CA
Sentenza 12 dicembre 2025
Sentenza 12 dicembre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Corte d'Appello Firenze, sentenza 12/12/2025, n. 2175 |
|---|---|
| Giurisdizione : | Corte d'Appello Firenze |
| Numero : | 2175 |
| Data del deposito : | 12 dicembre 2025 |
Testo completo
N. R.G. 299/2023
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
CORTE DI APPELLO DI FIRENZE
SECONDA SEZIONE CIVILE
La Corte di Appello di Firenze, SECONDA SEZIONE CIVILE, in persona dei Magistrati: dott.ssa Anna Primavera Presidente dott. Fabrizio Nicoletti Consigliere Relatore dott. Nicola Mario Condemi Consigliere ha pronunciato la seguente
SENTENZA nella causa civile di II Grado iscritta al n. r.g. 299/2023 promossa da:
(C.F. ), con il patrocinio dell'avv. Parte_1 P.IVA_1
NI JE
APPELLANTE contro
(C.F. ), con il patrocinio Controparte_1 C.F._1 dell'avv. FLORIO PIERPAOLO
APPELLATO avverso l'ordinanza ex art. 702-bis ss., pubblicata dal Tribunale di FIRENZE il
09/01/2023
CONCLUSIONI
pagina 1 di 14 In data 11.7.2025 la causa veniva posta in decisione sulle seguenti conclusioni:
Per la parte appellante:
“Voglia la Ecc.ma Corte di Appello di Firenze, contrariis reiectis, alla luce di quanto sopra indicato ed in totale riforma dell'impugnata ordinanza rep. n.148/2023 emessa in data 09/01/2023 dal Tribunale di Firenze in composizione monocratica, nella persona della Dott.ssa Carloni Elisabetta, e comunicata a mezzo cancelleria telematica in pari data, come resa nel giudizio di primo grado ex art. 702 bis c.p.c. iscritto al RG n. 11306/2021, accogliere il presente appello e per l'effetto
1. In via principale e nel merito rigettare la domanda in quanto infondata in fatto e in diritto, e respingere, comunque, ogni altra pretesa avanzata nei confronti di Con vittoria di spese e Parte_1 onorari di causa.
2. In via subordinata accertare e dichiarare il fatto colposo – la condotta imperita e imprudente del Sig. meglio generalizzato in Controparte_1 atti – e per l'effetto rigettare le te nei confronti di
[...]
Con vittoria di spese e onorari di causa. Parte_1
3. In via ulteriormente subordinata, nella denegata e non creduta ipotesi di accoglimento delle domande avanzate, accertare e dichiarare in quale misura le parti in causa abbiano concorso a cagionare l'evento, e per l'effetto condannare la convenuta al risarcimento del Parte_1 danno in misura proporzionale all'entità della colpa riconosciuta. Con vittoria di spese e onorari di causa.
In ogni caso condannare parte appellata alla totale refusione delle spese, diritti ed onorari di giudizio, oltre al 15 % rimborso spese generali come per legge;
- In denegata ipotesi di parziale o totale soccombenza di parte appellante anche nel presente giudizio, disporre la totale compensazione delle spese di lite di entrambi i gradi di giudizio;
- In ogni caso con refusione integrale delle spese di lite di primo grado a parte appellante ove nel frattempo corrisposte”.
Per la parte appellata:
“Voglia l'Ecc.ma Corte di Appello Civile di Firenze, ogni contraria istanza
o domanda disattesa e respinta, rigettare l'appello proposto da
[...]
e confermare in ogni sua parte la sentenza impugna Parte_1
pagina 2 di 14 comunque accogliere la richiesta di parte appellata, in ogni caso con vittoria di onorari, diritti e spese”.
SVOLGIMENTO DEL PROCESSO
Il giudizio di primo grado
Con ricorso ex art. 702-bis, conveniva davanti al Controparte_1 tribunale di Firenze la , domandando la restituzione Parte_1 di euro 18.039,00, che affermava essere stati abusivamente prelevati dal conto corrente da lui acceso presso tramite una serie Parte_1 operazioni fraudolente, eseguite nei giorni compresi tra il 27.2.2021 ed il
1.3.2021.
Il ricorrente riferiva, in particolare, di aver ricevuto un SMS con il logo delle Poste, con il quale veniva avvisato di una anomalia sul suo conto ed invitato a collegarsi al link allegato per effettuare le dovute verifiche.
Aperto il link, appariva un numero telefonico che il provava a CP_1 chiamare invano, per poi essere in seguito richiamato da una persona che si qualificava come dipendente delle e che gli Parte_1 domandava di autenticarsi inserendo la carta postamat nell'apposito lettore, digitando i codici numerici da lui dettati, cosa che il CP_1 faceva, venendo rassicurato sul fatto che nelle 24 ore successive all'operazione avrebbe ricevuto un SMS contenente i nuovi codici di accesso.
In seguito, il si avvedeva, in data 3.3.2021, che erano state CP_1 effettuate nove operazioni dispositive da lui non autorizzate, ed in particolare:
1. In data 27.02.2021 addebito per ricarica ricorrente dell'importo di euro 2.990,00;
2. In data 27.02.2021 addebito per ricarica ricorrente dell'importo di euro 2.995,00;
3. In data 1.03.2021 addebito per ricarica carta prepagata da pagina 3 di 14 App/Web dell'importo di euro 2.980,00;
4. In data 1.03.2021 addebito per ricarica carta prepagata da
App/Web dell'importo di euro 2.998,00;
5. In data 1.03.2021 addebito per ricarica ricorrente dell'importo di euro 2.998,00;
6. In data 1.03.2021 addebito per ricarica corrente dell'importo di euro 2.998,00;
7. In data 1.03.2021 ricarica telefonica TIM dell'importo di euro
20,00;
8. In data 1.03.2021 ricarica telefonica TIM dell'importo di euro
30,00;
9. In data 1.03.2021 ricarica telefonica Vodafone Omnitel dell'importo di euro 30,00.
rispondeva alle richieste di chiarimenti del Parte_1 CP_1 affermando che i prelievi in questione risultavano effettuati sul suo conto corrente a seguito dello svincolo di buoni fruttiferi postali dematerializzati del valore pari a circa 20 mila euro.
Saputo questo, il sporgeva querela in data 4.3.2021 ed in pari CP_1 data sottoscriveva un modulo di contestazione presso lo sportello postale per disconoscere le operazioni.
, con nota del 5.3.2021, rigettava la richiesta negando il Parte_1 rimborso.
Nel costituirsi in giudizio, contestava il diritto alla Parte_1 restituzione delle somme prelevate, sottolineando che il danno si era verificato a causa della condotta negligente del correntista, che si era fatto ingannare da ignoti truffatori consegnando loro le credenziali di autenticazione.
Veniva eseguita la consulenza tecnica, che chiariva che nell'SMS in questione era presente un malware che intercettava le credenziali di pagina 4 di 14 accesso all'internet banking. In seguito, con la telefonata e l'inserimento del codice dettato al i malfattori ottenevano la possibilità di CP_1 installare l'app BPO, in grado di generare un codice (codice PosteID) e così ottenere le funzionalità del codice OTP per la validazione delle operazioni dispositive tramite canale on-line. Il sistema di per sé non era stato violato, ma erano state carpite le credenziali al correntista.
La causa veniva così posta in decisione.
Il provvedimento impugnato
Con l'ordinanza ex art. 702-bis ss. pubblicata il 09/01/2023, il Tribunale di FIRENZE così statuiva:
“Il Tribunale, definitivamente pronunziando, ogni contraria istanza disattesa, così provvede:
1. accoglie la domanda formulata da nei confronti di Controparte_1
e condanna quest'ultima alla restituzione in favore Parte_1 del ricorrente la somma di 18.039,00 oltre interessi legali come richiesti;
2. condanna al pagamento delle spese processuali in Parte_1 favore del ricorrente, che liquida in euro 157,17 per spese, €. 5.077,00 per compenso professionale ex D.M. 55/14, oltre IVA, CPA e rimborso spese generali del 15% come per legge.
3. pone definitivamente a carico della convenuta le spese di C.T.U. con conseguente condanna al rimborso delle stesse in favore del ricorrente qualora già corrisposte dallo stesso”.
Il giudice di prime cure, dopo avere ricostruito l'accaduto, anche sulla base delle risultanze peritali, riteneva che la fattispecie dovesse essere regolata sulla base del disposto del D. Lgs. n. 218 del 12.12.2017, che ha modificato il D. Lgs. 11/2010, applicando la direttiva PSD2 che ha imposto l'autenticazione “forte” a due fattori per tutte le operazioni di
Internet banking. Tale norma prevede l'obbligo del prestatore di servizi di pagamento, che emette lo strumento, di garantire che le credenziali pagina 5 di 14 non siano accessibili a soggetti diversi dall'utente abilitato, e, soprattutto, l'art. 10 prevede l'onere del prestatore di servizi di dimostrare la frode, il dolo o la colpa dell'utente per non incorrere in responsabilità.
Nel caso specifico, avrebbe dovuto conformarsi alla Parte_1 diligenza dell'accorto banchiere, e come tale essere consapevole che la possibilità della sottrazione dei codici del correntista attraverso tecniche fraudolente rientrava nell'area del rischio di impresa.
Per questi motivi
, la domanda veniva accolta.
Il giudizio di appello
Con atto di citazione, regolarmente notificato, (di Parte_1 seguito anche APPELLANTE) conveniva in giudizio, innanzi questa Corte di Appello (di seguito anche APPELLATO) Controparte_1 proponendo gravame avverso la sopra richiamata ordinanza.
Parte appellante, ritenendo l'ordinanza gravata errata ed ingiusta, la impugnava proponendo un unico motivo di appello:
1) Violazione e/o falsa applicazione degli articoli 112,113,115 e 116
c.p.c – Motivazione contradditoria ed errata.
Per tali ragioni veniva, pertanto, formulata dall'appellante richiesta di riforma dell'ordinanza gravata in accoglimento delle conclusioni come in epigrafe trascritte, con conseguente condanna della controparte alla rifusione delle spese di lite di entrambi i gradi di giudizio.
Radicatosi il contraddittorio, nel costituirsi in giudizio, la parte appellata contestava, perché infondate, le censure mosse da parte appellante nei confronti della ordinanza impugnata, della quale chiedeva per contro la conferma con vittoria delle spese anche in questo grado di giudizio.
Senza svolgimento di alcuna attività istruttoria, la causa era trattenuta in decisione sulle conclusioni riportate in epigrafe e veniva discussa pagina 6 di 14 all'odierna camera di consiglio dopo la decorrenza dei termini concessi per il deposito delle difese conclusionali.
MOTIVI DELLA DECISIONE
L'appello è infondato e va respinto, con integrale conferma della sentenza impugnata, sia pure con motivazione come di seguito integrata.
Passando alla disamina dell'avanzato gravame, si osserva quanto segue.
I. La critica contenuta nell'unico motivo di gravame è infondata.
L'appellante lamenta l'erroneità ed ingiustizia della sentenza di primo grado per non aver valorizzato il fatto che il depauperamento era la conseguenza della stessa condotta del il quale ha CP_1 espressamente dichiarato di essere stato vittima di truffa telefonica e informatica (smishing e vishing).
Viene evidenziato che è pacifico che il abbia aperto il link CP_1 presente nell'SMS, chiamato senza esito l'utenza telefonica e che sia stato richiamato da uno dei truffatori, il quale lo ha persuaso ad inserire la tessera nel lettore digitando il codice che gli veniva dettato, così fornendo ai malfattori tutti gli strumenti per ottenere le credenziali per l'accesso al sito di home banking con facoltà dispositive.
A giudizio dell'appellante, quindi, vi sarebbe la prova della negligenza del in particolare per la mancata/errata custodia dei codici di CP_1 accesso. avrebbe poi dimostrato di avere adottato il Parte_1 sistema di autenticazione a due fattori, ossia il sistema più avanzato che sia previsto dalle normative ed avrebbe reso edotta la propria clientela, tramite pagine web in costante aggiornamento, della possibilità di truffe simili e delle loro dinamiche.
pagina 7 di 14 In conclusione, diversamente da quanto sostenuto dal giudice di prime cure, avrebbe adottato tutte le misure idonee per Parte_1 verificare la riferibilità delle operazioni suddette.
Infine, l'appellante contesta che il danneggiato abbia fornito la prova del nesso causale tra l'attività pericolosa ed il danno subito, essendo nel caso specifico questo reciso dal fatto che il abbia concorso CP_1 colposamente nella sua verificazione ex art. 1227 comma 2 c.c..
Tali critiche non possono essere condivise.
Come correttamente evidenziato nell'ordinanza impugnata, la materia è regolata dal D.lgs. 27 gennaio 2010, n.11, il quale, all'art. 10 comma 2, afferma che “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Il legislatore, quindi, quanto alle truffe informatiche bancarie, ha previsto uno specifico onere probatorio a carico dell'istituto bancario (al quale è assimilabile , gestendo appunto conti correnti) Parte_1 nell'ipotesi in cui il titolare del conto neghi di essere l'autore di un'operazione, ponendo a carico del primo le conseguenze pregiudizievoli dell'atto illecito, a meno che non dimostri che l'operazione è stata la conseguenza del dolo o della colpa grave del secondo. Nel contesto di una attività che presenta una intrinseca pagina 8 di 14 rischiosità, quindi, il legislatore ha ritenuto di privilegiare la posizione del cliente, sul presupposto che sull'istituto di credito ricada il rischio di impresa connesso alla predisposizione di strumenti di pagamento, essendo il soggetto maggiormente in grado di prevedere e prevenire le truffe informatiche, ma anche in condizione di meglio sopportare le perdite che tali truffe comportano, ricevendone nel contempo un incentivo alla costante vigilanza e innovazione.
La Corte di Cassazione, intervenendo con la sentenza n. 2950 del
03/02/2017 su un caso non dissimile, ma al quale non era applicabile, ratione temporis, la disciplina più recente, ha così descritto la ragione giuridica di una disciplina di favore per il cliente: “Va aggiunto che, sebbene alla vicenda non sia applicabile ratione temporis (le operazioni delle quali si discute risalgono infatti al settembre 2005) la direttiva
2007/64/CE del Parlamento europeo e del consiglio del 13 novembre
2007, relativa ai servizi di pagamento nel mercato interno, cui è stata data attuazione con il d. lgs. 27 gennaio 2010, n. 11 (v., in particolare, artt. 10 e ss.), il punto di equilibrio divisato da tale disciplina risulta essere sostanzialmente in linea con le regole generali relative alla ripartizione della prova in tema di inadempimento contrattuale e di verifica della diligenza dell'agente professionale. Infatti, l'impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato (art. 1218 cod. civ.) richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore. Ne discende che, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei pagina 9 di 14 codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”.
In un tale contesto, quindi, l'utilizzo di sistemi di autenticazione “forte” di per sé non esime da responsabilità l'istituto di credito. È pacifico che questi sistemi rendono molto difficile l'accesso abusivo a chi non sia in possesso di alcuna credenziale, ed è per questo motivo che è necessario per i truffatori di carpire con l'inganno le credenziali con la collaborazione, frutto di raggiro, del correntista stesso. Ma il fatto che sia stato il correntista a consegnare le credenziali, se pure si colloca come condicio sine qua non sul piano causale, non implica che vi sia anche una sua responsabilità, pena l'abrogazione de facto della previsione normativa. In tal senso vale la pena citare una recente sentenza così massimata: “La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente” (Cass. Sez. 3, 12/02/2024, n. 3780).
Dall'analisi delle circostanze in base a cui si è verificata la sottrazione di cui si discute, si evidenzia chiaramente un apporto determinante, sul piano del nesso causale, della condotta del il quale ha fornito CP_1 tutte le credenziali necessarie ai malfattori per poter accedere al conto.
Questi comportamenti denotano certamente un atteggiamento di colpa nel correntista, il quale non si è avveduto del fatto che il messaggio non proveniva da e che era anomala la procedura che veniva Parte_1 richiesta dal finto operatore.
pagina 10 di 14 La condotta colposa del cliente, però, non è sufficiente a sollevare l'istituto di credito dalla sua responsabilità, essendo necessaria la prova della gravità della colpa.
Il requisito soggettivo deve essere valutato sulla base della divergenza tra la condotta concretamente tenuta e quella che si poteva richiedere ad una persona nelle condizioni dell'agente in concreto. Non risultando che il sia particolarmente addentro, per ragioni culturali o CP_1 professionali, alle dinamiche del phishing, deve quindi essere applicato a lui il criterio della diligenza ordinaria.
Il correntista poteva avvedersi del fatto che il messaggio aveva una provenienza sospetta, in quanto all'epoca dei fatti, ossia nel 2021, era già nota la possibilità delle truffe informatiche, che molto spesso tendono a suscitare nel malcapitato un senso di urgenza del suo intervento, proprio al fine di abbassare il livello di guardia e portarlo a collaborare con l'ignoto richiedente. Il correntista, se non già attenzionato dalla singolare richiesta e dalle modalità della stessa - che rispecchiava in pieno il fenomeno del phishing -, avrebbe potuto controllare l'indirizzo del mittente ed immediatamente si sarebbe accorto dell'anomalia. Ancora, avrebbe dovuto insospettirsi per il fatto che l'e- mail non invitava a contattare le Poste mediante i canali ufficiali, ma attraverso un misterioso numero fornito, non si sa perché, aprendo un altrettanto misterioso link, che non rimandava certo al sito delle Poste.
Infine, avrebbe certamente dovuto essere più prudente davanti alla richiesta di inserimento dei codici.
L'atteggiamento certamente colposo del però, non pare CP_1 connotato da gravità, nei termini precisati nella pronuncia della Suprema
Corte sopra richiamata.
pagina 11 di 14 Non si è, infatti, in presenza di un grado di imprudenza così elevato da far ritenere che un qualunque altro soggetto, nelle medesime condizioni, non sarebbe caduto nel raggiro.
Si è infatti trattato di un meccanismo che, per quanto oggi possa essere ritenuto ampiamente noto, all'epoca poteva essere ritenuto piuttosto sofisticato, tale da generare la convinzione nell'utente di stare seguendo le direttive di un operatore autorizzato.
Certamente poi non era possibile per il cliente interrompere l'attività illecita prima che la sottrazione venisse concretizzata, in quanto non era previsto un servizio di “SMS alert” che avvisasse il correntista dell'operazione non appena eseguita. Risulta poi che il si è CP_1 attivato non appena è venuto a conoscenza della truffa, segnalando il fatto nelle sedi più opportune.
La prova della gravità della colpa non può essere, inoltre, desunta dal fatto che si stia adoperando per sensibilizzare la clientela Parte_1 sul tema del phishing, in quanto la documentazione prodotta (doc. 7) dimostra che è presente sul sito una sezione dedicata al phishing, ma non anche che questa che vi fosse già al tempo dei fatti (la stampata prodotta non è datata). Inoltre, la modalità di pubblicazione presuppone un onere di attivazione da parte del cliente, che deve andare a cercare la pagina sul sito di , diversamente da come accadrebbe laddove il Pt_1 sito imponesse a chi lo visita di prendere contezza della pagina (ad esempio tramite dei pop-up che appaiono all'ingresso del visitatore sul sito e che, impedendo la visualizzazione, impongono di prenderne visione). Si deve dunque dedurre, in assenza di prova contraria, che il non fosse più informato del fenomeno del phishing e delle sue CP_1 dinamiche rispetto a chiunque altro.
pagina 12 di 14 In un tale contesto, quindi, deve concludersi che non Parte_1 abbia dimostrato che il danno è stato causato dalla colpa grave, e tanto meno dal dolo del CP_1
L'ordinanza di primo grado deve essere pertanto confermata, sia pure integrata nei termini precedenti.
II. In applicazione del principio di soccombenza, tenuto conto dell'esito del giudizio complessivo (che vede vittorioso l'appellato le CP_1 spese processuali del presente grado del giudizio devono essere poste a carico di nella misura liquidata in dispositivo, ai Parte_1 sensi del D.M. 55/2014 come modificato dal D.M. n. 147 del
13/08/2022, in relazione al valore effettivo della controversia ed all'attività svolta, con applicazione dei parametri minimi ed esclusa la fase istruttoria per il presente grado di giudizio.
P.Q.M.
La Corte di Appello di Firenze, definitivamente pronunciando, disattesa ogni contraria domanda, eccezione, istanza e deduzione, sull'appello proposto da nei confronti di Parte_1 Controparte_1 avverso l'ordinanza ex art. 702-bis ss. pubblicata dal Tribunale di
FIRENZE il 09/01/2023, così provvede:
1. Rigetta l'appello e per l'effetto conferma integralmente l'ordinanza di primo grado;
2. Condanna a rifondere all'appellato Parte_1 CP_1 le spese di costituzione nel giudizio di appello, che
[...] liquida in complessivi euro 1.700,00 per compensi di avvocato, oltre al rimborso delle spese generali al 15%, Iva e CPA, come per legge;
3. Dichiara l'appellante tenuta a corrispondere il contributo unificato in misura doppia ai sensi dell'art. 13, comma 1-quater del DPR pagina 13 di 14 115/2002, introdotto dall'art. 1, comma 17 della legge n.228 del
24.12.2012.
Firenze, camera di consiglio del 10.12.2025.
Il Consigliere relatore ed estensore dott. Fabrizio Nicoletti
La Presidente
dott.ssa Anna Primavera
Nota
La divulgazione del presente provvedimento, al di fuori dell'ambito strettamente processuale, è condizionata all'eliminazione di tutti i dati sensibili in esso contenuti ai sensi della normativa sulla privacy ex D. Lgs 30 giugno 2003 n. 196 e successive modificazioni e integrazioni.
pagina 14 di 14
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
CORTE DI APPELLO DI FIRENZE
SECONDA SEZIONE CIVILE
La Corte di Appello di Firenze, SECONDA SEZIONE CIVILE, in persona dei Magistrati: dott.ssa Anna Primavera Presidente dott. Fabrizio Nicoletti Consigliere Relatore dott. Nicola Mario Condemi Consigliere ha pronunciato la seguente
SENTENZA nella causa civile di II Grado iscritta al n. r.g. 299/2023 promossa da:
(C.F. ), con il patrocinio dell'avv. Parte_1 P.IVA_1
NI JE
APPELLANTE contro
(C.F. ), con il patrocinio Controparte_1 C.F._1 dell'avv. FLORIO PIERPAOLO
APPELLATO avverso l'ordinanza ex art. 702-bis ss., pubblicata dal Tribunale di FIRENZE il
09/01/2023
CONCLUSIONI
pagina 1 di 14 In data 11.7.2025 la causa veniva posta in decisione sulle seguenti conclusioni:
Per la parte appellante:
“Voglia la Ecc.ma Corte di Appello di Firenze, contrariis reiectis, alla luce di quanto sopra indicato ed in totale riforma dell'impugnata ordinanza rep. n.148/2023 emessa in data 09/01/2023 dal Tribunale di Firenze in composizione monocratica, nella persona della Dott.ssa Carloni Elisabetta, e comunicata a mezzo cancelleria telematica in pari data, come resa nel giudizio di primo grado ex art. 702 bis c.p.c. iscritto al RG n. 11306/2021, accogliere il presente appello e per l'effetto
1. In via principale e nel merito rigettare la domanda in quanto infondata in fatto e in diritto, e respingere, comunque, ogni altra pretesa avanzata nei confronti di Con vittoria di spese e Parte_1 onorari di causa.
2. In via subordinata accertare e dichiarare il fatto colposo – la condotta imperita e imprudente del Sig. meglio generalizzato in Controparte_1 atti – e per l'effetto rigettare le te nei confronti di
[...]
Con vittoria di spese e onorari di causa. Parte_1
3. In via ulteriormente subordinata, nella denegata e non creduta ipotesi di accoglimento delle domande avanzate, accertare e dichiarare in quale misura le parti in causa abbiano concorso a cagionare l'evento, e per l'effetto condannare la convenuta al risarcimento del Parte_1 danno in misura proporzionale all'entità della colpa riconosciuta. Con vittoria di spese e onorari di causa.
In ogni caso condannare parte appellata alla totale refusione delle spese, diritti ed onorari di giudizio, oltre al 15 % rimborso spese generali come per legge;
- In denegata ipotesi di parziale o totale soccombenza di parte appellante anche nel presente giudizio, disporre la totale compensazione delle spese di lite di entrambi i gradi di giudizio;
- In ogni caso con refusione integrale delle spese di lite di primo grado a parte appellante ove nel frattempo corrisposte”.
Per la parte appellata:
“Voglia l'Ecc.ma Corte di Appello Civile di Firenze, ogni contraria istanza
o domanda disattesa e respinta, rigettare l'appello proposto da
[...]
e confermare in ogni sua parte la sentenza impugna Parte_1
pagina 2 di 14 comunque accogliere la richiesta di parte appellata, in ogni caso con vittoria di onorari, diritti e spese”.
SVOLGIMENTO DEL PROCESSO
Il giudizio di primo grado
Con ricorso ex art. 702-bis, conveniva davanti al Controparte_1 tribunale di Firenze la , domandando la restituzione Parte_1 di euro 18.039,00, che affermava essere stati abusivamente prelevati dal conto corrente da lui acceso presso tramite una serie Parte_1 operazioni fraudolente, eseguite nei giorni compresi tra il 27.2.2021 ed il
1.3.2021.
Il ricorrente riferiva, in particolare, di aver ricevuto un SMS con il logo delle Poste, con il quale veniva avvisato di una anomalia sul suo conto ed invitato a collegarsi al link allegato per effettuare le dovute verifiche.
Aperto il link, appariva un numero telefonico che il provava a CP_1 chiamare invano, per poi essere in seguito richiamato da una persona che si qualificava come dipendente delle e che gli Parte_1 domandava di autenticarsi inserendo la carta postamat nell'apposito lettore, digitando i codici numerici da lui dettati, cosa che il CP_1 faceva, venendo rassicurato sul fatto che nelle 24 ore successive all'operazione avrebbe ricevuto un SMS contenente i nuovi codici di accesso.
In seguito, il si avvedeva, in data 3.3.2021, che erano state CP_1 effettuate nove operazioni dispositive da lui non autorizzate, ed in particolare:
1. In data 27.02.2021 addebito per ricarica ricorrente dell'importo di euro 2.990,00;
2. In data 27.02.2021 addebito per ricarica ricorrente dell'importo di euro 2.995,00;
3. In data 1.03.2021 addebito per ricarica carta prepagata da pagina 3 di 14 App/Web dell'importo di euro 2.980,00;
4. In data 1.03.2021 addebito per ricarica carta prepagata da
App/Web dell'importo di euro 2.998,00;
5. In data 1.03.2021 addebito per ricarica ricorrente dell'importo di euro 2.998,00;
6. In data 1.03.2021 addebito per ricarica corrente dell'importo di euro 2.998,00;
7. In data 1.03.2021 ricarica telefonica TIM dell'importo di euro
20,00;
8. In data 1.03.2021 ricarica telefonica TIM dell'importo di euro
30,00;
9. In data 1.03.2021 ricarica telefonica Vodafone Omnitel dell'importo di euro 30,00.
rispondeva alle richieste di chiarimenti del Parte_1 CP_1 affermando che i prelievi in questione risultavano effettuati sul suo conto corrente a seguito dello svincolo di buoni fruttiferi postali dematerializzati del valore pari a circa 20 mila euro.
Saputo questo, il sporgeva querela in data 4.3.2021 ed in pari CP_1 data sottoscriveva un modulo di contestazione presso lo sportello postale per disconoscere le operazioni.
, con nota del 5.3.2021, rigettava la richiesta negando il Parte_1 rimborso.
Nel costituirsi in giudizio, contestava il diritto alla Parte_1 restituzione delle somme prelevate, sottolineando che il danno si era verificato a causa della condotta negligente del correntista, che si era fatto ingannare da ignoti truffatori consegnando loro le credenziali di autenticazione.
Veniva eseguita la consulenza tecnica, che chiariva che nell'SMS in questione era presente un malware che intercettava le credenziali di pagina 4 di 14 accesso all'internet banking. In seguito, con la telefonata e l'inserimento del codice dettato al i malfattori ottenevano la possibilità di CP_1 installare l'app BPO, in grado di generare un codice (codice PosteID) e così ottenere le funzionalità del codice OTP per la validazione delle operazioni dispositive tramite canale on-line. Il sistema di per sé non era stato violato, ma erano state carpite le credenziali al correntista.
La causa veniva così posta in decisione.
Il provvedimento impugnato
Con l'ordinanza ex art. 702-bis ss. pubblicata il 09/01/2023, il Tribunale di FIRENZE così statuiva:
“Il Tribunale, definitivamente pronunziando, ogni contraria istanza disattesa, così provvede:
1. accoglie la domanda formulata da nei confronti di Controparte_1
e condanna quest'ultima alla restituzione in favore Parte_1 del ricorrente la somma di 18.039,00 oltre interessi legali come richiesti;
2. condanna al pagamento delle spese processuali in Parte_1 favore del ricorrente, che liquida in euro 157,17 per spese, €. 5.077,00 per compenso professionale ex D.M. 55/14, oltre IVA, CPA e rimborso spese generali del 15% come per legge.
3. pone definitivamente a carico della convenuta le spese di C.T.U. con conseguente condanna al rimborso delle stesse in favore del ricorrente qualora già corrisposte dallo stesso”.
Il giudice di prime cure, dopo avere ricostruito l'accaduto, anche sulla base delle risultanze peritali, riteneva che la fattispecie dovesse essere regolata sulla base del disposto del D. Lgs. n. 218 del 12.12.2017, che ha modificato il D. Lgs. 11/2010, applicando la direttiva PSD2 che ha imposto l'autenticazione “forte” a due fattori per tutte le operazioni di
Internet banking. Tale norma prevede l'obbligo del prestatore di servizi di pagamento, che emette lo strumento, di garantire che le credenziali pagina 5 di 14 non siano accessibili a soggetti diversi dall'utente abilitato, e, soprattutto, l'art. 10 prevede l'onere del prestatore di servizi di dimostrare la frode, il dolo o la colpa dell'utente per non incorrere in responsabilità.
Nel caso specifico, avrebbe dovuto conformarsi alla Parte_1 diligenza dell'accorto banchiere, e come tale essere consapevole che la possibilità della sottrazione dei codici del correntista attraverso tecniche fraudolente rientrava nell'area del rischio di impresa.
Per questi motivi
, la domanda veniva accolta.
Il giudizio di appello
Con atto di citazione, regolarmente notificato, (di Parte_1 seguito anche APPELLANTE) conveniva in giudizio, innanzi questa Corte di Appello (di seguito anche APPELLATO) Controparte_1 proponendo gravame avverso la sopra richiamata ordinanza.
Parte appellante, ritenendo l'ordinanza gravata errata ed ingiusta, la impugnava proponendo un unico motivo di appello:
1) Violazione e/o falsa applicazione degli articoli 112,113,115 e 116
c.p.c – Motivazione contradditoria ed errata.
Per tali ragioni veniva, pertanto, formulata dall'appellante richiesta di riforma dell'ordinanza gravata in accoglimento delle conclusioni come in epigrafe trascritte, con conseguente condanna della controparte alla rifusione delle spese di lite di entrambi i gradi di giudizio.
Radicatosi il contraddittorio, nel costituirsi in giudizio, la parte appellata contestava, perché infondate, le censure mosse da parte appellante nei confronti della ordinanza impugnata, della quale chiedeva per contro la conferma con vittoria delle spese anche in questo grado di giudizio.
Senza svolgimento di alcuna attività istruttoria, la causa era trattenuta in decisione sulle conclusioni riportate in epigrafe e veniva discussa pagina 6 di 14 all'odierna camera di consiglio dopo la decorrenza dei termini concessi per il deposito delle difese conclusionali.
MOTIVI DELLA DECISIONE
L'appello è infondato e va respinto, con integrale conferma della sentenza impugnata, sia pure con motivazione come di seguito integrata.
Passando alla disamina dell'avanzato gravame, si osserva quanto segue.
I. La critica contenuta nell'unico motivo di gravame è infondata.
L'appellante lamenta l'erroneità ed ingiustizia della sentenza di primo grado per non aver valorizzato il fatto che il depauperamento era la conseguenza della stessa condotta del il quale ha CP_1 espressamente dichiarato di essere stato vittima di truffa telefonica e informatica (smishing e vishing).
Viene evidenziato che è pacifico che il abbia aperto il link CP_1 presente nell'SMS, chiamato senza esito l'utenza telefonica e che sia stato richiamato da uno dei truffatori, il quale lo ha persuaso ad inserire la tessera nel lettore digitando il codice che gli veniva dettato, così fornendo ai malfattori tutti gli strumenti per ottenere le credenziali per l'accesso al sito di home banking con facoltà dispositive.
A giudizio dell'appellante, quindi, vi sarebbe la prova della negligenza del in particolare per la mancata/errata custodia dei codici di CP_1 accesso. avrebbe poi dimostrato di avere adottato il Parte_1 sistema di autenticazione a due fattori, ossia il sistema più avanzato che sia previsto dalle normative ed avrebbe reso edotta la propria clientela, tramite pagine web in costante aggiornamento, della possibilità di truffe simili e delle loro dinamiche.
pagina 7 di 14 In conclusione, diversamente da quanto sostenuto dal giudice di prime cure, avrebbe adottato tutte le misure idonee per Parte_1 verificare la riferibilità delle operazioni suddette.
Infine, l'appellante contesta che il danneggiato abbia fornito la prova del nesso causale tra l'attività pericolosa ed il danno subito, essendo nel caso specifico questo reciso dal fatto che il abbia concorso CP_1 colposamente nella sua verificazione ex art. 1227 comma 2 c.c..
Tali critiche non possono essere condivise.
Come correttamente evidenziato nell'ordinanza impugnata, la materia è regolata dal D.lgs. 27 gennaio 2010, n.11, il quale, all'art. 10 comma 2, afferma che “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Il legislatore, quindi, quanto alle truffe informatiche bancarie, ha previsto uno specifico onere probatorio a carico dell'istituto bancario (al quale è assimilabile , gestendo appunto conti correnti) Parte_1 nell'ipotesi in cui il titolare del conto neghi di essere l'autore di un'operazione, ponendo a carico del primo le conseguenze pregiudizievoli dell'atto illecito, a meno che non dimostri che l'operazione è stata la conseguenza del dolo o della colpa grave del secondo. Nel contesto di una attività che presenta una intrinseca pagina 8 di 14 rischiosità, quindi, il legislatore ha ritenuto di privilegiare la posizione del cliente, sul presupposto che sull'istituto di credito ricada il rischio di impresa connesso alla predisposizione di strumenti di pagamento, essendo il soggetto maggiormente in grado di prevedere e prevenire le truffe informatiche, ma anche in condizione di meglio sopportare le perdite che tali truffe comportano, ricevendone nel contempo un incentivo alla costante vigilanza e innovazione.
La Corte di Cassazione, intervenendo con la sentenza n. 2950 del
03/02/2017 su un caso non dissimile, ma al quale non era applicabile, ratione temporis, la disciplina più recente, ha così descritto la ragione giuridica di una disciplina di favore per il cliente: “Va aggiunto che, sebbene alla vicenda non sia applicabile ratione temporis (le operazioni delle quali si discute risalgono infatti al settembre 2005) la direttiva
2007/64/CE del Parlamento europeo e del consiglio del 13 novembre
2007, relativa ai servizi di pagamento nel mercato interno, cui è stata data attuazione con il d. lgs. 27 gennaio 2010, n. 11 (v., in particolare, artt. 10 e ss.), il punto di equilibrio divisato da tale disciplina risulta essere sostanzialmente in linea con le regole generali relative alla ripartizione della prova in tema di inadempimento contrattuale e di verifica della diligenza dell'agente professionale. Infatti, l'impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato (art. 1218 cod. civ.) richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore. Ne discende che, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei pagina 9 di 14 codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”.
In un tale contesto, quindi, l'utilizzo di sistemi di autenticazione “forte” di per sé non esime da responsabilità l'istituto di credito. È pacifico che questi sistemi rendono molto difficile l'accesso abusivo a chi non sia in possesso di alcuna credenziale, ed è per questo motivo che è necessario per i truffatori di carpire con l'inganno le credenziali con la collaborazione, frutto di raggiro, del correntista stesso. Ma il fatto che sia stato il correntista a consegnare le credenziali, se pure si colloca come condicio sine qua non sul piano causale, non implica che vi sia anche una sua responsabilità, pena l'abrogazione de facto della previsione normativa. In tal senso vale la pena citare una recente sentenza così massimata: “La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente” (Cass. Sez. 3, 12/02/2024, n. 3780).
Dall'analisi delle circostanze in base a cui si è verificata la sottrazione di cui si discute, si evidenzia chiaramente un apporto determinante, sul piano del nesso causale, della condotta del il quale ha fornito CP_1 tutte le credenziali necessarie ai malfattori per poter accedere al conto.
Questi comportamenti denotano certamente un atteggiamento di colpa nel correntista, il quale non si è avveduto del fatto che il messaggio non proveniva da e che era anomala la procedura che veniva Parte_1 richiesta dal finto operatore.
pagina 10 di 14 La condotta colposa del cliente, però, non è sufficiente a sollevare l'istituto di credito dalla sua responsabilità, essendo necessaria la prova della gravità della colpa.
Il requisito soggettivo deve essere valutato sulla base della divergenza tra la condotta concretamente tenuta e quella che si poteva richiedere ad una persona nelle condizioni dell'agente in concreto. Non risultando che il sia particolarmente addentro, per ragioni culturali o CP_1 professionali, alle dinamiche del phishing, deve quindi essere applicato a lui il criterio della diligenza ordinaria.
Il correntista poteva avvedersi del fatto che il messaggio aveva una provenienza sospetta, in quanto all'epoca dei fatti, ossia nel 2021, era già nota la possibilità delle truffe informatiche, che molto spesso tendono a suscitare nel malcapitato un senso di urgenza del suo intervento, proprio al fine di abbassare il livello di guardia e portarlo a collaborare con l'ignoto richiedente. Il correntista, se non già attenzionato dalla singolare richiesta e dalle modalità della stessa - che rispecchiava in pieno il fenomeno del phishing -, avrebbe potuto controllare l'indirizzo del mittente ed immediatamente si sarebbe accorto dell'anomalia. Ancora, avrebbe dovuto insospettirsi per il fatto che l'e- mail non invitava a contattare le Poste mediante i canali ufficiali, ma attraverso un misterioso numero fornito, non si sa perché, aprendo un altrettanto misterioso link, che non rimandava certo al sito delle Poste.
Infine, avrebbe certamente dovuto essere più prudente davanti alla richiesta di inserimento dei codici.
L'atteggiamento certamente colposo del però, non pare CP_1 connotato da gravità, nei termini precisati nella pronuncia della Suprema
Corte sopra richiamata.
pagina 11 di 14 Non si è, infatti, in presenza di un grado di imprudenza così elevato da far ritenere che un qualunque altro soggetto, nelle medesime condizioni, non sarebbe caduto nel raggiro.
Si è infatti trattato di un meccanismo che, per quanto oggi possa essere ritenuto ampiamente noto, all'epoca poteva essere ritenuto piuttosto sofisticato, tale da generare la convinzione nell'utente di stare seguendo le direttive di un operatore autorizzato.
Certamente poi non era possibile per il cliente interrompere l'attività illecita prima che la sottrazione venisse concretizzata, in quanto non era previsto un servizio di “SMS alert” che avvisasse il correntista dell'operazione non appena eseguita. Risulta poi che il si è CP_1 attivato non appena è venuto a conoscenza della truffa, segnalando il fatto nelle sedi più opportune.
La prova della gravità della colpa non può essere, inoltre, desunta dal fatto che si stia adoperando per sensibilizzare la clientela Parte_1 sul tema del phishing, in quanto la documentazione prodotta (doc. 7) dimostra che è presente sul sito una sezione dedicata al phishing, ma non anche che questa che vi fosse già al tempo dei fatti (la stampata prodotta non è datata). Inoltre, la modalità di pubblicazione presuppone un onere di attivazione da parte del cliente, che deve andare a cercare la pagina sul sito di , diversamente da come accadrebbe laddove il Pt_1 sito imponesse a chi lo visita di prendere contezza della pagina (ad esempio tramite dei pop-up che appaiono all'ingresso del visitatore sul sito e che, impedendo la visualizzazione, impongono di prenderne visione). Si deve dunque dedurre, in assenza di prova contraria, che il non fosse più informato del fenomeno del phishing e delle sue CP_1 dinamiche rispetto a chiunque altro.
pagina 12 di 14 In un tale contesto, quindi, deve concludersi che non Parte_1 abbia dimostrato che il danno è stato causato dalla colpa grave, e tanto meno dal dolo del CP_1
L'ordinanza di primo grado deve essere pertanto confermata, sia pure integrata nei termini precedenti.
II. In applicazione del principio di soccombenza, tenuto conto dell'esito del giudizio complessivo (che vede vittorioso l'appellato le CP_1 spese processuali del presente grado del giudizio devono essere poste a carico di nella misura liquidata in dispositivo, ai Parte_1 sensi del D.M. 55/2014 come modificato dal D.M. n. 147 del
13/08/2022, in relazione al valore effettivo della controversia ed all'attività svolta, con applicazione dei parametri minimi ed esclusa la fase istruttoria per il presente grado di giudizio.
P.Q.M.
La Corte di Appello di Firenze, definitivamente pronunciando, disattesa ogni contraria domanda, eccezione, istanza e deduzione, sull'appello proposto da nei confronti di Parte_1 Controparte_1 avverso l'ordinanza ex art. 702-bis ss. pubblicata dal Tribunale di
FIRENZE il 09/01/2023, così provvede:
1. Rigetta l'appello e per l'effetto conferma integralmente l'ordinanza di primo grado;
2. Condanna a rifondere all'appellato Parte_1 CP_1 le spese di costituzione nel giudizio di appello, che
[...] liquida in complessivi euro 1.700,00 per compensi di avvocato, oltre al rimborso delle spese generali al 15%, Iva e CPA, come per legge;
3. Dichiara l'appellante tenuta a corrispondere il contributo unificato in misura doppia ai sensi dell'art. 13, comma 1-quater del DPR pagina 13 di 14 115/2002, introdotto dall'art. 1, comma 17 della legge n.228 del
24.12.2012.
Firenze, camera di consiglio del 10.12.2025.
Il Consigliere relatore ed estensore dott. Fabrizio Nicoletti
La Presidente
dott.ssa Anna Primavera
Nota
La divulgazione del presente provvedimento, al di fuori dell'ambito strettamente processuale, è condizionata all'eliminazione di tutti i dati sensibili in esso contenuti ai sensi della normativa sulla privacy ex D. Lgs 30 giugno 2003 n. 196 e successive modificazioni e integrazioni.
pagina 14 di 14