N. R.G. 612/2022
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
CORTE DI APPELLO DI FIRENZE
SECONDA SEZIONE CIVILE
La Corte di Appello di Firenze, SECONDA SEZIONE CIVILE, in persona dei
Magistrati: dott. Ludovico Delle Vergini Presidente dott. Luigi Nannipieri Consigliere dott. Fabrizio Nicoletti Consigliere Relatore ha pronunciato la seguente
SENTENZA nella causa civile di II Grado iscritta al n. r.g. 612/2022 promossa da:
(C.F. , (C.F. Parte_1 C.F._1 Parte_2
), (C.F. ), con il P.IVA_1 Parte_3 C.F._2 patrocinio dell'avv. BOCCAFRESCA RENATO,
APPELLANTE contro
(C.F. ), con il patrocinio dell'avv. Controparte_1 P.IVA_2
LIMATOLA ALESSANDRO
APPELLATA
e contro
(C.F. ), con il patrocinio degli avv.ti AR P.IVA_3
PELOSI EUGENIO, CROCE BERMONDI EUGENIA, PAVIA ROBERTA ALEXANDRA e
ADDUCI MICHELE;

APPELLATA avverso la sentenza n. 669/2021 emessa dal Tribunale di Prato pubblicata il 27/09/2021 pagina 1 di 26 CONCLUSIONI
In data 16.1.2025 la causa veniva posta in decisione sulle seguenti conclusioni:
Per la parte appellante:
“Piaccia alla Corte d'Appello adìta, disattesa ogni contraria istanza, deduzione od eccezione, in parziale riforma della Sentenza n. 669/2021 (rep. n. 1426/2021) del Tribunale di Prato, sez. civile unica, G.I. dott.ssa Raffaella Brogi, pubblicata il 27.9.2021 e mai notificata, emessa all'esito del giudizio avente R.G. n. 959/2019: riformare parzialmente la sentenza impugnata e, in accoglimento delle domande formulate dagli appellanti in primo grado: 1) condannare la e la per le causali tutte AR Controparte_1 di cui in narrativ a s di responsabilità:
1) in favore della della somma di € 114.331,00 (detratto Controparte_3 quanto già pagato tenza di primo grado);
2) in favore del IG. della somma di € 20.000,00. Parte_1 somme tutte rispettivamente detratte dai conti ai medesimi intestati, oltre interessi dal dì del fatto all'effettivo risarcimento. 2) confermare la condanna di e al AR Controparte_1 pagamento, in solido, in favore d Parte_3 Parte_1 della somma di € 24.588,00 oltre interessi ll'effettivo Con vittoria di spese e compensi ex D.M n. 55/2014 oltre accessori di Legge per entrambi i gradi di giudizio.”

Per la parte appellata : Controparte_1
“Voglia l'Ecc.ma Corte d'Appello adita, respinta ogni istanza, domanda, eccezione e difesa avversaria, in totale riforma della sentenza impugnata n. 669/21 del 27 settembre 2021 emessa dal Tribunale di Prato:
- in via principale, rigettare l'appello proposto dal IG. in proprio e quale Pt_1 legale rappresentante pro tempore della la IG.ra in Parte_2 Pt_3 relazione al motivo di impugnazione numero 2 dell'atto di citazione, per le motivazioni esposte nella presente comparsa;

- in via incidentale, riformare la sentenza impugnata rigettando integralmente la domanda proposta in primo grado dal IG. in proprio e quale legale Pt_1 rappresentante pro tempore della e dalla IG.ra , nei Parte_2 Pt_3 confronti di , mandando la stessa esente da ogni responsabilità; - Controparte_1 in via subor ta ipotesi di conferma in tutto o in parte della sentenza di primo grado, accertare e dichiarare l'esclusiva responsabilità del IG. in Pt_1 proprio e quale legale rappresentante pro tempore della .ra Parte_2
e di , in persona del legale re, in ordine Pt_3 AR ai fatti per cui è causa, tenendo assolta/indenne da qualsivoglia pronuncia CP_1 pregiudizievole ovvero, a titolo di garanzia e/o tenuti il IG. in Pt_1 proprio e quale legale rappresentante pro tempore della .ra Parte_2
e , in persona del legale rapp.te pro tempore, a pagare e/o Pt_3 AR
e to eventualmente quest'ultima fosse condannata a CP_1 pagina 2 di 26 corrispondere all'attrice e/o ad altra parte processuale ovvero, a titolo di ripetizione e/o rivalsa e/o regresso, tenuti il IG. in proprio e quale legale Pt_1 rappresentante pro tempore della la IG.ra e Parte_2 Pt_3 [...]
, in persona del legale re, a paga esti CP_2 anto eventualmente quest'ultima fosse condannata a corrispondere CP_1 all'attrice e/o ad altra parte processuale, il tutto oltre interessi.
- Condannare il IG. in proprio e quale legale rappresentante pro tempore Pt_1 della IG.ra alla restituzione della somma di euro Parte_2 Pt_3
49'609,54 corrisposta da in favore delle stesse in esecuzione Controparte_1 della sentenza di primo iversa minore o maggiore somma determinata in corso di causa anche in funzione della compensazione delle spese del primo grado di giudizio attesa la soccombenza reciproca.
- Con vittoria di spese e competenze di lite del doppio grado di giudizio da attribuirsi all'Avv. Alessandro limatola per fattene anticipazione”.

Per la parte appellata : AR
“Piaccia all'Ecc.ma Corte di Appello adita, disattesa ogni avversaria allegazione, istanza e conclusione, previo ogni occorrente accertamento e/o declaratoria, così giudicare: IN VIA PRINCIPALE 1. Rigettare l'appello e le domande proposte dal sig. in proprio e Parte_1 quale legale rappresentante della nei confronti di Parte_2 AR
, perché inammissibili, infonda ritto e comunque
[...]
i motivi esposti in narrativa e per l'effetto confermare, anche con diversa motivazione, la sentenza n. 669/2021 pronunciata dal Tribunale di Prato in data 27 settembre 2021 nella parte ex adverso impugnata. IN VIA INCIDENTALE 2. In parziale riforma della sentenza n. 669/2021 pronunciata dal Tribunale di Prato in data 27 settembre 2021:
- accertare e dichiarare la colpa grave degli appellanti in relazione ai bonifici disposti il 22 marzo 2018 e, in ogni caso, l'assenza di responsabilità in capo a AR per le suddette operazioni per tutti i motivi esposti in narrativ
[...] condannare il sig. in proprio e quale legale rappresentante della Parte_1 e la alla restituzione a favore di Parte_2 Parte_3 AR degli importi corrisposti in esecuzione della sentenza di primo grado, oltre
[...] si dalla data dell'avvenuto pagamento al saldo e oltre alle spese di lite del primo grado di giudizio;

- in subordine, condannare gli appellanti alle spese legali del primo grado di giudizio maturate dopo la formulazione della proposta conciliativa o compensarle e, per l'effetto, condannare gli appellanti e la sig.ra alla restituzione a Parte_3 [...] degli importi corrisposti a titolo di sp cuzione della sent CP_2 do oltre interessi e alle ulteriori spese eventualmente ritenute dovute. IN VIA SUBORDINATA 3. Nella remota e non creduta ipotesi di accoglimento, totale o parziale, dell'impugnativa avversaria e/o di rigetto, totale o parziale, dell'appello incidentale di pagina 3 di 26 determinare gli effetti restitutori/risarcitori in favore degli AR
di tutti i rilievi e le eccezioni sollevate nelle difese da
[...] in relazione al concorso di colpa degli appellanti e alla AR
di nella causazione del danno, con ogni Controparte_1 conseguente statuizio debeatur. IN VIA INCIDENTALE SUBORDINATA E ISTRUTTORIA 4. Ove occorrer possa, ammettere all'interrogatorio formale del AR sig. sui capitoli ex art. 183, comma 6, n. 3, Parte_1
c.p.c., non ammessi e che si trascrivono qui di seguito:
1) Vero che, in relazione al rapporto di conto corrente n. 8500336657 intestato a e acceso in data 14 aprile 2017, dopo aver ricevuto per posta al suo Parte_2 ta chiusa le credenziali di accesso al conto (codice cliente e password temporanea) ha cambiato la password al primo accesso e poi ha anche provveduto a modificarla periodicamente?
2) Vero che, in relazione al rapporto di conto corrente n. 8110315593 a Lei intestato e acceso in data 16 dicembre 2010, dopo aver ricevuto per posta al suo domicilio in busta chiusa le credenziali di accesso al conto (codice cliente e password temporanea), ha cambiato la password al primo accesso e poi ha anche provveduto a modificarla periodicamente?
3) Vero che, in relazione al rapporto di conto corrente n. 8500676589 intestato a Lei e alla sig.ra e acceso in data 20 ottobre 2011, dopo aver ricevuto per Parte_3 posta al suo domicilio in busta chiusa le credenziali di accesso al conto (codice cliente e password temporanea) ha cambiato la password al primo accesso e poi ha anche provveduto a modificarla periodicamente? IN OGNI CASO 5. Con vittoria di onorari, spese e competenze di entrambi i gradi di giudizio, oltre oneri accessori”. SVOLGIMENTO DEL PROCESSO
Il giudizio di primo grado
Con atto di citazione ritualmente notificato, gli odierni appellanti principali
(in proprio e quale l.r. della ed Parte_1 Parte_2 Pt_3
convenivano, davanti al Tribunale di Prato, la e
[...] Controparte_1 la domandando la loro condanna al pagamento di AR complessivi 158.919,00 euro a titolo di risarcimento dei danni patiti a seguito della fraudolenta sottrazione, da parte di terzi, di tale importo da tre conti correnti intestati agli appellanti. Deducevano gli attori che in data 22.3.2018 un soggetto ignoto domandava e otteneva presso un negozio una SIM CP_1 sostitutiva, utilizzandola il giorno stesso e quello successivo, per ottenere l'accesso all'internet banking del aggirando il sistema di autenticazione a Pt_1
pagina 4 di 26 due fattori (c.d. SIM swap fraud o SIM swap scam) e sostituendosi al titolare per poi disporre dei bonifici a conti, (presumibilmente) intestati a sé stesso o a suoi complici. In particolare, il truffatore aveva utilizzato i codici di autenticazione del
(ottenuti in modo non noto) e aveva installato sul proprio telefono Pt_1 cellulare la SIM sostitutiva, fraudolentemente ottenuta, che era collegata al numero telefonico del in tal modo ottenendo, su richiesta della maschera Pt_1 di autenticazione dell'internet banking, il codice OTP (One Time Password) inviato dal sistema come controllo, inserendo il quale riusciva accedere ai tre conti correnti (tutti facenti capo all'utenza del ed a disporre i bonifici. Pt_1
I conti correnti attinti erano:
1) n. 8110315539 intestato al IG. Parte_1
2) n. 8500676589 intestato al IG. e alla IG.ra Pt_1 Parte_3
3) n. 8500336657 intestato alla di cui è l.r. Controparte_3 Pt_1
Di seguito, l'elenco cronologico degli indebiti prelievi:
- il 22 marzo 2018, alle ore 13.05, bonifico su conto di € 29.821,00 con Parte_2 causale “acquisto apparecchiature mediche – hilditch auctions contratto n.
25447/2018”;
- il 22 marzo 2018, alle ore 13.12, bonifico su conto di € 27.544,00 con Parte_2 causale “acquisto di attrezzature mediche Derra, Meyer Partner – contratto n.
25477 03/2018”;
- il 22 marzo 2018, alle ore 14.28, bonifico su conto cointestato Persona_1 dell'importo di € 24.588,00 con causale “acconto contratto cabina prefabbricata elettrica omologate per ; Parte_2
- il 23 marzo 2018, alle ore 15.13, bonifico su conto di € 20.000,00 con Pt_1 causale “pagamento contratto 2321/2018 cabina elettrica omologate per
; Parte_2
- il 23 marzo 2018 alle ore 15.47, bonifico su conto di € 28.966,00 con Parte_2 causale “acquisto sistemi a risonanza magnetica, tac multislices, gabbie di
Faraday ed ecografi per strutture san”;
pagina 5 di 26 - il 23 marzo 2018 alle ore 15.49 bonifico su conto di € 28.000,00 con Parte_2 causale “acquisto apparecchiature rmn, ct, rx – meditech sp contratto N
4553/2018 PL”, per un totale di 81.953 euro sottratti il giorno 22.3 e 76.966 euro sottratti il giorno 23.3, per complessivi euro 158.819,00.
Gli attori invocavano la responsabilità di banca per il fatto che la AR piattaforma di internet banking si sarebbe dimostrata estremamente vulnerabile alla prova dei fatti;
inoltre, l'istituto non aveva chiesto conferma al sig. Pt_1 prima di dare esecuzione ai bonifici, violando così il proprio dovere di diligenza.
La responsabilità del provider di telefonia invece veniva desunta dal fatto di non avere diligentemente provveduto all'identificazione del soggetto che domandava la sostituzione della SIM, così dando modo allo stesso di perpetrare il proposito criminoso.
Si costituiva chiedendo il rigetto della domanda in quanto il CP_2 sistema di home banking utilizzato, protetto da autenticazione a due fattori, era riconosciuto come il più avanzato in termini di sicurezza, quindi un eventuale fraudolento accesso da parte di terzi non poteva che ascriversi alla condotta negligente del correntista, che non avrebbe adeguatamente custodito le credenziali di accesso scritte e inviate dalla banca al suo indirizzo al momento dell'apertura del conto. Aggiungeva la banca convenuta che il era a Pt_1 conoscenza del rischio di un attacco ai propri conti, posto che il 20 di marzo
(quindi due giorni prima) era stato informato da due altre banche di falliti tentativi da parte di terzi di violare il suo conto online, oltre che del blocco della propria SIM;
l'attore avrebbe quindi dovuto tempestivamente avvisare
[...] del rischio. CP_2
Residuava, secondo una responsabilità in subordine da parte CP_2 della per avere con negligenza concesso ad estranei la copia della SIM. CP_1
Infine, le operazioni incriminate si presentavano alla banca come del tutto ordinarie, quindi non vi era ragione per bloccarle o per chiedere ulteriori pagina 6 di 26 conferme. La convenuta domandava quindi il rigetto della domanda o, in subordine, il riconoscimento del concorso colposo del danneggiato.
Si costituiva anche , la quale eccepiva il difetto di legittimazione Controparte_1 degli attori, visto che la SIM era intestata ad una diversa società. Nel merito, la convenuta negava l'esistenza di un dovere di vigilanza in capo a sé riguardo alle frodi informatiche, evidenziando che l'art. 55 del D.lgs. 259/2003 prescriveva obblighi di corretta identificazione del cliente in capo all'operatore di servizi telefonici solo in caso di acquisto e attivazione della SIM, e non anche nel caso della sua sostituzione. In subordine, chiedeva che venisse riconosciuta CP_1 la concorrente responsabilità della banca e di parte attrice.
La causa veniva posta in decisione con istruttoria documentale e testimoniale.
La sentenza impugnata
Con la sentenza n. 669/2021 pubblicata il 27/09/2021 il Tribunale di Prato così statuiva:
“Il Tribunale, definitivamente pronunciando, ogni diversa istanza ed eccezione disattesa o assorbita, così dispone: condanna le parti convenute in solido a pagare:
- € 57.365 in favore di Parte_2
- € 24.588 in favore di ed;
Parte_1 Parte_3 condanna le parti convenute a pagare in favore della parte attrice le spese del presente procedimento, liquidate in € 13.430, oltre 15% spese generali, i.v.a. e
c.a., nonché € 759 di contributo unificato”.
Il giudice di primo grado, con riferimento alla posizione della banca, evidenziava che l'art. 10 comma 2 del D.lgs. n. 10/2011 prevede che, in caso di disconoscimento di una autorizzazione al pagamento, è onere del prestatore di servizi – quindi della banca – dimostrare non solo la propria diligenza, ma anche e soprattutto il fatto che il correntista abbia agito con frode, oppure abbia mancato di adempiere, per dolo o colpa grave, agli obblighi previsti all'art. 7 del medesimo decreto 10 (obblighi di uso dello strumento in conformità con i termini di uso e di comunicazione senza indugio di smarrimento, furto, appropriazione indebita e uso pagina 7 di 26 non autorizzato, nonché adottare le misure idonee a proteggere le credenziali di pagamento).
In via generale, poi, anche l'art. 1218 c.c., evidenziava il giudice, prevede che sia onere della parte inadempiente provare che l'inadempimento è dipeso da impossibilità della prestazione dovuta a causa a lei non imputabile
A giudizio del Tribunale le norme richiamate potevano essere lette nel senso di stabilire una responsabilità quasi oggettiva in capo all'istituto bancario, nel senso che non sarebbe sufficiente dimostrare una qualsiasi negligenza da parte del correntista, e men che meno inferirla per il semplice fatto che il meccanismo di autenticazione è da considerarsi di per sé sicuro, dovendo piuttosto essere dimostrata una negligenza grave da parte del cliente.
Il giudice di prime cure riconosceva la negligenza grave da parte del correntista nel fatto di non aver avvisato tempestivamente la banca nel momento in cui certamente era a conoscenza sia della perdita dell'utenza SIM, che della possibilità di operazioni non autorizzate. Questo era avvenuto, al più tardi, il
23.3.18 alle ore 11.41, quanto cui con messaggio di posta elettronica il Pt_1 aveva avvertito le e CR Firenze di nuove movimentazioni non Parte_4 autorizzate. Di conseguenza, per i bonifici disposti prima di quel momento doveva essere esclusa la responsabilità del cliente, ma non per quelli effettuati successivamente al messaggio di PEO. La perdita della SIM da sé sola, infatti, non necessariamente avrebbe dovuto portare il correntista alla conclusione che erano in corso operazioni truffaldine con le sue credenziali bancarie;
tuttavia, avendo poi riscontrato questo rischio il giorno successivo, certamente era onere del di avvisare tutte le banche le cui procedure di autenticazione erano legate Pt_1
a quella stessa utenza telefonica, e non solo alcune.
Venivano altresì rigettate le eccezioni di , in quanto il comportamento CP_1 negligente dell'operatore integrava certamente il fatto illecito ex art. 2043 cc., da intendersi nel senso di un concorso colposo nel fatto doloso del terzo non legittimato: senza il contributo di , infatti, il terzo non avrebbe mai CP_1 potuto accedere ai conti del Né il Tribunale condivideva l'assunto Pt_1 pagina 8 di 26 secondo cui le norme che imponevano obblighi riguardo alla identificazione dei titolari valessero solo al momento della conclusione del contratto e non anche nella sostituzione della SIM, posto che il comportamento tenuto da , CP_1 avendo rilasciato la SIM a semplice richiesta e senza particolari verifiche, poteva considerarsi una condotta colposa, da valutare in base alle norme che chiunque gestisca dati personali di particolare rilevanza è tenuto ad osservare (D.lgs.
196/2003 e GDPR).
Le parti convenute venivano quindi condannate in solido a risarcire agli attori l'equivalente dei bonifici eseguiti in data 22 marzo 2018, oltre al pagamento delle spese legali.
Il giudizio di appello
Con atto di citazione, regolarmente notificato, , Parte_1 Parte_2 ed (di seguito anche APPELLANTI) convenivano in
[...] Parte_3 giudizio, innanzi questa Corte di Appello e Controparte_1 [...]
(di seguito anche APPELLATE) proponendo gravame avverso la AR sopra richiamata sentenza.
Parte appellante ritenendo la sentenza gravata errata e ingiusta, la impugnava per i seguenti motivi di appello:
1) Erroneità della sentenza relativamente alla responsabilità di CP_2
e alla colpa grave di;
Parte_1
2) Erroneità della sentenza relativamente alla responsabilità di . Controparte_1
Per tali ragioni veniva pertanto formulata dagli appellanti richiesta di riforma della sentenza gravata in accoglimento delle conclusioni come in epigrafe trascritte, con condanna delle controparti alla rifusione delle spese di lite di entrambi i gradi di giudizio.
Radicatosi il contraddittorio, nel costituirsi in giudizio Controparte_1 contestava, perché infondate, le censure mosse da parte appellante nei confronti della sentenza impugnata, avanzando a sua volta appello incidentale per i seguenti motivi:
pagina 9 di 26 1) Difetto di motivazione in ordine alla carenza di legittimazione attiva eccepita da;
CP_1
2) Erroneità, contraddittorietà e manifesta illogicità circa la sussistenza di obblighi identificativi in capo alla Compagnia telefonica;

3) Erroneità, contraddittorietà e manifesta illogicità in ordine alla sussistenza di una responsabilità in capo a;
Controparte_1
4) Erroneità, contraddittorietà e manifesta illogicità circa il mancato accertamento di un concorso colposo dell'attore nella causazione di tutti i danni lamentati;

5) Erroneità, contraddittorietà e manifesta illogicità della sentenza impugnata circa la liquidazione delle spese di lite.
Radicatosi il contraddittorio, nel costituirsi in giudizio AR contestava, perché infondate, le censure mosse da parte appellante nei confronti della sentenza impugnata, della quale chiedeva a sua volta la riforma, presentando i seguenti motivi di appello incidentale:
1) Erroneità della sentenza nella parte in cui non valuta il comportamento colposo del correntista;

2) Erroneità della sentenza nella parte in cui non riscontra la responsabilità del correntista nel verificarsi dell'evento dannoso per non avere impedito l'appropriazione da parte di altri delle credenziali di pagamento;

3) Erroneità della sentenza nella parte in cui non ha valorizzato la grave negligenza del correntista per il mancato tempestivo avviso alla banca;

4) Erroneità della sentenza riguardo alla condanna delle spese.
Senza svolgimento di alcuna attività istruttoria, la causa era trattenuta in decisione sulle conclusioni riportate in epigrafe e veniva discussa all'odierna camera di consiglio dopo la decorrenza dei termini concessi per il deposito delle difese conclusionali.
MOTIVI DELLA DECISIONE
L'appello principale e gli appelli incidentali sono tutti infondati e vanno respinti, con integrale conferma della sentenza impugnata. pagina 10 di 26 Passando alla disamina dell'appello principale, si osserva quanto segue.

1. La critica contenuta nel primo motivo di gravame è infondata.
Sostiene parte appellante che il giudice di prime cure, benché abbia correttamente accertato la responsabilità della nella causazione CP_2 del danno ed escluso la negligenza del avrebbe errato nel limitare la Pt_1 responsabilità della banca (nonché, per estensione, anche di ) alle CP_1 operazioni del 22 marzo 2018, senza considerare anche quelle del giorno successivo. Avrebbe errato, infatti, il Tribunale nel ritenere che il sig. Pt_1 essendo a conoscenza del tentativo di sottrazione di fondi dai propri conti e della sospensione del funzionamento della SIM telefonica, avrebbe dovuto avvisare la banca, ravvisando in ciò una colpa grave.
Ai sensi del D. lgs. 11/2010, e in particolare degli articoli 7, 10, 11 e 12, l'utente del servizio sarebbe in difetto solo se, venendo a conoscenza di un pagamento non autorizzato, non lo denunciasse tempestivamente alla banca e sempreché questo comportamento gli sia attribuibile a titolo di dolo o colpa grave. L'utente avrà viceversa diritto al rimborso ove non si dimostri che era a conoscenza, piena ed effettiva, della condotta fraudolenta e abusiva del terzo, circostanze non provate dalla Banca.
Il Tribunale avrebbe erroneamente desunto la responsabilità del dal fatto Pt_1 che si fosse accorto della clonazione della propria SIM già il 22 marzo e che aveva denunciato un tentativo di frode a suo danno il 23 marzo alle 11.41: pertanto avrebbe dovuto denunciare anche alla tali sospetti. Replica a ciò CP_2 parte appellante, sostenendo che il non potendo entrare nel proprio home Pt_1 banking, come confermato dal teste dott. , funzionario di Tes_1 CP_2 non avrebbe avuto consapevolezza dei bonifici abusivamente eseguiti prima di domenica 25 marzo 2018, mentre il giorno successivo aveva presentato denunzia alla PG. Ancora, il mancato funzionamento della SIM non era necessariamente da ricollegarsi a una truffa, ben potendo il imputare la cosa a un semplice Pt_1 guasto sulla linea. Inoltre, per quanto fosse stato quanto avvisato nei giorni precedenti da altre due banche di tentativi falliti di frode ai suoi danni, non poteva pagina 11 di 26 desumere l'imminenza di accessi abusivi anche su altri suoi conti presso altre banche. Ancora, sottolinea parte appellante che la nozione di colpa grave richiamerebbe una grave negligenza, del tutto inescusabile, non rinvenibile nel caso di specie. In definitiva, difetterebbero gli indizi chiari, precisi e concordanti di negligenza straordinaria ed inescusabile richiesti dalla norma.
Gli argomenti proposti non sono sufficienti a ribaltare il ragionamento operato dal giudice di prime cure, che è invece condiviso da questo Collegio.
L'autenticazione a due fattori come sistema per riconoscere il titolare del servizio si basa appunto su due elementi distinti: una cosa di cui il titolare è a conoscenza, e una cosa di cui il titolare è in possesso. La prima è costituita dalle credenziali di acceso (un codice che identifica l'utente e che non può essere variato, e un PIN/password che possono invece essere cambiati dall'utente, elementi noti nella loro combinazione solo al cliente); la seconda è costituita da un codice richiesto dal sistema una volta inseriti correttamente id user e password, che si riscontra da un elemento in possesso dell'utente, come per esempio un token digitale, una tessera con dei codici, o uno smart phone.
Ultimamente è diffuso il sistema del codice OTP (one-time-password), ossia di una password monouso generata dal sistema e ricevuta sul proprio dispositivo mobile, sotto forma di SMS o di notifica push sull'app della banca, che reca un codice numerico o alfanumerico da inserire sulla maschera di autenticazione del sito di home banking. Tale operazione viene in genere ripetuta per ogni operazione dispositiva operata dall'utente una volta entrato nel suo sito di home banking. Trattandosi di sistemi di autenticazione considerati forti e sicuri, è estremamente complesso, per non dire virtualmente impossibile, per un eventuale truffatore di inserirsi nel sistema senza avere la disponibilità contestuale di entrambi i mezzi che possono garantire l'accesso al sistema.
È pertanto rimesso al titolare del conto corrente – nonché suo personale interesse
– di custodire con cura sia le credenziali (di cui sempre si conserva traccia scritta) che il dispositivo attraverso cui si riceve il codice monouso;
al verificarsi di un pagina 12 di 26 ingresso indesiderato nel conto corrente, si può ragionevolmente essere certi che il terzo abbia ottenuto il possesso di entrambi i fattori di autenticazione.
Tuttavia, l'elemento causale non è sufficiente a definire di per sé una colpa, e quindi una responsabilità da parte del titolare del conto corrente. La norma infatti
(ossia il D.Lgs. 11 del 2010) richiede, per l'attribuzione della responsabilità al titolare del conto corrente, che la perdita dei fattori di autenticazione debba essere ascritta a dolo o (più frequentemente) colpa grave da parte del titolare, e che questa dimostrazione debba essere fornita dal prestatore di servizi bancari.
Trattandosi però di una responsabilità omissiva (il non aver custodito le credenziali, il non essersi attivato per impedire l'evento, avvisando tempestivamente l'istituto bancario della minaccia e domandando di bloccare i pagamenti), l'elemento della colpa deve sempre essere parametrato alla divergenza tra il comportamento tenuto e un comportamento alternativo che il soggetto avrebbe dovuto porre in essere, alla luce delle consapevolezze che il soggetto aveva nel momento in cui la condotta omissiva è stata perpetrata.
Nel caso presente, quindi, per stabilire se il fosse o meno in colpa grave, Pt_1 occorre individuare il momento in cui la condotta omissiva (il mancato avvertimento della ) era sicuramente e necessariamente esigibile nei suoi CP_2 confronti;
successivamente, si può considerare se tale circostanza sia stata sufficientemente dimostrata o meno.
Il Tribunale di Prato ha correttamente identificato tale momento con il giorno 23 marzo 2018 alle ore 11.41. In quel momento, infatti, il aveva certamente Pt_1 contezza che la propria SIM (che rappresentava uno dei due fattori di autenticazione) non era per lui utilizzabile. Prima di quel momento, non era dimostrato che sapesse che la SIM era stata sostituita, ma solo che non era più funzionante. Tuttavia, con la mail alle altre banche, l'appellante ha dimostrato di essere a conoscenza di movimentazioni non autorizzate, sebbene su altri conti.
Pertanto, se il in quel momento sapeva che la sua SIM non era più Pt_1 funzionante (e questo risulta dalla denuncia fatta dal alla PG), e sapeva di Pt_1 movimentazioni non autorizzate (e questo risulta dalla mail del 23.3 alle banche), pagina 13 di 26 necessariamente egli doveva avvedersi di avere perso l'esclusivo controllo dei due fattori di autenticazione, dato che, come più volte ribadito, il possesso di entrambi i fattori era necessario per entrare nei siti di home banking. Dunque, dal momento che usando l'ordinaria diligenza doveva essere chiaro il rischio di compromissione della sicurezza di tutti i sistemi di accesso da remoto ai suoi conti, il avrebbe dovuto avvisare tutte le banche il cui home banking era Pt_1 riferito alla SIM sostituita, e non è giustificato il fatto che ne abbia avvisate solo alcune e non anche CP_2
Non è invece corretta la lettura delle norme operata dagli appellanti per escludere tale ragionamento presuntivo, nel senso che avrebbe dovuto la banca dimostrare la consapevolezza dell'intrusione da parte di terzi nel proprio conto.
Indubbiamente la norma richiamata prevede un regime di favore nei confronti dell'utilizzatore privato e pone un grave onere per la prova liberatoria in capo all'istituto bancario, questo però non può arrivare ad imporre una probatio diabolica, ben potendo l'onere essere adempiuto attraverso la dimostrazione di fatti e circostanze sui quali fondare un ragionamento presuntivo.
La ricostruzione alternativa fornita dagli appellanti non appare poi percorribile. A fronte dell'inutilizzabilità della SIM e quindi dell'impossibilità di entrare nel proprio home banking, oltre che della dimostrata consapevolezza di movimentazioni non autorizzate (sia pure presso altre banche), una persona di normale diligenza avrebbe cercato di comunicare con l'istituto bancario direttamente e tempestivamente. Tale omissione è ascrivibile a colpa grave, vista la sproporzione tra il rischio in corso (la perdita potenzialmente integrale della propria liquidità bancaria) e la misura della reazione (ossia aver contattato solo la CP_2 domenica 25.3).
Correttamente, quindi, il giudice di primo grado ha ritenuto che, a partire dalla mattinata del 23 marzo 2018, il si trovasse in una situazione di Pt_1 negligenza personale connotata da colpa grave.
Il primo motivo deve quindi essere respinto.

2. La seconda censura alla sentenza impugnata è infondata. pagina 14 di 26 Sostiene l'appellante che la sentenza di primo grado sarebbe errata nell'iter motivazionale, avendo esteso analogicamente gli effetti dell'esclusione della responsabilità della banca anche nei confronti dell'operatore telefonico, il quale invece aveva violato per parte sua una diversa disciplina. avrebbe CP_1 dovuto, infatti, ai sensi dell'art. 11 del D.lgs. 196/2003, trattare i dati dell'utente conservandoli in modo tale da poter correttamente identificare l'utente, e soprattutto scongiurare il rischio che essi potessero essere accessibili o modificabili da terzi non autorizzati. In particolare, la persona che si era sostituita al non era stata identificata;
la firma del era differente;
sul Pt_1 Pt_1 modulo di sostituzione era stata apposta una sigla e non una firma leggibile, come richiesto;
il numero di utenza fissa dell'azienda non era corretto, né
ne aveva verificato la correttezza. CP_1
Il motivo di appello è, più che infondato, inconferente. Infatti, parte appellante intende censurare la sentenza nella parte in cui limita la responsabilità di alle conseguenze delle operazioni del giovedì 22.3, e non anche a quelle CP_1 del venerdì 23.3 (in parallelo con . Tuttavia, nell'argomentare i CP_2 motivi di questa censura, l'appellante si limita a ribadire le deduzioni giuridiche che giustificano la responsabilità tout court di , responsabilità che è già CP_1 stata riconosciuta in linea generale in primo grado e che quindi non è in discussione. Parte appellante avrebbe dovuto piuttosto porre in discussione la limitazione della responsabilità di , quindi il motivo per cui CP_1 CP_1 risponde in solido con la per le operazioni del giovedì e non anche per CP_2 quelle del venerdì. Tale motivazione sta chiaramente nel parallelismo con la posizione della per cui – come si è già spiegato in precedenza – CP_2 la responsabilità omissiva del sopravanza, dal punto di vista causale, Pt_1 tanto la negligenza di quanto la presunzione di responsabilità della CP_1 banca. Se infatti il si fosse attivato nella mattina del 23.3 avvisando Pt_1 anche della probabile truffa, il danno sarebbe stato limitato ai CP_2 bonifici del giorno precedente. Pertanto, non si vedono ragioni per cui la pagina 15 di 26 responsabilità di nella sua estensione oggettiva debba essere differente CP_1 da quella della banca.
Il motivo è quindi rigettato.

3. Passando all'esame dei motivi di appello incidentale presentati da
[...]
si osserva quanto segue. CP_2

3.1. Con il primo motivo di appello incidentale, censura la CP_2 sentenza nella parte in cui non ha riconosciuto che, nel momento in cui l'intermediario abbia dato prova di avere implementato un sistema di autenticazione “forte”, sorgerebbe una presunzione di colpa a carico dell'utente nella custodia dei codici informatici;
per superare tale presunzione, sarebbe l'utente a dover dimostrare che il metodo con cui gli sarebbero stati carpiti i codici informatici era stato talmente sofisticato da escludere una colpa da parte sua. Il
Tribunale al contrario non avrebbe mai valorizzato questo profilo, non avendo gli attori mai spiegato con quali modalità custodissero le credenziali di autenticazione. La sentenza sarebbe quindi errata nella parte in cui esclude in via pregiudiziale la colpa grave degli odierni appellanti.
Il motivo è infondato.
La banca non spiega infatti in base a quale norma, a fronte dell'implementazione del sistema di autenticazione a due fattori da parte della banca, sorgerebbe una presunzione di colpa a carico dell'utente per non aver adeguatamente custodito i codici informatici. L'implementazione dei sistemi di sicurezza nell'internet banking non è infatti da considerare un servizio ulteriore offerto dalla banca, ma è
l'adempimento di un preciso dovere, derivante dalla Direttiva UE 2015/2366 del
25.12.2015 (art. 97 e 98) e dal Regolamento delegato 2018/38 della
Commissione Europea. Tuttavia, l'esistenza di un sistema di sicurezza considerato forte di per sé non fa sorgere alcuna presunzione di colpevolezza in capo al correntista, che richiede quindi elementi ulteriori per essere dimostrata. Nel caso presente, tra l'altro, questi elementi ulteriori consistono nella sospensione del funzionamento della SIM e nell'avviso parziale fatto dal correntista. In definitiva, la presenza di un sistema di sistema di autenticazione considerato forte e sicuro pagina 16 di 26 di per sé non può contraddire la lettera del D.Lgs. 11/2010, attribuendo in capo al correntista una presunzione di colpa inesistente.

3.2. Con il secondo motivo di appello, si duole del fatto che il CP_2
Tribunale non abbia posto adeguata attenzione sul fatto che il Pt_1 nonostante l'obbligo di adottare tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate, non abbia provato di essersi attivato in tal senso.
Il motivo di appello non fa che ribadire, da un altro punto di vista, quanto già detto nel motivo precedente: se col primo motivo si suggeriva l'esistenza di una presunzione di colpa in capo al per il solo fatto dell'esistenza di un Pt_1 sistema di autenticazione a due fattori, nel presente si afferma che il Pt_1 avesse un obbligo di protezione dei suoi strumenti di pagamento e che questo obbligo non sia stato diligentemente adempiuto.
Indubbiamente il correntista ha un onere di protezione dei propri strumenti di pagamento, senza i quali non è possibile accedere al conto on-line né tantomeno disporre pagamenti. Gli strumenti erano, in questo caso, i codici utente e
Pin/password da un lato, e la SIM dall'altro. I codici di autenticazione vengono consegnati dalla banca al cliente generalmente in busta chiusa, e ovviamente possono essere trafugati o “spiati” da persona che ha accesso agli stessi. Nel caso, però, non è possibile dedurre dal semplice fatto che l'ingresso indesiderato
è avvenuto che il correntista non abbia custodito con diligenza i codici in suo possesso. Non si può escludere, infatti, che la sottrazione delle credenziali di accesso sia avvenuta attraverso sistemi assai sofisticati, nonostante la prudenza del cliente.
Quanto poi all'altro strumento di autenticazione, ossia la SIM, nessuna violazione del dovere di custodia si può addebitare al visto che lo strumento gli è Pt_1 stato sottratto per il negligente comportamento di e a sua totale CP_1 insaputa, almeno fino al momento nel quale viene ravvisata la sua condotta omissiva.
Anche il secondo motivo di appello incidentale è dunque da rigettare. pagina 17 di 26 3.3. Con il terzo motivo di appello incidentale, lamenta che la CP_2 sentenza di primo grado si sia contraddetta, negando la responsabilità del Pt_1 fino al 22 marzo 2018 e invece riconoscendola nelle operazioni del 23 marzo.
Il giudice di prime cure avrebbe, per la inspiegabilmente posticipato il CP_2 momento a partire dal quale il era responsabile, a fronte di elementi Pt_1 fondativi di questa responsabilità che erano già presenti in precedenza. In particolare, sottolinea la banca che il era stato avvisato già in data Pt_1
20.3.2018 dalle altre banche di tentativi di frode da parte di terzi, eppure non aveva informato neppure nella giornata del 22 marzo CP_2 Pt_1 poi, aveva avvisato pur essendosi accorto che la SIM era non più CP_2 funzionante.
Il motivo è infondato.
Come già spiegato, il giudice di prime cure ha collocato correttamente il momento a partire dal quale le operazioni fraudolente possono essere imputate al solo comportamento colposo del nelle ore 11.41 del 23 marzo, quando ha Pt_1 avvertito due delle sue banche, trascurando di avvisare anche CP_2
Prima di quel momento non ci sono prove (che, si rammenta, avrebbe dovuto offrire la che il sapesse dell'abusivo ingresso nei suoi conti CP_2 Pt_1 correnti: egli sapeva che la SIM aveva smesso di funzionare e che tramite quella
SIM si ricevevano i codici OTP necessari per entrare nel sito e disporre operazioni, ma in astratto poteva non aver ricollegato il mancato funzionamento della SIM ad una sostituzione della stessa con intenti fraudolenti. Dopo l'avviso alle altre banche si ha invece la ragionevole certezza che il sapesse degli attacchi Pt_1 informatici in tutta la loro gravità.
La circostanza per cui sarebbe stato avvisato già in data 20 marzo è da considerare non rilevante. Infatti, erano state altre banche (e non
[...]
a segnalare il tentativo, peraltro fallito, di disposizione fraudolenta e CP_2 non si hanno elementi per concludere che potesse da ciò dedurre che Pt_1 tutte le sue utenze di home banking, anche presso altre banche, erano a rischio.
Anzitutto infatti ogni banca rilascia proprie credenziali, quindi non si tratta delle pagina 18 di 26 stesse rilasciate da che gli erano state sottratte per i bonifici del CP_2
22 e del 23. Inoltre, egli sapeva per certo che la SIM era funzionante, dunque disponeva di uno dei due fattori di autenticazione.
Non è pertanto contraddittoria la distinzione operata dal giudice di prime cure tra le condotte poste in essere nei due diversi giorni.

3.4. In subordine, pone un quarto motivo di appello CP_2 sull'argomento delle spese. Sostiene che il giudice di prime cure non avrebbe considerato il fatto che la aveva accettato la proposta conciliativa formulata CP_2 dal Tribunale, rifiutata invece dagli attori;
inoltre, il giudice non avrebbe disposto la compensazione delle spese nonostante l'accoglimento solo parziale della domanda attorea. Domanda quindi la che le spese siano poste a carico CP_2 degli appellanti o, almeno in parte, compensate.
Il motivo è da rigettare.
Nel caso presente, non può dirsi che gli attori abbiano rifiutato senza giustificazione la proposta conciliativa (formulata dal giudice in udienza in data
25.6.2019), dal momento che essa era stata accettata solo dalla ma non CP_2 anche da , che ha risposto quasi un anno dopo (e cioè con memoria CP_1 depositata in data 9.6.2020) formulando una

contro

-proposta (30.000 euro anziché i 70.000 proposti); quindi non può dirsi che si sia formata una proposta conciliativa completa, che gli attori avrebbero potuto accettare.
L'accoglimento parziale, poi, di per sé non determina una soccombenza reciproca e non giustifica quindi una compensazione delle spese, dal momento che un accoglimento parziale è comunque un accoglimento della domanda, mentre la soccombenza reciproca presuppone una pluralità di domande – che nel caso presente manca. Chiarissime sul punto le Sezioni Unite, Sentenza n. 32061 del
31/10/2022: “In tema di spese processuali, l'accoglimento in misura ridotta, anche sensibile, di una domanda articolata in un unico capo non dà luogo a reciproca soccombenza, configurabile esclusivamente in presenza di una pluralità di domande contrapposte formulate nel medesimo processo tra le stesse parti o in caso di parziale accoglimento di un'unica domanda articolata in più capi, e non pagina 19 di 26 consente quindi la condanna della parte vittoriosa al pagamento delle spese processuali in favore della parte soccombente, ma può giustificarne soltanto la compensazione totale o parziale, in presenza degli altri presupposti previsti dall'art. 92, comma 2, c.p.c.”.
Nel caso presente, quindi, risulta corretta la decisione del Tribunale di ritenere interamente soccombenti le parti convenute, pur a fronte di un accoglimento solo parziale della domanda.

4. propone a sua volta cinque motivi di appello incidentale. CP_1

4.1. Con il primo motivo di appello incidentale, lamenta l'omessa
CP_1 motivazione in ordine all'eccepita carenza di legittimazione passiva di ,
CP_1 che non aveva alcun rapporto contrattuale con il essendo l'utenza SIM Pt_1 intestata alla società LGR Medical Service srl. Tale società non era titolare di alcuno dei conti correnti attinti dalla frode, e dunque non vi sarebbe alcun collegamento dal punto di vista contrattuale con . Al riguardo,
CP_1 suggerisce che gli attori in primo grado, avvedutisi della mancanza di
CP_1 collegamento contrattuale, avrebbero mutato la qualificazione della domanda, da contrattuale ad aquiliana, con la memoria 183 n.1, così realizzando una mutatio libelli inammissibile.
Il motivo è infondato.
Anzitutto, non è corretto affermare che non vi fosse un collegamento tra la parte attrice e l'intestatario della SIM, dato che era amministratore anche della Pt_1 società LGR Medical Service SRL, ed infatti la SIM era stata consegnata a lui. In secondo luogo, l'intestazione del contratto è irrilevante, posto che i doveri di diligenza in capo a dovevano comunque rivolgersi verso il latore della CP_1
SIM, che nel caso specifico era comunque il in forza Pt_1 dell'immedesimazione organica con il soggetto rappresentato. In terzo luogo, quella operata dall'attore nel domandare la responsabilità aquiliana dopo aver impostato inizialmente la domanda sui binari della responsabilità contrattuale non costituisce in realtà una mutatio libelli, che consiste in una modificazione della domanda tale da introdurre nuovi fatti storici e in definitiva nuovi diritti nel pagina 20 di 26 processo. Più semplicemente, si è operata una differente qualificazione giuridica del medesimo fatto storico, senza per ciò cambiare il diritto azionato né la condanna domandata.

4.2. Con il secondo motivo di appello incidentale di contesta la CP_1 sentenza di primo grado laddove ha ritenuto sussistente in capo alla Compagnia
l'obbligo di indentificare il soggetto che richiedeva il duplicato della Parte_5
SIM.
Sostiene infatti l'appellante incidentale che la norma evocata dal giudice, nella quale sarebbero previsti obblighi di attenta identificazione del cliente – e cioè
l'art. 55, comma 7 del D. Lgs. 1.8.2003, n. 259 – farebbe riferimento all'acquisto e alla attivazione di una nuova SIM, non invece alla sostituzione di una SIM già in uso. Le delibere dell'AGcom che introducevano l'onere di verifica dell'identità del cliente anche al momento della sostituzione della SIM erano invece intervenute successivamente ai fatti contestati. Inoltre, il D. Lgs. 259 era stato adottato con finalità antiterroristiche, e non invece per prevenire le frodi informatiche. Più in generale, non avrebbe fatto altro che sostituire una SIM a chi ne CP_1 appariva il legittimo titolare, non avendo alcun potere di controllare l'effettiva autenticità dei documenti esibiti.
L'argomento è infondato.
La sentenza infatti non fa riferimento tanto al c.d. “decreto Pisanu” del 2003, quanto al C.d. codice privacy (D. lgs. 196/2003) e al GDPR (Regolamento UE
679/2016), entrambi precedenti al fatto, che prescrivono l'obbligo di diligenza in capo a chi custodisce i dati personali di altri soggetti. Ad ogni modo, il comportamento di è dal Tribunale di Prato inquadrato e ricostruito come CP_1 un fatto illecito, del quale vengono anche indicati gli elementi costitutivi (il danno evento, il danno conseguenza, il nesso causale e l'elemento soggettivo). In questo senso, la norma violata è da ricollegare ma direttamente all'art. 2043 c.c., quale fatto colposo foriero di danno, in quanto rappresenta la condicio sine qua non del fatto doloso del terzo.
pagina 21 di 26 Quanto poi allo specifico rimprovero che viene mosso nei confronti di , si CP_1 veda quanto di seguito.

4.3. Con il terzo motivo di appello incidentale, censura la sentenza CP_1 nella parte in cui ravvisa una responsabilità del gestore dell'utenza telefonica.
Ripercorrendo lo svolgimento dei fatti, l'appellante incidentale nega qualsiasi responsabilità, essendo il fatto causato in ultima istanza dall'uso improprio fatto da terzi dei dati sensibili del correntista, di cui erano a conoscenza questi e la banca. Il numero telefonico sarebbe irrilevante in una truffa informatica quale quella presente, né alcun furto di identità sarebbe stato compiuto per causa di
, dato che nessun dato personale sarebbe stato divulgato a terzi. CP_1
Respinge in definitiva ogni responsabilità, che rimanda al correntista e alla banca.
L'argomento è privo di pregio.
Anzitutto, nella catena causale la concessione della SIM sostitutiva a persona diversa dal è stata la condizione necessaria per il verificarsi della truffa, Pt_1 in quanto senza la sostituzione della SIM il terzo non avrebbe potuto mettere in atto il proposito criminoso. Vi è quindi un nesso logico necessario tra la sostituzione della SIM e il danno. Il comportamento è imputabile a , CP_1 posto che il soggetto che si era presentato all'agenzia di domandando la CP_1 sostituzione della SIM non era il e quindi la SIM è stata data a soggetto Pt_1 non legittimato. La sostituzione della persona era percepibile da , in CP_1 quanto questo aveva sottoscritto la richiesta con una firma non corrispondente a quella rilasciata dal stesso in fase di prima autenticazione, che la società Pt_1 ben avrebbe potuto conservare. La circostanza che un operatore telefonico come non sia gravato da uno specifico onere di diligenza nella verifica CP_1 dell'identità dei clienti è come detto ininfluente, visto che la fattispecie è da qualificare come un fatto illecito e come tale è sufficiente, sul fronte della colpevolezza, evidenziare una negligenza generica che sicuramente nel caso presente sussiste, dal momento che era sicuramente edotta del fatto CP_1 che molti servizi – ivi compreso quelli bancari – si affidano al dispositivo mobile come sistema di autenticazione forte e che quindi la sostituzione della SIM con pagina 22 di 26 altra data in mano a persona non chiaramente identificata espone potenzialmente il cliente a dei rischi potenzialmente illimitati.
Inoltre, come è stato fatto notare, l'operatore non ha verificato, come CP_1 avrebbe dovuto, visto il rischio potenziale, che la SIM da sostituire fosse effettivamente non funzionante o smarrita, non richiedendo denunce di smarrimento o la restituzione dell'esemplare eventualmente danneggiato. Né si è provveduto a verificare l'esistenza e la correttezza del numero fisso. In pratica, non è stato controllato alcun dato fornito dall'autore del reato, che quindi non ha incontrato particolari ostacoli nel perpetrare la frode e con relativa facilità si è impossessato di una SIM intestata ad altri.
Sulla questione della imputabilità o meno al correntista della mancata custodia dei codici di autenticazione si è già detto in precedenza esaminando i motivi di appello incidentale della banca. Si ribadisce che, in mancanza di precise allegazioni e produzioni, non si può affermare che vi sia stata una qualche negligenza da parte del nella conservazione dei codici, e come detto non Pt_1
è circostanza che si possa presumere dal semplice fatto che l'autenticazione a due fattori è un sistema considerato forte e sicuro.
Anche della responsabilità della si è detto, ed essa origina essenzialmente CP_2 in via oggettiva, perché la norma addossa il rischio di una frode al rischio di impresa della banca, attraverso un onere della prova invero gravoso da soddisfare – ma non impossibile, come dimostrato nel presente caso.
In ogni caso, la sussistenza di una responsabilità in capo ad altri non vale a negare la propria, dovendosi argomentare che le condotte ad altri imputate superano e annullano il proprio apporto nella causazione dell'evento dannoso.
Come più volte detto, se la condotta omissiva del correntista è idonea a interrompere il nesso causale per le sottrazioni del venerdì 23, mentre la banca risponde in via oggettiva senza che vi sia una condotta imputabile, è CP_1
l'unico soggetto la cui condotta omissiva non supera un giudizio controfattuale per l'intero evento, posto che, senza la sostituzione della SIM, non si sarebbe verificato alcun danno. pagina 23 di 26 4.4. Con il quarto motivo di appello incidentale, censura la sentenza di CP_1 primo grado nella parte in cui non avrebbe valutato adeguatamente la portata dell'omissione colposa dell'appellante.
Sostiene infatti che se l'appellante avesse avvisato la sua banca già dal CP_1
20 marzo, due giorni prima della sottrazione, quando cioè era stato avvisato dalle altre due banche del tentativo fallito di truffa, nessun danno si sarebbe verificato e pertanto la responsabilità ricadrebbe interamente sul correntista.
Anche questo argomento è infondato.
Si è già detto in precedenza di come l'avviso da parte delle altre due banche (CR
Firenze e non è da considerare di per sé interruttivo del nesso Parte_4 causale, anzitutto perché si trattava di altre due banche rispetto a CP_2
e il fatto che alcuni conti correnti fossero attaccati non implicava necessariamente che lo fossero tutti simultaneamente. In secondo luogo, i tentativi erano falliti, quindi il poteva essere rassicurato sul fatto che i suoi conti, benché Pt_1 avessero corso un rischio, erano tutelati dall'attività di vigilanza ordinaria delle banche. Infine, e soprattutto, negli attacchi informatici segnalati il 20 marzo il malfattore non possedeva la SIM, che infatti gli sarebbe stata consegnata da il 22 marzo. Non possedendo il token digitale, il terzo non aveva la CP_1 possibilità materiale di commettere il reato, e quindi ancora una volta si evidenzia la responsabilità della condotta omissiva da parte di . CP_1

4.5. Il quinto motivo di appello incidentale di riguarda le spese di lite. CP_1
In ipotesi, domanda la riforma della pronuncia di primo grado sulle CP_1 spese che erano attribuite in solido a stessa e alla banca. Ciò anzitutto CP_1 perché aveva avanzato una proposta conciliativa che non era stata CP_1 accolta dall'appellante e questa circostanza doveva essere presa in considerazione da parte del giudice ai fini delle spese ai sensi dell'art. 91 c.p.c. Inoltre, la domanda attorea era stata accolta in misura inferiore rispetto a quanto richiesto, così verificandosi una reciproca soccombenza.
Entrambi i punti sono privi di fondamento.
pagina 24 di 26 Come già detto in precedenza riguardo all'ultimo motivo di appello incidentale presentato da la proposta conciliativa formulata dal giudice ha CP_2 delle necessarie conseguenze sulle spese processuali, ai sensi dell'art. 91, comma
1, c.p.c., solo se la parte rifiuta ingiustificatamente la proposta conciliativa. In questo caso, come detto, il rifiuto (o meglio la mancata accettazione) non è ingiustificato, proprio perché stessa non ha aderito alla proposta, CP_1 rilanciando con una propria proposta difforme da quanto proposto dal giudice
(30.000 euro, a fronte di 70.000 in ipotesi addebitate a nella proposta CP_1 conciliativa giudiziale). Oltretutto, la risposta di è intervenuta a quasi un CP_1 anno di distanza dalla formulazione della proposta conciliativa del giudice, a fronte della immediata accettazione da parte della in misura CP_2 conforme a quanto proposto, vanificando il senso della proposta conciliativa stessa, che era anche quella di risparmiare alle parti i tempi e i costi della prosecuzione del processo.
Ugualmente infondata è la questione della soccombenza reciproca, che si verifica
(come detto in precedenza) quando vi sono più domande contrapposte: nel presente giudizio sia che non domandavano alcunché CP_1 CP_2 agli attori, ponendosi in una posizione di mera resistenza. Oltretutto,
l'accoglimento anche parziale di una domanda è comunque da considerare una vittoria processuale per chi la ottiene. La compensazione anche parziale delle spese resta quindi una facoltà rimessa al giudice, che soppesa la misura della soccombenza e decide di conseguenza sul punto.

5. Con riferimento alle spese, tenuto conto dell'esito del giudizio complessivo che vede la conferma integrale della sentenza di primo grado e il rigetto di tutti i motivi di appello sia principale che incidentale, si verifica nel grado di appello una soccombenza reciproca che giustifica l'integrale compensazione delle spese. È altresì dovuto il raddoppio del contributo unificato in capo a tutte le parti del giudizio.


P.Q.M.


pagina 25 di 26 La Corte di Appello di Firenze, definitivamente pronunciando, disattesa ogni contraria domanda, eccezione, istanza e deduzione, sull'appello proposto da
, ed nei confronti di Parte_1 Parte_2 Parte_3
e avverso la sentenza n. Controparte_1 AR
669/2021 emessa dal Tribunale di e pubblicata il 27/09/2021, così provvede:

1. Rigetta l'appello principale e gli appelli incidentali e per l'effetto conferma integralmente la sentenza di primo grado;

2. Compensa integralmente le spese del grado di appello;

3. Dichiara gli appellanti principali e incidentali tenuti a corrispondere, ciascuno per sua parte, il contributo unificato in misura doppia ai sensi dell'art. 13, comma 1-quater del DPR 115/2002, introdotto dall'art. 1, comma 17 della legge n.228 del 24.12.2012
Firenze, camera di consiglio del 13 maggio 2025.
Il Consigliere relatore ed estensore dott. Fabrizio Nicoletti
Il Presidente
dott. Ludovico Delle Vergini
Nota
La divulgazione del presente provvedimento, al di fuori dell'ambito strettamente processuale, è condizionata all'eliminazione di tutti i dati sensibili in esso contenuti ai sensi della normativa sulla privacy ex D. Lgs 30 giugno 2003 n. 196 e successive modificazioni e integrazioni.
pagina 26 di 26