L'appello non merita, quindi, accoglimento e viene rigettato, con conferma dell'impugnata ordinanza.
L'esito della lite vede la soccombenza dell'appellante, che viene quindi condannato ex art 91 c.p.c. alla rifusione delle spese processuali del grado in favore della controparte, liquidate come in dispositivo sulla base del vigente D.M. n. 147/2022, con riferimento al valore della causa come dichiarato ai fini del contributo unificato giudiziale (scaglione da € 269.000,01 ad € 520.000,00) in rapporto ai valori medi previsti stante la media difficoltà delle questioni trattate, escludendo dal computo la voce relativa alla fase istruttoria assente nel presente grado.
Non sussistono i presupposti per la condanna dell'appellante ex art. 96 c.p.c.
Viene, inoltre, dichiarata la sussistenza degli estremi di cui all'articolo 13 comma 1- quater del d.p.r. n.
115/2002 (così come inserito dall'articolo 1 co 17. D.228/12) per il versamento da parte dell'appellante pagina 18 di 19 dell'ulteriore importo a titolo di contributo unificato, pari a quello dovuto per l'appello a norma del comma 1-bis dello stesso art. 13.
P.Q.M.
La Corte d'Appello, definitivamente pronunciando sull'appello proposto da Parte_1
contro
E avverso la sentenza n. 6427/2024 Controparte_1 TR
pronunciata dal Tribunale di Milano in data 21 giugno 2024, così provvede:
1. Rigetta l'appello e per l'effetto conferma l'ordinanza impugnata;
2. Condanna l'appellante alla rifusione delle spese processuali del grado in favore della controparte liquidate in € 4.389,00 per fase di studio, € 2.552,00 per fase introduttiva ed €
7.298,00 per fase decisionale oltre 15% per rimborso spese forfettarie e accessori di legge;
3. Dichiara la sussistenza degli estremi di cui all'articolo 13 comma 1-quater del d.p.r. n. 115/2002
(così come inserito dall'articolo 1 co 17. D.228/12) per il versamento da parte dell'appellante dell'ulteriore importo a titolo di contributo unificato, pari a quello dovuto per l'appello a norma del comma 1-bis dello stesso art. 13.
Così deciso in Milano, nella Camera di Consiglio del 10.6.2025
Il Consigliere Estensore Il Presidente
Dott.ssa Giovanna Ferrero Dott. Carlo Maddaloni
pagina 19 di 19