REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE DI APPELLO DI BOLOGNA
Sezione II Civile
Riunita in Camera di Consiglio nelle persone dei seguenti Magistrati
- dott. Mariacolomba Giuliano Presidente
- dott. Pietro Iovino Consigliere
- avv. Eugenia Capano Giudice Ausiliario Relatore
Esaminati gli atti ha pronunciato la seguente
SENTENZA nella causa civile di appello iscritta al n. r.g. 42/2024 promossa da:
(P.IVA ) in persona del legale rappresentante p.t., rappresentato e Parte_1 P.IVA_1 difeso dall'Avv. Prof. Stefano D'Ercole, con domicilio eletto presso lo studio del difensore in Via in Arcione n.71 Roma
- Appellante -
(P.IVA ), in persona del legale rappresentante p.t., rappresentato CP_1 P.IVA_2 e difeso dall'Avv. David Giuseppe Apolloni, con domicilio eletto presso lo studio del difensore in Via Conca d'Oro n. 285 Roma
- Appellata/ App incidentale –
(CF , rappresentato e difeso dagli Avv.ti Tatiana Controparte_2 C.F._1 Ruggerini e Romina Ruggerini, con domicilio eletto presso lo studio del primo difensore in Viale J.F. Kennedy n. 20/O Viadana
-Appellato –
In punto di: appello avverso la Sentenza del Tribunale di Reggio Emilia n.965 dell'1/9/2023
CONCLUSIONI
Le parti hanno precisato le rispettive conclusioni, da intendersi richiamate, come da note depositate telematicamente ai sensi dell'art 127 ter cpc
LA CORTE
pagina 1 di 9 udita la relazione della causa riferita dal relatore G.A. avv. Eugenia Capano;
udita la lettura delle conclusioni prese dai procuratori delle parti;
letti ed esaminati gli atti e i documenti del processo, ha così deciso:
SVOLGIMENTO DEL PROCESSO
Con la sentenza impugnata il Tribunale di Reggio Emilia ha accolto la domanda proposta dall'ing nei confronti di volta a sentirsi rimborsare la somma Controparte_2 CP_1 illecitamente sottratta dal proprio conto corrente da parte di terzi truffatori attuata attraverso la frode informatica denominata “Sim Swap Fraud” , e ha condannato in solido a CP_1 Parte_1
chiamata in causa dall'istituto di credito, a rifondere all'attore la somma di €98.695,90 oltre
[...] accessori;
ha inoltre condannato a risarcire il danno non patrimoniale subito dal CP_1 correntista nella somma di €1.000,00 oltre accessori .
Avverso la sentenza ha proposto appello sulla base dei motivi che di seguito si Parte_1 riportano.
Con il primo motivo censura la pronuncia nella parte in cui il Tribunale non ha accolto l'eccezione di difetto di legittimazione ad agire di lamentando “omessa motivazione ex art. 132 c2 CP_1
n.4 cpc;
violazione e falsa applicazione dell'art. 2 della Costituzione, nonché degli artt. 1 e 78 del
Regolamento Europeo n. 679/2016 – c.d. GDPR e dell'art. 154 ter del Codice della Privacy – D.
Lgs. n. 196/2003”.
Deduce che l'istituto di credito ha chiamato in causa per sentirne dichiarare la Parte_1 responsabilità per i fatti di causa sulla base dell'asserita violazione della normativa di tutela dei dati personali (Codice della Privacy e Regolamento Europeo n. 679/2016) e del Codice delle telecomunicazioni e che la legittimazione ad agire in materia di violazione della privacy spetta esclusivamente al soggetto direttamente leso dalla condotta contestata, ossia alla persona fisica titolare del diritto alla tutela dei propri dati personali.
Con il secondo motivo censura la pronuncia per “omessa motivazione ex art. 132 c2 n.4 cpc: violazione e falsa applicazione degli artt. 115-116 cpc.; violazione delle norme in tema di frode informatica”.
Deduce che il Tribunale ha erroneamente ritenuto non contestati i fatti rappresentati dall'istituto bancario mentre l'appellante sin dai primi atti difensivi ha sempre affermato la correttezza del proprio operato e l'insussistenza di profili di responsabilità; espone inoltre che non risultava provato che la Compagnia telefonica avesse tenuto una condotta negligente al momento della sostituzione della scheda telefonica del correntista e che la normativa all'epoca vigente non prevedeva alcun obbligo specifico in capo all'operatore telefonico di “approfondire” il controllo pagina 2 di 9 sull'identità del soggetto;
che la violazione dei dati personali dell'utente si era verificata solo in un momento successivo, dopo che gli autori dell'illecito erano riusciti ad accedere al conto on line, circostanza resa possibile esclusivamente dall'inadeguatezza del sistema di sicurezza adottato da
. CP_1
Con il terzo motivo censura l'accertamento della responsabilità e del nesso di causalità lamentando che il Tribunale non ha tenuto conto delle peculiarità con cui si realizza la frode informatica in esame e non ha correttamente applicato la normativa in materia di sicurezza dei servizi bancari telematici, pervenendo con ragionamento viziato e illogico ad affermare la concorrente responsabilità della Compagnia telefonica.
Critica inoltre la pronuncia per avere escluso la responsabilità del correntista.
Si è costituita in giudizio e, oltre a resistere all'appello di ha CP_1 Parte_1 proposto appello incidentale. con il gravame censura l'accertamento e la misura di responsabilità posta suo CP_1 carico deducendo che il Tribunale ha erroneamente valutato l'adeguatezza dei sistemi di sicurezza impiegati dall'istituto di credito e non ha considerato che il fatto del terzo imprevedibile (il comportamento inadempiente di aveva interrotto qualsivoglia nesso causale tra la Pt_1 condotta di e il danno subito dal correntista. CP_1
Censura, inoltre, la pronuncia nella parte ha escluso la responsabilità concorrente del correntista ai sensi dell'art 1227 cc .
Si è costituito in giudizio e ha resistito agli avversi appelli chiedendone il rigetto. Controparte_2
MOTIVI DELLA DECISIONE
La controversia trae origine dalla frode informatica denominata “sim swap fraud” compiuta da parte di terzi truffatori ai danni dell'Ing. sul conto corrente acceso dall'attore presso Controparte_2
Filiale di GU mediante la quale è stata sottratta l'intera somma esistente sul CP_1
c/c pari a euro 98.672,00.
Va premesso che come emerge dalla pronuncia impugnata – non oggetto di censure in questa parte- risulta documentalmente dimostrato e non è stato contestato negli atti introduttivi del giudizio l'illecito prelievo da parte di terzi della somma di euro 98.672,00 dal conto corrente intestato all'ing. presso mediante l'effettuazione di n. 15 bonifici istantanei, di cui n.10 CP_2 CP_1 andati a buon fine (bonifici privi di causale, effettuati anche verso conti esteri spagnoli, per importi consistenti di quasi euro 10.000 cadauno, per un ammontare complessivo di euro 137.823,00 superiore alla giacenza del conto corrente), che sono stati tutti disconosciuti dal correntista il giorno successivo all'esecuzione delle operazioni illecite, non appena informato della frode da . CP_1
pagina 3 di 9 Le modalità di consumazione della truffa informatica sono state ricostruite dalle indagini svolte dalla polizia giudiziaria nel procedimento penale avviato dalla Procura presso il Tribunale di Nola che vede imputati (destinatario di 10 bonifici di cui 8 andati a buon fine) e Controparte_3 [...]
e l'ing. è persona offesa del reato perpetrato ai suoi danni (doc. 37 n. I, II e III CP_4 CP_2 fascicolo . CP_2
In particolare, risulta che il giorno 2.1.2020 l'ing. alle ore 17.00 constatava l'assenza di CP_2 segnale sulla linea del proprio telefono cellulare;
alle ore 21.00 del medesimo giorno contattava il proprio operatore telefonico senza ricevere spiegazioni sul problema;
soltanto il giorno successivo veniva poi contattato dal personale della che lo informava delle disposizioni di pagamento CP_1 effettuate nella giornata precedente che avevano portato all'azzeramento del conto corrente;
immediatamente l'attore formalizzava il disconoscimento di tutte le operazioni di bonifico e presentava denuncia querela presso il Comando Carabinieri di GU .
-Va disatteso in primo luogo il motivo di gravame con il quale reitera l'eccezione di Parte_1 difetto di legittimazione ad agire di sul rilievo che unici soggetti legittimati a far valere CP_1 la violazione della normativa di tutela della privacy e del codice delle telecomunicazioni sono i titolari del diritto tutelato, in quanto diritti personalissimi che non possono essere oggetto di alienazione né di atti dispositivi di qualsiasi genere.
La censura non si misura con le motivazioni esposte dal Tribunale, che vengono integralmente condivise, che sul punto ha osservato che con la chiamata in causa del terzo, non legato da rapporto contrattuale , individuato dalla banca come unico responsabile dei fatti e il vero legittimato passivo, si è verificata l'estensione automatica della domanda dell'attore nei confronti del terzo, che il giudice è tenuto ad esaminare senza necessità che l'attore formuli esplicita richiesta (Cass
2018/5580, v. anche Cass 2023/31136 ).
L'eccepito difetto di legittimazione risulta, dunque, superato dall'automatica estensione della domanda attorea nei confronti dell'operatore telefonico.
Per quanto riguarda le doglianze svolte sia dall'appellante principale che da quello incidentale sull' accertamento delle rispettive responsabilità si osserva quanto segue.
La frode informatica denominata “sim swap fraud” di cui l'Ing. è stato vittima si articola CP_2 in due fasi distinte: vengono dapprima acquisiti illecitamente i dati del correntista, codici identificativi personali e credenziali di home banking, mediante tecniche di hacking che non necessariamente richiedono la partecipazione della vittima della truffa;
il passaggio successivo consiste nell'utilizzo di documenti falsificati facenti capo alla vittima per farsi rilasciare un duplicato della scheda Sim, che viene utilizzata dal truffatore per ottenere dalla banca le password “usa e pagina 4 di 9 getta” (OTP/One Time Password), generate automaticamente e temporaneamente dal sistema informatico della banca ed inviate al correntista sul numero di cellulare associato al conto bancario, che consente così di effettuare le disposizioni di denaro .
Nel caso in esame la sostituzione della SIM ai danni dell'Ing. , come è emerso dalle CP_2 indagini penali e dalla comunicazione della notizia di reato nei confronti di e di Controparte_3
, è avvenuta in data 2.1.2020 alle ore 17,20 presso il dealer/rivenditore “Simtel di Controparte_4
Simeone Rosario” di Secondigliano di Napoli, dove lo sconosciuto truffatore si è recato esibendo una carta di identità falsa dell'Ing. CP_2
Non è stata accertata né dalle indagini di polizia giudiziaria né dalle indagini interne svolte da la modalità con la quale i truffatori sono riusciti a carpire le credenziali di accesso ai servizi CP_1 di home banking: come viene rilevato dal Tribunale, la banca ha negato che vi sia stato un attacco informatico ai sistemi dell'istituto bancario (doc. 3 fasc. e deposizione del responsabile della CP_1 sicurezza informatica di Ing ) e l'ing. nell'interrogatorio CP_1 Persona_1 CP_2 formale ha altresì negato di aver rivelato e/o di non avere correttamente custodito le proprie credenziali (interrogato ha risposto “sul cap. 3: non ho ricevuto nessun sms e quindi nessun link;
sul cap. 6: non avendo ricevuto né sms né link non ho inserto le mie credenziali”).
-Per quanto riguarda le censure sollevate da si osserva che il correntista che agisce per CP_1
l'abusiva utilizzazione delle sue credenziali informatiche in operazioni di pagamento è onerato soltanto della prova del danno, mentre grava sull'istituto bancario la prova liberatoria consistente nell'aver adottato tutte le misure idonee a evitare il danno.
La ripartizione dell'onere della prova discende dalle disposizioni del D.Lgs 2010/11, artt 10 e 11, come mod dal D.Lgs. 2017/218, che prevedono che qualora l'utente neghi di aver autorizzato un'operazione di pagamento già effettuata, l'onere di provare la genuinità della transazione ricade sul prestatore del servizio e nel contempo ( art 11) è previsto l'obbligo di quest'ultimo di rifondere con immediatezza il correntista in caso di operazione disconosciuta, salvo la prova, di cui è appunto onerato il prestatore di servizi di pagamento, della frode, del dolo o colpa grave dell'utente.
La responsabilità dell'istituto bancario per le operazioni effettuate a mezzo di strumenti elettronici viene ricondotta al rischio professionale del prestatore dei servizi di pagamento ed impone alla banca una diligenza di natura tecnica specifica ex art 1176 c2 cc , essendo tenuta ad apprestare misure idonee allo sviluppo della tecnologia ad escludere la possibilità di una abusiva utilizzazione delle credenziali di accesso da parte dei terzi : da ciò consegue che è l'istituto bancario ad essere è onerato della prova della riconducibilità dell'operazione al cliente ( Cass. 2018/9158; ) .
pagina 5 di 9 Dal quadro normativo deriva dunque che l'istituto bancario è onerato della prova : a) di aver adottato un sistema di protezione del correntista c.d. forte b) della colpa grave del cliente nella custodia delle proprie credenziali private.
Come ha osservato inoltre il Tribunale, la normativa in tema di tutela dei dati personali (Codice della privacy aggiornato dal D.lgs 2018/101 che ha adeguato l'ordinamento al Regolamento UE
2016/679 cd GDPR) converge nell'affermare la responsabilità del titolare o del responsabile del trattamento prevedendo ( art 82 Regolamento UE 2016/679) che sono tenuti a risarcire i danni cagionati da un trattamento non conforme dei dati personali, salvo essere esonerati da responsabilità se dimostrano che l'evento dannoso non è in alcun modo loro imputabile .
La sentenza impugnata ha fatto corretta applicazione delle norme richiamate e ha correttamente valutato gli esiti istruttori, rilevando che l'istituto bancario non solo non ha dimostrato di avere adottato le misure idonee ad evitare il danno, ma che inoltre plurime circostanze rivelavano la mancanza di diligenza dell'istituto di credito nell' esecuzione del mandato ricevuto dal cliente.
In particolare come è stato evidenziato dal Tribunale nonostante la banca avesse dichiarato ai propri clienti di essere dotata di un sistema di monitoraggio costante in grado di riconoscere i movimenti non corrispondenti al comportamento abituale del cliente su smart web e smart mobile banking (v. doc 32 attore), come è evidente nel caso in esame il sistema di monitoraggio non si è attivato e/o comunque non ha funzionato in quanto avrebbe dovuto segnalare come anomale le disposizioni di pagamento effettuate in una sola giornata mediante ben n.15 distinti bonifici istantanei , tutti privi di causale e in favore di destinatari sconosciuti Soltanto al momento della segnalazione di incapienza del conto, l'ing è stato avvertito dall'operatrice della banca della sottrazione CP_2 subita, il giorno successivo all'effettuazione delle operazioni illecite.
Secondo giurisprudenza pacifica "nonostante la banca non abbia alcun dovere generale di monitorare la regolarità delle operazioni ordinate dal cliente, nondimeno, in presenza di circostanze anomale idonee a ledere l'interesse del correntista, la banca, in applicazione dei doveri di esecuzione del mandato secondo buona fede, deve rifiutarne l'esecuzione o almeno informarne il cliente" (v
Cass 2010/7956).
Come è stato condivisibilmente rilevato dal Tribunale la predisposizione di un sistema di blocco in automatico di ogni operazione con sospensione cautelativa dei movimenti in difetto di un assenso del titolare del conto nel caso di rilevati problemi alla SIM oppure la comunicazione delle disposizioni di pagamento su un'utenza secondaria in caso di movimenti anomali di danaro rispetto alla normale operatività del conto, come assicurato da altri istituti bancari (doc. 25 attore comunicazioni di Banca Fidearum e InBanca) avrebbe consentito di evitare la frode. pagina 6 di 9 Inoltre, come pure ha osservato il Tribunale, nonostante l'istituto bancario fosse a conoscenza delle modalità di fronde da tempo note nel settore (la stessa risulta avere avuto contenziosi per CP_1 casi analoghi di frode informatica perpetrati sin dal 2015 mediante il sistema della sostituzione della scheda Sim doc 6 ) , non ha dimostrato di essersi attivato per informare i clienti, mettendoli CP_1 in guardia rispetto ad anomale disattivazioni delle utenze telefoniche.
Ulteriore negligenza è ravvisabile in ordine alla previsione di limiti massimi giornalieri per i bonifici istantanei in uscita che avrebbe consentito di limitare i danni, rilevato che al momento della truffa subita dall'ing la soglia prevista da per i bonifici istantanei in uscita da conti CP_2 CP_1 di privati era pari a euro 500.000,00 (doc. 17 e 31 attore) e soltanto successivamente ai fatti di causa,
a decorrere dal 31.7.2020, l'istituto bancario ha ridotto il limite operativo per i bonifici istantanei in uscita alla soglia di 5.000,00 euro (doc. 24), adeguandosi alla misura già adottata da altre banche
(v doc. 30).
- Non sono fondate le censure sollevate da sull'accertamento della responsabilità. Parte_1
In primo luogo, deve rilevarsi che il Tribunale ha osservato che non ha contestato le Parte_1 modalità con le quali era stata attuata la truffa informatica in esame, cioè attraverso il rilascio e l'utilizzo di una nuova SIM associata all'utenza telefonica dell'ing CP_2
Tale circostanza è incontestata, posto che tutte le difese svolte in primo grado da danno per Pt_1 presupposto e pacifico il fatto della sostituzione della SIM dell'ing. associata al conto CP_5 corrente bancario, ma non è su tale circostanza che il Tribunale ha fondato la responsabilità dell'operatore telefonico come emerge dalle motivazioni della pronuncia impugnata. non ha dimostrato di avere tenuto una condotta diligente, in particolare di avere adempiuto Pt_1 agli obblighi di identificazione del cliente imposti dall'art 55 c 7 D.lgs 259/2003 nonché dall'art 1 c
46 della L.124/2017 al momento della richiesta di sostituzione della scheda sim , limitandosi solo ad affermare la correttezza del proprio operato.
Sul punto va evidenziato che l'operatore telefonico, al pari dell'istituto bancario, è un operatore professionale che tratta dati personali altrui e l'adempimento degli obblighi richiede una diligenza qualificata ai sensi dell'art 1176 c2 cc ( venendo in considerazione anche una responsabilità di tipo contrattuale tra l'operatore telefonico e il cliente) per cui si imponeva, anche a prescindere dagli specifici obblighi previsti dalla normativa richiamata, un controllo approfondito dell'identità del soggetto richiedente nel momento in cui l'operatore ha proceduto alla sostituzione della SIM ed occorreva acquisire la denuncia di smarrimento o di sottrazione della SIM prima di consegnare il duplicato.
Adempimenti che l'operatore telefonico non ha né allegato né dimostrato di avere effettuato. pagina 7 di 9 Come ha osservato il Tribunale il dealer di ha violato le procedure previste dalla stessa Pt_1 compagnia telefonica per la sostituzione della Sim (che prevedono appunto l'acquisizione della denuncia di smarrimento/furto presentata all'autorità oppure copia della scheda SIM malfunzionante
-doc 9 fasc Wind ).
La non autenticità del documento esibito dal truffatore al dealer dell'operatore telefonico (doc 5
) era, inoltre, di palese riconoscibilità, stante la mancanza del timbro del Comune sul Pt_1 documento e la difformità della foto ivi apposta rispetto a quella riportata sulla carta di identità rilasciata dal cliente al momento della sottoscrizione del contratto di attivazione dei servizi telefonici. non ha inoltre neppure ottemperato all'ordine di esibizione della relazione interna Parte_1 dell'ufficio gestione frodi inerente la sostituzione della SIM dell'Ing. dichiarando CP_2
l'impossibilità di procedere al relativo deposito per la mancanza della documentazione “ non risultando l'apertura di un audit interno alla società di telefonia a seguito dell'evento denunciato dal CP_2
Pertanto, correttamente il Tribunale ha rilevato la violazione da parte dell'operatore telefonico degli obblighi di cui era onerato, condotta che ha chiaramente agevolato la truffa consentendone il perfezionamento.
-Non sono fondate le censure svolte sia dall'appellante principale che da quello incidentale sul nesso di causalità tra le rispettive condotte addebitate e l'evento dannoso.
Il Tribunale ha condivisibilmente osservato che le condotte di entrambi gli odierni appellanti sono causalmente concorrenti, in misura paritaria, nella produzione del danno subito dall'ing. CP_2 essendo il risultato della combinazione della mancata adozione di idonee procedure di verifica e di sicurezza imputabili sia all'istituto di credito sia al gestore della telefonia , per quanto di Pt_1 rispettiva competenza,
Da un lato il sistema di sicurezza di è risultato vulnerabile, consentendo a terzi truffatori di CP_1 accedere all'home banking;
dall'altro è evidente che senza la condotta gravemente colposa di Pt_1
i truffatori non avrebbero potuto ottenere il codice OTP per eseguire le disposizioni di
[...] pagamento con cui sono stati effettuati gli illeciti prelievi dal c/c bancario dell'ing CP_2
-Le censure sul mancato riconoscimento del concorso di colpa del correntista vanno disattese .
Non è stata fornita alcuna prova della sussistenza di colpa grave del correntista nella asserita mancata custodia delle credenziali di accesso all'home banking né alcun elemento anche indiziario depone in tal senso.
pagina 8 di 9 Le doglianze espresse sul punto da entrambi gli appellanti principale e incidentale si fondano su mere supposizioni che sono rimaste prive di qualsivoglia riscontro anche solo indiziario, per cui non risulta assolto l'onere probatorio gravante sulla banca in forza dell'art 10 DLgs 2010/11 della riconducibilità dell'operazione al cliente.
Come ha osservato dal Tribunale la contestualità tra la disattivazione della SIM e l'esecuzione delle
15 operazioni di bonifico esclude che possa essere addebitata al cliente una condotta di negligenza grave. Peraltro come è emerso dall'istruttoria I'ing. accortosi della disattivazione della CP_2 linea telefonica, si è attivato non appena ha avuto la disponibilità di un'altra utenza telefonica e alle ore 21.00 della medesima giornata ha contatto il proprio operatore telefonico senza però ricevere chiarimenti sulle cause dell'interruzione della linea telefonica e solo il giorno successivo alle operazioni illecite veniva poi informato da un'operatrice della filiale dell'istituto di credito delle disposizioni di pagamento che erano state effettuate nella giornata precedente, disconoscendo immediatamente tutte le operazioni effettuare .
Per le ragioni esposte la sentenza impugnata deve essere confermata.
Le spese del grado seguono la soccombenza e vengono liquidate come in dispositivo ai sensi del
DM 147/2022.


P.Q.M.


La Corte
-- Rigetta l'appello principale proposto da e l'appello incidentale proposto da Parte_1 [...]
CP_1
-Condanna e in solido al pagamento in favore dell'ing. Parte_1 CP_1 CP_2 delle spese processuali del presente grado che liquida ai sensi del DM 147/22 in €11.000,00 per compensi oltre 15% spese gen., iva e cpa.
Si dà atto della sussistenza dei presupposti di cui all'art.13 I quater DPR 2002/115 ai fini del pagamento, a carico dell'appellante principale e dell'appellante incidentale, di un ulteriore importo a titolo di contributo unificato pari a quello dovuto per l'impugnazione.
Così deciso in Bologna dalla seconda sezione civile della Corte di Appello nella camera di consiglio del 12/7/2025
Il Giudice ausiliario relatore Il Presidente
avv. Eugenia Capano dott. Mariacolomba Giuliano
pagina 9 di 9