CA
Sentenza 28 luglio 2025
Sentenza 28 luglio 2025
Commentari • 0
Sul provvedimento
| Citazione : | Corte d'Appello Cagliari, sez. distaccata di Sassari, sentenza 28/07/2025, n. 278 |
|---|---|
| Giurisdizione : | Corte d'Appello Cagliari |
| Numero : | 278 |
| Data del deposito : | 28 luglio 2025 |
Testo completo
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Corte d'appello di Cagliari
Sezione Distaccata di Sassari
La Corte, composta dai Magistrati:
Dott. Ssa Cinzia Caleffi Presidente
Dott. Ssa Cristina Fois Consigliera
Dott. Ssa Monica Moi Consigliera rel. ha pronunciato la seguente:
SENTENZA nella causa di secondo grado iscritta al n. 450/2022 R.G. promossa da:
(C.F. ) con il patrocinio dell'avv. Parte_1 P.IVA_1
FERRERO ENRICO
parte appellante
CONTRO
(C.F. con il patrocinio dell'avv. CP_1 C.F._1
MANNIRONI MICHELE
parte appellata
Oggetto: contratti bancari
All'udienza del 13/9/2024 sono state precisate le seguenti CONCLUSIONI
Nell'interesse di parte appellante: “perché piaccia all'Ecc.ma Corte d'Appello adita, in totale riforma della sentenza appellata e disattesa ogni contraria istanza,
eccezione e deduzione, accogliere le seguenti
CONCLUSIONI
1) rigettare integralmente le avverse domande perché infondate in fatto e in diritto e per l'effetto mandare assolta da ogni avversa Parte_1
pretesa;
2) per l'effetto, condannare gli appellati alla rifusione della somma di euro
15.703,19 ad essi corrisposta dalla in data 26/9/2022 in virtù della Pt_2
sentenza appellata, ovvero di quella diversa somma che sarà stabilita, anche in via equitativa, oltre interessi e rivalutazione monetaria;
3) in ogni caso, con vittoria delle spese e delle competenze del doppio grado di giudizio.
In via subordinata istruttoria, si insiste affinché l'Ecc.ma Corte d'Appello adita,
se ritenuto necessario ai fini della decisione, voglia ammettere la prova per testimoni dedotta nel precedente grado di giudizio nella memoria ai sensi dell'art. 183, 6° comma, n. 2 c.p.c. sui seguenti capi:
a) vero che l'accesso ai servizi online di pagamento di , al tempo Parte_1
del bonifico per cui è causa (5/11/2018), prevedeva un sistema di autenticazione
cd. “a due fattori”, che richiede cioè la combinazione di password statiche, ossia il codice titolare e il pin (quest'ultimo noto al solo cliente) e dinamiche, ossia il codice usa e getta a tempo OTP, generato dal token “O-Key” in possesso del cliente, e ciò come specificato nel documento denominato “Guida ai Servizi
ottobre 2018”, sub All. D, doc. 3 prodotto con la citazione per Parte_1
appello, che si esibisce al teste;
b) vero che per effettuare i bonifici il sistema informatico della Banca richiede
l'inserimento, oltre che dei codici di cui al precedente capo a), di un ulteriore codice OTP, generato dal token “O-Key” in possesso del cliente, come specificato nel documento denominato “Guida ai Servizi ottobre 2018”, sub Parte_1
All. D, doc. 3 prodotto con la citazione per appello, che si esibisce al teste;
c) vero che il token “O-Key”, necessario per la generazione dei codici OTP, viene consegnato ai clienti dalla filiale all'atto dell'attivazione dei servizi di internet
banking ed è univocamente collegato soltanto al conto per la cui gestione è fornito, sicché i codici da esso generati possono essere utilizzati esclusivamente per l'autenticazione dell'accesso allo stesso conto e per la convalida delle operazioni (quali in particolare i bonifici) ivi effettuate;
d) vero che, per l'ulteriore sicurezza dei clienti, il sistema prevede altresì che in caso di inattività protratta per oltre quindici minuti la sessione venga
automaticamente interrotta e che l'utilizzatore, per ricominciare ad operare, debba ricollegarsi al sito inserendo nuovamente le proprie credenziali di accesso, come specificato nel documento denominato “Guida ai Servizi Parte_1
ottobre 2018”, sub All. D, doc. 3 prodotto con la citazione per appello, che si esibisce al teste;
e) vero che alle ore 14:04:05 del 5/11/2018 venne eseguito l'accesso al c/c n.
1000/163 intestato ai sig.ri e mediante il servizio di CP_1 Controparte_2
internet banking, come specificato nei documenti denominati “Analisi disconoscimento operazioni bancarie” e “Tracciatura operazione”, sub All. D, doc.ti 2 e 2.1 prodotti con la citazione per appello, che si esibiscono al teste;
f) vero che detto accesso avvenne mediante l'inserimento delle credenziali
(codice titolare e codice pin) dei titolari del conto e venne contestualmente
accompagnato da un valido codice OTP (“One Time Password”), generato dal token “O-Key” in possesso dei clienti, come specificato nei documenti denominati
“Analisi disconoscimento operazioni bancarie” e “Tracciatura operazione”, sub
All. D, doc.ti 2 e 2.1, prodotti con la citazione per appello e che si esibiscono al teste;
g) vero che alle ore 14:04:18 venne inserito sul predetto conto il bonifico
istantaneo di € 8.900,00 in favore di tale “ ”, cod. iban CP_3
ES07008105343600022611235, come specificato nei documenti denominati
“Analisi disconoscimento operazioni bancarie” e “Tracciatura operazione”, sub
All. D, doc.ti 2 e 2.1, prodotti con la citazione per appello e che si esibiscono al teste;
h) vero che l'operazione era risultata sospetta in relazione alla consueta
operatività del conto, in quanto i titolari dello stesso si connettevano sempre da indirizzi italiani (di Telecom e Vodafone), mentre la sessione in questione era stata operata da un indirizzo IP di un provider francese, come specificato nei documenti denominati “Analisi disconoscimento operazioni bancarie” e
“Tracciatura operazione”, sub All. D, doc.ti 2 e 2.1, prodotti e con la citazione
per appello che si esibiscono al teste;
i) vero che, in ragione della natura sospetta dell'operazione, alle ore 14:05:18, il servizio di alerting della Banca comunicò al cellulare del sig. il codice di CP_1 sicurezza OTS – ossia il codice usa e getta “One Time SMS” da utilizzare per
l'autorizzazione della transazione unitamente a un ulteriore codice OTP generato dal token “O-Key” del cliente – tramite un sms del seguente letterale tenore:
«Usa 205969 come codice di sicurezza per completare il bonifico europeo
BU0519 di € 89601,60 a favore di a. Mittente gruppo ISP (…)», come CP_3
specificato nei documenti denominati “Analisi disconoscimento operazioni bancarie” e “Tracciatura operazione”, sub All. D, doc.ti 2 e 2.1, prodotti con la citazione per appello e che si esibiscono al teste;
j) vero che il sistema informatico di sicurezza di prevede che Parte_1
quando un'operazione è considerata sospetta il servizio antifrode genera ed invia
al numero di cellulare del cliente il codice OTS, la cui immissione è indispensabile per completare la procedura di inserimento del bonifico;
k) vero che la disposizione di bonifico venne autorizzata tra le ore 14:08:28 e le ore 14:08:38 attraverso l'inserimento del predetto codice OTS e di un ulteriore valido codice OTP generato dal token “O-Key” del cliente e venne pertanto eseguita dalla Banca, come specificato nei documenti denominati “Analisi
disconoscimento operazioni bancarie” e “Tracciatura operazione”, sub All. D, doc.ti 2 e 2.1 prodotti con la citazione per appello, che si esibiscono al teste.
Si indica in qualità di testimone il dott. residente/domiciliato in Testimone_1
Moncalieri (TO), anche specificamente per confermare autenticità, provenienza nonché rispondenza al vero del contenuto dei documenti denominati “Analisi
disconoscimento operazioni bancarie” e “Tracciatura operazione”, prodotti con la citazione per appello come All. D, doc.ti 2 e 2.1. Si fa infine istanza affinché, ai sensi dell'art. 203 c.p.c., sia delegato il Tribunale di Torino ai fini dell'assunzione della prova.”
Nell'interesse di parte appellata: “si chiede che la Ecc.ma Corte d'Appello voglia:
1) rigettare la proposta impugnazione in quanto infondata, confermando, per
l'effetto, integralmente l'impugnata sentenza;
2) Con vittoria di spese e onorari del secondo grado del giudizio e conferma della statuizione delle spese contenuta nella sentenza di primo grado.”
Svolgimento del processo
e convenivano in giudizio, davanti al Tribunale di CP_1 Controparte_2
Nuoro, la banca esponendo in fatto: Parte_1
- di essere contitolari del c/c n. 13874 – 1000- 000000163, accesso presso la filiale di Nuoro della Controparte_4
- che in data 05 novembre 2018 il aveva ricevuto sul proprio telefono CP_1
cellulare un messaggio dal seguente tenore letterale: “Usa 205969 come codice di sicurezza per completare il bonifico europeo BU0519 di € 8901,6 a favore di a. mittente gruppo ISP – Numero Centro Servizi Messaggi: CP_3
+393110200002”;
- recatosi immediatamente a casa aveva verificato, collegandosi al sito della banca, che dal proprio conto era stato disposto un bonifico dell'importo di euro
8.900,00;
- recatosi presso la filiale di Nuoro al fine di ottenere delucidazioni in merito all'operazione di cui è causa, veniva informato da un funzionario che al sistema risultava una transazione non autorizzata (bonifico istantaneo) dal suo conto a favore del conto corrente ES0700810534360002261253B – BIC:
BSABESBBXXX, intestato a tale dal valore complessivo di euro CP_3
8.900,00;
- in data 7 novembre 2018 il aveva disconosciuto il bonifico, chiedendo CP_1
che gli venissero riaccreditate le somme indebitamente pagate dall' ma, CP_5
a seguito di riaccredito temporaneo di detta cifra in data 8 novembre, la somma era stata nuovamente stornata dal suo c/c sul presupposto che si trattasse di un'operazione eseguita con i corretti codici di accesso alla banca on-line, benché illegittimamente acquisiti da terzi attraverso probabile frode informatica, e che pertanto l'istituto di credito non potesse essere considerato responsabile. Tanto
premesso in fatto, eccepivano la responsabilità dell'istituto che svolga attività, quale quella in esame, di tipo finanziario o generalmente creditizio di gestione dei conti correnti abilitati a operazioni di bonifico online, quale titolare del trattamento dei dati personali, per i danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico. Deducendo che sulla banca graverebbe l'onere di provare la genuinità della transazione e l'obbligo di rifondere il correntista nell'eventualità di operazione disconosciuta, tranne nel caso di trascuratezza
(errore) o frode da parte del cliente – onere che nella specie non sarebbe stato assolto - chiedevano la condanna della convenuta alla restituzione della somma di euro 8.900,00, oltre interessi e rivalutazione monetaria, quale importo prelevato dal conto corrente degli attori e utilizzato per un bonifico europeo su conto estero, non autorizzato dai correntisti, oltre che al risarcimento del danno, con vittoria di spese o onorari.
costituitasi in giudizio, chiedeva il rigetto della Parte_1
domanda, di cui sosteneva l'infondatezza in quanto:
- l'accesso al c/c n. 1000/163 da parte degli autori della frode sarebbe avvenuto attraverso il servizio di internet banking alle ore 14:04:05 del 5/11/2018 mediante l'utilizzo di credenziali (codice titolare e codice pin) corrette ed univocamente riconducibili agli attori;
- l'operazione di accesso sarebbe stata poi completata con l'inserimento di un codice OTP (“One Time Password”, codice monouso a tempo generato dal dispositivo token “O-Key” in possesso dei clienti), parimenti valido con conseguente esito positivo del login;
- il bonifico istantaneo di € 8.900,00 in contestazione, inserito alle ore 14:04:18, era risultato sospetto al sistema antifrode della Banca, in quanto il si CP_1
connetteva abitualmente da indirizzi italiani di Telecom e Vodafone, mentre la sessione poi risultata fraudolenta era stata operata da un ip isolato di un provider francese e, per tale ragione, era stato generato e comunicato al cellulare del cliente l'ulteriore codice di sicurezza OTS “One Time SMS” da utilizzare all'atto dell'autorizzazione della transazione unitamente al tradizionale codice OTP generato dal token O-Key del cliente;
- la disposizione di bonifico sarebbe stata autorizzata dall'utenza del cliente attraverso l'inserimento di validi codici OTP e OTS;
- nessun rimprovero poteva essere mosso alla convenuta giacché la responsabilità dell'accaduto sarebbe stata addebitabile esclusivamente agli attori, verosimilmente vittima del cd. “real time phishing”, tipologia di truffa online che, senza violare i sistemi di sicurezza della Banca, consente al truffatore
(il cd. fisher) di carpire in modo fraudolento i codici relativi al servizio di internet banking del cliente e di connettersi in tempo reale alla banca della vittima per effettuare il trasferimento dei fondi o effettuare altre operazioni bancarie a suo favore nella finestra temporale di validità del predetto codice OTP, prima che questo diventi inefficace;
- il sistema di sicurezza adottato dalla banca all'epoca dei fatti sarebbe stato pienamente idoneo a impedire l'effettuazione di operazioni fraudolente in quanto rispondente ai più avanzati standards tecnologici in materia di sicurezza delle transazioni, posto che per accedere alla piattaforma online della banca era utilizzato un sistema “a due fattori” che richiedeva la combinazione di password statiche (il Codice Titolare e il PIN, noto solo al cliente) con una password dinamica (il codice O-Key, password a tempo generata dal token in possesso del cliente e utilizzabile una volta sola), oltre al codice O-Key, anche un codice di sicurezza “usa e getta” (OTS) inviato via sms al numero di cellulare del cliente,
nel caso di operazioni sospette.
La difesa di parte attrice replicava che non vi fosse prova della riferibilità dell'operazione ai correntisti, essendo stato genericamente allegato che costoro avessero negligentemente conservato le loro credenziali, senza considerare che diverse erano le modalità attraverso le quali captare le credenziali d'accesso bancarie;
in particolare, l'individuazione online dell'utente sarebbe potuta avvenire su pagine-trappola create ad hoc con raggiro dei sistemi di sicurezza adottati dai più noti siti di e-commerce ed appropriazione indebita dei dati forniti dagli utenti in essi registrati e ivi conservati all'interno dei database e, una volta ottenute le credenziali d'accesso all'utenza bancaria, per l'autore della truffa sarebbe stato sufficiente il possesso di un supporto O-Key, strumento svincolato nel suo impiego al conto corrente con il quale è dato in dotazione, per venire a conoscenza dell'ulteriore codice OTP necessario al completamento dell'operazione bancaria. L'autore della truffa, a quel punto, ben avrebbe potuto, quindi, anche entrare in possesso del numero di telefono del correntista
(informazione rinvenibile nella sezione Web “il mio profilo- dati personali”) e perpetuare l'ulteriore operazione di Port Out Scam (clonazione del numero di telefono del correntista), per poi procedere all'esecuzione del bonifico on-line tramite smart-phone su cui era stato inviato, nello stesso contesto di tempo, il codice OTS necessario al perfezionamento della transazione. Tanto deducevano per confutare l'assunto che gli attori avessero inviato mediante SMS il codice
OTS necessario al perfezionarsi del bonifico. A riprova di ciò evidenziavano che l'operazione in contestazione, come rilevato anche dal sistema anti-frode della banca, era stata disposta appoggiandosi a un provider francese al quale l'IP del truffatore si era connesso per completarla, mentre i correntisti, in quella data, si trovavano pacificamente in territorio nazionale.
La difesa dell'istituto eccepiva, a sua volta, che nei siti di e-commerce venivano solitamente inseriti i numeri delle carte di pagamento e non i dati per la gestione on-line del conto corrente;
escludeva che il truffatore, soltanto perché
eventualmente in possesso di una chiavetta “O-Key”, avesse potuto operare su qualsiasi conto corrente ed in particolare su quello degli attori, deducendo che tale strumento fosse invece univocamente ricollegato al conto per la cui gestione era stato consegnato al cliente;
parimenti, escludeva che l'operazione in oggetto potesse essere stata realizzata mediante il sistema del cd. port-out scam in quanto tale tipologia di truffa comporterebbe la deviazione su altra sim del traffico diretto al numero di cellulare del cliente, la cui utenza quindi cesserebbe di funzionare o, comunque, non riceverebbe messaggi in entrata, mentre nel caso di specie il correntista aveva ricevuto il codice OTS inviato dalla banca per la validazione dell'operazione di pagamento in contestazione. La circostanza, poi, che l'indirizzo IP usato per effettuare l'operazione fraudolenta fosse quello riferibile alla postazione utilizzata dal malversatore per porre in essere la stessa operazione non escluderebbe la negligenza degli attori, ma anzi confermerebbe l'inserimento, ad opera degli stessi clienti, nella convinzione di interagire con il sito autentico della banca, del codice OTS (e di tutte le ulteriori credenziali di accesso e dispositive) sul sito contraffatto, così consentendo al truffatore di portare a termine l'operazione, appunto tramite IP francese.
Replicava ulteriormente la difesa degli attori come non potesse escludersi l'ipotesi per la quale un truffatore, capace di carpire le credenziali di accesso online al conto bancario, possa essere altresì in grado di svincolare l'esclusivo utilizzo del supporto O-key al conto corrente al quale sarebbe univocamente vincolato, ben potendo il codice generato dall'O-key essere sostituito da quello elaborato da altri generatori consistenti in supporti materiali o virtuali. A riprova di ciò invocava l'emanazione della direttiva UE 2015/2366 e del successivo regolamento direttivo UE 2018/389 in materia di Payment Services Directives, normativa recepita in Italia con d.lgs. n. 218/2017, all'esito della quale, la stessa aveva introdotto il sistema dell'O-key smart in grado di Parte_1 vincolare l'utilizzo del conto corrente a meccanismi di sicurezza meno eludibili, quali ad esempio l'impiego dell'impronta digitale. Da ciò arguiva che l'utilizzo del supporto Okey fosse stato considerato dallo stesso istituto bancario incapace di garantire un livello di sicurezza adeguato alla luce del progredire di pratiche truffaldine sempre più sofisticate e inidoneo a soddisfare lo standard della cd. autenticazione forte. Gli attori negavano, poi, che il cd port out scam conducesse necessariamente alla duplicazione della sim clonata, ben potendo, semplicemente, l'autore della truffa dirottare sul proprio numero le comunicazioni di un'altra utenza, conservando tuttavia il proprio numero.
Con sentenza 450/2022 il Tribunale di Nuoro accoglieva parzialmente la domanda attrice limitatamente alla condanna alla restituzione della somma indebitamente sottratta mentre rigettava la domanda risarcitoria.
Avverso detta pronuncia ha proposto appello , deducendone Parte_1
l'erroneità per i seguenti motivi:
i) il tribunale, pur riconoscendo l'adeguatezza dei sistemi di sicurezza della banca, avrebbe errato nel non considerare la grave negligenza degli attori odierni appellati per avere essi inserito o comunque comunicato il codice OTS unitamente a tutte le ulteriori credenziali e codici del conto, in tal modo consentendo il compimento dell'operazione;
ii) erronea interpretazione dei principi che presiedono alla distribuzione dell'onere della prova;
iii) omessa e/o erronea valutazione delle risultanze istruttorie, che, invece, rivelerebbero la grave negligenza dei clienti;
iv) mancata ammissione della prova testimoniale in difetto di qualsivoglia motivazione;
v) erroneità della sentenza anche in punto di spese.
I coniugi si sono costituiti in giudizio e hanno resistito all'appello, Parte_3
di cui hanno chiesto il rigetto, negando qualsivoglia loro responsabilità nell'occorso in quanto le precise modalità di captazione dei codici personali sarebbero rimaste ignote e la generazione del codice OTP ben poteva essere stata compiuta tramite applicazione e, quindi, direttamente su smartphone senza bisogno della chiavetta o-key nella disponibilità dei clienti, mentre il contenuto dei messaggi diretti alla loro utenza ben poteva essere stato captato una volta all'interno dell'home-banking. Non hanno proposto impugnazione incidentale avverso il rigetto della domanda risarcitoria.
Motivi della decisione
A. Le istanze istruttorie
Occorre provvedere con priorità, per ragioni di ordine logico, sulle istanze di prova testimoniale di non ammesse in primo grado e reiterate Parte_1
nella presente sede. Al proposito, deve confermarsi il rigetto delle istanze di prova testimoniale su cui questa corte si è già pronunciata con ordinanza in data
6/4/2023.
I capitoli di prova su riportati sono, invero, ininfluenti ai fini del decidere, giacché, anche ove fossero ammessi e ove fossero confermate le circostanze ivi dedotte, ossia, in sintesi, il perfezionamento della disposizione di bonifico disconosciuta previo inserimento delle credenziali di accesso al conto on-line, come anche dei codici OTP e OTS, ciò non varrebbe, a ogni modo, a escludere la previa illecita captazione di tali dati da parte dell'autore della truffa e, quindi, la non riconducibilità dell'operazione ai coniugi . Parte_3
Oltre a ciò, evidenzia questa corte come alcuni dei capitoli di prova si pongano altresì in contrasto con quanto risulta dalla documentazione prodotta dalla stessa banca odierna appellante. Ciò vale, in particolare, per il capo f sulle modalità di accesso al conto corrente in parola (“vero che detto accesso avvenne mediante
l'inserimento delle credenziali (codice titolare e codice pin) dei titolari del conto
e venne contestualmente accompagnato da un valido codice OTP (“One Time
Password”), generato dal token “O-Key” in possesso dei clienti, come specificato nei documenti denominati “Analisi disconoscimento operazioni bancarie” e
“Tracciatura operazione”, sub All. D, doc.ti 2 e 2.1, prodotti con la citazione per appello e che si esibiscono al teste?).
Infatti, dal documento “tracciatura operazione” (all.
2.1 produzioni di
[...]
in primo grado) si ricava che il primo accesso da dispositivo identificato Pt_1
con IP sospetto era avvenuto previo inserimento del solo PIN (vd. login del
5/11/2018 ore 14:04:05 e in particolare la colonna X, MSG OUPUT, riga 4)
mentre il codice OTP era stato inserito esclusivamente per attivare la funzione
“ricordami” prima del login delle 14:04:11 cui poi aveva fatto seguito il bonifico disconosciuto (vd. documento “tracciatura operazione”, riga 7 colonna X).
Ciò ha trovato conferma nelle ulteriori risultanze istruttorie, che comprovano come l'accesso fosse avvenuto tramite app da dispositivo mobile, ciò che consentiva il login tramite solo inserimento del pin. Infatti, sempre dalla disamina del documento denominato “tracciatura operazione” è agevole ricavare come l'operazione di bonifico in parola era stata eseguita tramite l'app Intesa Sanpaolo Mobile: invero, nella colonna H (“NOME SERVIZIO”) riga 2 compare la dicitura “info sullo stato del BT per login su mobile” a riprova del fatto che il login era avvenuto tramite apparecchio mobile e, soprattutto, nella colonna X (“MSG
OUPUT”) riga 8, ossia quella relativa al login seguito dal bonifico in contestazione, compare, nella parte finale della stringa descrittiva, la dicitura
“User agent Intesa Sanpaolo Mobile/2.7.1. (com.latuabancaperandroid…)” a conferma del fatto che l'accesso alla piattaforma on line dell'istituto di credito era avvenuto tramite la app di e non mediante browser. Il nome Parte_1
dell'app (Intesa Sanpaolo Mobile) è anch'esso ricavabile dalla documentazione versata in atti dalla banca e, segnatamente, dalla guida ai servizi ottobre 2018
(all. 3, produzioni della convenuta) nella quale, a pag. 24, viene indicato il nome dell'applicazione scaricabile gratuitamente, tra l'altro, dai possessori di smartphone.
Tanto premesso, sempre nella menzionata guida ai servizi (doc. 3 di
[...]
, pag. 26) sono disciplinate le modalità di accesso tramite app Intesa Pt_1
Sanpaolo Mobile, caratterizzate appunto dal fatto che, una volta in possesso del codice titolare, è sufficiente inserire tale codice e indi il numero di cellulare per ottenere il codice sicurezza;
a quel punto, ricevuto il codice sicurezza via sms, risulta possibile creare il codice pin e ridigitarlo per conferma, senza bisogno di inserire l'ulteriore codice generato da o-key (infatti, nella medesima pagina 26 della guida è specificato che l'inserimento del codice generato da o-key è
previsto solo per chi non attivi l'o-key smart).
Considerato, dunque, che il capitolo f) risulta in contrasto con le risultanze dei documenti prodotti dalla stessa difesa della banca, vieppiù va confermato il giudizio di irrilevanza dei restanti capi, una volta escluso il suddetto capo f), e tenuto conto delle restanti evidenze documentali.
In particolare, come si dirà più diffusamente nel successivo paragrafo B (cui si rimanda) gli elementi ricavabili dalla documentazione versata in causa dalla stessa banca (documento “tracciatura operazione” all.
2.1 più volte citato) confermano la prospettazione degli attori oggi appellati, secondo cui la captazione dei codici d'accesso all'home-banking, con modalità ignote, fosse stata sufficiente a consentire l'acquisizione dell'OTP, potendo il truffatore generarlo autonomamente da remoto mentre, per quanto riguarda il codice OTS,
l'accesso all'home-banking dei clienti avesse consentito l'apprensione del loro numero di telefono e la conseguente intercettazione delle comunicazioni in entrata all'utenza intestata al e, quindi, anche dell'ultimo dei codici (OTS) CP_1
inviatogli dalla banca per poter concludere l'operazione di bonifico in contestazione.
B. I motivi d'appello sub i) e ii)
Le censure in parola, per la loro stretta connessione, possono essere esaminate congiuntamente.
Illustrate le caratteristiche del sistema di home banking adottato dalla banca all'epoca del fatto per cui è causa, con la censura sub i) l'appellante ha lamentato l'erroneità della sentenza impugnata per aver escluso l'assolvimento, da parte dell'istituto, dell'onere probatorio a suo carico sulla base di elementi a dire dell'appellante non dirimenti sotto tale aspetto.
Viceversa, a dire della difesa di , l'istituto avrebbe offerto la Parte_1
dimostrazione non solo dell'adeguatezza ed efficienza del proprio sistema di sicurezza, ma anche della responsabilità esclusiva dei clienti nell'occorso e tanto si desumerebbe dall'analisi delle tracciature informatiche. In particolare, da tale documento si sarebbe potuto evincere il perfezionamento dell'operazione grazie all'inserimento, oltre che delle credenziali statiche di accesso al canale di home banking anche, per due volte, del codice OTP generato dal token in possesso del cliente (la prima volta per confermare l'accesso e la seconda per convalidare il bonifico) e di una ulteriore password – c.d. codice OTS – inoltrata tramite sms al cellulare certificato dello stesso cliente e dal contenuto di per sé idoneo a mettere in allarme gli appellati (“Usa 205969 come codice di sicurezza per completare il bonifico europeo BU0519 di € 89601,60 a favore di a. CP_3
Mittente gruppo ISP”). Dal che discenderebbe la colpa grave dei correntisti i quali, con l'inserimento (o la comunicazione) del codice OTS e delle ulteriori credenziali e codici del conto, avrebbero consentito l'operazione fraudolenta, cui,
d'altro canto, la banca non avrebbe potuto sottrarsi posto che proprio l'immissione nel sistema dei codici segreti consentirebbe di ricondurre l'operazione al cliente e imporrebbe alla banca di darvi corso.
Con la doglianza sub ii) ha censurato la sentenza oggetto di Parte_1
gravame per aver erroneamente posto a carico di essa convenuta odierna appellante l'onere di dimostrare le modalità dell'incauta rivelazione a terzi, da parte dei clienti, dei propri codici personali, precipuamente nel caso, come quello in esame, in cui gli attori non avevano chiarito la dinamica che aveva consentito a estranei di entrare in possesso delle credenziali relative al loro conto e di accedere e operare da remoto. Anzi, l'ipotesi in cui il cliente non indichi in modo preciso le modalità della truffa informatica dovrebbe essere valutata quale elemento sintomatico della colpa grave di esso. Parimenti, la colpa grave di costoro si sarebbe potuta desumere da ulteriori circostanze, quali il fatto che la password di accesso al conto fosse nota soltanto ai clienti, che i codici OTP fossero generati dalla chiavetta in loro possesso e che il codice OTS fosse stato comunicato alla relativa utenza certificata, associata al loro conto on line, tutti elementi che, essendo nell'esclusiva disponibilità dei clienti, erano stati certamente comunicati, a prescindere dalle modalità, agli autori della frode.
Inoltre, gli attori – odierni appellati non avevano dimostrato di aver adeguatamente protetto i dispositivi da essi utilizzati per accedere al conto on- line mediante antivirus aggiornato e dotato di regolare licenza e doveva, altresì,
escludersi la violazione dei sistemi della banca, essendo invece emerso che gli indirizzi IP utilizzati per il collegamento al conto dei clienti in occasione della truffa fossero esterni rispetto alla banca;
i clienti, poi, avevano segnalato la possibile sottrazione delle credenziali del proprio conto on line solamente due giorni dopo l'accaduto, in tal modo, trattandosi peraltro di un bonifico istantaneo, precludendo all'istituto la revoca della disposizione.
Il tribunale errava, altresì, nell'affermare che fosse rimasto indimostrato l'inserimento del codice OTS da parte dei clienti, avendo in realtà la difesa di allegato la comunicazione di tale codice, come anche degli altri, Parte_1
all'autore della truffa.
La circostanza, inoltre, che il collegamento fosse avvenuto da un indirizzo IP
diverso da quelli consueti non era di per sé indicativa della non riconducibilità dell'operazione al cliente, essendo proprio l'home banking finalizzato a consentire l'operatività online del conto corrente da qualunque luogo, e comportava la mera necessità di attivare ulteriori accorgimenti di sicurezza quale l'invio del codice OTS cui nella specie si era fatto ricorso. Ne derivava, quindi, come fosse del tutto ininfluente, diversamente da quanto statuito dal tribunale,
l'omessa individuazione del provider dal quale era stato immesso il codice indicato nel messaggio di alert inoltrato dalla banca ai correntisti.
*
I motivi d'impugnazione sono infondati per le ragioni in appresso da intendersi a integrazione e parziale correzione della sentenza impugnata.
In primis, occorre sottolineare che correttamente il tribunale riconduceva la fattispecie in parola ai principi che governano la responsabilità contrattuale,
secondo cui il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno, ovvero per l'adempimento deve soltanto provare la fonte
(negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi alla mera allegazione della circostanza dell'inadempimento della controparte, mentre il debitore convenuto è gravato dell'onere della prova del fatto estintivo dell'altrui pretesa, costituito dall'avvenuto adempimento ovvero dall'impossibilità di adempiere per causa a lui non imputabile. Altrettanto correttamente faceva discendere dall'applicazione di tali principi la configurazione dell'onere, in capo alla banca, di dimostrare la riconducibilità dell'operazione al correntista che l'abbia disconosciuta.
Esattamente, indi, il giudice di primo grado richiamava il contenuto delle disposizioni di cui al D. Lgs. 11/2010 in materia di utilizzo non autorizzato dei sistemi di pagamento elettronici e, in particolare, dell'art. 10 (che prevede, in caso di disconoscimento di un'operazione di pagamento, che sia onere dell'intermediario provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti) e dell'art. 12 (per cui la responsabilità dell'utente resta circoscritta ai casi di comportamento fraudolento o all'inadempimento gravemente colposo agli obblighi che l'art. 7 del decreto pone a suo carico, cioè gli obblighi di utilizzare lo strumento di pagamento in conformità ai termini del servizio e di denunciare tempestivamente lo smarrimento o ogni altro uso non autorizzato dello strumento.).
Altrettanto esattamente il tribunale rimarcava come l'onere probatorio della colpa grave dell'utente incombesse sull'intermediario prestatore del servizio e indicava la giustificazione dell'evidente squilibrio nel rapporto fra prestatore e utilizzatore dei servizi di pagamento, nel rischio d'impresa, essendo razionale far gravare sull'intermediario i rischi statisticamente prevedibili legati ad attività oggettivamente “pericolose”, che interessano un'ampia moltitudine di consumatori o utenti, in quanto il costo dell'assicurazione di detti rischi può
essere computato nella determinazione dei prezzi di vendita dei beni o di fornitura del servizio alla generalità degli utenti.
Tanto premesso, l'onere di provare la riconducibilità agli attori odierni appellati della disposizione di bonifico disconosciuta non può dirsi assolto da parte dell'istituto di credito. Invero, i mezzi istruttori articolati al riguardo non risultano rilevanti ai fini decisori ben essendo compatibili con l'attività di illecita sottrazione dei dati, utilizzati per il compimento dell'operazione, ad opera dell'autore della truffa (vd. supra, paragrafo A). Non solo, oltre a ciò, reputa la corte che dalle risultanze istruttorie siano ricavabili elementi a supporto della tesi degli attori odierni appellati.
Si è già detto, infatti, che dal documento “tracciatura operazione” (all.
2.1 produzioni di in primo grado) si ricava che il primo accesso da Parte_1
dispositivo identificato con IP sospetto era avvenuto tramite l'app Intesa
Sanpaolo Mobile previo inserimento del solo PIN (vd. login del 5/11/2018 ore
14:04:05 e in particolare la colonna X, MSG OUPUT, riga 5 parte centrale della stringa descrittiva, ove leggesi “chek pin”) mentre il codice OTP era stato inserito esclusivamente per attivare la funzione “ricordami” prima del login delle
14:04:11 cui poi aveva fatto seguito il bonifico disconosciuto (vd. documento
“tracciatura operazione”, riga 7 colonna X).
Inoltre, sempre dalla menzionata guida ai servizi (vd. all. 3, produzioni di
, pag. 47 e 48) si ricava che tra le funzionalità della app vi è la generazione Pt_1
di codici OTP tramite app (per gli utenti con o-key smart, i quali accedono solo con inserimento del PIN). L'impiego dell'app Intesa Sanpaolo Mobile risulta, dunque, compatibile tanto con la generazione del codice OTP tramite chiavetta quanto tramite app.
Tanto premesso e considerato che il login che aveva preceduto la disposizione di bonifico disconosciuta era stato effettuato (pacificamente) da parte dell'autore della truffa e solo previo inserimento del pin (mentre il codice OTP era stato generato solo per attivare la funzione “ricordami”) è ragionevole ritenere,
secondo l'id quod plerumque accidit, che costui avesse fatto ricorso alla possibilità di generare il codice OTP direttamente dall'app Intesa Sanpaolo Mobile anziché tentare di carpire anche tale dato ai correntisti. Sempre a tale proposito, la difesa dell'appellante ha sostenuto che l'impiego dell'o-key, ossia del supporto fisico per la generazione del codice OTP a convalida dell'operazione in parola sarebbe circostanza non contestata dagli attori nel giudizio di primo grado. La tesi non puo' essere condivisa, essendo invece un fatto che esula dalla sfera di conoscibilità dei correntisti, attenendo esclusivamente alle modalità di esecuzione dell'operazione bancaria dai medesimi disconosciuta, di talché non può ritenersi operante il principio di non contestazione.
Quanto poi al codice OTS non è superfluo evidenziare come parte attrice deducesse l'illecita captazione anche di tale codice e, più in generale, la clonazione della propria utenza telefonica, ciò che avrebbe reso possibile, considerato il carattere sempre più abile e sofisticato delle truffe informatiche,
l'intercettazione dei messaggi destinati al pur senza disattivarne la sim: CP_1
anzi proprio l'indebita sottrazione delle credenziali di accesso al conto avrebbe consentito, secondo gli attori oggi appellati, l'individuazione del numero di telefono dei correntisti (mediante accesso al loro account personale) e l'accesso,
per tale mezzo, al loro conto on-line.
Ebbene, a supporto di quest'ultima ricostruzione richiama la corte i seguenti elementi, ricavabili dalle allegazioni delle parti e dal documento denominato
“tracciatura operazione” più volte menzionato:
- la disposizione di bonifico in contestazione proveniva da dispositivo contraddistinto da IP avente cifra finale 227 di un provider francese, dal quale proveniva anche l'inserimento del codice OTS trasmesso dalla banca con la funzione di avvisare i clienti dell'accesso sospetto;
- è incontroverso che i correntisti si connettessero, invece, abitualmente, da indirizzi italiani di Telecom e Vodafone, tanto che, essendo risultato il su menzionato IP sospetto la banca aveva curato l'invio di un ulteriore codice accompagnato da messaggio di testo con cui informava il cliente della necessità
di inserire il codice per completare l'operazione di bonifico;
- l'autore della truffa aveva avuto accesso al conto tramite smartphone e mediante l'app Intesa Sanpaolo Mobile e ben poteva, quindi, generare il codice
OTP direttamente tramite l'applicazione prescindendo dal supporto fisico
(chiavetta o-key).
- avendo carpito o comunque illecitamente sottratto le credenziali d'accesso al conto, il truffatore ben poteva individuare il numero di telefono dei correntisti riportato nel relativo account personale e, quindi, impossessarsi con modalità direttamente proporzionali alle abilità informatiche del medesimo anche dei messaggi eventualmente diretti su tale utenza senza disabilitarla (e, quindi, anche del codice OTS inviato dalla banca unitamente al messaggio di alert).
Gli elementi testé esaminati risultano, pertanto, pienamente compatibili con la prospettazione degli attori oggi appellati, secondo cui la captazione dei codici d'accesso all'home-banking, con modalità ignote, fosse stata sufficiente a consentire l'acquisizione dell'OTP, potendo il truffatore generarlo autonomamente da remoto mentre, per quanto riguarda il codice OTS, l'accesso all'home-banking dei clienti avesse consentito l'apprensione del loro numero di telefono e la conseguente intercettazione delle comunicazioni in entrata all'utenza intestata al e, quindi, anche dell'ultimo dei codici (OTS) CP_1 inviatogli dalla banca per poter concludere l'operazione di bonifico in contestazione.
Avuto riguardo a quanto sopra esposto, risulta, quindi indimostrata qualsivoglia condotta attiva da parte dell'utente, come anche un improprio utilizzo delle credenziali e dei codici di conferma, e ciò consente di escludere qualsivoglia profilo di grave negligenza dei clienti ai sensi dell'art. 7 comma 2° D.lgs 11/2010 per la mancata custodia del dispositivo loro consegnato o per non aver CP_6
adottato le opportune cautele volte alla protezione delle credenziali di sicurezza personalizzate.
Che debba essere escluso qualsivoglia addebito di grave negligenza si desume,
altresì, dalle ulteriori evidenze documentali:
- ad ore 14:31:37 il dispositivo contraddistinto con IP avente cifra 573 finale, pacificamente identificativo del dispositivo abitualmente in uso al eseguiva CP_1
l'accesso al conto on line in parola, previo check non solo del pin, ma anche dell'OTP (vd. righe 74 e 75 del documento 2.1 prodotto unitamente alla comparsa di costituzione in primo grado di , colonne I e J) e Parte_1
mediante browser (non app), come attestato dalla stringa descrittiva della riga
74 colonna X nella quale compare (nella parte centrale della stringa) la dicitura
“agent Mozilla/5.0 (Windows)” e, quindi, con modalità diverse da quelle operate poco prima dal truffatore;
- rispetto alla ricezione del codice OTS (inserito dal dispositivo sospetto ad ore
14:08:28 come da riga 32 del doc. 2.1 “tracciatura operazione”) l'accesso del cliente risulta più che tempestivo, a riprova del fatto che i correntisti, allarmati dalla ricezione del codice OTS unitamente al messaggio di avviso della banca, avessero immediatamente acceduto al conto on line per le verifiche del caso;
- non solo: i correntisti si erano recati tempestivamente presso la filiale di
[...]
, come testimoniato dalla circostanza che sul conto risulta l'accesso ad Pt_1
ore 15:35:59 ad opera di un dispositivo con IP (895 finale) ulteriore e diverso rispetto a quello dei clienti e del truffatore e che, per esclusione, non poteva che appartenere all'impiegato della banca presso cui gli attori si erano assai verosimilmente recati dopo l'apertura pomeridiana, a riprova della tempestiva segnalazione dell'operazione fraudolenta da parte dei clienti;
- nello stesso pomeriggio del 5 novembre ad ore 16:40 (vd. verbale di denuncia,
all. 3 citazione del primo grado) aveva, inoltre, sporto denuncia per CP_1
il fatto per cui si procede presso la Questura di Nuoro.
Neppure è condivisibile il ragionamento di parte appellata allorché pretende di ricavare presuntivamente la colpa grave dei clienti dalla loro condotta processuale, per non aver sufficientemente precisato le modalità della truffa pur essendo circostanze nella loro esclusiva disponibilità. Da tale condotta la difesa dell'istituto di credito pretenderebbe di ricavarne argomenti di prova a supporto della grave negligenza dei correntisti.
L'assunto non è condivisibile, trattandosi, ex converso, di circostanze che ben possono esulare nel dettaglio dalla sfera di conoscibilità degli utilizzatori degli strumenti di pagamento elettronici (considerato, peraltro, che l'asserita rivelazione dei codici personali, tanto credenziali d'accesso quanto codici OTP e
OTS, potrebbe non essersi verificata in alcun modo). Peraltro, la condotta processuale della parte necessariamente si iscrive, a mente dell'art. 116 cpc, nel novero degli elementi probatori complessivamente acquisiti alla causa e, a tale proposito, non può che ribadirsi come le risultanze istruttorie ut supra descritte risultino, invece, compatibili con la prospettazione attrice, e come, per il loro spessore e concludenza, non possano essere scalfite dall'argomento di prova invocato dall'appellante.
La giurisprudenza richiamata dall'appellante (Cass. Civ. 7214/2023), del resto, si era formata sotto il vigore della vecchia disciplina e concerneva un'ipotesi di responsabilità aquiliana, fattispecie diversa, quindi, da quella in disamina.
Si è già detto, inoltre, che può ritenersi comprovato come i clienti avessero tempestivamente avvisato la banca del tentativo (purtroppo andato a buon fine) di truffa, non appena ricevuto l'SMS contenente il codice OTS, cosicché, neppure sotto tale profilo, è individuabile a loro carico alcun profilo di grave negligenza.
È, invece, emersa l'inidoneità dei meccanismi di sicurezza apprestati dalla banca per fronteggiare l'eventuale sottrazione illecita delle credenziali, consistiti nell'invio di avvisi e di codici sul numero di cellulare fornito dal cliente.
Ebbene, essendo diffusi e noti nella realtà sociale i fenomeni di clonazione della sim e in generale di captazione del traffico di comunicazioni delle altrui utenze telefoniche, il banchiere accorto deve predisporre – anche rispetto a tali pratiche illecite – adeguate misure di protezione, le quali, per definizione, non possono consistere nell'invio di avvisi o codici sulla SIM potenzialmente clonata.
Pertanto, individuato un accesso “sospetto” – nel caso di specie per l'utilizzo di indirizzo IP mai impiegato in precedenza dal cliente, per giunta a mezzo app (e quindi con la possibilità di generare i codici OTP direttamente sull'app) e per un'operazione di bonifico avente per oggetto l'intero saldo disponibile sul conto
–, appare nella specie tutt'altro che idonea a garantire la sicurezza dello strumento di pagamento elettronico la conferma resa attraverso invio di codici sulla medesima SIM, ben potendo e dovendo invece la banca, in un caso come quello in esame, allertare il cliente con altre modalità (ad esempio una telefonata) o altri mezzi.
Dall'altra, la mera osservanza dei protocolli di sicurezza predisposti da
[...]
per impedire il perfezionarsi di operazioni non autorizzate non può di Pt_1
per sé sola escludere la responsabilità dell'istituto, non potendo prescindersi dalla valutazione della diligenza secondo il modello già visto dell'accorto banchiere in relazione alle peculiarità del singolo caso concreto ut supra descritte.
Quanto alla responsabilità del gestore telefonico, vi è da dire che non risulta essere stata chiesta, da parte della convenuta, la chiamata del terzo per essere eventualmente manlevata da costui e che, con riguardo alla posizione degli attori oggi appellati, anche ove fosse configurabile una responsabilità del gestore telefonico, essa integrerebbe, per il concorrente apporto causale di banca e gestore telefonico, una solidarietà passiva verso i creditori che comporta, evidentemente, la possibilità di agire per l'intero anche nei confronti di uno solo dei condebitori in solido.
Correttamente, dunque, il tribunale affermava la responsabilità della banca oggi appellante essendo indimostrati, ad opera dell'istituto di credito che ne era onerato, tanto il collegamento dell'operazione di bonifico disconosciuta alla volontà del cliente quanto la concreta violazione, con colpa grave, da parte dei correntisti delle norme prudenziali che informano le modalità d'uso dei rapporti di conto corrente telematico, essendo del resto ragionevole ricondurre nell'area del rischio professionale del fornitore del servizio la fraudolenta interferenza di terzi non attribuibile al dolo del titolare o a comportamenti colpevolmente incauti del medesimo, trattandosi di un rischio prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente (cfr. ex aliis: Cass. 26916/2020).
I restanti rilievi risultano assorbiti.
C. Il motivo d'appello sub iii)
Con tale motivo d'impugnazione l'appellante si è doluto dell'erronea esclusione,
da parte del tribunale, di qualsivoglia efficacia probatoria del documento denominato “Tracciatura Operazione”. Il documento in questione, producibile esclusivamente in formato excel in base alle specifiche del PCT, conterrebbe la riproduzione informatica delle risultanze dei sistemi di sicurezza dell'Istituto di credito, estratta automaticamente da questi, e da esso risulterebbe la registrazione di tutte le attività compiute in occasione dell'operazione disconosciuta, risultando quindi senz'altro idoneo a fornire la prova della corretta autenticazione delle operazioni disconosciute. Tale documento ben potrebbe essere qualificato come documento informatico e, comunque, in assenza di disconoscimento, formerebbe piena prova ai sensi dell'art. 2712 c.c.
*
La critica in parola è assorbita da quanto supra esposto, traendosi, comunque, da esso, a prescindere dalla qualificazione e dalla valenza che si ritenga di attribuire al documento, elementi probatori che sono stati liberamente valutati dalla corte.
D. Il motivo d'appello sub iv)
Tale doglianza, attinente all'omessa motivazione sul rigetto delle istanze di prova orale deve ritenersi assorbita dalle considerazioni di cui al superiore paragrafo
A.
E. Il motivo d'appello sub v)
Con il motivo d'appello in disamina la parte appellante ha censurato la sentenza in punto di spese, giacché:
- in ragione del comportamento colposo degli attori il primo giudice avrebbe dovuto rigettare la domanda e condannarli alla rifusione delle spese di lite, ovvero, in subordine, ridurre proporzionalmente il risarcimento in base all'entità del concorso con compensazione delle spese anche in considerazione della condotta ante causam tenuta dalla banca (che aveva offerto a scopo conciliativo il pagamento di una somma superiore alla metà dell'importo controverso) o, in ulteriore subordine, disporre la compensazione delle spese essendo stata comunque rigettata la pretesa risarcitoria;
- in ogni caso, veniva erroneamente quantificato l'ammontare dei compensi.
Il motivo d'impugnazione in esame è parzialmente fondato nei termini di cui in appresso.
Nessuna censura merita la pronuncia impugnata per quanto attiene alla mancata compensazione delle spese del giudizio, posto che tale facoltà costituisce espressione di un potere discrezionale del giudice il quale nemmeno è tenuto a dare ragione con espressa motivazione del mancato uso di tale facoltà.
Merita accoglimento esclusivamente la critica riguardante l'ammontare dei compensi, avendo il primo giudicante effettivamente determinato il relativo importo in ragione di euro 3.892,00 al netto delle spese generali, laddove l'importo corretto al netto di tale incremento risulta a ben vedere pari a euro
3.384,50, così individuato secondo i valori indicati dal tribunale (parametri medi di cui al DM 10 marzo 2014 scaglione entro 26.000,00) con riduzione del 30% per la limitata attività istruttoria.
Invero, determinati in complessivi euro 4.835,00 (di cui euro 875,00 per la fase di studio, euro 740,00 per la fase introduttiva, euro 1.600,00 per la fase di trattazione ed euro 1.620,00 per la fase decisionale) il compenso dovuto in relazione allo scaglione di valore individuato, applicando la riduzione del 30%, sarebbe stato pari a euro 3.384,50. Con la conseguenza che l'ammontare corretto dei compensi, al netto delle spese generali (15%), è pari a euro 3384,50
e non 3892,00 come indicato in sentenza.
Ciò posto, l'importo complessivo dovuto a titolo di spese ammonta a euro
4.938,40 così ottenuto:
Compenso tabellare € 4.835,00
Totale variazioni in diminuzione - € 1.450,50
Compenso totale € 3.384,50
Spese generali ( 15% sul compenso totale ) € 507,68
Cassa Avvocati ( 4% ) € 155,69
Totale imponibile € 4.047,87 IVA 22% su Imponibile € 890,53
Totale euro 4.938,40 (3.384,50+ 507,68+ 155,69 + 890,53).
Occorre, a questo punto, dare atto dell'intervenuto pagamento, con bonifico del
26/9/2022, in esecuzione della sentenza di primo grado qui parzialmente riformata dell'intero importo indicato in sentenza per spese legali e, segnatamente, della somma pari a: euro 3.892,00 per compensi;
euro 583,80 per spese generali (15%); euro
179,03 per cpa, euro 1.024,26 per iva, così per complessivi euro 5.678,89.
Conseguentemente, come richiesto, gli appellati devono essere condannati alla restituzione di quanto dagli stessi percepito da in Parte_1
eccedenza in dipendenza della sentenza qui riformata, oltre interessi come in appresso.
Gli interessi sono dovuti dal giorno del pagamento e in misura legale.
Infatti, per giurisprudenza costante l'art. 336 c.p.c., disponendo che la riforma o la cassazione estende i suoi effetti ai provvedimenti e agli atti dipendenti dalla sentenza riformata o cassata, comporta che, non appena sia pubblicata la sentenza di riforma, vengano meno immediatamente sia l'efficacia esecutiva della sentenza di primo grado, sia l'efficacia degli atti o provvedimenti di esecuzione spontanea o coattiva della stessa, rimasti privi di qualsiasi giustificazione, con conseguente obbligo di restituzione delle somme pagate e di ripristino della situazione precedente. Va, infatti, osservato che l'azione di restituzione delle somme pagate in esecuzione della sentenza di primo grado, poi riformata, non è riconducibile allo schema della ripetizione di indebito, perché si collega ad un'esigenza di restaurazione della situazione patrimoniale anteriore a detta sentenza e non si presta a valutazione sulla buona o malafede dell'accipiens, non potendo venire in rilievo stati soggettivi rispetto a prestazioni eseguite o ricevute nella comune consapevolezza della rescindibilità del titolo e della provvisorietà dei suoi effetti.
Chi ha eseguito un pagamento non dovuto per effetto di una sentenza provvisoriamente esecutiva, successivamente riformata, ha diritto, pertanto, a essere indennizzato dell'intera diminuzione patrimoniale subita, ovvero alla restituzione della somma con gli interessi legali ex art. 1284 primo comma c.c.
a partire dal giorno del pagamento, esclusa la rivalutazione trattandosi di debito di valuta (in questi termini: C. d'Appello di Napoli n° 5145/2022).
F. Parziale riforma della sentenza e regolamentazione delle spese di lite
L'appello dev'essere accolto per quanto di ragione e, per l'effetto, la sentenza n° 450/2022 del Tribunale di Nuoro dev'essere riformata esclusivamente nella parte in cui erroneamente individua l'ammontare delle spese di lite e confermata nel resto, mentre deve darsi atto che si è formato il giudicato sulla statuizione di rigetto della pretesa risarcitoria, siccome non oggetto di appello incidentale.
Le spese del presente grado, in considerazione della prevalente soccombenza dell'appellante, devono essere poste a suo carico e sono liquidate come da dispositivo, secondo i parametri medi del DM 147/22 (valore causa 5.201,00 –
26.000,00 valori medi per le questioni giuridiche e di fatto trattate, fasi di studio, introduttiva e decisionale, eccetto che per la fase di trattazione e istruttoria per cui, stante la coincidenza degli elementi istruttori rispetto al precedente grado di giudizio, si deve tenere conto del parametro minimo).
P.Q.M.
La Corte, definitivamente decidendo, disattesa ogni contraria domanda ed eccezione:
- accoglie per quanto di ragione l'appello avverso la sentenza n. 450/2022 del
Tribunale di Nuoro e, per l'effetto, in parziale riforma della sentenza impugnata,
che nel resto conferma, condanna alla rifusione, in favore Parte_1
di e , delle spese processuali che liquida in euro CP_1 Controparte_2
3.384,50 per compensi professionali di avvocato, oltre 15% per spese generali,
i.v.a. e c.p.a.;
- dichiara tenuta e condanna alla rifusione, in favore degli Parte_1
appellati, delle spese del presente grado di giudizio, che si liquidano in euro
4.888,00 per compensi, oltre spese generali, iva e cpa;
- condanna e alla restituzione in favore di CP_1 Controparte_2 [...]
di quanto eventualmente dagli stessi percepito in eccedenza per Parte_1
effetto della statuizione di primo grado qui riformata, maggiorato degli interessi legali maturati dalla data di pagamento alla data della restituzione.
Così deciso in Sassari, il 8 luglio 2025.
La Presidente
Dott. Ssa Cinzia Caleffi
La Consigliera est.
Dott. Ssa Monica Moi
IN NOME DEL POPOLO ITALIANO
Corte d'appello di Cagliari
Sezione Distaccata di Sassari
La Corte, composta dai Magistrati:
Dott. Ssa Cinzia Caleffi Presidente
Dott. Ssa Cristina Fois Consigliera
Dott. Ssa Monica Moi Consigliera rel. ha pronunciato la seguente:
SENTENZA nella causa di secondo grado iscritta al n. 450/2022 R.G. promossa da:
(C.F. ) con il patrocinio dell'avv. Parte_1 P.IVA_1
FERRERO ENRICO
parte appellante
CONTRO
(C.F. con il patrocinio dell'avv. CP_1 C.F._1
MANNIRONI MICHELE
parte appellata
Oggetto: contratti bancari
All'udienza del 13/9/2024 sono state precisate le seguenti CONCLUSIONI
Nell'interesse di parte appellante: “perché piaccia all'Ecc.ma Corte d'Appello adita, in totale riforma della sentenza appellata e disattesa ogni contraria istanza,
eccezione e deduzione, accogliere le seguenti
CONCLUSIONI
1) rigettare integralmente le avverse domande perché infondate in fatto e in diritto e per l'effetto mandare assolta da ogni avversa Parte_1
pretesa;
2) per l'effetto, condannare gli appellati alla rifusione della somma di euro
15.703,19 ad essi corrisposta dalla in data 26/9/2022 in virtù della Pt_2
sentenza appellata, ovvero di quella diversa somma che sarà stabilita, anche in via equitativa, oltre interessi e rivalutazione monetaria;
3) in ogni caso, con vittoria delle spese e delle competenze del doppio grado di giudizio.
In via subordinata istruttoria, si insiste affinché l'Ecc.ma Corte d'Appello adita,
se ritenuto necessario ai fini della decisione, voglia ammettere la prova per testimoni dedotta nel precedente grado di giudizio nella memoria ai sensi dell'art. 183, 6° comma, n. 2 c.p.c. sui seguenti capi:
a) vero che l'accesso ai servizi online di pagamento di , al tempo Parte_1
del bonifico per cui è causa (5/11/2018), prevedeva un sistema di autenticazione
cd. “a due fattori”, che richiede cioè la combinazione di password statiche, ossia il codice titolare e il pin (quest'ultimo noto al solo cliente) e dinamiche, ossia il codice usa e getta a tempo OTP, generato dal token “O-Key” in possesso del cliente, e ciò come specificato nel documento denominato “Guida ai Servizi
ottobre 2018”, sub All. D, doc. 3 prodotto con la citazione per Parte_1
appello, che si esibisce al teste;
b) vero che per effettuare i bonifici il sistema informatico della Banca richiede
l'inserimento, oltre che dei codici di cui al precedente capo a), di un ulteriore codice OTP, generato dal token “O-Key” in possesso del cliente, come specificato nel documento denominato “Guida ai Servizi ottobre 2018”, sub Parte_1
All. D, doc. 3 prodotto con la citazione per appello, che si esibisce al teste;
c) vero che il token “O-Key”, necessario per la generazione dei codici OTP, viene consegnato ai clienti dalla filiale all'atto dell'attivazione dei servizi di internet
banking ed è univocamente collegato soltanto al conto per la cui gestione è fornito, sicché i codici da esso generati possono essere utilizzati esclusivamente per l'autenticazione dell'accesso allo stesso conto e per la convalida delle operazioni (quali in particolare i bonifici) ivi effettuate;
d) vero che, per l'ulteriore sicurezza dei clienti, il sistema prevede altresì che in caso di inattività protratta per oltre quindici minuti la sessione venga
automaticamente interrotta e che l'utilizzatore, per ricominciare ad operare, debba ricollegarsi al sito inserendo nuovamente le proprie credenziali di accesso, come specificato nel documento denominato “Guida ai Servizi Parte_1
ottobre 2018”, sub All. D, doc. 3 prodotto con la citazione per appello, che si esibisce al teste;
e) vero che alle ore 14:04:05 del 5/11/2018 venne eseguito l'accesso al c/c n.
1000/163 intestato ai sig.ri e mediante il servizio di CP_1 Controparte_2
internet banking, come specificato nei documenti denominati “Analisi disconoscimento operazioni bancarie” e “Tracciatura operazione”, sub All. D, doc.ti 2 e 2.1 prodotti con la citazione per appello, che si esibiscono al teste;
f) vero che detto accesso avvenne mediante l'inserimento delle credenziali
(codice titolare e codice pin) dei titolari del conto e venne contestualmente
accompagnato da un valido codice OTP (“One Time Password”), generato dal token “O-Key” in possesso dei clienti, come specificato nei documenti denominati
“Analisi disconoscimento operazioni bancarie” e “Tracciatura operazione”, sub
All. D, doc.ti 2 e 2.1, prodotti con la citazione per appello e che si esibiscono al teste;
g) vero che alle ore 14:04:18 venne inserito sul predetto conto il bonifico
istantaneo di € 8.900,00 in favore di tale “ ”, cod. iban CP_3
ES07008105343600022611235, come specificato nei documenti denominati
“Analisi disconoscimento operazioni bancarie” e “Tracciatura operazione”, sub
All. D, doc.ti 2 e 2.1, prodotti con la citazione per appello e che si esibiscono al teste;
h) vero che l'operazione era risultata sospetta in relazione alla consueta
operatività del conto, in quanto i titolari dello stesso si connettevano sempre da indirizzi italiani (di Telecom e Vodafone), mentre la sessione in questione era stata operata da un indirizzo IP di un provider francese, come specificato nei documenti denominati “Analisi disconoscimento operazioni bancarie” e
“Tracciatura operazione”, sub All. D, doc.ti 2 e 2.1, prodotti e con la citazione
per appello che si esibiscono al teste;
i) vero che, in ragione della natura sospetta dell'operazione, alle ore 14:05:18, il servizio di alerting della Banca comunicò al cellulare del sig. il codice di CP_1 sicurezza OTS – ossia il codice usa e getta “One Time SMS” da utilizzare per
l'autorizzazione della transazione unitamente a un ulteriore codice OTP generato dal token “O-Key” del cliente – tramite un sms del seguente letterale tenore:
«Usa 205969 come codice di sicurezza per completare il bonifico europeo
BU0519 di € 89601,60 a favore di a. Mittente gruppo ISP (…)», come CP_3
specificato nei documenti denominati “Analisi disconoscimento operazioni bancarie” e “Tracciatura operazione”, sub All. D, doc.ti 2 e 2.1, prodotti con la citazione per appello e che si esibiscono al teste;
j) vero che il sistema informatico di sicurezza di prevede che Parte_1
quando un'operazione è considerata sospetta il servizio antifrode genera ed invia
al numero di cellulare del cliente il codice OTS, la cui immissione è indispensabile per completare la procedura di inserimento del bonifico;
k) vero che la disposizione di bonifico venne autorizzata tra le ore 14:08:28 e le ore 14:08:38 attraverso l'inserimento del predetto codice OTS e di un ulteriore valido codice OTP generato dal token “O-Key” del cliente e venne pertanto eseguita dalla Banca, come specificato nei documenti denominati “Analisi
disconoscimento operazioni bancarie” e “Tracciatura operazione”, sub All. D, doc.ti 2 e 2.1 prodotti con la citazione per appello, che si esibiscono al teste.
Si indica in qualità di testimone il dott. residente/domiciliato in Testimone_1
Moncalieri (TO), anche specificamente per confermare autenticità, provenienza nonché rispondenza al vero del contenuto dei documenti denominati “Analisi
disconoscimento operazioni bancarie” e “Tracciatura operazione”, prodotti con la citazione per appello come All. D, doc.ti 2 e 2.1. Si fa infine istanza affinché, ai sensi dell'art. 203 c.p.c., sia delegato il Tribunale di Torino ai fini dell'assunzione della prova.”
Nell'interesse di parte appellata: “si chiede che la Ecc.ma Corte d'Appello voglia:
1) rigettare la proposta impugnazione in quanto infondata, confermando, per
l'effetto, integralmente l'impugnata sentenza;
2) Con vittoria di spese e onorari del secondo grado del giudizio e conferma della statuizione delle spese contenuta nella sentenza di primo grado.”
Svolgimento del processo
e convenivano in giudizio, davanti al Tribunale di CP_1 Controparte_2
Nuoro, la banca esponendo in fatto: Parte_1
- di essere contitolari del c/c n. 13874 – 1000- 000000163, accesso presso la filiale di Nuoro della Controparte_4
- che in data 05 novembre 2018 il aveva ricevuto sul proprio telefono CP_1
cellulare un messaggio dal seguente tenore letterale: “Usa 205969 come codice di sicurezza per completare il bonifico europeo BU0519 di € 8901,6 a favore di a. mittente gruppo ISP – Numero Centro Servizi Messaggi: CP_3
+393110200002”;
- recatosi immediatamente a casa aveva verificato, collegandosi al sito della banca, che dal proprio conto era stato disposto un bonifico dell'importo di euro
8.900,00;
- recatosi presso la filiale di Nuoro al fine di ottenere delucidazioni in merito all'operazione di cui è causa, veniva informato da un funzionario che al sistema risultava una transazione non autorizzata (bonifico istantaneo) dal suo conto a favore del conto corrente ES0700810534360002261253B – BIC:
BSABESBBXXX, intestato a tale dal valore complessivo di euro CP_3
8.900,00;
- in data 7 novembre 2018 il aveva disconosciuto il bonifico, chiedendo CP_1
che gli venissero riaccreditate le somme indebitamente pagate dall' ma, CP_5
a seguito di riaccredito temporaneo di detta cifra in data 8 novembre, la somma era stata nuovamente stornata dal suo c/c sul presupposto che si trattasse di un'operazione eseguita con i corretti codici di accesso alla banca on-line, benché illegittimamente acquisiti da terzi attraverso probabile frode informatica, e che pertanto l'istituto di credito non potesse essere considerato responsabile. Tanto
premesso in fatto, eccepivano la responsabilità dell'istituto che svolga attività, quale quella in esame, di tipo finanziario o generalmente creditizio di gestione dei conti correnti abilitati a operazioni di bonifico online, quale titolare del trattamento dei dati personali, per i danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico. Deducendo che sulla banca graverebbe l'onere di provare la genuinità della transazione e l'obbligo di rifondere il correntista nell'eventualità di operazione disconosciuta, tranne nel caso di trascuratezza
(errore) o frode da parte del cliente – onere che nella specie non sarebbe stato assolto - chiedevano la condanna della convenuta alla restituzione della somma di euro 8.900,00, oltre interessi e rivalutazione monetaria, quale importo prelevato dal conto corrente degli attori e utilizzato per un bonifico europeo su conto estero, non autorizzato dai correntisti, oltre che al risarcimento del danno, con vittoria di spese o onorari.
costituitasi in giudizio, chiedeva il rigetto della Parte_1
domanda, di cui sosteneva l'infondatezza in quanto:
- l'accesso al c/c n. 1000/163 da parte degli autori della frode sarebbe avvenuto attraverso il servizio di internet banking alle ore 14:04:05 del 5/11/2018 mediante l'utilizzo di credenziali (codice titolare e codice pin) corrette ed univocamente riconducibili agli attori;
- l'operazione di accesso sarebbe stata poi completata con l'inserimento di un codice OTP (“One Time Password”, codice monouso a tempo generato dal dispositivo token “O-Key” in possesso dei clienti), parimenti valido con conseguente esito positivo del login;
- il bonifico istantaneo di € 8.900,00 in contestazione, inserito alle ore 14:04:18, era risultato sospetto al sistema antifrode della Banca, in quanto il si CP_1
connetteva abitualmente da indirizzi italiani di Telecom e Vodafone, mentre la sessione poi risultata fraudolenta era stata operata da un ip isolato di un provider francese e, per tale ragione, era stato generato e comunicato al cellulare del cliente l'ulteriore codice di sicurezza OTS “One Time SMS” da utilizzare all'atto dell'autorizzazione della transazione unitamente al tradizionale codice OTP generato dal token O-Key del cliente;
- la disposizione di bonifico sarebbe stata autorizzata dall'utenza del cliente attraverso l'inserimento di validi codici OTP e OTS;
- nessun rimprovero poteva essere mosso alla convenuta giacché la responsabilità dell'accaduto sarebbe stata addebitabile esclusivamente agli attori, verosimilmente vittima del cd. “real time phishing”, tipologia di truffa online che, senza violare i sistemi di sicurezza della Banca, consente al truffatore
(il cd. fisher) di carpire in modo fraudolento i codici relativi al servizio di internet banking del cliente e di connettersi in tempo reale alla banca della vittima per effettuare il trasferimento dei fondi o effettuare altre operazioni bancarie a suo favore nella finestra temporale di validità del predetto codice OTP, prima che questo diventi inefficace;
- il sistema di sicurezza adottato dalla banca all'epoca dei fatti sarebbe stato pienamente idoneo a impedire l'effettuazione di operazioni fraudolente in quanto rispondente ai più avanzati standards tecnologici in materia di sicurezza delle transazioni, posto che per accedere alla piattaforma online della banca era utilizzato un sistema “a due fattori” che richiedeva la combinazione di password statiche (il Codice Titolare e il PIN, noto solo al cliente) con una password dinamica (il codice O-Key, password a tempo generata dal token in possesso del cliente e utilizzabile una volta sola), oltre al codice O-Key, anche un codice di sicurezza “usa e getta” (OTS) inviato via sms al numero di cellulare del cliente,
nel caso di operazioni sospette.
La difesa di parte attrice replicava che non vi fosse prova della riferibilità dell'operazione ai correntisti, essendo stato genericamente allegato che costoro avessero negligentemente conservato le loro credenziali, senza considerare che diverse erano le modalità attraverso le quali captare le credenziali d'accesso bancarie;
in particolare, l'individuazione online dell'utente sarebbe potuta avvenire su pagine-trappola create ad hoc con raggiro dei sistemi di sicurezza adottati dai più noti siti di e-commerce ed appropriazione indebita dei dati forniti dagli utenti in essi registrati e ivi conservati all'interno dei database e, una volta ottenute le credenziali d'accesso all'utenza bancaria, per l'autore della truffa sarebbe stato sufficiente il possesso di un supporto O-Key, strumento svincolato nel suo impiego al conto corrente con il quale è dato in dotazione, per venire a conoscenza dell'ulteriore codice OTP necessario al completamento dell'operazione bancaria. L'autore della truffa, a quel punto, ben avrebbe potuto, quindi, anche entrare in possesso del numero di telefono del correntista
(informazione rinvenibile nella sezione Web “il mio profilo- dati personali”) e perpetuare l'ulteriore operazione di Port Out Scam (clonazione del numero di telefono del correntista), per poi procedere all'esecuzione del bonifico on-line tramite smart-phone su cui era stato inviato, nello stesso contesto di tempo, il codice OTS necessario al perfezionamento della transazione. Tanto deducevano per confutare l'assunto che gli attori avessero inviato mediante SMS il codice
OTS necessario al perfezionarsi del bonifico. A riprova di ciò evidenziavano che l'operazione in contestazione, come rilevato anche dal sistema anti-frode della banca, era stata disposta appoggiandosi a un provider francese al quale l'IP del truffatore si era connesso per completarla, mentre i correntisti, in quella data, si trovavano pacificamente in territorio nazionale.
La difesa dell'istituto eccepiva, a sua volta, che nei siti di e-commerce venivano solitamente inseriti i numeri delle carte di pagamento e non i dati per la gestione on-line del conto corrente;
escludeva che il truffatore, soltanto perché
eventualmente in possesso di una chiavetta “O-Key”, avesse potuto operare su qualsiasi conto corrente ed in particolare su quello degli attori, deducendo che tale strumento fosse invece univocamente ricollegato al conto per la cui gestione era stato consegnato al cliente;
parimenti, escludeva che l'operazione in oggetto potesse essere stata realizzata mediante il sistema del cd. port-out scam in quanto tale tipologia di truffa comporterebbe la deviazione su altra sim del traffico diretto al numero di cellulare del cliente, la cui utenza quindi cesserebbe di funzionare o, comunque, non riceverebbe messaggi in entrata, mentre nel caso di specie il correntista aveva ricevuto il codice OTS inviato dalla banca per la validazione dell'operazione di pagamento in contestazione. La circostanza, poi, che l'indirizzo IP usato per effettuare l'operazione fraudolenta fosse quello riferibile alla postazione utilizzata dal malversatore per porre in essere la stessa operazione non escluderebbe la negligenza degli attori, ma anzi confermerebbe l'inserimento, ad opera degli stessi clienti, nella convinzione di interagire con il sito autentico della banca, del codice OTS (e di tutte le ulteriori credenziali di accesso e dispositive) sul sito contraffatto, così consentendo al truffatore di portare a termine l'operazione, appunto tramite IP francese.
Replicava ulteriormente la difesa degli attori come non potesse escludersi l'ipotesi per la quale un truffatore, capace di carpire le credenziali di accesso online al conto bancario, possa essere altresì in grado di svincolare l'esclusivo utilizzo del supporto O-key al conto corrente al quale sarebbe univocamente vincolato, ben potendo il codice generato dall'O-key essere sostituito da quello elaborato da altri generatori consistenti in supporti materiali o virtuali. A riprova di ciò invocava l'emanazione della direttiva UE 2015/2366 e del successivo regolamento direttivo UE 2018/389 in materia di Payment Services Directives, normativa recepita in Italia con d.lgs. n. 218/2017, all'esito della quale, la stessa aveva introdotto il sistema dell'O-key smart in grado di Parte_1 vincolare l'utilizzo del conto corrente a meccanismi di sicurezza meno eludibili, quali ad esempio l'impiego dell'impronta digitale. Da ciò arguiva che l'utilizzo del supporto Okey fosse stato considerato dallo stesso istituto bancario incapace di garantire un livello di sicurezza adeguato alla luce del progredire di pratiche truffaldine sempre più sofisticate e inidoneo a soddisfare lo standard della cd. autenticazione forte. Gli attori negavano, poi, che il cd port out scam conducesse necessariamente alla duplicazione della sim clonata, ben potendo, semplicemente, l'autore della truffa dirottare sul proprio numero le comunicazioni di un'altra utenza, conservando tuttavia il proprio numero.
Con sentenza 450/2022 il Tribunale di Nuoro accoglieva parzialmente la domanda attrice limitatamente alla condanna alla restituzione della somma indebitamente sottratta mentre rigettava la domanda risarcitoria.
Avverso detta pronuncia ha proposto appello , deducendone Parte_1
l'erroneità per i seguenti motivi:
i) il tribunale, pur riconoscendo l'adeguatezza dei sistemi di sicurezza della banca, avrebbe errato nel non considerare la grave negligenza degli attori odierni appellati per avere essi inserito o comunque comunicato il codice OTS unitamente a tutte le ulteriori credenziali e codici del conto, in tal modo consentendo il compimento dell'operazione;
ii) erronea interpretazione dei principi che presiedono alla distribuzione dell'onere della prova;
iii) omessa e/o erronea valutazione delle risultanze istruttorie, che, invece, rivelerebbero la grave negligenza dei clienti;
iv) mancata ammissione della prova testimoniale in difetto di qualsivoglia motivazione;
v) erroneità della sentenza anche in punto di spese.
I coniugi si sono costituiti in giudizio e hanno resistito all'appello, Parte_3
di cui hanno chiesto il rigetto, negando qualsivoglia loro responsabilità nell'occorso in quanto le precise modalità di captazione dei codici personali sarebbero rimaste ignote e la generazione del codice OTP ben poteva essere stata compiuta tramite applicazione e, quindi, direttamente su smartphone senza bisogno della chiavetta o-key nella disponibilità dei clienti, mentre il contenuto dei messaggi diretti alla loro utenza ben poteva essere stato captato una volta all'interno dell'home-banking. Non hanno proposto impugnazione incidentale avverso il rigetto della domanda risarcitoria.
Motivi della decisione
A. Le istanze istruttorie
Occorre provvedere con priorità, per ragioni di ordine logico, sulle istanze di prova testimoniale di non ammesse in primo grado e reiterate Parte_1
nella presente sede. Al proposito, deve confermarsi il rigetto delle istanze di prova testimoniale su cui questa corte si è già pronunciata con ordinanza in data
6/4/2023.
I capitoli di prova su riportati sono, invero, ininfluenti ai fini del decidere, giacché, anche ove fossero ammessi e ove fossero confermate le circostanze ivi dedotte, ossia, in sintesi, il perfezionamento della disposizione di bonifico disconosciuta previo inserimento delle credenziali di accesso al conto on-line, come anche dei codici OTP e OTS, ciò non varrebbe, a ogni modo, a escludere la previa illecita captazione di tali dati da parte dell'autore della truffa e, quindi, la non riconducibilità dell'operazione ai coniugi . Parte_3
Oltre a ciò, evidenzia questa corte come alcuni dei capitoli di prova si pongano altresì in contrasto con quanto risulta dalla documentazione prodotta dalla stessa banca odierna appellante. Ciò vale, in particolare, per il capo f sulle modalità di accesso al conto corrente in parola (“vero che detto accesso avvenne mediante
l'inserimento delle credenziali (codice titolare e codice pin) dei titolari del conto
e venne contestualmente accompagnato da un valido codice OTP (“One Time
Password”), generato dal token “O-Key” in possesso dei clienti, come specificato nei documenti denominati “Analisi disconoscimento operazioni bancarie” e
“Tracciatura operazione”, sub All. D, doc.ti 2 e 2.1, prodotti con la citazione per appello e che si esibiscono al teste?).
Infatti, dal documento “tracciatura operazione” (all.
2.1 produzioni di
[...]
in primo grado) si ricava che il primo accesso da dispositivo identificato Pt_1
con IP sospetto era avvenuto previo inserimento del solo PIN (vd. login del
5/11/2018 ore 14:04:05 e in particolare la colonna X, MSG OUPUT, riga 4)
mentre il codice OTP era stato inserito esclusivamente per attivare la funzione
“ricordami” prima del login delle 14:04:11 cui poi aveva fatto seguito il bonifico disconosciuto (vd. documento “tracciatura operazione”, riga 7 colonna X).
Ciò ha trovato conferma nelle ulteriori risultanze istruttorie, che comprovano come l'accesso fosse avvenuto tramite app da dispositivo mobile, ciò che consentiva il login tramite solo inserimento del pin. Infatti, sempre dalla disamina del documento denominato “tracciatura operazione” è agevole ricavare come l'operazione di bonifico in parola era stata eseguita tramite l'app Intesa Sanpaolo Mobile: invero, nella colonna H (“NOME SERVIZIO”) riga 2 compare la dicitura “info sullo stato del BT per login su mobile” a riprova del fatto che il login era avvenuto tramite apparecchio mobile e, soprattutto, nella colonna X (“MSG
OUPUT”) riga 8, ossia quella relativa al login seguito dal bonifico in contestazione, compare, nella parte finale della stringa descrittiva, la dicitura
“User agent Intesa Sanpaolo Mobile/2.7.1. (com.latuabancaperandroid…)” a conferma del fatto che l'accesso alla piattaforma on line dell'istituto di credito era avvenuto tramite la app di e non mediante browser. Il nome Parte_1
dell'app (Intesa Sanpaolo Mobile) è anch'esso ricavabile dalla documentazione versata in atti dalla banca e, segnatamente, dalla guida ai servizi ottobre 2018
(all. 3, produzioni della convenuta) nella quale, a pag. 24, viene indicato il nome dell'applicazione scaricabile gratuitamente, tra l'altro, dai possessori di smartphone.
Tanto premesso, sempre nella menzionata guida ai servizi (doc. 3 di
[...]
, pag. 26) sono disciplinate le modalità di accesso tramite app Intesa Pt_1
Sanpaolo Mobile, caratterizzate appunto dal fatto che, una volta in possesso del codice titolare, è sufficiente inserire tale codice e indi il numero di cellulare per ottenere il codice sicurezza;
a quel punto, ricevuto il codice sicurezza via sms, risulta possibile creare il codice pin e ridigitarlo per conferma, senza bisogno di inserire l'ulteriore codice generato da o-key (infatti, nella medesima pagina 26 della guida è specificato che l'inserimento del codice generato da o-key è
previsto solo per chi non attivi l'o-key smart).
Considerato, dunque, che il capitolo f) risulta in contrasto con le risultanze dei documenti prodotti dalla stessa difesa della banca, vieppiù va confermato il giudizio di irrilevanza dei restanti capi, una volta escluso il suddetto capo f), e tenuto conto delle restanti evidenze documentali.
In particolare, come si dirà più diffusamente nel successivo paragrafo B (cui si rimanda) gli elementi ricavabili dalla documentazione versata in causa dalla stessa banca (documento “tracciatura operazione” all.
2.1 più volte citato) confermano la prospettazione degli attori oggi appellati, secondo cui la captazione dei codici d'accesso all'home-banking, con modalità ignote, fosse stata sufficiente a consentire l'acquisizione dell'OTP, potendo il truffatore generarlo autonomamente da remoto mentre, per quanto riguarda il codice OTS,
l'accesso all'home-banking dei clienti avesse consentito l'apprensione del loro numero di telefono e la conseguente intercettazione delle comunicazioni in entrata all'utenza intestata al e, quindi, anche dell'ultimo dei codici (OTS) CP_1
inviatogli dalla banca per poter concludere l'operazione di bonifico in contestazione.
B. I motivi d'appello sub i) e ii)
Le censure in parola, per la loro stretta connessione, possono essere esaminate congiuntamente.
Illustrate le caratteristiche del sistema di home banking adottato dalla banca all'epoca del fatto per cui è causa, con la censura sub i) l'appellante ha lamentato l'erroneità della sentenza impugnata per aver escluso l'assolvimento, da parte dell'istituto, dell'onere probatorio a suo carico sulla base di elementi a dire dell'appellante non dirimenti sotto tale aspetto.
Viceversa, a dire della difesa di , l'istituto avrebbe offerto la Parte_1
dimostrazione non solo dell'adeguatezza ed efficienza del proprio sistema di sicurezza, ma anche della responsabilità esclusiva dei clienti nell'occorso e tanto si desumerebbe dall'analisi delle tracciature informatiche. In particolare, da tale documento si sarebbe potuto evincere il perfezionamento dell'operazione grazie all'inserimento, oltre che delle credenziali statiche di accesso al canale di home banking anche, per due volte, del codice OTP generato dal token in possesso del cliente (la prima volta per confermare l'accesso e la seconda per convalidare il bonifico) e di una ulteriore password – c.d. codice OTS – inoltrata tramite sms al cellulare certificato dello stesso cliente e dal contenuto di per sé idoneo a mettere in allarme gli appellati (“Usa 205969 come codice di sicurezza per completare il bonifico europeo BU0519 di € 89601,60 a favore di a. CP_3
Mittente gruppo ISP”). Dal che discenderebbe la colpa grave dei correntisti i quali, con l'inserimento (o la comunicazione) del codice OTS e delle ulteriori credenziali e codici del conto, avrebbero consentito l'operazione fraudolenta, cui,
d'altro canto, la banca non avrebbe potuto sottrarsi posto che proprio l'immissione nel sistema dei codici segreti consentirebbe di ricondurre l'operazione al cliente e imporrebbe alla banca di darvi corso.
Con la doglianza sub ii) ha censurato la sentenza oggetto di Parte_1
gravame per aver erroneamente posto a carico di essa convenuta odierna appellante l'onere di dimostrare le modalità dell'incauta rivelazione a terzi, da parte dei clienti, dei propri codici personali, precipuamente nel caso, come quello in esame, in cui gli attori non avevano chiarito la dinamica che aveva consentito a estranei di entrare in possesso delle credenziali relative al loro conto e di accedere e operare da remoto. Anzi, l'ipotesi in cui il cliente non indichi in modo preciso le modalità della truffa informatica dovrebbe essere valutata quale elemento sintomatico della colpa grave di esso. Parimenti, la colpa grave di costoro si sarebbe potuta desumere da ulteriori circostanze, quali il fatto che la password di accesso al conto fosse nota soltanto ai clienti, che i codici OTP fossero generati dalla chiavetta in loro possesso e che il codice OTS fosse stato comunicato alla relativa utenza certificata, associata al loro conto on line, tutti elementi che, essendo nell'esclusiva disponibilità dei clienti, erano stati certamente comunicati, a prescindere dalle modalità, agli autori della frode.
Inoltre, gli attori – odierni appellati non avevano dimostrato di aver adeguatamente protetto i dispositivi da essi utilizzati per accedere al conto on- line mediante antivirus aggiornato e dotato di regolare licenza e doveva, altresì,
escludersi la violazione dei sistemi della banca, essendo invece emerso che gli indirizzi IP utilizzati per il collegamento al conto dei clienti in occasione della truffa fossero esterni rispetto alla banca;
i clienti, poi, avevano segnalato la possibile sottrazione delle credenziali del proprio conto on line solamente due giorni dopo l'accaduto, in tal modo, trattandosi peraltro di un bonifico istantaneo, precludendo all'istituto la revoca della disposizione.
Il tribunale errava, altresì, nell'affermare che fosse rimasto indimostrato l'inserimento del codice OTS da parte dei clienti, avendo in realtà la difesa di allegato la comunicazione di tale codice, come anche degli altri, Parte_1
all'autore della truffa.
La circostanza, inoltre, che il collegamento fosse avvenuto da un indirizzo IP
diverso da quelli consueti non era di per sé indicativa della non riconducibilità dell'operazione al cliente, essendo proprio l'home banking finalizzato a consentire l'operatività online del conto corrente da qualunque luogo, e comportava la mera necessità di attivare ulteriori accorgimenti di sicurezza quale l'invio del codice OTS cui nella specie si era fatto ricorso. Ne derivava, quindi, come fosse del tutto ininfluente, diversamente da quanto statuito dal tribunale,
l'omessa individuazione del provider dal quale era stato immesso il codice indicato nel messaggio di alert inoltrato dalla banca ai correntisti.
*
I motivi d'impugnazione sono infondati per le ragioni in appresso da intendersi a integrazione e parziale correzione della sentenza impugnata.
In primis, occorre sottolineare che correttamente il tribunale riconduceva la fattispecie in parola ai principi che governano la responsabilità contrattuale,
secondo cui il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno, ovvero per l'adempimento deve soltanto provare la fonte
(negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi alla mera allegazione della circostanza dell'inadempimento della controparte, mentre il debitore convenuto è gravato dell'onere della prova del fatto estintivo dell'altrui pretesa, costituito dall'avvenuto adempimento ovvero dall'impossibilità di adempiere per causa a lui non imputabile. Altrettanto correttamente faceva discendere dall'applicazione di tali principi la configurazione dell'onere, in capo alla banca, di dimostrare la riconducibilità dell'operazione al correntista che l'abbia disconosciuta.
Esattamente, indi, il giudice di primo grado richiamava il contenuto delle disposizioni di cui al D. Lgs. 11/2010 in materia di utilizzo non autorizzato dei sistemi di pagamento elettronici e, in particolare, dell'art. 10 (che prevede, in caso di disconoscimento di un'operazione di pagamento, che sia onere dell'intermediario provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti) e dell'art. 12 (per cui la responsabilità dell'utente resta circoscritta ai casi di comportamento fraudolento o all'inadempimento gravemente colposo agli obblighi che l'art. 7 del decreto pone a suo carico, cioè gli obblighi di utilizzare lo strumento di pagamento in conformità ai termini del servizio e di denunciare tempestivamente lo smarrimento o ogni altro uso non autorizzato dello strumento.).
Altrettanto esattamente il tribunale rimarcava come l'onere probatorio della colpa grave dell'utente incombesse sull'intermediario prestatore del servizio e indicava la giustificazione dell'evidente squilibrio nel rapporto fra prestatore e utilizzatore dei servizi di pagamento, nel rischio d'impresa, essendo razionale far gravare sull'intermediario i rischi statisticamente prevedibili legati ad attività oggettivamente “pericolose”, che interessano un'ampia moltitudine di consumatori o utenti, in quanto il costo dell'assicurazione di detti rischi può
essere computato nella determinazione dei prezzi di vendita dei beni o di fornitura del servizio alla generalità degli utenti.
Tanto premesso, l'onere di provare la riconducibilità agli attori odierni appellati della disposizione di bonifico disconosciuta non può dirsi assolto da parte dell'istituto di credito. Invero, i mezzi istruttori articolati al riguardo non risultano rilevanti ai fini decisori ben essendo compatibili con l'attività di illecita sottrazione dei dati, utilizzati per il compimento dell'operazione, ad opera dell'autore della truffa (vd. supra, paragrafo A). Non solo, oltre a ciò, reputa la corte che dalle risultanze istruttorie siano ricavabili elementi a supporto della tesi degli attori odierni appellati.
Si è già detto, infatti, che dal documento “tracciatura operazione” (all.
2.1 produzioni di in primo grado) si ricava che il primo accesso da Parte_1
dispositivo identificato con IP sospetto era avvenuto tramite l'app Intesa
Sanpaolo Mobile previo inserimento del solo PIN (vd. login del 5/11/2018 ore
14:04:05 e in particolare la colonna X, MSG OUPUT, riga 5 parte centrale della stringa descrittiva, ove leggesi “chek pin”) mentre il codice OTP era stato inserito esclusivamente per attivare la funzione “ricordami” prima del login delle
14:04:11 cui poi aveva fatto seguito il bonifico disconosciuto (vd. documento
“tracciatura operazione”, riga 7 colonna X).
Inoltre, sempre dalla menzionata guida ai servizi (vd. all. 3, produzioni di
, pag. 47 e 48) si ricava che tra le funzionalità della app vi è la generazione Pt_1
di codici OTP tramite app (per gli utenti con o-key smart, i quali accedono solo con inserimento del PIN). L'impiego dell'app Intesa Sanpaolo Mobile risulta, dunque, compatibile tanto con la generazione del codice OTP tramite chiavetta quanto tramite app.
Tanto premesso e considerato che il login che aveva preceduto la disposizione di bonifico disconosciuta era stato effettuato (pacificamente) da parte dell'autore della truffa e solo previo inserimento del pin (mentre il codice OTP era stato generato solo per attivare la funzione “ricordami”) è ragionevole ritenere,
secondo l'id quod plerumque accidit, che costui avesse fatto ricorso alla possibilità di generare il codice OTP direttamente dall'app Intesa Sanpaolo Mobile anziché tentare di carpire anche tale dato ai correntisti. Sempre a tale proposito, la difesa dell'appellante ha sostenuto che l'impiego dell'o-key, ossia del supporto fisico per la generazione del codice OTP a convalida dell'operazione in parola sarebbe circostanza non contestata dagli attori nel giudizio di primo grado. La tesi non puo' essere condivisa, essendo invece un fatto che esula dalla sfera di conoscibilità dei correntisti, attenendo esclusivamente alle modalità di esecuzione dell'operazione bancaria dai medesimi disconosciuta, di talché non può ritenersi operante il principio di non contestazione.
Quanto poi al codice OTS non è superfluo evidenziare come parte attrice deducesse l'illecita captazione anche di tale codice e, più in generale, la clonazione della propria utenza telefonica, ciò che avrebbe reso possibile, considerato il carattere sempre più abile e sofisticato delle truffe informatiche,
l'intercettazione dei messaggi destinati al pur senza disattivarne la sim: CP_1
anzi proprio l'indebita sottrazione delle credenziali di accesso al conto avrebbe consentito, secondo gli attori oggi appellati, l'individuazione del numero di telefono dei correntisti (mediante accesso al loro account personale) e l'accesso,
per tale mezzo, al loro conto on-line.
Ebbene, a supporto di quest'ultima ricostruzione richiama la corte i seguenti elementi, ricavabili dalle allegazioni delle parti e dal documento denominato
“tracciatura operazione” più volte menzionato:
- la disposizione di bonifico in contestazione proveniva da dispositivo contraddistinto da IP avente cifra finale 227 di un provider francese, dal quale proveniva anche l'inserimento del codice OTS trasmesso dalla banca con la funzione di avvisare i clienti dell'accesso sospetto;
- è incontroverso che i correntisti si connettessero, invece, abitualmente, da indirizzi italiani di Telecom e Vodafone, tanto che, essendo risultato il su menzionato IP sospetto la banca aveva curato l'invio di un ulteriore codice accompagnato da messaggio di testo con cui informava il cliente della necessità
di inserire il codice per completare l'operazione di bonifico;
- l'autore della truffa aveva avuto accesso al conto tramite smartphone e mediante l'app Intesa Sanpaolo Mobile e ben poteva, quindi, generare il codice
OTP direttamente tramite l'applicazione prescindendo dal supporto fisico
(chiavetta o-key).
- avendo carpito o comunque illecitamente sottratto le credenziali d'accesso al conto, il truffatore ben poteva individuare il numero di telefono dei correntisti riportato nel relativo account personale e, quindi, impossessarsi con modalità direttamente proporzionali alle abilità informatiche del medesimo anche dei messaggi eventualmente diretti su tale utenza senza disabilitarla (e, quindi, anche del codice OTS inviato dalla banca unitamente al messaggio di alert).
Gli elementi testé esaminati risultano, pertanto, pienamente compatibili con la prospettazione degli attori oggi appellati, secondo cui la captazione dei codici d'accesso all'home-banking, con modalità ignote, fosse stata sufficiente a consentire l'acquisizione dell'OTP, potendo il truffatore generarlo autonomamente da remoto mentre, per quanto riguarda il codice OTS, l'accesso all'home-banking dei clienti avesse consentito l'apprensione del loro numero di telefono e la conseguente intercettazione delle comunicazioni in entrata all'utenza intestata al e, quindi, anche dell'ultimo dei codici (OTS) CP_1 inviatogli dalla banca per poter concludere l'operazione di bonifico in contestazione.
Avuto riguardo a quanto sopra esposto, risulta, quindi indimostrata qualsivoglia condotta attiva da parte dell'utente, come anche un improprio utilizzo delle credenziali e dei codici di conferma, e ciò consente di escludere qualsivoglia profilo di grave negligenza dei clienti ai sensi dell'art. 7 comma 2° D.lgs 11/2010 per la mancata custodia del dispositivo loro consegnato o per non aver CP_6
adottato le opportune cautele volte alla protezione delle credenziali di sicurezza personalizzate.
Che debba essere escluso qualsivoglia addebito di grave negligenza si desume,
altresì, dalle ulteriori evidenze documentali:
- ad ore 14:31:37 il dispositivo contraddistinto con IP avente cifra 573 finale, pacificamente identificativo del dispositivo abitualmente in uso al eseguiva CP_1
l'accesso al conto on line in parola, previo check non solo del pin, ma anche dell'OTP (vd. righe 74 e 75 del documento 2.1 prodotto unitamente alla comparsa di costituzione in primo grado di , colonne I e J) e Parte_1
mediante browser (non app), come attestato dalla stringa descrittiva della riga
74 colonna X nella quale compare (nella parte centrale della stringa) la dicitura
“agent Mozilla/5.0 (Windows)” e, quindi, con modalità diverse da quelle operate poco prima dal truffatore;
- rispetto alla ricezione del codice OTS (inserito dal dispositivo sospetto ad ore
14:08:28 come da riga 32 del doc. 2.1 “tracciatura operazione”) l'accesso del cliente risulta più che tempestivo, a riprova del fatto che i correntisti, allarmati dalla ricezione del codice OTS unitamente al messaggio di avviso della banca, avessero immediatamente acceduto al conto on line per le verifiche del caso;
- non solo: i correntisti si erano recati tempestivamente presso la filiale di
[...]
, come testimoniato dalla circostanza che sul conto risulta l'accesso ad Pt_1
ore 15:35:59 ad opera di un dispositivo con IP (895 finale) ulteriore e diverso rispetto a quello dei clienti e del truffatore e che, per esclusione, non poteva che appartenere all'impiegato della banca presso cui gli attori si erano assai verosimilmente recati dopo l'apertura pomeridiana, a riprova della tempestiva segnalazione dell'operazione fraudolenta da parte dei clienti;
- nello stesso pomeriggio del 5 novembre ad ore 16:40 (vd. verbale di denuncia,
all. 3 citazione del primo grado) aveva, inoltre, sporto denuncia per CP_1
il fatto per cui si procede presso la Questura di Nuoro.
Neppure è condivisibile il ragionamento di parte appellata allorché pretende di ricavare presuntivamente la colpa grave dei clienti dalla loro condotta processuale, per non aver sufficientemente precisato le modalità della truffa pur essendo circostanze nella loro esclusiva disponibilità. Da tale condotta la difesa dell'istituto di credito pretenderebbe di ricavarne argomenti di prova a supporto della grave negligenza dei correntisti.
L'assunto non è condivisibile, trattandosi, ex converso, di circostanze che ben possono esulare nel dettaglio dalla sfera di conoscibilità degli utilizzatori degli strumenti di pagamento elettronici (considerato, peraltro, che l'asserita rivelazione dei codici personali, tanto credenziali d'accesso quanto codici OTP e
OTS, potrebbe non essersi verificata in alcun modo). Peraltro, la condotta processuale della parte necessariamente si iscrive, a mente dell'art. 116 cpc, nel novero degli elementi probatori complessivamente acquisiti alla causa e, a tale proposito, non può che ribadirsi come le risultanze istruttorie ut supra descritte risultino, invece, compatibili con la prospettazione attrice, e come, per il loro spessore e concludenza, non possano essere scalfite dall'argomento di prova invocato dall'appellante.
La giurisprudenza richiamata dall'appellante (Cass. Civ. 7214/2023), del resto, si era formata sotto il vigore della vecchia disciplina e concerneva un'ipotesi di responsabilità aquiliana, fattispecie diversa, quindi, da quella in disamina.
Si è già detto, inoltre, che può ritenersi comprovato come i clienti avessero tempestivamente avvisato la banca del tentativo (purtroppo andato a buon fine) di truffa, non appena ricevuto l'SMS contenente il codice OTS, cosicché, neppure sotto tale profilo, è individuabile a loro carico alcun profilo di grave negligenza.
È, invece, emersa l'inidoneità dei meccanismi di sicurezza apprestati dalla banca per fronteggiare l'eventuale sottrazione illecita delle credenziali, consistiti nell'invio di avvisi e di codici sul numero di cellulare fornito dal cliente.
Ebbene, essendo diffusi e noti nella realtà sociale i fenomeni di clonazione della sim e in generale di captazione del traffico di comunicazioni delle altrui utenze telefoniche, il banchiere accorto deve predisporre – anche rispetto a tali pratiche illecite – adeguate misure di protezione, le quali, per definizione, non possono consistere nell'invio di avvisi o codici sulla SIM potenzialmente clonata.
Pertanto, individuato un accesso “sospetto” – nel caso di specie per l'utilizzo di indirizzo IP mai impiegato in precedenza dal cliente, per giunta a mezzo app (e quindi con la possibilità di generare i codici OTP direttamente sull'app) e per un'operazione di bonifico avente per oggetto l'intero saldo disponibile sul conto
–, appare nella specie tutt'altro che idonea a garantire la sicurezza dello strumento di pagamento elettronico la conferma resa attraverso invio di codici sulla medesima SIM, ben potendo e dovendo invece la banca, in un caso come quello in esame, allertare il cliente con altre modalità (ad esempio una telefonata) o altri mezzi.
Dall'altra, la mera osservanza dei protocolli di sicurezza predisposti da
[...]
per impedire il perfezionarsi di operazioni non autorizzate non può di Pt_1
per sé sola escludere la responsabilità dell'istituto, non potendo prescindersi dalla valutazione della diligenza secondo il modello già visto dell'accorto banchiere in relazione alle peculiarità del singolo caso concreto ut supra descritte.
Quanto alla responsabilità del gestore telefonico, vi è da dire che non risulta essere stata chiesta, da parte della convenuta, la chiamata del terzo per essere eventualmente manlevata da costui e che, con riguardo alla posizione degli attori oggi appellati, anche ove fosse configurabile una responsabilità del gestore telefonico, essa integrerebbe, per il concorrente apporto causale di banca e gestore telefonico, una solidarietà passiva verso i creditori che comporta, evidentemente, la possibilità di agire per l'intero anche nei confronti di uno solo dei condebitori in solido.
Correttamente, dunque, il tribunale affermava la responsabilità della banca oggi appellante essendo indimostrati, ad opera dell'istituto di credito che ne era onerato, tanto il collegamento dell'operazione di bonifico disconosciuta alla volontà del cliente quanto la concreta violazione, con colpa grave, da parte dei correntisti delle norme prudenziali che informano le modalità d'uso dei rapporti di conto corrente telematico, essendo del resto ragionevole ricondurre nell'area del rischio professionale del fornitore del servizio la fraudolenta interferenza di terzi non attribuibile al dolo del titolare o a comportamenti colpevolmente incauti del medesimo, trattandosi di un rischio prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente (cfr. ex aliis: Cass. 26916/2020).
I restanti rilievi risultano assorbiti.
C. Il motivo d'appello sub iii)
Con tale motivo d'impugnazione l'appellante si è doluto dell'erronea esclusione,
da parte del tribunale, di qualsivoglia efficacia probatoria del documento denominato “Tracciatura Operazione”. Il documento in questione, producibile esclusivamente in formato excel in base alle specifiche del PCT, conterrebbe la riproduzione informatica delle risultanze dei sistemi di sicurezza dell'Istituto di credito, estratta automaticamente da questi, e da esso risulterebbe la registrazione di tutte le attività compiute in occasione dell'operazione disconosciuta, risultando quindi senz'altro idoneo a fornire la prova della corretta autenticazione delle operazioni disconosciute. Tale documento ben potrebbe essere qualificato come documento informatico e, comunque, in assenza di disconoscimento, formerebbe piena prova ai sensi dell'art. 2712 c.c.
*
La critica in parola è assorbita da quanto supra esposto, traendosi, comunque, da esso, a prescindere dalla qualificazione e dalla valenza che si ritenga di attribuire al documento, elementi probatori che sono stati liberamente valutati dalla corte.
D. Il motivo d'appello sub iv)
Tale doglianza, attinente all'omessa motivazione sul rigetto delle istanze di prova orale deve ritenersi assorbita dalle considerazioni di cui al superiore paragrafo
A.
E. Il motivo d'appello sub v)
Con il motivo d'appello in disamina la parte appellante ha censurato la sentenza in punto di spese, giacché:
- in ragione del comportamento colposo degli attori il primo giudice avrebbe dovuto rigettare la domanda e condannarli alla rifusione delle spese di lite, ovvero, in subordine, ridurre proporzionalmente il risarcimento in base all'entità del concorso con compensazione delle spese anche in considerazione della condotta ante causam tenuta dalla banca (che aveva offerto a scopo conciliativo il pagamento di una somma superiore alla metà dell'importo controverso) o, in ulteriore subordine, disporre la compensazione delle spese essendo stata comunque rigettata la pretesa risarcitoria;
- in ogni caso, veniva erroneamente quantificato l'ammontare dei compensi.
Il motivo d'impugnazione in esame è parzialmente fondato nei termini di cui in appresso.
Nessuna censura merita la pronuncia impugnata per quanto attiene alla mancata compensazione delle spese del giudizio, posto che tale facoltà costituisce espressione di un potere discrezionale del giudice il quale nemmeno è tenuto a dare ragione con espressa motivazione del mancato uso di tale facoltà.
Merita accoglimento esclusivamente la critica riguardante l'ammontare dei compensi, avendo il primo giudicante effettivamente determinato il relativo importo in ragione di euro 3.892,00 al netto delle spese generali, laddove l'importo corretto al netto di tale incremento risulta a ben vedere pari a euro
3.384,50, così individuato secondo i valori indicati dal tribunale (parametri medi di cui al DM 10 marzo 2014 scaglione entro 26.000,00) con riduzione del 30% per la limitata attività istruttoria.
Invero, determinati in complessivi euro 4.835,00 (di cui euro 875,00 per la fase di studio, euro 740,00 per la fase introduttiva, euro 1.600,00 per la fase di trattazione ed euro 1.620,00 per la fase decisionale) il compenso dovuto in relazione allo scaglione di valore individuato, applicando la riduzione del 30%, sarebbe stato pari a euro 3.384,50. Con la conseguenza che l'ammontare corretto dei compensi, al netto delle spese generali (15%), è pari a euro 3384,50
e non 3892,00 come indicato in sentenza.
Ciò posto, l'importo complessivo dovuto a titolo di spese ammonta a euro
4.938,40 così ottenuto:
Compenso tabellare € 4.835,00
Totale variazioni in diminuzione - € 1.450,50
Compenso totale € 3.384,50
Spese generali ( 15% sul compenso totale ) € 507,68
Cassa Avvocati ( 4% ) € 155,69
Totale imponibile € 4.047,87 IVA 22% su Imponibile € 890,53
Totale euro 4.938,40 (3.384,50+ 507,68+ 155,69 + 890,53).
Occorre, a questo punto, dare atto dell'intervenuto pagamento, con bonifico del
26/9/2022, in esecuzione della sentenza di primo grado qui parzialmente riformata dell'intero importo indicato in sentenza per spese legali e, segnatamente, della somma pari a: euro 3.892,00 per compensi;
euro 583,80 per spese generali (15%); euro
179,03 per cpa, euro 1.024,26 per iva, così per complessivi euro 5.678,89.
Conseguentemente, come richiesto, gli appellati devono essere condannati alla restituzione di quanto dagli stessi percepito da in Parte_1
eccedenza in dipendenza della sentenza qui riformata, oltre interessi come in appresso.
Gli interessi sono dovuti dal giorno del pagamento e in misura legale.
Infatti, per giurisprudenza costante l'art. 336 c.p.c., disponendo che la riforma o la cassazione estende i suoi effetti ai provvedimenti e agli atti dipendenti dalla sentenza riformata o cassata, comporta che, non appena sia pubblicata la sentenza di riforma, vengano meno immediatamente sia l'efficacia esecutiva della sentenza di primo grado, sia l'efficacia degli atti o provvedimenti di esecuzione spontanea o coattiva della stessa, rimasti privi di qualsiasi giustificazione, con conseguente obbligo di restituzione delle somme pagate e di ripristino della situazione precedente. Va, infatti, osservato che l'azione di restituzione delle somme pagate in esecuzione della sentenza di primo grado, poi riformata, non è riconducibile allo schema della ripetizione di indebito, perché si collega ad un'esigenza di restaurazione della situazione patrimoniale anteriore a detta sentenza e non si presta a valutazione sulla buona o malafede dell'accipiens, non potendo venire in rilievo stati soggettivi rispetto a prestazioni eseguite o ricevute nella comune consapevolezza della rescindibilità del titolo e della provvisorietà dei suoi effetti.
Chi ha eseguito un pagamento non dovuto per effetto di una sentenza provvisoriamente esecutiva, successivamente riformata, ha diritto, pertanto, a essere indennizzato dell'intera diminuzione patrimoniale subita, ovvero alla restituzione della somma con gli interessi legali ex art. 1284 primo comma c.c.
a partire dal giorno del pagamento, esclusa la rivalutazione trattandosi di debito di valuta (in questi termini: C. d'Appello di Napoli n° 5145/2022).
F. Parziale riforma della sentenza e regolamentazione delle spese di lite
L'appello dev'essere accolto per quanto di ragione e, per l'effetto, la sentenza n° 450/2022 del Tribunale di Nuoro dev'essere riformata esclusivamente nella parte in cui erroneamente individua l'ammontare delle spese di lite e confermata nel resto, mentre deve darsi atto che si è formato il giudicato sulla statuizione di rigetto della pretesa risarcitoria, siccome non oggetto di appello incidentale.
Le spese del presente grado, in considerazione della prevalente soccombenza dell'appellante, devono essere poste a suo carico e sono liquidate come da dispositivo, secondo i parametri medi del DM 147/22 (valore causa 5.201,00 –
26.000,00 valori medi per le questioni giuridiche e di fatto trattate, fasi di studio, introduttiva e decisionale, eccetto che per la fase di trattazione e istruttoria per cui, stante la coincidenza degli elementi istruttori rispetto al precedente grado di giudizio, si deve tenere conto del parametro minimo).
P.Q.M.
La Corte, definitivamente decidendo, disattesa ogni contraria domanda ed eccezione:
- accoglie per quanto di ragione l'appello avverso la sentenza n. 450/2022 del
Tribunale di Nuoro e, per l'effetto, in parziale riforma della sentenza impugnata,
che nel resto conferma, condanna alla rifusione, in favore Parte_1
di e , delle spese processuali che liquida in euro CP_1 Controparte_2
3.384,50 per compensi professionali di avvocato, oltre 15% per spese generali,
i.v.a. e c.p.a.;
- dichiara tenuta e condanna alla rifusione, in favore degli Parte_1
appellati, delle spese del presente grado di giudizio, che si liquidano in euro
4.888,00 per compensi, oltre spese generali, iva e cpa;
- condanna e alla restituzione in favore di CP_1 Controparte_2 [...]
di quanto eventualmente dagli stessi percepito in eccedenza per Parte_1
effetto della statuizione di primo grado qui riformata, maggiorato degli interessi legali maturati dalla data di pagamento alla data della restituzione.
Così deciso in Sassari, il 8 luglio 2025.
La Presidente
Dott. Ssa Cinzia Caleffi
La Consigliera est.
Dott. Ssa Monica Moi