CA
Sentenza 13 ottobre 2025
Sentenza 13 ottobre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Corte d'Appello Milano, sentenza 13/10/2025, n. 2703 |
|---|---|
| Giurisdizione : | Corte d'Appello Milano |
| Numero : | 2703 |
| Data del deposito : | 13 ottobre 2025 |
Testo completo
N. R.G. 175/2023
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO LA CORTE D'APPELLO DI MILANO Sezione Prima Civile
nelle persone dei seguenti magistrati:
EN CC Presidente rel. Anna FERRARI Consigliere Beatrice SICCARDI Consigliere
ha pronunciato la seguente SENTENZA nella causa iscritta al n. 175/2023 R.G. promossa in grado d'appello
da
PAe_1
C.F. P.IVA_1 elettivamente domiciliato in VIA TORTONA, 37 MILANO presso lo studio dell'avv. TREVES DARIO ITALO, che lo rappresenta e difende come da delega in atti, unitamente all'avv. DE ANGELIS PAOLO APPELLANTE
contro
Controparte_1
[...]
C.F. P.IVA_2 elettivamente domiciliato in CORSO EUROPA, 13 MILANO presso lo studio dell'avv. MOCCI FRANCESCO, che la rappresenta e difende come da delega in atti APPELLATA/APPELLANTE IN VIA INCIDENTALE
e
contro
Controparte_2
C.F. C.F._1 pagina 1 di 14 elettivamente domiciliato in VIA A. DEPRETIS, 86 ROMA presso lo studio dell'avv. GIANGIACOMO VINCENZO, che lo rappresenta e difende come da delega in atti
APPELLATA
OGGETTO: Appello avverso sentenza n. 7018/2022 del Tribunale di Milano pubblicata in data 6/9/2022
CONCLUSIONI DELLE PARTI
per “ Voglia l'Ecc. Corte di Appello di Milano, PAe_1 contrariis reiectis, in riforma della appellata sentenza n. 7018/2022 (n.r.g. 40060/2019) pubblicata il giorno 6.9.2022, non notificata, emessa dal Tribunale ordinario di Milano, sez. sesta civile, Giudice dott.ssa Ilarietti, non notificata, così deliberare: In via principale, -accogliere l'appello e per l'effetto, in riforma della impugnata sentenza così disporre: In via principale, accertare e dichiarare la correttezza, la diligenza e la legittimità dell'operato di , in persona del legale rappresentante p.t., PAe_1 rispetto a quanto avvenuto alla sig.ra in data 18.10.2018, con conseguente CP_2 esclusiva responsabilità della banca convenuta e revoca della statuizione di condanna e di soccombenza di cui alla sentenza appellata e contestuale condanna della sig.ra alla restituzione alla , in persona del legale CP_2 PAe_1 rappresentante p.t. di tutte le somme già percepite in dipendenza di quanto disposto dalla sentenza n. 7018/2022 e pari a € 20.005,00. Con vittoria dei compensi professionali del doppio grado. Chiede la concessione dei termini di legge per lo scambio delle memorie conclusionali ex art.190 cpc”.
per Controparte_1
“Voglia l'Ecc.ma Corte adita, in riforma della sentenza n.
[...]
7018/2022 pubblicata il 6 settembre 2022 dal Tribunale di Milano, nella persona della Dott.ssa Stefania Illarietti, all'esito del giudizio civile rubricato al n. 40060/2019 R.G., contrariis reiectis, così giudicare: In via principale:
- respingere tutte le domande avversarie nei confronti di Controparte_3
(già , in quanto infondate in fatto ed in diritto, per tutti i Controparte_1 motivi esposti in atti;
- per l'effetto, dichiarare che (già Controparte_3 Controparte_1 PA
nulla deve alla Sig.ra né a , a nessun titolo;
[...] Controparte_2
In via subordinata:
- nella denegata e non creduta ipotesi in cui l'Ecc.ma Corte di Appello dovesse ritenere sussistente una qualche responsabilità̀ in capo alla (i) accertare e dichiarare il CP_4
pagina 2 di 14 concorso di colpa della Sig.ra ai sensi dell'art. 1227 c.c., nella Controparte_2 verificazione dell'evento lesivo per il quale ha domandato ristoro e, per l'effetto, ridurre le somme eventualmente dovute dalla Banca;
e parimenti (ii) accertare e dichiarare la responsabilità pro quota di per tutti i motivi indicati in narrativa PAe_1
e, per l'effetto, ridurre le somme eventualmente dovute dalla CP_4
In ogni caso:
- dichiarare tenuti e condannare le altre parti al pagamento di tutte le spese, competenze ed onorari, oltre IVA e CPA, del presente procedimento e, in ogni caso, condannare la signora al rimborso e alla restituzione di tutte le Controparte_2 somme corrisposte dalla in esecuzione della Sentenza impugnata, pari ad euro CP_4
19.902,15 oltre interessi dal pagamento al saldo”.
per ” “Voglia la Corte di Appello adita, ogni contraria Controparte_2 domanda ed eccezione disattesa, così statuire: rigettare l'appello principale proposto da avverso la sentenza impugnata poiché PAe_2 inammissibile ed infondato in fatto ed in diritto per tutti i motivi esposti in narrativa a cui si rinvia con conseguente conferma della sentenza ex adverso impugnata;
rigettare l'appello incidentale proposto da avverso la sentenza Controparte_5 impugnata poiché inammissibile ed infondato in fatto ed in diritto per tutti i motivi esposti in narrativa a cui si rinvia con conseguente conferma della sentenza ex adverso impugnata;
con vittoria di spese di lite del presente giudizio maggiorata di spese generali, IVA e CPA come per legge”.
SVOLGIMENTO DEL PROCESSO
Il contenzioso è riconducibile all'ambito della frode informatica mediante la sostituzione della SIM Card, con accesso abusivo sul conto corrente n. 11285 acceso da
[...] presso , oggi (tecnica CP_2 Controparte_1 Controparte_1 della c.d. Sim swap fraud). si è rivolta al Tribunale di Milano per ottenere da Controparte_2 Controparte_1
e da il risarcimento dei danni patrimoniali patiti a
[...] PAe_1 seguito della sottrazione dal conto corrente sopra indicato (in data 18/10/2018) della somma di € 21.000,00 tramite bonifico - a lei non riferibile – disposto a favore di
” IBAN DE31700222000071788512, società estera che gestisce Controparte_6 una piattaforma di exchange per l'acquisto di bitcoin. Il bonifico era stato autorizzato mediante OTP ricevuto su di una SIM card, rilasciata da PA un punto vendita a terzo ignoto sulla base di un documento contraffatto.
pagina 3 di 14 La ricostruzione della vicenda, che ha originato il contenzioso, riportata dalla con l'atto introduttivo del primo grado non è stata contestata, in fatto, dalle CP_2 controparti ed è così sintetizzabile:
- alle ore 13:30 del 18/10/2018 l'appellata riscontrava l'impossibilità di utilizzare il proprio telefono cellulare e alle ore 15:40 circa otteneva dal punto di vendita TIM C.M. Erre srl una nuova SIM card, in sostituzione di quella ricevuta fin dalla sua prima installazione, poiché ritenuta danneggiata dagli stessi operatori della compagnia telefonica;
- all'atto della sostituzione gli operatori di tale centro riscontravano un'anomalia poiché le informazioni reperite nel database del centro indicavano che il numero identificativo della vecchia SIM card non corrispondeva a quello registrato nel sistema ed associata all'utenza telefonica a disposizione dell'utente (333 8273534)-;
- dopo qualche ora verificava la ricezione di due e-mail dal servizio con cui le comunicavano l'avvenuta esecuzione, alle ore Email_1
13:27 di un bonifico dal suo conto corrente di importo pari a € 21.000,00 in favore della società estera in precedenza menzionata;
- di avere immediatamente allertato il numero verde 800999585 della banca, preposto all'assistenza alla clientela, e di avere contattato alcuni dipendenti ed ex dipendenti della propria agenzia, per avvertirli che l'operazione non era a lei riconducibile e per capire il da farsi al fine di bloccare al più presto l'indebito trasferimento di denaro a favore di una persona giuridica sconosciuta;
- di avere proposto querela, inviata in copia alla sua Agenzia di riferimento tramite posta elettronica, che la informava che la banca si sarebbe attivata mediante l'invio di un “messaggio SWIFT” all'istituto di credito tedesco per richiedere il congelamento del bonifico;
- da un controllo effettuato alcuni giorni dopo (in data 22/10/2018) presso un centro PA
sullo status della SIM card veniva a conoscenza che sulla stessa linea telefonica, sempre in data 18/10/2018 e alcune ore prima della sua richiesta, sarebbe stata avanzata altra richiesta di sostituzione di SIM card alle ore 13:08 presso il centro TIM NUOVO BLU DI LI XIUZHU sito a Prato in Via Toscana 2/B e che l'operazione era stata resa possibile con la presentazione di carta di identità del titolare della linea.
Con la sentenza impugnata, il Tribunale di Milano ha riconosciuto:
- la responsabilità contrattuale della banca, per violazione degli obblighi di diligenza ex art. 1176 cod. civ. e di buna fede ex art. 1375 cod. civ. ( per avere dato esecuzione ad un bonifico sospetto senza attivare misure di sicurezza aggiuntive e senza attendere un pagina 4 di 14 tempo congruo, senza fornire prova che l'utente avesse agito con dolo o colpa grave ex art. 12 d.lgs. n. 11/2010 );
- la responsabilità extracontrattuale ex art. 2043 cod. civ. della compagnia telefonica per avere consentito, venendo meno agli obblighi di diligenza professionale, il rilascio della nuova SIM card sulla base di un documento evidentemente falsificato, così permettendo al terzo truffatore di ricevere l'OTP necessario per autorizzare il bonifico per cui è causa. Sulla scorta di tali premesse il Giudice di primo grado, in applicazione del principio della concorrenza di cause ex art. 2055 cod. civ. e riconoscendo una responsabilità di pari intensità della compagnia telefonica e della banca, li ha condannati a risarcire alla il danno patrimoniale patito, pari alla somma trasferita con il bonifico non CP_2 autorizzato.
ha interposto appello, lamentando un'errata interpretazione PAe_1 dei fatti e vizi della motivazione della sentenza impugnata, nella parte in cui il Giudice di primo grado:
- ha ritenuto non adeguate le misure di sicurezze interne adottate all'epoca dei fatti;
- ha ritenuto che la discordanza tra ente territoriale emittente e la residenza, riportata sul documento di identità esibito dal terzo truffatore per ottenere la nuova SIM card, avrebbe dovuto costituire un campanello di allarme per l'operatore del punto vendita PA
, imputandogli di non avere agito con la dovuta diligenza;
- ha ritenuto la sussistenza del nesso causale tra la condotta contestata (sostituzione della SIM card senza adeguati riscontri dei dati riportati sul documento di identità esibito dal terzo truffatore) e il bonifico per cui è causa. L'appellante ha concluso, in riforma della sentenza impugnata, per l'accertamento dell'assenza di responsabilità e per la condanna della alla restituzione delle CP_2 somme percepite in esecuzione della sentenza di primo grado.
Instaurato il contraddittorio si è costituita concludendo per il rigetto Controparte_1 dell'appello in via principale e proponendo appello in via incidentale, per sentire dichiarare che nessuna responsabilità le era attribuibile;
in via subordinata, ha concluso come in epigrafe riportato, con condanna della alla restituzione delle somme CP_2 percepite in esecuzione della sentenza impugnata e al pagamento delle spese di lite. Si è costituita la correntista chiedendo il rigetto dell'appello in via principale e di quello in via incidentale, con conferma della sentenza impugnata.
Le parti hanno precisato le conclusioni come in epigrafe trascritte e depositato gli atti conclusivi nei termini concessi.
MOTIVI DELLA DECISIONE pagina 5 di 14
La Corte ritiene che l'appello in via principale della compagnia telefonica e quello in via incidentale della banca siano infondati, per le ragioni che seguono.
Come in premessa riportato, trattasi di contenzioso riconducibile all'ipotesi di truffa informatica c.d. Sim swap fraud: il terzo truffatore - dopo aver sottratto i dati di accesso della ai servizi di home banking - si è impossessato dell'utenza telefonica CP_2 della correntista, riuscendo ad acquisire OTP trasmesso per l'autorizzazione del bonifico in favore della società tedesca. La frode - così come ricostruita dall'appellata e, come già osservato, non CP_2 contestata in fatto dalle altre parti - risulterebbe avere avuto luogo tramite un intervento sul numero di cellulare, sul quale si fondava il sistema di autenticazione delle operazioni tramite home banking. Il furto dell'identità telefonica ha reso possibile al truffatore di appropriarsi dei codici OTP, necessari per operare sul conto corrente dell'appellata correntista.
Trattasi di ipotesi di truffa tecnologica particolarmente complessa, caratterizzata dall'indebito utilizzo della linea telefonica e operatività del servizio di home banking ad essa collegato, con operazioni a cui la giurisprudenza1 e l'Arbitro Bancario Finanziario2 hanno ritenuto applicabile il d.lgs. n. 11/2010, come modificato dal d.lgs. n. 218/2017, di attuazione della Direttiva 2015/2366/EU (PSD II). Il citato decreto prevede:
- all'art.8, da parte del prestatore dei servizi di pagamento che emette uno strumento di pagamento, “l'obbligo di assicurare che i dispositivi personalizzati che consentono l'utilizzo dello strumento di pagamento non siano accessibili a soggetti diversi dall'utilizzatore legittimato ad usare lo strumento medesimo, fatti salvi gli obblighi posti in capo a quest'ultimo dall'art. 7”;
- all'art. 10, comma 1, che in caso di disconoscimento di un'operazione da parte dell'utente, come nel caso per cui si procede, che è onere del prestatore di tali servizi
“provare che, nell'ambito delle proprie competenze, l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti […]”;
- all'art. 10 bis, comma 1, che “i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente quando l'utente: a) accede al suo conto di pagamento on-line; b) dispone un'operazione di pagamento elettronico;
c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi”;
- agli artt. 11, comma 1, e 12, comma 4, in ipotesi di operazione di pagamento non autorizzata, che il prestatore di servizi di pagamento debba rimborsarla immediatamente fatto salva l'ipotesi in cui l'utente “abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7, con dolo o colpa grave”.
Il disconoscimento dell'operazione contabile di addebito da parte della in CP_2 punto onere della prova, imponeva a non solo di provare il regolare Controparte_1 funzionamento del dispositivo di pagamento, unitamente alla corretta contabilizzazione della disposizione di bonifico, ma ai sensi dell'art. 10, comma 2, d.lgs. n. 11/2010 era necessario che l'istituto di credito fornisse, in concreto, la prova che la disposizione di bonifico era riconducibile alla indicando modalità esecutive CP_2 dell'operazione, diverse da quelle da quest'ultima allegate e da cui trarre la prova, anche in via presuntiva, del dolo o della colpa grave della correntista. Il Giudice di primo grado ha richiamato quanto affermato dalla Suprema Corte (cfr. ordinanza n. 9158/2018): “… in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (Cass. 3 febbraio 2017, n. 2950). I principi affermati con tale pronuncia non consentono di apprezzare la questione posta con l'appello in via incidentale subordinato dalla banca, che ha lamentato ex art. 1227 cod. civ. comportamenti omissivi della correntista consistiti nel non avere la CP_2 custodito adeguatamente le credenziali e per non avere tempestivamente controllato le e- mail inviate, così impedendo un tempestivo intervento da parte dell'istituto di credito. Il motivo, volto ad affermare condotte colpose e/o dolose della correntista, è a giudizio della Corte infondato. Il non funzionamento dell'utenza telefonica, l'avvenuta richiesta e attivazione di una SIM card ad opera del truffatore in momento precedente (13:09) alla richiesta sostituzione presso il punto vendita C.M. Erre srl di Roma da parte della CP_2
l'esecuzione dell' operazione di bonifico ancora prima (ore 13:35) della verifica della pagina 7 di 14 non coincidenza del numero identificativo della SIM card inserita nel cellulare sono eventi che si sono verificati nello stesso giorno, in un arco temporale strettissimo, e hanno reso oggettivamente difficile, da parte della la percezione immediata CP_2 di essere vittima di una truffa. In tale contesto, non appare rivestire il carattere di colpa grave, la circostanza che la correntista, pur riscontrando il malfunzionamento della propria SIM card, abbia solo in tarda giornata riscontrato le due e-mail provenienti dalla banca. Non può ignorarsi, a riguardo, che appena avuta consapevolezza dell'esecuzione del bonifico non autorizzato, l'appellata si sia immediatamente attivata, a distanza di poche ore, contattando la banca e le forze dell'ordine. Alla luce di quanto sopra osservato, la Corte non ravvisa a carico dell'appellata condotte inadempimenti (dolose o gravemente colpose) agli obblighi di CP_2 custodia, previsti nell'art. 7 d.lgs. n. 11/2010, delle credenziali di sicurezza personalizzate e di comunicazione alla banca dell'uso non autorizzato dello strumento di pagamento. Non appaiono sufficienti, a superare tali conclusioni, le contestazioni della banca circa l'impossibilità di contemporanea violazione di tutti i fattori di controllo (codice utente, password e codice OTP). Sostiene che era impossibile che “entrambi i fattori di controllo, Controparte_1 effettuati tramite differenti dispositivi (computer e telefono), fossero contemporaneamente violati, senza il concorso di colpa del cliente” e che dal log prodotto era emerso che alle ore 13:16 erano state inserite, al primo tentativo, le credenziali di accesso del sistema statiche ( codice utente e password), in possesso della correntista. L'allegazione dell'istituto di credito rinvia genericamente a produzione documentale, che deve intendersi come riferita al doc. n. 2 prodotto in primo grado. Il generico contenuto del documento, quale copia di e-mail datata 6/2/2029 proveniente da non consente di ritenere assolto l'onere della prova Controparte_9 relativamente a quanto allegato.
Tanto premesso, la Corte è chiamata ad esaminare la posizione della compagnia telefonica e della posizione della banca, sulle contrapposte richieste ribadite in appello, di reciproca attribuzione in via esclusiva della responsabilità. I profili di responsabilità sono riportati, rispettivamente all'art. 2043 cod. civ. e agli artt. 1218 e 2050 cod. civ.
La posizione della compagnia telefonica è stata analizzata dl Giudice di primo grado PA dalla pag. 6 e ss. della sentenza impugnata, ove si legge: “Quanto alla posizione di non può essere affatto condivisa la allegazione della medesima, secondo cui la stessa si è diligentemente attenuta alle procedure di sicurezza espressamente previste a tutela del pagina 8 di 14 cliente. Le procedure a cui la medesima allega di essersi attenuta sia per quanto riguarda il blocco della SIM (verifica del codice fiscale comunicato con quello già presente a sistema) e per quanto riguarda la “gestione del cambio carta SIM” (richiesta documento di identità dell'intestatario della SIM Card e codice fiscale/anagrafica dell'intestatario) sono regolamenti interni suscettibili di valutazione da parte del giudice quanto alla loro idoneità a garantire la sicurezza avverso possibili contraffazioni. Non solo. Deve considerarsi che non risulta che il punto vendita di Prato che ha rilasciato la SIM a terzo ignoto alle ore 13,09 del 18.10.2018 (doc 3) abbia operato alcuna verifica - condotta che era certamente esigibile a tutela del cliente, contro possibili contraffazioni - circa la corrispondenza e la compatibilità della carta presentata in quel contesto a quella che risultava rilasciata al momento della prima attivazione della SIM della signora risultando la medesima del tutto CP_2 differente, sia negli estremi che nella fotografia rispetto a quella della odierna attrice (doc 4 fascicolo attoreo) Anzi risulta addirittura che la carta d'Identità presentata a tale punto TIM ( doc 3 con allegata carta di identità) è palesemente falsa, posto che porta come luogo ente di rilascio Comune di Milano, laddove viene indicata come luogo di residenza Cantiano (PU), risultando pertanto palese la negligenza con cui il punto vendita ha operato a fronte di un falso grossolano facilmente riconoscibile . Ciò detto PA risulta evidente che la condotta riferibile alla , che ha rilasciato una smart card collegata al numero di cellulare riferibile alla odierna attrice, al terzo truffatore , ha posto in essere una conditio sine qua non, dell'operazione truffaldina, posto che tale soggetto ha potuto ricevere l'OTP, riscontrare la richiesta di invio dell'OTP della banca e porre così in essere il perfezionamento della operazione,. La sostituzione della SIM card ha consentito di fatto l' aggiramento del sistema di autenticazione a doppio fattore poiché il cd codice OTP è stato ricevuto da chi aveva fraudolentemente carpito l'identità telefonica, ottenendo una nuova SIM Deve pertanto ritenersi che la condotta PA di , quale soggetto gestore del servizio telefonico su cui viaggiano dati riservati, servizio al quale era collegata, per quello che qui rileva, la procedura di sicurezza della banca concordata con il cliente, secondo una procedura peraltro ben conosciuta dai gestori di telefonia, ha concorso alla consumazione della truffa”. La Corte condivide le conclusioni del Giudice di primo grado. PA L'operatore del punto vendita Nuovo Blu Di Li UZ di Prato è incorso nella violazione dell'art. 1176 cod. civ. - secondo le regole tecniche all'epoca vigenti – per non avere correttamente identificato la persona ignota, che ha richiesto il cambio della SIM card alle ore 13:08. Le compagnie telefoniche avevano e hanno l'obbligo legale di identificare correttamente i clienti per impedire l'accesso non autorizzato ai servizi e ai dati personali del cliente e prevenire la violazione dei dati personali.
pagina 9 di 14 Come già affermato dalla giurisprudenza di merito in precedenza citata, l'obbligo di identificazione dei clienti per la mera sostituzione della SIM card è analogo a quello previsto in caso di prima attivazione della stessa. L'art. 1, comma 46, l. n. 124 del 2017, prevede che: “Al fine di semplificare le procedure di migrazione tra operatori di telefonia mobile e le procedure per l'integrazione di SIM card aggiuntive o per la sostituzione di SIM card richieste da utenti già clienti di un operatore, con decreto del Ministero dell'Interno, di concerto con CP_1 il Ministero sviluppo economico, da adottare entro sei mesi dalla data di entrata in vigore della presente legge, sono previste misure per l'identificazione in via indiretta del cliente, anche utilizzando il sistema pubblico dell'identità digitale previsto dall'art. 64 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, in modo da consentire che la richiesta di migrazione e di integrazione di SIM card e di tutte le operazioni ad essa connesse possano essere svolte per via telematica”. L'art. 55, comma 7, d.lgs. n. 259/2003 ha previsto per gli operatori di telefonia mobile un obbligo di identificazione degli acquirenti prima dell'attivazione del servizio, disponendo che ogni compagnia telefonica sia tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati del Ministero dell'Interno gli elenchi di tutti i propri abbonati.
Nel caso oggetto di esame, la compagnia telefonica a sostegno della propria difesa ha prodotto copia del documento di identità (C.I. n. del Comune di Milano NumeroD_1 esibito dall'ignoto truffatore e il regolamento interno per l'identificazione del cliente all'epoca dei fatti vigente. Seppur è vero che la non coincidenza tra la residenza riportata sulla C.I. esibita dal terzo ignoto e l'ente territoriale emittente il documento rappresenta un dato neutro per la soluzione della controversia, si osserva - ad integrazione della motivazione della sentenza impugnata - che, in realtà, è possibile dare rilievo ad altre risultanze processuali. PA In particolare, l'omessa verifica da parte dell'operatore del punto vendita di Prato, sugli archivi, della corrispondenza e compatibilità del documento esibito dal terzo ignoto con quello che risultava consegnato dalla al momento della prima CP_2 attivazione della SIM card. Tale semplice controllo, esigibile a protezione dei dati personali degli utenti, avrebbe consentito di verificare immediatamente che le fotografie riportate sulle due C.I. esibite ritraevano persone diverse, che diverse erano le firme apposte sui documenti di identità cartacei, che diverso era il Comune di rilascio dei documenti e, infine, che diverse erano le date di rilascio e di scadenza. Tali conclusioni appaiono tanto più vere laddove si consideri che la compagnia telefonica non ha fornito ulteriori chiarimenti in ordine alle ragioni del primo blocco pagina 10 di 14 dell'originaria TIM card alle ore 12:56 (con operatore ) e alle ragioni Persona_1 PA della sostituzione della SIM card operata presso il centro di Prato, senza restituzione della SIM card consegnata all'atto dell'installazione. La possibilità di sostituire la propria SIM (mantenendo il medesimo numero) è tecnicamente consentita, ma poiché tale possibilità può esporre il titolare della SIM alla sottrazione oltre che del numero di telefono anche di tutta l'operatività del servizio di home banking ad esso collegato, è di tutta evidenza che l'operatore telefonico debba agire con la massima prudenza e diligenza.
Le caratteristiche della frode c.d. Sim Swap Fraud consente di affermare che la truffa non avrebbe potuto perfezionarsi se il terzo ignoto non fosse riuscito ad intervenire sull'utenza telefonica certificata della rendendola inattiva e dirottando a CP_2 proprio favore l'invio delle credenziali OTP tramite la sostituzione della SIM card. In tale contesto la negligente identificazione, da parte dell'operatore telefonico del PA punto vendita di Prato del richiedente il cambio della SIM card, ha costituito un fatto antecedente che ha consentito al truffatore di accedere ai dati personali dell'utente (utenza telefonica certificata), di operare sul conto corrente di quest'ultima e di ottenere le credenziali dinamiche necessarie per disporre l'esecuzione dell'indebito bonifico. Da ciò, la necessità che gli operatori telefonici adottino misure idonee per la verifica dell'identità del richiedente non solo in fase di prima installazione della SIM card ma anche in ipotesi di sua sostituzione. Conclusivamente la compagnia telefonica appellante deve ritenersi responsabile ex art. 2043 cod. civ.
Quanto alla banca appellata, la Corte ne ravvisa la responsabilità, ai sensi della disciplina di cui al d.lgs. n. 11/2010, per non avere fornito la prova di aver adottato un sistema di protezione della correntista c.d. forte. Il regime della normativa in questione pone a carico dell'intermediario il rischio connesso al verificarsi della truffa, tutte le volte in cui non possa configurarsi una colpa grave da parte del correntista. Dell'assenza di colpa grave o dolo della o, comunque, della mancata prova CP_2 circa l'attribuzione all'appellata dell'operazione di debito si è già detto. Le conclusioni del Giudice di primo grado sono in linea con i principi di diritto enunciati dalla Corte di Cassazione con la più recente pronuncia3, con cui ha affermato: “ La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave 3 Cass. sez. III civ. n. 3780/2024. pagina 11 di 14 dell'utente. (Nella specie, la S.C. in applicazione del detto principio, ha confermato la decisione di merito che aveva ritenuto gravante su ai fini della non Controparte_11 riferibilità al cliente delle operazioni fraudolente eseguite con la sua carta Postepay, la dimostrazione della previa adozione di mezzi di prevenzione dell'uso illecito dei sistemi elettronici di pagamento, quali, ad esempio, l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione). La giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere (Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo. La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020). Era pertanto onere di , come correttamente ritenuto dalla impugnata sentenza, CP_11
a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente”.
pagina 12 di 14 Con precedenti pronunce4 la Suprema Corte, in analoghi contenziosi, ha sottolineato la necessità di garantire la fiducia dei correntisti/utenti nella sicurezza del sistema e ha ritenuto del tutto ragionevole ricondurre, nell'area del rischio professionale del prestatore dei servizi di pagamento, l'utilizzo dei codici di accesso al sistema da parte di terzo ignoto laddove non attribuibile al dolo o colpa grave del titolare della SIM Card. Ha ribadito che la banca, cui è richiesta una diligenza di natura tecnica da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente.
Nel caso oggetto di esame, la vicenda deve essere inquadrata nell'ambito della responsabilità per l'esercizio di attività pericolose di cui all'articolo 2050 cod. civ. e la sostituzione della SIM card deve essere equiparata alla mancanza di autenticazione dell'operazione di pagamento ai sensi e per gli effetti dell' art. 10 del d.lgs. n. 11/2010, con conseguente responsabilità dell'intermediario. Come concluso dal Giudice di primo grado, a fronte del disconoscimento dell'operazione di addebito da parte della la banca non ha fornito adeguata CP_2 prova di aver applicato un c.d. “sistema di autenticazione forte” e di avere attivato tutte le possibili cautele finalizzate ad accertare che l'operazione di bonifico del 18/10/2018 fosse riconducibile alla volontà della correntista appellata.
La Corte in assenza di specifiche censure a riguardo, e ritenendo una pari efficacia causale delle condotte imputate alla compagnia telefonica e alla banca nella produzione dell'evento, conferma le conclusioni del Giudice di primo grado, che ha applicato la disciplina di cui all'art. 2055 cod. civ. con pari responsabilità. In tali conclusioni risultano assorbite tutte le ulteriori questioni sollevate dalla parti.
All'esito del giudizio, consegue la condanna in solido di e PAe_1 di , parti soccombenti, al pagamento delle spese di lite del grado, Controparte_1 nella misura liquidata in dispositivo. La liquidazione viene operata sulla base dei parametri medi dello scaglione di riferimento dato dal valore della controversia, per tutte le fasi con esclusione di quella istruttoria non tenutasi. Nel rapporto fra la compagnia telefonica e la banca le spese di lite vengono compensate, stante l'infondatezza delle contrapposte richieste.
P.Q.M.
La Corte d'Appello di Milano definitivamente pronunciando, ogni diversa domanda, istanza ed eccezione disattesa, così provvede:
1. rigetta l'appello in via principale proposto da e PAe_1 quello in via incidentale proposto da , già Controparte_1 Controparte_1
, e, per l'effetto, conferma la sentenza impugnata;
[...] CP_1
2. condanna e , già PAe_1 Controparte_1 CP_1
o , in via fra loro solidale, a rifondere all'appellata Controparte_1 CP_1
le spese di lite del grado, liquidate in 3.966,00 per compensi, Controparte_2 oltre al rimborso delle spese accessorie nella misura del 15% e oltre accessori di legge;
3. dichiara compensate le spese di lite nel rapporto tra PAe_1
e ; Controparte_1
4. dà atto che sussistono i presupposti di cui all'art. 13 co. 1 quater D.P.R. 115/02 per il versamento dell'ulteriore importo a titolo di contributo unificato pari a quello dovuto a norma del comma 1 bis art. 13 cit. da parte di PAe_1
, già .
[...] CP_12 Controparte_1 Controparte_1
Così deciso in Milano il 24/10/2024
Il Presidente estensore EN Baccolini
pagina 14 di 14 1. DA COMPARE FOOTNOTE PAGES 1 Corte Cass. sez. VI-1 ord. n. 9158/2018; Tribunale di Napoli Nord n. 5062/2024; Tribunale di Roma n. 11547/2023; Tribunale di Milano sentenza n. 2386/2023. 2 n. 6758/2021; n. 13285/2021. Controparte_7 CP_8 pagina 6 di 14 4 Cass. sez. VI-1 n. 9158/2018; Cass. n. 2950/2017.
pagina 13 di 14
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO LA CORTE D'APPELLO DI MILANO Sezione Prima Civile
nelle persone dei seguenti magistrati:
EN CC Presidente rel. Anna FERRARI Consigliere Beatrice SICCARDI Consigliere
ha pronunciato la seguente SENTENZA nella causa iscritta al n. 175/2023 R.G. promossa in grado d'appello
da
PAe_1
C.F. P.IVA_1 elettivamente domiciliato in VIA TORTONA, 37 MILANO presso lo studio dell'avv. TREVES DARIO ITALO, che lo rappresenta e difende come da delega in atti, unitamente all'avv. DE ANGELIS PAOLO APPELLANTE
contro
Controparte_1
[...]
C.F. P.IVA_2 elettivamente domiciliato in CORSO EUROPA, 13 MILANO presso lo studio dell'avv. MOCCI FRANCESCO, che la rappresenta e difende come da delega in atti APPELLATA/APPELLANTE IN VIA INCIDENTALE
e
contro
Controparte_2
C.F. C.F._1 pagina 1 di 14 elettivamente domiciliato in VIA A. DEPRETIS, 86 ROMA presso lo studio dell'avv. GIANGIACOMO VINCENZO, che lo rappresenta e difende come da delega in atti
APPELLATA
OGGETTO: Appello avverso sentenza n. 7018/2022 del Tribunale di Milano pubblicata in data 6/9/2022
CONCLUSIONI DELLE PARTI
per “ Voglia l'Ecc. Corte di Appello di Milano, PAe_1 contrariis reiectis, in riforma della appellata sentenza n. 7018/2022 (n.r.g. 40060/2019) pubblicata il giorno 6.9.2022, non notificata, emessa dal Tribunale ordinario di Milano, sez. sesta civile, Giudice dott.ssa Ilarietti, non notificata, così deliberare: In via principale, -accogliere l'appello e per l'effetto, in riforma della impugnata sentenza così disporre: In via principale, accertare e dichiarare la correttezza, la diligenza e la legittimità dell'operato di , in persona del legale rappresentante p.t., PAe_1 rispetto a quanto avvenuto alla sig.ra in data 18.10.2018, con conseguente CP_2 esclusiva responsabilità della banca convenuta e revoca della statuizione di condanna e di soccombenza di cui alla sentenza appellata e contestuale condanna della sig.ra alla restituzione alla , in persona del legale CP_2 PAe_1 rappresentante p.t. di tutte le somme già percepite in dipendenza di quanto disposto dalla sentenza n. 7018/2022 e pari a € 20.005,00. Con vittoria dei compensi professionali del doppio grado. Chiede la concessione dei termini di legge per lo scambio delle memorie conclusionali ex art.190 cpc”.
per Controparte_1
“Voglia l'Ecc.ma Corte adita, in riforma della sentenza n.
[...]
7018/2022 pubblicata il 6 settembre 2022 dal Tribunale di Milano, nella persona della Dott.ssa Stefania Illarietti, all'esito del giudizio civile rubricato al n. 40060/2019 R.G., contrariis reiectis, così giudicare: In via principale:
- respingere tutte le domande avversarie nei confronti di Controparte_3
(già , in quanto infondate in fatto ed in diritto, per tutti i Controparte_1 motivi esposti in atti;
- per l'effetto, dichiarare che (già Controparte_3 Controparte_1 PA
nulla deve alla Sig.ra né a , a nessun titolo;
[...] Controparte_2
In via subordinata:
- nella denegata e non creduta ipotesi in cui l'Ecc.ma Corte di Appello dovesse ritenere sussistente una qualche responsabilità̀ in capo alla (i) accertare e dichiarare il CP_4
pagina 2 di 14 concorso di colpa della Sig.ra ai sensi dell'art. 1227 c.c., nella Controparte_2 verificazione dell'evento lesivo per il quale ha domandato ristoro e, per l'effetto, ridurre le somme eventualmente dovute dalla Banca;
e parimenti (ii) accertare e dichiarare la responsabilità pro quota di per tutti i motivi indicati in narrativa PAe_1
e, per l'effetto, ridurre le somme eventualmente dovute dalla CP_4
In ogni caso:
- dichiarare tenuti e condannare le altre parti al pagamento di tutte le spese, competenze ed onorari, oltre IVA e CPA, del presente procedimento e, in ogni caso, condannare la signora al rimborso e alla restituzione di tutte le Controparte_2 somme corrisposte dalla in esecuzione della Sentenza impugnata, pari ad euro CP_4
19.902,15 oltre interessi dal pagamento al saldo”.
per ” “Voglia la Corte di Appello adita, ogni contraria Controparte_2 domanda ed eccezione disattesa, così statuire: rigettare l'appello principale proposto da avverso la sentenza impugnata poiché PAe_2 inammissibile ed infondato in fatto ed in diritto per tutti i motivi esposti in narrativa a cui si rinvia con conseguente conferma della sentenza ex adverso impugnata;
rigettare l'appello incidentale proposto da avverso la sentenza Controparte_5 impugnata poiché inammissibile ed infondato in fatto ed in diritto per tutti i motivi esposti in narrativa a cui si rinvia con conseguente conferma della sentenza ex adverso impugnata;
con vittoria di spese di lite del presente giudizio maggiorata di spese generali, IVA e CPA come per legge”.
SVOLGIMENTO DEL PROCESSO
Il contenzioso è riconducibile all'ambito della frode informatica mediante la sostituzione della SIM Card, con accesso abusivo sul conto corrente n. 11285 acceso da
[...] presso , oggi (tecnica CP_2 Controparte_1 Controparte_1 della c.d. Sim swap fraud). si è rivolta al Tribunale di Milano per ottenere da Controparte_2 Controparte_1
e da il risarcimento dei danni patrimoniali patiti a
[...] PAe_1 seguito della sottrazione dal conto corrente sopra indicato (in data 18/10/2018) della somma di € 21.000,00 tramite bonifico - a lei non riferibile – disposto a favore di
” IBAN DE31700222000071788512, società estera che gestisce Controparte_6 una piattaforma di exchange per l'acquisto di bitcoin. Il bonifico era stato autorizzato mediante OTP ricevuto su di una SIM card, rilasciata da PA un punto vendita a terzo ignoto sulla base di un documento contraffatto.
pagina 3 di 14 La ricostruzione della vicenda, che ha originato il contenzioso, riportata dalla con l'atto introduttivo del primo grado non è stata contestata, in fatto, dalle CP_2 controparti ed è così sintetizzabile:
- alle ore 13:30 del 18/10/2018 l'appellata riscontrava l'impossibilità di utilizzare il proprio telefono cellulare e alle ore 15:40 circa otteneva dal punto di vendita TIM C.M. Erre srl una nuova SIM card, in sostituzione di quella ricevuta fin dalla sua prima installazione, poiché ritenuta danneggiata dagli stessi operatori della compagnia telefonica;
- all'atto della sostituzione gli operatori di tale centro riscontravano un'anomalia poiché le informazioni reperite nel database del centro indicavano che il numero identificativo della vecchia SIM card non corrispondeva a quello registrato nel sistema ed associata all'utenza telefonica a disposizione dell'utente (333 8273534)-;
- dopo qualche ora verificava la ricezione di due e-mail dal servizio con cui le comunicavano l'avvenuta esecuzione, alle ore Email_1
13:27 di un bonifico dal suo conto corrente di importo pari a € 21.000,00 in favore della società estera in precedenza menzionata;
- di avere immediatamente allertato il numero verde 800999585 della banca, preposto all'assistenza alla clientela, e di avere contattato alcuni dipendenti ed ex dipendenti della propria agenzia, per avvertirli che l'operazione non era a lei riconducibile e per capire il da farsi al fine di bloccare al più presto l'indebito trasferimento di denaro a favore di una persona giuridica sconosciuta;
- di avere proposto querela, inviata in copia alla sua Agenzia di riferimento tramite posta elettronica, che la informava che la banca si sarebbe attivata mediante l'invio di un “messaggio SWIFT” all'istituto di credito tedesco per richiedere il congelamento del bonifico;
- da un controllo effettuato alcuni giorni dopo (in data 22/10/2018) presso un centro PA
sullo status della SIM card veniva a conoscenza che sulla stessa linea telefonica, sempre in data 18/10/2018 e alcune ore prima della sua richiesta, sarebbe stata avanzata altra richiesta di sostituzione di SIM card alle ore 13:08 presso il centro TIM NUOVO BLU DI LI XIUZHU sito a Prato in Via Toscana 2/B e che l'operazione era stata resa possibile con la presentazione di carta di identità del titolare della linea.
Con la sentenza impugnata, il Tribunale di Milano ha riconosciuto:
- la responsabilità contrattuale della banca, per violazione degli obblighi di diligenza ex art. 1176 cod. civ. e di buna fede ex art. 1375 cod. civ. ( per avere dato esecuzione ad un bonifico sospetto senza attivare misure di sicurezza aggiuntive e senza attendere un pagina 4 di 14 tempo congruo, senza fornire prova che l'utente avesse agito con dolo o colpa grave ex art. 12 d.lgs. n. 11/2010 );
- la responsabilità extracontrattuale ex art. 2043 cod. civ. della compagnia telefonica per avere consentito, venendo meno agli obblighi di diligenza professionale, il rilascio della nuova SIM card sulla base di un documento evidentemente falsificato, così permettendo al terzo truffatore di ricevere l'OTP necessario per autorizzare il bonifico per cui è causa. Sulla scorta di tali premesse il Giudice di primo grado, in applicazione del principio della concorrenza di cause ex art. 2055 cod. civ. e riconoscendo una responsabilità di pari intensità della compagnia telefonica e della banca, li ha condannati a risarcire alla il danno patrimoniale patito, pari alla somma trasferita con il bonifico non CP_2 autorizzato.
ha interposto appello, lamentando un'errata interpretazione PAe_1 dei fatti e vizi della motivazione della sentenza impugnata, nella parte in cui il Giudice di primo grado:
- ha ritenuto non adeguate le misure di sicurezze interne adottate all'epoca dei fatti;
- ha ritenuto che la discordanza tra ente territoriale emittente e la residenza, riportata sul documento di identità esibito dal terzo truffatore per ottenere la nuova SIM card, avrebbe dovuto costituire un campanello di allarme per l'operatore del punto vendita PA
, imputandogli di non avere agito con la dovuta diligenza;
- ha ritenuto la sussistenza del nesso causale tra la condotta contestata (sostituzione della SIM card senza adeguati riscontri dei dati riportati sul documento di identità esibito dal terzo truffatore) e il bonifico per cui è causa. L'appellante ha concluso, in riforma della sentenza impugnata, per l'accertamento dell'assenza di responsabilità e per la condanna della alla restituzione delle CP_2 somme percepite in esecuzione della sentenza di primo grado.
Instaurato il contraddittorio si è costituita concludendo per il rigetto Controparte_1 dell'appello in via principale e proponendo appello in via incidentale, per sentire dichiarare che nessuna responsabilità le era attribuibile;
in via subordinata, ha concluso come in epigrafe riportato, con condanna della alla restituzione delle somme CP_2 percepite in esecuzione della sentenza impugnata e al pagamento delle spese di lite. Si è costituita la correntista chiedendo il rigetto dell'appello in via principale e di quello in via incidentale, con conferma della sentenza impugnata.
Le parti hanno precisato le conclusioni come in epigrafe trascritte e depositato gli atti conclusivi nei termini concessi.
MOTIVI DELLA DECISIONE pagina 5 di 14
La Corte ritiene che l'appello in via principale della compagnia telefonica e quello in via incidentale della banca siano infondati, per le ragioni che seguono.
Come in premessa riportato, trattasi di contenzioso riconducibile all'ipotesi di truffa informatica c.d. Sim swap fraud: il terzo truffatore - dopo aver sottratto i dati di accesso della ai servizi di home banking - si è impossessato dell'utenza telefonica CP_2 della correntista, riuscendo ad acquisire OTP trasmesso per l'autorizzazione del bonifico in favore della società tedesca. La frode - così come ricostruita dall'appellata e, come già osservato, non CP_2 contestata in fatto dalle altre parti - risulterebbe avere avuto luogo tramite un intervento sul numero di cellulare, sul quale si fondava il sistema di autenticazione delle operazioni tramite home banking. Il furto dell'identità telefonica ha reso possibile al truffatore di appropriarsi dei codici OTP, necessari per operare sul conto corrente dell'appellata correntista.
Trattasi di ipotesi di truffa tecnologica particolarmente complessa, caratterizzata dall'indebito utilizzo della linea telefonica e operatività del servizio di home banking ad essa collegato, con operazioni a cui la giurisprudenza1 e l'Arbitro Bancario Finanziario2 hanno ritenuto applicabile il d.lgs. n. 11/2010, come modificato dal d.lgs. n. 218/2017, di attuazione della Direttiva 2015/2366/EU (PSD II). Il citato decreto prevede:
- all'art.8, da parte del prestatore dei servizi di pagamento che emette uno strumento di pagamento, “l'obbligo di assicurare che i dispositivi personalizzati che consentono l'utilizzo dello strumento di pagamento non siano accessibili a soggetti diversi dall'utilizzatore legittimato ad usare lo strumento medesimo, fatti salvi gli obblighi posti in capo a quest'ultimo dall'art. 7”;
- all'art. 10, comma 1, che in caso di disconoscimento di un'operazione da parte dell'utente, come nel caso per cui si procede, che è onere del prestatore di tali servizi
“provare che, nell'ambito delle proprie competenze, l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti […]”;
- all'art. 10 bis, comma 1, che “i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente quando l'utente: a) accede al suo conto di pagamento on-line; b) dispone un'operazione di pagamento elettronico;
c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi”;
- agli artt. 11, comma 1, e 12, comma 4, in ipotesi di operazione di pagamento non autorizzata, che il prestatore di servizi di pagamento debba rimborsarla immediatamente fatto salva l'ipotesi in cui l'utente “abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7, con dolo o colpa grave”.
Il disconoscimento dell'operazione contabile di addebito da parte della in CP_2 punto onere della prova, imponeva a non solo di provare il regolare Controparte_1 funzionamento del dispositivo di pagamento, unitamente alla corretta contabilizzazione della disposizione di bonifico, ma ai sensi dell'art. 10, comma 2, d.lgs. n. 11/2010 era necessario che l'istituto di credito fornisse, in concreto, la prova che la disposizione di bonifico era riconducibile alla indicando modalità esecutive CP_2 dell'operazione, diverse da quelle da quest'ultima allegate e da cui trarre la prova, anche in via presuntiva, del dolo o della colpa grave della correntista. Il Giudice di primo grado ha richiamato quanto affermato dalla Suprema Corte (cfr. ordinanza n. 9158/2018): “… in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (Cass. 3 febbraio 2017, n. 2950). I principi affermati con tale pronuncia non consentono di apprezzare la questione posta con l'appello in via incidentale subordinato dalla banca, che ha lamentato ex art. 1227 cod. civ. comportamenti omissivi della correntista consistiti nel non avere la CP_2 custodito adeguatamente le credenziali e per non avere tempestivamente controllato le e- mail inviate, così impedendo un tempestivo intervento da parte dell'istituto di credito. Il motivo, volto ad affermare condotte colpose e/o dolose della correntista, è a giudizio della Corte infondato. Il non funzionamento dell'utenza telefonica, l'avvenuta richiesta e attivazione di una SIM card ad opera del truffatore in momento precedente (13:09) alla richiesta sostituzione presso il punto vendita C.M. Erre srl di Roma da parte della CP_2
l'esecuzione dell' operazione di bonifico ancora prima (ore 13:35) della verifica della pagina 7 di 14 non coincidenza del numero identificativo della SIM card inserita nel cellulare sono eventi che si sono verificati nello stesso giorno, in un arco temporale strettissimo, e hanno reso oggettivamente difficile, da parte della la percezione immediata CP_2 di essere vittima di una truffa. In tale contesto, non appare rivestire il carattere di colpa grave, la circostanza che la correntista, pur riscontrando il malfunzionamento della propria SIM card, abbia solo in tarda giornata riscontrato le due e-mail provenienti dalla banca. Non può ignorarsi, a riguardo, che appena avuta consapevolezza dell'esecuzione del bonifico non autorizzato, l'appellata si sia immediatamente attivata, a distanza di poche ore, contattando la banca e le forze dell'ordine. Alla luce di quanto sopra osservato, la Corte non ravvisa a carico dell'appellata condotte inadempimenti (dolose o gravemente colpose) agli obblighi di CP_2 custodia, previsti nell'art. 7 d.lgs. n. 11/2010, delle credenziali di sicurezza personalizzate e di comunicazione alla banca dell'uso non autorizzato dello strumento di pagamento. Non appaiono sufficienti, a superare tali conclusioni, le contestazioni della banca circa l'impossibilità di contemporanea violazione di tutti i fattori di controllo (codice utente, password e codice OTP). Sostiene che era impossibile che “entrambi i fattori di controllo, Controparte_1 effettuati tramite differenti dispositivi (computer e telefono), fossero contemporaneamente violati, senza il concorso di colpa del cliente” e che dal log prodotto era emerso che alle ore 13:16 erano state inserite, al primo tentativo, le credenziali di accesso del sistema statiche ( codice utente e password), in possesso della correntista. L'allegazione dell'istituto di credito rinvia genericamente a produzione documentale, che deve intendersi come riferita al doc. n. 2 prodotto in primo grado. Il generico contenuto del documento, quale copia di e-mail datata 6/2/2029 proveniente da non consente di ritenere assolto l'onere della prova Controparte_9 relativamente a quanto allegato.
Tanto premesso, la Corte è chiamata ad esaminare la posizione della compagnia telefonica e della posizione della banca, sulle contrapposte richieste ribadite in appello, di reciproca attribuzione in via esclusiva della responsabilità. I profili di responsabilità sono riportati, rispettivamente all'art. 2043 cod. civ. e agli artt. 1218 e 2050 cod. civ.
La posizione della compagnia telefonica è stata analizzata dl Giudice di primo grado PA dalla pag. 6 e ss. della sentenza impugnata, ove si legge: “Quanto alla posizione di non può essere affatto condivisa la allegazione della medesima, secondo cui la stessa si è diligentemente attenuta alle procedure di sicurezza espressamente previste a tutela del pagina 8 di 14 cliente. Le procedure a cui la medesima allega di essersi attenuta sia per quanto riguarda il blocco della SIM (verifica del codice fiscale comunicato con quello già presente a sistema) e per quanto riguarda la “gestione del cambio carta SIM” (richiesta documento di identità dell'intestatario della SIM Card e codice fiscale/anagrafica dell'intestatario) sono regolamenti interni suscettibili di valutazione da parte del giudice quanto alla loro idoneità a garantire la sicurezza avverso possibili contraffazioni. Non solo. Deve considerarsi che non risulta che il punto vendita di Prato che ha rilasciato la SIM a terzo ignoto alle ore 13,09 del 18.10.2018 (doc 3) abbia operato alcuna verifica - condotta che era certamente esigibile a tutela del cliente, contro possibili contraffazioni - circa la corrispondenza e la compatibilità della carta presentata in quel contesto a quella che risultava rilasciata al momento della prima attivazione della SIM della signora risultando la medesima del tutto CP_2 differente, sia negli estremi che nella fotografia rispetto a quella della odierna attrice (doc 4 fascicolo attoreo) Anzi risulta addirittura che la carta d'Identità presentata a tale punto TIM ( doc 3 con allegata carta di identità) è palesemente falsa, posto che porta come luogo ente di rilascio Comune di Milano, laddove viene indicata come luogo di residenza Cantiano (PU), risultando pertanto palese la negligenza con cui il punto vendita ha operato a fronte di un falso grossolano facilmente riconoscibile . Ciò detto PA risulta evidente che la condotta riferibile alla , che ha rilasciato una smart card collegata al numero di cellulare riferibile alla odierna attrice, al terzo truffatore , ha posto in essere una conditio sine qua non, dell'operazione truffaldina, posto che tale soggetto ha potuto ricevere l'OTP, riscontrare la richiesta di invio dell'OTP della banca e porre così in essere il perfezionamento della operazione,. La sostituzione della SIM card ha consentito di fatto l' aggiramento del sistema di autenticazione a doppio fattore poiché il cd codice OTP è stato ricevuto da chi aveva fraudolentemente carpito l'identità telefonica, ottenendo una nuova SIM Deve pertanto ritenersi che la condotta PA di , quale soggetto gestore del servizio telefonico su cui viaggiano dati riservati, servizio al quale era collegata, per quello che qui rileva, la procedura di sicurezza della banca concordata con il cliente, secondo una procedura peraltro ben conosciuta dai gestori di telefonia, ha concorso alla consumazione della truffa”. La Corte condivide le conclusioni del Giudice di primo grado. PA L'operatore del punto vendita Nuovo Blu Di Li UZ di Prato è incorso nella violazione dell'art. 1176 cod. civ. - secondo le regole tecniche all'epoca vigenti – per non avere correttamente identificato la persona ignota, che ha richiesto il cambio della SIM card alle ore 13:08. Le compagnie telefoniche avevano e hanno l'obbligo legale di identificare correttamente i clienti per impedire l'accesso non autorizzato ai servizi e ai dati personali del cliente e prevenire la violazione dei dati personali.
pagina 9 di 14 Come già affermato dalla giurisprudenza di merito in precedenza citata, l'obbligo di identificazione dei clienti per la mera sostituzione della SIM card è analogo a quello previsto in caso di prima attivazione della stessa. L'art. 1, comma 46, l. n. 124 del 2017, prevede che: “Al fine di semplificare le procedure di migrazione tra operatori di telefonia mobile e le procedure per l'integrazione di SIM card aggiuntive o per la sostituzione di SIM card richieste da utenti già clienti di un operatore, con decreto del Ministero dell'Interno, di concerto con CP_1 il Ministero sviluppo economico, da adottare entro sei mesi dalla data di entrata in vigore della presente legge, sono previste misure per l'identificazione in via indiretta del cliente, anche utilizzando il sistema pubblico dell'identità digitale previsto dall'art. 64 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, in modo da consentire che la richiesta di migrazione e di integrazione di SIM card e di tutte le operazioni ad essa connesse possano essere svolte per via telematica”. L'art. 55, comma 7, d.lgs. n. 259/2003 ha previsto per gli operatori di telefonia mobile un obbligo di identificazione degli acquirenti prima dell'attivazione del servizio, disponendo che ogni compagnia telefonica sia tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati del Ministero dell'Interno gli elenchi di tutti i propri abbonati.
Nel caso oggetto di esame, la compagnia telefonica a sostegno della propria difesa ha prodotto copia del documento di identità (C.I. n. del Comune di Milano NumeroD_1 esibito dall'ignoto truffatore e il regolamento interno per l'identificazione del cliente all'epoca dei fatti vigente. Seppur è vero che la non coincidenza tra la residenza riportata sulla C.I. esibita dal terzo ignoto e l'ente territoriale emittente il documento rappresenta un dato neutro per la soluzione della controversia, si osserva - ad integrazione della motivazione della sentenza impugnata - che, in realtà, è possibile dare rilievo ad altre risultanze processuali. PA In particolare, l'omessa verifica da parte dell'operatore del punto vendita di Prato, sugli archivi, della corrispondenza e compatibilità del documento esibito dal terzo ignoto con quello che risultava consegnato dalla al momento della prima CP_2 attivazione della SIM card. Tale semplice controllo, esigibile a protezione dei dati personali degli utenti, avrebbe consentito di verificare immediatamente che le fotografie riportate sulle due C.I. esibite ritraevano persone diverse, che diverse erano le firme apposte sui documenti di identità cartacei, che diverso era il Comune di rilascio dei documenti e, infine, che diverse erano le date di rilascio e di scadenza. Tali conclusioni appaiono tanto più vere laddove si consideri che la compagnia telefonica non ha fornito ulteriori chiarimenti in ordine alle ragioni del primo blocco pagina 10 di 14 dell'originaria TIM card alle ore 12:56 (con operatore ) e alle ragioni Persona_1 PA della sostituzione della SIM card operata presso il centro di Prato, senza restituzione della SIM card consegnata all'atto dell'installazione. La possibilità di sostituire la propria SIM (mantenendo il medesimo numero) è tecnicamente consentita, ma poiché tale possibilità può esporre il titolare della SIM alla sottrazione oltre che del numero di telefono anche di tutta l'operatività del servizio di home banking ad esso collegato, è di tutta evidenza che l'operatore telefonico debba agire con la massima prudenza e diligenza.
Le caratteristiche della frode c.d. Sim Swap Fraud consente di affermare che la truffa non avrebbe potuto perfezionarsi se il terzo ignoto non fosse riuscito ad intervenire sull'utenza telefonica certificata della rendendola inattiva e dirottando a CP_2 proprio favore l'invio delle credenziali OTP tramite la sostituzione della SIM card. In tale contesto la negligente identificazione, da parte dell'operatore telefonico del PA punto vendita di Prato del richiedente il cambio della SIM card, ha costituito un fatto antecedente che ha consentito al truffatore di accedere ai dati personali dell'utente (utenza telefonica certificata), di operare sul conto corrente di quest'ultima e di ottenere le credenziali dinamiche necessarie per disporre l'esecuzione dell'indebito bonifico. Da ciò, la necessità che gli operatori telefonici adottino misure idonee per la verifica dell'identità del richiedente non solo in fase di prima installazione della SIM card ma anche in ipotesi di sua sostituzione. Conclusivamente la compagnia telefonica appellante deve ritenersi responsabile ex art. 2043 cod. civ.
Quanto alla banca appellata, la Corte ne ravvisa la responsabilità, ai sensi della disciplina di cui al d.lgs. n. 11/2010, per non avere fornito la prova di aver adottato un sistema di protezione della correntista c.d. forte. Il regime della normativa in questione pone a carico dell'intermediario il rischio connesso al verificarsi della truffa, tutte le volte in cui non possa configurarsi una colpa grave da parte del correntista. Dell'assenza di colpa grave o dolo della o, comunque, della mancata prova CP_2 circa l'attribuzione all'appellata dell'operazione di debito si è già detto. Le conclusioni del Giudice di primo grado sono in linea con i principi di diritto enunciati dalla Corte di Cassazione con la più recente pronuncia3, con cui ha affermato: “ La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave 3 Cass. sez. III civ. n. 3780/2024. pagina 11 di 14 dell'utente. (Nella specie, la S.C. in applicazione del detto principio, ha confermato la decisione di merito che aveva ritenuto gravante su ai fini della non Controparte_11 riferibilità al cliente delle operazioni fraudolente eseguite con la sua carta Postepay, la dimostrazione della previa adozione di mezzi di prevenzione dell'uso illecito dei sistemi elettronici di pagamento, quali, ad esempio, l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione). La giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere (Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo. La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020). Era pertanto onere di , come correttamente ritenuto dalla impugnata sentenza, CP_11
a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente”.
pagina 12 di 14 Con precedenti pronunce4 la Suprema Corte, in analoghi contenziosi, ha sottolineato la necessità di garantire la fiducia dei correntisti/utenti nella sicurezza del sistema e ha ritenuto del tutto ragionevole ricondurre, nell'area del rischio professionale del prestatore dei servizi di pagamento, l'utilizzo dei codici di accesso al sistema da parte di terzo ignoto laddove non attribuibile al dolo o colpa grave del titolare della SIM Card. Ha ribadito che la banca, cui è richiesta una diligenza di natura tecnica da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente.
Nel caso oggetto di esame, la vicenda deve essere inquadrata nell'ambito della responsabilità per l'esercizio di attività pericolose di cui all'articolo 2050 cod. civ. e la sostituzione della SIM card deve essere equiparata alla mancanza di autenticazione dell'operazione di pagamento ai sensi e per gli effetti dell' art. 10 del d.lgs. n. 11/2010, con conseguente responsabilità dell'intermediario. Come concluso dal Giudice di primo grado, a fronte del disconoscimento dell'operazione di addebito da parte della la banca non ha fornito adeguata CP_2 prova di aver applicato un c.d. “sistema di autenticazione forte” e di avere attivato tutte le possibili cautele finalizzate ad accertare che l'operazione di bonifico del 18/10/2018 fosse riconducibile alla volontà della correntista appellata.
La Corte in assenza di specifiche censure a riguardo, e ritenendo una pari efficacia causale delle condotte imputate alla compagnia telefonica e alla banca nella produzione dell'evento, conferma le conclusioni del Giudice di primo grado, che ha applicato la disciplina di cui all'art. 2055 cod. civ. con pari responsabilità. In tali conclusioni risultano assorbite tutte le ulteriori questioni sollevate dalla parti.
All'esito del giudizio, consegue la condanna in solido di e PAe_1 di , parti soccombenti, al pagamento delle spese di lite del grado, Controparte_1 nella misura liquidata in dispositivo. La liquidazione viene operata sulla base dei parametri medi dello scaglione di riferimento dato dal valore della controversia, per tutte le fasi con esclusione di quella istruttoria non tenutasi. Nel rapporto fra la compagnia telefonica e la banca le spese di lite vengono compensate, stante l'infondatezza delle contrapposte richieste.
P.Q.M.
La Corte d'Appello di Milano definitivamente pronunciando, ogni diversa domanda, istanza ed eccezione disattesa, così provvede:
1. rigetta l'appello in via principale proposto da e PAe_1 quello in via incidentale proposto da , già Controparte_1 Controparte_1
, e, per l'effetto, conferma la sentenza impugnata;
[...] CP_1
2. condanna e , già PAe_1 Controparte_1 CP_1
o , in via fra loro solidale, a rifondere all'appellata Controparte_1 CP_1
le spese di lite del grado, liquidate in 3.966,00 per compensi, Controparte_2 oltre al rimborso delle spese accessorie nella misura del 15% e oltre accessori di legge;
3. dichiara compensate le spese di lite nel rapporto tra PAe_1
e ; Controparte_1
4. dà atto che sussistono i presupposti di cui all'art. 13 co. 1 quater D.P.R. 115/02 per il versamento dell'ulteriore importo a titolo di contributo unificato pari a quello dovuto a norma del comma 1 bis art. 13 cit. da parte di PAe_1
, già .
[...] CP_12 Controparte_1 Controparte_1
Così deciso in Milano il 24/10/2024
Il Presidente estensore EN Baccolini
pagina 14 di 14 1. DA COMPARE FOOTNOTE PAGES 1 Corte Cass. sez. VI-1 ord. n. 9158/2018; Tribunale di Napoli Nord n. 5062/2024; Tribunale di Roma n. 11547/2023; Tribunale di Milano sentenza n. 2386/2023. 2 n. 6758/2021; n. 13285/2021. Controparte_7 CP_8 pagina 6 di 14 4 Cass. sez. VI-1 n. 9158/2018; Cass. n. 2950/2017.
pagina 13 di 14