CA
Sentenza 28 gennaio 2025
Sentenza 28 gennaio 2025
Commentari • 0
Sul provvedimento
| Citazione : | Corte d'Appello Milano, sentenza 28/01/2025, n. 186 |
|---|---|
| Giurisdizione : | Corte d'Appello Milano |
| Numero : | 186 |
| Data del deposito : | 28 gennaio 2025 |
Testo completo
N. R.G. 1942/2023
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE D'APPELLO DI MILANO
SEZIONE PRIMA CIVILE
nelle persone dei seguenti magistrati:
dott.ssa Serena Baccolini Presidente dott.ssa Alessandra Arceri Consigliere rel. dott.ssa Manuela Cortelloni Consigliere
ha pronunciato la seguente
SENTENZA nella causa iscritta al n. r.g. 1942/2023 promossa in grado d'appello da
(C.F. ) e (C.F. Parte_1 C.F._1 Parte_2
) elettivamente domiciliati in Varese, via Arconati n. 51 presso e nello C.F._2 studio dell'avv. Angelo Praderio del Foro di Varese che li rappresenta e difende come da delega in atti.
APPELLANTI contro
, P. VA , elettivamente domiciliata in Milano, via Controparte_1 P.VA_1
Cordusio n. 4 presso e nello studio dell'avv. Anna Grazia Genchi che la rappresenta e difende come da mandato in atti
APPELLATA
pagina 1 di 16 OGGETTO: risarcimento danni – appello avverso sentenza n. 363 del 18 aprile 2023
Tribunale di Varese
CONCLUSIONI DELLE PARTI:
Per e : Parte_1 Parte_2
“Voglia l'Ill.ma Corte di Appello, disattesa ogni contraria domanda, deduzione ed eccezione, così giudicare:
In via principale
Annullare e riformare integralmente la sentenza numero 363/2023, deposi-tata presso la
Cancelleria del Tribunale di Varese in data 18.04.2023 e, per l'effetto, accertare e dichiarare la responsabilità di per tutti i motivi dedotti in ordine al furto avvenuto in Controparte_1
data 14.01.2021 e 15.01.2021 dal conto corrente Banco Posta nr. 1010860573 giacente presso la sede di di CA (VA) a danno dei signori e Controparte_1 Parte_1
e, pertanto, condannare l'appellata al risarcimento in favore degli attori della Parte_2
somma di euro 8.176,00.=, oltre a interessi legali dal dovuto al saldo, oltre al pagamento delle spese di lite del primo e del secondo grado.
In via subordinata:
Annullare e riformare integralmente la sentenza numero 363/2023, deposi-tata presso la
Cancelleria del Tribunale di Varese in data 18.04.2023 e, per l'effetto, accertare e dichiarare la responsabilità di per tutti i motivi sopra dedotti in ordine al furto Controparte_1
avvenuto in data 15.01.2021 dal conto corrente Banco Posta nr. 1010860573 giacente presso la sede di di CA (VA) a danno dei signori e Controparte_1 Parte_1 Pt_2
e, pertanto, condannare l'appellata al risarcimento in favore degli attori della somma
[...]
di euro 5.979,90.=, oltre al pagamento delle spese di lite del primo e del secondo grado.
Con riserva di ulteriori deduzioni e produzioni nei termini di legge”.
Per Controparte_1
“Voglia l'Ill.ma Corte d'Appello di Milano, contrariis reiectis, così statuire:
a) Rigettare l'appello proposto dai sigg.ri ed confermando la Parte_1 Parte_2
sentenza impugnata;
b) Con vittoria di spese e compensi onorari di giudizio.
Con ogni riserva, di legge e di ragione”.
pagina 2 di 16
IN FATTO E IN DIRITTO
Vicende processuali
1) I Sig.ri e hanno convenuto dinanzi al Tribunale di Varese Parte_2 Parte_3
al fine di ottenere risarcimento dei danni in relazione alle quattro Controparte_1
operazioni di prelievo fraudolentemente attuate, tra il 14 ed il 15 gennaio 2021, dal loro conto corrente Banco Posta n. 1010860573 da parte di ignoti truffatori, mediante la tecnica nota come phishing, per il complessivo importo di € 11.966,00.
Essi in particolare esponevano e lamentavano che in data 14 gennaio 2021, ad ore 15.53, la sig.ra aveva ricevuto un messaggio dall'apparente mittente PO FO (dal nr. di Pt_1
cellulare 366 9950437), col quale un presunto operatore di invitava la stessa a CP_1
verificare un'anomalia sul proprio conto corrente, accedendo al link, contenuto nel medesimo messaggio di testo, "http://In-b-com.preview-domain.com/"; la sig.ra aveva eseguito Pt_1
l'accesso mediante detto link, che la conduceva ad una videata con l'impaginazione del sito
" " (titoli blu su sfondo giallo) e spazi dove inserire i codici di sicurezza. Indi, alle CP_1
ore 16.02 del 14.01.2021 (dopo pochi minuti dal termine della chiamata ricevuta alle 15.53), la sig.ra riceveva un primo codice tramite sms da apparente mittente POFO ed Pt_1
anche, alle ore 16.04, una telefonata mediante la quale un operatore le chiedeva di inserire il codice ricevuto tramite sms. La stessa rispondeva all'operatore di non essere disponibile ad inserire il codice ricevuto, in quanto indaffarata con la figlia piccola, ma a quel punto il falso operatore di , con fare disponibile, chiedeva alla sig.ra di comunicargli CP_1 Pt_1 telefonicamente il codice ricevuto tramite sms al fine di aiutare la stessa con l'operazione di controllo. La sig.ra in detta circostanza asseriva di non aver comunicato alcunché, Pt_1
anche se, immediatamente dopo, riceveva altre chiamate dallo stesso numero, ad una delle quali, ad ore 16,16, rispondeva. Il falso operatore delle , a quel punto, la invitava ad CP_1
accelerare l'inserimento del codice ricevuto tramite sms in quanto si trattava di un'operazione a tempo;
alle ore 16.17, pertanto, la sig.ra inseriva il secondo codice ricevuto tramite Pt_1
sms dal numero apparentemente riferibile a PO FO. Alle ore 16.18, parte attrice riceveva l'ennesima telefonata dal falso operatore di , con la quale veniva informata che non CP_1
sarebbe potuta entrare sul proprio conto on-line nelle successive 24/48 ore altrimenti il conto corrente avrebbe subito un blocco.
pagina 3 di 16 Il giorno seguente, in data 15.01.2021, alle ore 8.30 la sig.ra si recava presso l'Ufficio Pt_1
Postale di CA (VA) al fine di prendere visione dei movimenti sul proprio conto corrente,
e solo in quel momento si sarebbe resa conto di essere stata vittima di una frode informatica.
Infatti, dal conto corrente già citato, cointestato con risultavano effettuati due Parte_2 prelevamenti, il primo alle ore 16.23 dell'importo di euro 2.990,00.= e il secondo alle ore
16.32 dell'importo di euro 2.997,00.
L'impiegato di presso la sede di CA, a quel punto, le avrebbe consigliato CP_1
di immediatamente dissociare il proprio numero di cellulare dal numero di conto corrente e successivamente, di ri-associarlo nuovamente;
tale operazione, a detta dell'impiegato di
, sarebbe servita per cancellare qualsiasi traccia in possesso ai truffatori;
così, CP_1 in seguito alle indicazioni ed istruzioni ricevute, dopo aver segnalato l'accaduto a
[...]
ed effettuato l'operazione di cui sopra, la sig.ra riceveva alle ore 8.58 del CP_1 Pt_1
giorno seguente, 15.01.2021, un sms, ancora in apparenza proveniente da POFO
(sorprendentemente, a detta della difesa, dallo stesso numero dal quale aveva ricevuto il giorno prima i due messaggi incriminati) con un codice di sicurezza da comunicare all'operatore e, alle ore 9.04, riceveva un ulteriore sms in cui si comunicava che l'operazione di modifica era stata effettuata con successo (doc. 3 di parte attrice).
Avrebbe quindi sporto regolare denuncia per i fatti, ed avrebbe ottenuto, da parte di
[...]
soltanto un parziale ristoro per i danni subìti; infatti Controparte_1 Controparte_1
provvedevano soltanto al riaccredito sul conto corrente cointestato ai due appellanti della somma di € 3.790 (doc. n. 14).
Tanto premesso, gli attori concludevano per la condanna di ritenuta Controparte_1 insufficiente la congerie di misure da quest'ultima adottate per proteggere i propri correntisti contro gli atti di illegittima penetrazione del sistema informatico e di fraudolenta appropriazione delle somme giacenti sul conto corrente assistito dal sistema di on line banking, al rimborso di quanto illegittimamente sottratto dal proprio conto corrente, dedotto il rimborso parziale già ricevuto, e pertanto la somma di € 8.176,00, oltre interessi legali dal dovuto al saldo, con vittoria di spese, competenze ed onorari.
Nel giudizio così radicato, si costituiva chiedendo il rigetto della Controparte_1
domanda.
In particolare, – dopo aver prodotto documentazione attestante Controparte_1
l'adeguamento del proprio sistema di online banking agli standards di sicurezza legislativamente previsti (in particolare, doc. n. 9 prodotto in primo grado), con adozione, in pagina 4 di 16 particolare, di un sistema di autenticazione forte, cd. a “due fattori”, il cui funzionamento veniva analiticamente descritto in comparsa - sottolineava come il comportamento della fosse stato gravemente imprudente;
dal punto di vista tecnico, infatti, le predette Pt_1
operazioni truffaldine, note con il termine phishing, vengono usualmente effettuate attraverso l'installazione, da parte dei terzi frodatori, di un nuovo wallet (portafoglio) nel primo giorno di frode (14.01.2021), con la cancellazione del vecchio preinstallato dalla cliente, e dunque, proprio grazie alla collaborazione della sig.ra la quale, dapprima Pt_1
aveva fatto accesso ad uno sconosciuto e sospetto sito, tramite il link fornito dai truffatori
(http://In-b-com.preview-domain.com/), incautamente obbedendo alle direttive contenute in un primo sms ricevuto alle h. 15:53 dal n. di cell. 3669950437 e, successivamente inseriva, a suo dire dettandolo ad uno sconosciuto operatore che l'aveva contattata telefonicamente, il codice n. 564100 ricevuto con un altro sms ed, ancora, inseriva un ulteriore codice, n. 4457, ricevuto con un altro sms, che andava a completare l'operazione fraudolenta in corso. contestava poi quanto asserito in citazione, ovvero che i messaggi Controparte_1
fossero giunti tutti dallo stesso numero, in quanto, contrariamente a quanto affermato, i messaggi successivi all'ingresso della nella falsa schermata , erano Pt_1 CP_1
pervenuti da utenza riferibile a . Infatti il primo messaggio proveniva da numero CP_1 sconosciuto e solo nel testo veniva riportato il nominativo “POFO”, scritto senza dubbio dal frodatore, tanto che era perfino presente un palese errore grammaticale, posto che la era stata invitata a verificare “un anomalia”, non meglio specificata, sul proprio Pt_1
conto; inoltre, come già detto, nel medesimo messaggio sms era contenuto un link in nessun modo riferibile a Controparte_1
La stessa in sintesi, comunicando entrambi i codici ricevuti da Pt_1 Controparte_1 ai frodatori, aveva permesso loro l'installazione di un applicativo (APP) su un loro DEVICE
(dispositivo elettronico) e, la creazione di un nuovo POID, necessario per effettuare le operazioni di prelievo in contestazione.
E ciò la aveva fatto nonostante nel sito istituzionale di fossero Pt_1 Controparte_1
rinvenibili specifiche avvertenze dirette a prevenire la perpetrazione di truffe simili.
In particolare, era stato diffuso il seguente comunicato: “Attento alle truffe dei falsi operatori di call center di ! PO e POPay non chiedono mai le tue credenziali di accesso e i CP_1
codici di sicurezza attraverso link inviati via SMS o al telefono, né di installare APP come strumento per la sicurezza. Se hai dubbi contattaci a questo indirizzo fornendoci i dettagli della comunicazione sospetta: . Email_1
pagina 5 di 16 Inoltre, nelle Condizioni Contrattuali da costei sottoscritte al momento di apertura del conto, era espressamente sottolineato il dovere del correntista di custodire con la massima attenzione le proprie credenziali, non comunicandole a terzi per nessun motivo. Infatti nella sezione intitolata “Custodia della carta e delle credenziali di sicurezza personalizzate –
Responsabilità” – era dato leggersi: “Il Correntista è tenuto a custodire con ogni cura la Carta, il PIN, il proprio dispositivo mobile contenente il Certificato Digitale e le altre Credenziali di sicurezza personalizzate…. Tutte le Credenziali di sicurezza personalizzate devono restare segrete e non devono essere riportate sulla Carta né conservate insieme con essa. Il
è responsabile di ogni conseguenza dannosa che possa derivare dall'abuso o CP_2 dall'uso illecito della Carta, del PIN, del proprio dispositivo mobile contenente il Certificato
Digitale e delle altre Credenziali di sicurezza personalizzate, nonché delle conseguenze dannose derivanti dal loro smarrimento o sottrazione, salvo quanto previsto dal successivo comma 4. Resta, comunque, a carico di la responsabilità per conseguenze CP_1 dannose derivanti da fatti imputabili a stessa…”. CP_1
Ed ancora, veniva riportato nelle suddette Condizioni Contrattuali: “Il Correntista, inoltre, dovrà verificare che anche la connessione sia protetta controllando che la pagina web in cui vengono richiesti i dati della Carta, inizi per “https”. Questa sigla indica che il sito in quel momento è criptato e, di conseguenza, lo saranno anche i dati inseriti. Il predetto prefisso
“https” nella barra di navigazione ed il lucchetto chiuso in basso a destra della finestra di navigazione indicano che la protezione è attiva. A tutela della sicurezza dei propri pagamenti, il Correntista non dovrà comunicare mai a terzi i dati della carta, i codici personali, il PIN e/o le altre Credenziali di sicurezza personalizzate”.
L'Art. 11 delle suddette condizioni, poi, rubricato “SMARRIMENTO O SOTTRAZIONE
DELLA CARTA E/O DEL PIN, DEL CODICE POSTEID E/O DEL DISPOSITIVO MOBILE -
RICHIESTA DI BLOCCO - RICHIESTA DI NUOVA EMISSIONE”, prevedeva che : “In caso di uso non autorizzato o sospetto, smarrimento o sottrazione della Carta, da sola o unitamente al PIN, il Correntista è tenuto a chiedere immediatamente il blocco della Carta stessa, telefonando al numero comunicato da secondo quanto previsto dal precedente CP_1
art. 7, comma 2. Il Correntista dovrà fornire, se richiesti, a gli elementi CP_1
indispensabili per procedere al blocco della Carta e cioè: il proprio nome, cognome, luogo e data di nascita, giorno e ora in cui si è verificato o è stato rilevato l'evento ed eventualmente il numero di conto afferente la Carta. È possibile che venga richiesto anche il numero di Carta, il codice fiscale o altre informazioni ritenute opportune da . Nel corso della CP_1
pagina 6 di 16 telefonata al numero indicato da , l'operatore comunicherà al il CP_1 CP_2 numero di blocco. Il Cliente è inoltre tenuto a denunciare l'accaduto all'Autorità Giudiziaria o alla Pubblica Sicurezza. La segnalazione di smarrimento o di sottrazione è opponibile a
[...]
dalla data e dall'ora di rilascio del numero di blocco, comunicato dall'operatore al CP_1
momento della telefonata del Cliente al numero indicato da . Pertanto è CP_1
interesse del Correntista inoltrare al numero indicato da la richiesta di blocco CP_1 con la massima tempestività”.
Ancora, nelle “Condizioni Generali per l'attivazione dell'account , la registrazione al sito CP_1 www.poste.it e la fruizione delle relative funzionalità e/o servizi attivabili” intitolato
“Responsabilità dell'utente. Manleve. Risolutiva espressa”, era stabilito che “1. L'Utente è tenuto a conservare le Credenziali con la massima diligenza, impegnandosi a non consentirne l'utilizzo a terzi. L'Utente assume quindi ogni responsabilità per l'eventuale utilizzo da parte di terzi delle Credenziali, manlevando e tenendo indenne da ogni e CP_1 qualsiasi responsabilità al riguardo.
3. L'Utente, al verificarsi di eventi che possano comunque compromettere la riservatezza/segretezza delle Credenziali, dovrà tempestivamente attivarsi per richiedere la revoca delle Credenziali associate all'Account PO con le modalità riportate sul Sito”.
Ancora, nelle istruzioni operative per l'utilizzo dei servizi di banca multicanale (Conto
BancoPosta) erano disciplinate le procedure che devono essere effettuate dal cliente in caso di “Gestione, furto o smarrimento, utilizzo non autorizzato degli strumenti di autenticazione ed autorizzativi: procedure da seguire e responsabilità” :“In caso di smarrimento o furto, nonché di uso non autorizzato o sospetto delle credenziali per l'accesso (nome utente, password) e/o degli strumenti operativi (es. Codice Conto, dispositivo mobile, Carta, PIN della Carta, Codice
POID), il Cliente è tenuto a comunicare immediatamente l'accaduto a il Call CP_1
Center* per le opportune azioni di contrasto, non appena ne viene a conoscenza. Inoltre è tenuto a porre in essere le attività di seguito descritte ed a sporgere tempestivamente denuncia alle Autorità competenti.
* da rete mobile e fissa per chi chiama dall'Italia al numero gratuito 800.00.33.22 altrimenti, per chi chiama dall'estero 02 82 44 33 33 con costo legato all'operatore utilizzato. Altrimenti, da rete fissa al numero verde 803.160; da rete mobile al numero 199.100.160, costi legato all'operatore utilizzato, pari al massimo a euro 0,60 al minuto più euro 0,15 alla risposta.
Servizi disponibili dal lunedì al sabato dalle ore 8.00 alle ore 20.00”.
pagina 7 di 16 Anche in riferimento alla seconda tranche di prelievi, quindi, ovvero quelli che la Pt_1
sosteneva essersi verificati dopo che, ad ore 8,30 del 15 gennaio 2021, in occasione del proprio accesso all'Ufficio Postale, ella avrebbe diligentemente effettuato, su suggerimento dell'impiegato, l'operazione di dissociazione e riassociazione del proprio numero di cellulare dal conto postale, nessuna responsabilità poteva ascriversi a non Controparte_1
essendo state effettuate tutte le operazioni (in particolare, blocco della carta e richiesta di un nuovo identificativo, previa disattivazione del precedente codice ID) raccomandate ripetutamente da al fine di proteggere il proprio conto da illecite e Controparte_1
fraudolente operazioni.
La causa veniva istruita con ammissione ed espletamento di prove orali. In particolare, venivano escussi i testi e . Testimone_1 Testimone_2
Indi, precisate le conclusioni, la causa veniva trattenuta in decisione.
5) Il Tribunale di Varese, con la sentenza n. 363 del 18 aprile 2023 così decideva:
“Il Tribunale, definitivamente pronunciando, ogni diversa istanza ed eccezione disattesa o assorbita, così dispone:
- rigetta la domanda proposta da e nei confron-ti di Parte_2 Parte_1 [...]
Controparte_1
- condanna altresì gli attori in solido tra loro a rimborsare alla parte convenuta le spese di lite, che si liquidano in € 2.540,00 per compensi, oltre i.v.a. se dovuta, c.p.a. e 15 % per spese generali.”
6) Avverso tale sentenza hanno proposto atto di gravame la ed il Pt_1 Pt_2
lamentando gradatamente:
Omessa e non corretta applicazione degli artt. 1218 e 2697 c.c., nonché vizi motivazionali, per avere il Tribunale omesso di applicare le regole in tema di ripartizione dell'onere probatorio
In particolare, parte appellante lamentava come il giudice di prime cure avesse basato la propria decisione su mere allegazioni di la quale si sarebbe limitata ad Controparte_1
affermare di aver adottato tutte le misure necessarie a proteggere i conti, senza tuttavia nulla dimostrare in merito, e tanto in violazione dell'art. 1218 c.c.; in punto, la giurisprudenza, aveva invece affermato che "non può essere omessa (...) la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire la sicurezza del servizio (...); infatti, la
pagina 8 di 16 diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere" (Cass. 12 giugno 2007, n. 13777; v. anche Cass.
19 gennaio 2016, n. 806). E cio' in quanto la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al client: ne discendeva che aveva invece evidentemente omesso di operare tali verifiche tanto che, Controparte_1
sebbene in assenza del codice pin del conto degli appellanti, i truffatori erano riusciti a prelevare le somme dal conto corrente degli stessi (per es. da ultimo, Cassazione civile sez.
VI - 12/04/2018, n. 9158).
Secondo motivo
Errata valutazione dei fatti di causa e delle risultanze probatorie e conseguente erronea imputazione della responsabilità del danno agli appellanti
I sig.ri e contestavano la sentenza n. 363/2023 nella parte in cui, a pag. 4 il Pt_2 Pt_1 giudice aveva affermato: “L'azione promossa dagli attori evidenzia però un dato fondamentale
e puntualmente eccepito dalla parte convenuta, ossia che le disposizioni di pagamento da parte di terzi sono state possibili solamente tramite la collaborazione dell'attrice stessa, la quale ritenendo (colposamente) di seguire delle indicazioni impartite dagli operatori dell'ente poste ha in realtà seguito tutte le istruzioni fornite dai truffatori per consentire loro di accedere al suo conto. Come correttamente evidenziato dalla società convenuta l'attrice era stata vittima di una truffa perpetrata con la tecnica ormai comunemente nota come “phishing”; dallo stesso contenuto dell'atto di citazione e dal contenuto della querela l'attrice si è esposta alla truffa accedendo attraverso un link inviato tramite un sms da parte di terzi, come richiesto dallo scarno messaggio accompagnatorio (in cui si segnalava “un anomalia” del conto corrente da verificare mediante accesso al link) che non presentava elementi di provenienza da (cfr doc. n. 2).” Controparte_1
Non sarebbe stato in particolare provato ciò che il giudice di prime cure reputa antecedente necessario della sottrazione, ovvero che la stessa avesse fornito il proprio codice Pt_1
ai truffatori, mentre invece la stessa si era limitata a fornire due sequenze numeriche Pt_4
in alcun modo riconducibili alla propria personale chiave di accesso al conto.
pagina 9 di 16 Di conseguenza, se anche fosse vero che gli OTP (one time password) forniti dall'attrice avevano permesso di installare nei dispositivi dei frodatori un nuovo account per accedere al conto corrente, non si capiva come gli stessi fossero riusciti ad autorizzare gli spostamenti di denaro senza conoscere la password personale (codice ID) della sig.ra La Pt_1 circostanza in base alla quale l'appellante non aveva mai fornito la propria chiave di accesso personale del conto ai frodatori era stata peraltro confermata dalla teste sig.ra Tes_1
Terzo motivo
Errata valutazione dei fatti di causa e delle risultanze probatorie
Con riguardo alla seconda tranche di prelievi
Con il terzo motivo di censura gli appellanti censuravano la pronuncia di prime cure nella parte in cui il Giudice, a pagina 5, aveva ritenuto non provato cosa la avesse Pt_1 comunicato in occasione dell'accesso all'Ufficio postale in data 15 gennaio 2021 e neppure provata l'operazione di dissociazione del numero di cellulare, dubitando che quest'ultima potesse essere risolutiva per impedire ulteriori accessi di terzi, e deducendone che non sarebbe possibile addebitare alcuna omissione specifica alla parte convenuta.
Ciò risulterebbe smentito dallo stesso direttore di di CA, il sig. CP_1 Tes_2
, che escusso quale teste, avrebbe confermato che si tratta di una operazione
[...]
comunemente consigliata a fronte di illeciti utilizzi delle credenziali del conto da parte di terzi.
Peraltro l'operazione di dissociazione del numero telefonico dal conto, di cui il Giudice di prime cure aveva ritenuto non formata prova, sarebbe dimostrata dal tenore del documento n.
3 prodotto in prime cure.
Sulle spese di lite
Gli appellanti impugnavano la pronuncia anche in riferimento al capo relativo alle spese, di cui chiedevano la riforma in ragione della soccombenza di parte avversa in fase di appello.
Nel giudizio di secondo grado così radicato, si è costituita l'appellata Controparte_1 rilevando ed eccependo, in via preliminare, l'inammissibilità dell'appello e nel merito, chiedendone il rigetto, riproponendo le argomentazioni già sviluppate in primo grado, e rilevando come l'istruttoria espletata non avesse fornito alcun elemento che potesse pagina 10 di 16 lumeggiare, da un lato, inadempimento di agli obblighi contrattuali del Controparte_1 buon banchiere, con riferimento agli standards di sicurezza del servizio, e dall'altro, a supporto della mancanza di colpa grave della Pt_1
Motivi della decisione
Ad avviso della Corte l'appello, da considerarsi comunque ammissibile ai sensi dell'art. 348
c.p.c., in quanto basato su argomentazioni non palesemente pretestuose o palesemente incoerenti con il contenuto dalla pronuncia impugnata, è infondato e non merita accoglimento, con conseguente conferma della sentenza di prime cure, per le ragioni che seguono.
Va premesso che, secondo il consolidato orientamento della giurisprudenza di legittimità, “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento, ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale” (così, da ultimo, Cass. sentenza n. 3780 del 12/02/2024).
Pertanto, mentre “il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore” (così la citata sentenza della
Cass. n. 3780/2024, che ha richiamato le conformi pronunce della Cass. n. 2950/17, n.
18045/19, n. 26916/2020).
Tra questi eventi, indubbiamente, ha un ruolo decisivo la colpa grave dell'utente, che con la sua condotta imprudente o negligente abbia reso possibile il perfezionamento dell'operazione illecita.
Se è vero, quindi, che l'entrata in vigore del D. Lgs. 11/2010 ha comportato un aggravamento degli oneri probatori posti a carico degli istituti di credito (in particolare, questi ultimi, per liberarsi da responsabilità, sono tenuti a dimostrare che possiedono un sistema di sicurezza
“forte” e che non vi è stato alcun malfunzionamento dei software) è altrettanto vero che ogni nesso di riferibilità di quanto lamentato dal correntista all'istituto di credito viene interrotto pagina 11 di 16 laddove sussista un comportamento gravemente negligente del cliente, che da solo – assurgendo a fattore causale efficiente e determinante - abbia reso possibile la perpetrazione dell'illecito (Cass. 10638/2016).
Resta infatti – comunque - in capo ai clienti un principio di autoresponsabilità e un obbligo di cautela particolarmente qualificata nell'esecuzione delle operazioni di pagamento tramite il sistema home banking.
Tale principio è stato ripetutamente affermato da questa Corte (in particolare, sentenza n.
3940 del 14 dicembre 2022), la quale, in altra controversia involgente truffa informatica sovrapponibile alla presente, ha testualmente ritenuto:
“Il principio (quello relativo allo standard medio di diligenza del banchiere n.d.r.) trova una prima affermazione al comma 2 dell'art. 10 D.Lgs. 11/2010: “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento (…) non è di per sé' necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo
7. È onere del prestatore di servizi di pagamento (…) fornire la prova della frode, del dolo o della colpa grave dell'utente”.
A sua volta, l'art. 7 prevede che l'utente, abilitato all'utilizzo di uno strumento di pagamento, abbia l'obbligo di utilizzare lo stesso in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso e di comunicare, secondo le modalità esplicitate nel contratto quadro, al prestatore di servizi di pagamento, o al soggetto da questo indicato, lo smarrimento, furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
Il comma 2 impone, altresì, di adottare tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personali.
Ciò posto, l'accertamento della sussistenza di una “colpa grave” va condotto alla luce delle peculiarità delle fattispecie concrete, attraverso una valutazione che il giudice opera sulla base del diritto nazionale, tenuto conto che la presenza di grave negligenza va provata dal fornitore del servizio, che è tenuto ad allegare le circostanze che supportino tale presupposto.
Secondo la ricostruzione offerta dallo stesso consulente di parte Fr., la truffa risulta perpetrata in ragione del fatto che “il malvivente, dopo aver creato un portale del tutto similare come grafica, impostazioni e linguaggio alla pagina web di banca Intesa San Polo, avrebbe inoltrato alla dott.ssa Fr. una mail contenente un messaggio fittiziamente proveniente da banca Intesa San Paolo ed un link collegato al portale fasullo.
Cliccando inconsapevolmente sul link, la dottoressa avrebbe visualizzato sul proprio pc una pagina praticamente identica
a quella internet di Intesa San Paolo, ma fasulla (dal momento che il log era http:// e non https://) che le richiedeva i dati del proprio account.
La dottoressa avrebbe dunque compilato i campi di login sulla pagina fasulla digitando anche il codice OTP. Ciò senza sapere che il malvivente le stesse “rubando” le credenziali di accesso. Il malvivente, entrato in possesso di tutti i tre i codici di accesso (nome utente, password e codice OTP) è riuscito ad effettuare l'accesso all'home banking ufficiale della dottoressa Fr. sottraendole del denaro”.
La Fr., certamente avvezza all'uso delle procedure online anche in virtù della professione svolta e consapevole della diffusione e frequenza delle truffe online – essendone, tra l'altro, già stata vittima, come dalla stessa dichiarato – ha omesso non solo l'adozione di tutte le condotte descritte dalla banca nella “Gu. ai Servizi” e nell'”FOrmativa sulla Sicurezza” (tra cui: raggiungere il sito della Banca attraverso l'accesso diretto all'indirizzo istituzionale www.intesasanpaolo.com, evitare di cliccare su link all'interno di email, non fornire mai informazioni sui dati di accesso), ma ha anche rifiutato l'attivazione CP_ dell'ulteriore servizio di sicurezza SMS predisposto per monitorare più efficacemente, e in tempo reale, l'operatività del proprio conto corrente. Co.ì facendo, ha violato l'art. 7 del d.lgs. 11/2010 che impone di adottare “tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”.
Anche la giurisprudenza dell'Arbitro bancario e finanziario si è espressa in tal senso allorchè, in casi analoghi a quello oggetto della presente controversia, ha osservato e ritenuto: “la cliente è vittima di una colpevole credulità in quanto portata a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell'intermediario e tanto più
pagina 12 di 16 colpevole si rivela quell'atto di ingenuità quanto più si consideri che tali forme di accalappiamento possono dirsi ormai note al pur non espertissimo navigatore di Internet ” .
Alla luce delle suesposte considerazioni è quindi ravvisabile, ad avviso della Corte, una condotta gravemente colposa in Pa capo alla Signora Fr. . E tale condotta è risultata determinante a bypassare tutti i presidi di sicurezza predisposti dalla
che lo stesso CTU ha definito più che adeguati. CP_4 In virtù dell'accoglimento della impugnazione con riferimento alle censure sopra esaminate, risultano definitivamente assorbiti i restanti motivi”. Nella presente fattispecie, ha provato, anche mediante produzione Controparte_1 di documenti – così come previsto dall'art. 8 del D. Lgs n. 11/2010 – di aver offerto ai propri clienti un elevato grado di sicurezza, attraverso l'adozione di un sistema di autenticazione forte a due fattori, che prevede l'uso di un codice utente, di una password di accesso statica e di una password one time generata dal token (in questo senso cfr. App. Milano n.
3185/2023 pubblicata in data 13/11/2023).
La stessa parte appellante, del resto, nel descrivere la procedura che occorre per operare qualsivoglia transazione sul proprio conto mediante on line banking, ha ammesso che detta procedura richiede l'inserimento di ben tre codici, di cui uno personale dell'utente e da questi custodito ab initio, corrispondente all'ID personale, di un ulteriore codice “statico” e di un ulteriore codice temporaneo generato da un token (OTP).
Questo sistema è stato considerato in numerose pronunce dell'Arbitro Bancario Finanziario
(ABF) come il più sicuro e come idoneo a dimostrare il corretto e diligente adempimento, da parte dell'istituto di credito, degli obblighi normativamente impostigli (si veda la decisione del
Collegio di Bari n. 19356/2019).
Di conseguenza, non è possibile imputare a alcuna negligenza Controparte_1 nell'adozione dei sistemi di sicurezza.
Di contro, in occasione di entrambe le tranches di prelievi fraudolenti, è certo che la Pt_1 abbia commesso patenti violazioni degli obblighi di diligenza previsti, legalmente, all'art. 7 del
D. Lgs. già citato, ma anche delle specifiche raccomandazioni diramate da Controparte_1 per proteggere i propri correntisti dall'eventualità di frodi informatiche.
[...]
Ed invero non è contestato il fatto che sia stata la stessa appellante a fornire telefonicamente tali codici, in violazione delle precise raccomandazioni del debitore a non comunicarli a nessuno per nessuna ragione.
La condotta della invero, integra gli estremi della colpa grave già a partire dalla Pt_1 violazione dell'art. 7 d.lgs. 11/2010, il quale impone perentoriamente di attenersi ai termini di servizio e di proteggere le proprie credenziali di accesso.
pagina 13 di 16 A ciò si aggiunga che il testo del messaggio c.d. civetta presentava evidenti indici di dubbia attendibilità (come errori grammaticali o sintattici, sopra evidenziati) o anomalie evidenti
(quale l'invito a selezionare un link ictu oculi non riferibile all'intermediario) che ben dovevano essere percepite dall'odierna appellante, inducendola, in forza del principio di autoresponsabilità, a non assecondare la richiesta telefonica che ebbe a portarla, poi, a comunicare le proprie credenziali necessarie per l'operatività sul conto on line (cfr. lo screenshot dell'SMS ricevuto dalla sub doc. 2 parte appellante). Pt_1
Per quanto la in questo confermata dalla teste (che tuttavia, appare Pt_1 Tes_3
scarsamente attendibile laddove giunge ad escludere che da parte della si sia Pt_1 digitato il proprio codice ID personale per l'ingresso nel proprio account), abbia negato di aver digitato il proprio codice identificativo personale una volta fatto accesso nella falsa schermata di poste italiane, è certo – perché da lei stesso ammesso – che ella ebbe a cliccare il link contenuto nel messaggio, ed ulteriormente, su sollecitazione telefonica pervenuta dagli ignoti operatori, ebbe a comunicare agli stessi gli ulteriori due codici pervenuti sulla sua utenza, consentendo così ai malfattori di eseguire i primi due prelievi, avendo gli stessi, nel frattempo, creato un duplicato del suo account, mediante i dati da lei stessi forniti.
In quest'ottica, si spiega l'invito rivoltole, che altrettanto avrebbe dovuto insospettire qualsiasi soggetto di media avvedutezza, a non fare accesso al proprio conto corrente on line nelle successive 24 ore, tempo che, all'evidenza, una volta scattata la mezzanotte del giorno successivo, avrebbe consentito ai malfattori di operare nuovi prelievi.
Anche tale incauta e pedissequa obbedienza a quanto richiestole dai truffatori ha evidentemente avuto un ruolo determinante sia nella ritardata scoperta delle prime operazioni di prelievo, ma anche rilievo esiziale sulla possibilità di adottare tempestive misure, atte a paralizzare la sottrazione compiuta, ovvero a prevenire ulteriori danni.
Peraltro, anche qualora rispondesse a verità quanto affermato (non si comprende come) dalla teste in ordine al fatto che la non aveva digitato il proprio ID personale nel Tes_3 Pt_1
pomeriggio del 14 gennaio, sta di fatto che in un caso esattamente sovrapponibile al presente, la mera negazione, da parte del correntista, di aver immesso le proprie credenziali, così consentendone l'utilizzo al truffatore, può essere superata in base ad elementi presuntivi, che indicano comunque la riferibilità della incauta condotta di comunicazione a terzi di detti dati al correntista (v. per es. la recente Cass. n. 7214 del 2023, citata da , nella CP_1
cui motivazione si legge, in un caso sovrapponibile al presente, in cui i correntisti avevano semplicemente negato la riferibilità a sé dell'operazione, resa possibile mediante accesso al pagina 14 di 16 loro conto corrente: “Con il secondo motivo i ricorrenti deducono che la sentenza impugnata è caratterizzata da falsa applicazione degli artt. 1218 e 2697 c.c., nonché degli artt. 115 e 116
c.p.c. "e dei principi in tema di responsabilità contrattuale e riparto dell'onere della prova", non avendo , a fronte del disconoscimento dell'operazione da parte di essi ricorrenti, CP_1
provato che l'addebito della sopra indicata somma di danaro "era frutto di una specifica disposizione di pagamento proveniente dai clienti stessi, mediante il corretto utilizzo della sua username e password".
4. Anche tale motivo è inammissibile perché, come detto, secondo la sentenza impugnata la prova, per presunzioni, della apparente provenienza dai ricorrenti dell'ordine di bonifico previa immissione nel sistema informatico di username, di password e di pin per l'accesso ai dati interni al conto corrente postale loro assegnati e dei cui contenuti solo costoro avrebbero dovuto essere a conoscenza;
inferendo dunque che, a fronte del diniego dei ricorrenti di avere utilizzato tali dati identificativi per dare l'ordine di bonifico controverso, gli stessi dati fossero stati fraudolentemente, dapprima captati e, dappoi, in concreto utilizzati da un terzo”).
Quanto poi, alla seconda tranche di prelievi del 15 gennaio 2021, a prescindere dalla considerazione che in mancanza di dati di conoscenza dell'orario in cui i due prelievi sono stati effettuati (al contrario dei primi due, che parte appellante stessa documenta essere avvenuti poco dopo le ore 16 del 14 gennaio 2021), neppure può escludersi che gli stessi siano stati effettuati durante le oltre 12 ore in cui la si è colpevolmente astenuta di Pt_1
andare a controllare quanto stesse avvenendo sul proprio conto, sta di fatto che - a maggior ragione - sono ravvisabili ulteriori profili di imprudenza e negligenza a carico del correntista:
a) in primo luogo, la stessa dichiara di aver ricevuto i messaggi che la Pt_1 avvertivano della dissociazione della propria utenza telefonica dall'account dal medesimo numero cellulare dal quale provenivano i messaggi ricevuti il giorno prima dai truffatori: se ciò fosse corrisposto a verità, a maggior ragione la stessa avrebbe dovuto allertarsi ed assumere ulteriori iniziative, anziché continuare incautamente ad operare sullo stesso conto e con il medesimo account, come è confermato, oltre che dalla stessa rappresentazione di parte appellante, dall'operazione di prelievo postamat effettuata lo stesso giorno 15 gennaio 2021, pacificamente riferibile agli odierni appellanti (docc. n. 8 e 14 di parte attrice in primo grado).
b) nonostante quanto avvenuto, la non ha, pacificamente, né provveduto al Pt_1 blocco della carta, né provveduto a richiedere l'assegnazione di un nuovo ID,
pagina 15 di 16 continuando ad operare con l'ID oggetto di fraudolenta utilizzazione, contravvenendo a regole contrattuali e comunque, di comune prudenza.
Deve, pertanto, escludersi la responsabilità di in relazione al danno Controparte_1 sofferto dall'odierna parte appellante, essendo questo esclusivamente riconducibile alla colpa grave della stessa parte danneggiata.
Le considerazioni sin qui svolte consentono di ritenere l'appello infondato e per l'effetto, di confermare integralmente la sentenza appellata.
Secondo il criterio della soccombenza la parte appellante va condannata a rimborsare alla parte appellata le spese di lite del presente grado di giudizio, come liquate in dispositivo in applicazione dei criteri di cui al D.M. 10/3/2014 n. 55 (come modificati con il D.M. 13/8/2022
n. 147) relativi al valore di causa, con liquidazione dei compensi ai parametri medi di tariffa e con esclusione dei compensi riferibili alla fase di istruttoria-trattazione, trattandosi di fase non tenutasi in questo grado di giudizio.
Va altresì dichiarata la sussistenza, in ragione della soccombenza nel duplice grado di giudizio, dei requisiti e dei presupposti per il raddoppio del contributo unificato, a norma dell'art. 13 comma 1 quater del D.P.R. n. 115/2002.
P.Q.M.
La Corte d'Appello di Milano, ogni contraria istanza ed eccezione disattesa, definitivamente pronunciando sull'appello proposto da e nei confronti di Parte_1 Parte_2 [...]
. avverso la sentenza del Tribunale di Varese n. 373/2023 pubblicata in data 18 Controparte_1
aprile 2023, così provvede:
1) rigetta l'appello e conferma integralmente la sentenza impugnata;
2) condanna gli appellanti al pagamento delle spese di secondo grado, che liquida in complessivi euro 3.966,00 per compensi, oltre 15% per rimborso spese forfettarie, oltre VA e C.P.A. come per legge;
3) dichiara la sussistenza dei requisiti e dei presupposti per il raddoppio del contributo unificato ex art. 13 comma 1 quater D.P.R. n. 115/2002
Così deciso in Milano, nella camera di consiglio del 16 gennaio 2025.
Il Consigliere est. Il Presidente dott.ssa Alessandra Arceri dott.ssa Serena Baccolini
pagina 16 di 16
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE D'APPELLO DI MILANO
SEZIONE PRIMA CIVILE
nelle persone dei seguenti magistrati:
dott.ssa Serena Baccolini Presidente dott.ssa Alessandra Arceri Consigliere rel. dott.ssa Manuela Cortelloni Consigliere
ha pronunciato la seguente
SENTENZA nella causa iscritta al n. r.g. 1942/2023 promossa in grado d'appello da
(C.F. ) e (C.F. Parte_1 C.F._1 Parte_2
) elettivamente domiciliati in Varese, via Arconati n. 51 presso e nello C.F._2 studio dell'avv. Angelo Praderio del Foro di Varese che li rappresenta e difende come da delega in atti.
APPELLANTI contro
, P. VA , elettivamente domiciliata in Milano, via Controparte_1 P.VA_1
Cordusio n. 4 presso e nello studio dell'avv. Anna Grazia Genchi che la rappresenta e difende come da mandato in atti
APPELLATA
pagina 1 di 16 OGGETTO: risarcimento danni – appello avverso sentenza n. 363 del 18 aprile 2023
Tribunale di Varese
CONCLUSIONI DELLE PARTI:
Per e : Parte_1 Parte_2
“Voglia l'Ill.ma Corte di Appello, disattesa ogni contraria domanda, deduzione ed eccezione, così giudicare:
In via principale
Annullare e riformare integralmente la sentenza numero 363/2023, deposi-tata presso la
Cancelleria del Tribunale di Varese in data 18.04.2023 e, per l'effetto, accertare e dichiarare la responsabilità di per tutti i motivi dedotti in ordine al furto avvenuto in Controparte_1
data 14.01.2021 e 15.01.2021 dal conto corrente Banco Posta nr. 1010860573 giacente presso la sede di di CA (VA) a danno dei signori e Controparte_1 Parte_1
e, pertanto, condannare l'appellata al risarcimento in favore degli attori della Parte_2
somma di euro 8.176,00.=, oltre a interessi legali dal dovuto al saldo, oltre al pagamento delle spese di lite del primo e del secondo grado.
In via subordinata:
Annullare e riformare integralmente la sentenza numero 363/2023, deposi-tata presso la
Cancelleria del Tribunale di Varese in data 18.04.2023 e, per l'effetto, accertare e dichiarare la responsabilità di per tutti i motivi sopra dedotti in ordine al furto Controparte_1
avvenuto in data 15.01.2021 dal conto corrente Banco Posta nr. 1010860573 giacente presso la sede di di CA (VA) a danno dei signori e Controparte_1 Parte_1 Pt_2
e, pertanto, condannare l'appellata al risarcimento in favore degli attori della somma
[...]
di euro 5.979,90.=, oltre al pagamento delle spese di lite del primo e del secondo grado.
Con riserva di ulteriori deduzioni e produzioni nei termini di legge”.
Per Controparte_1
“Voglia l'Ill.ma Corte d'Appello di Milano, contrariis reiectis, così statuire:
a) Rigettare l'appello proposto dai sigg.ri ed confermando la Parte_1 Parte_2
sentenza impugnata;
b) Con vittoria di spese e compensi onorari di giudizio.
Con ogni riserva, di legge e di ragione”.
pagina 2 di 16
IN FATTO E IN DIRITTO
Vicende processuali
1) I Sig.ri e hanno convenuto dinanzi al Tribunale di Varese Parte_2 Parte_3
al fine di ottenere risarcimento dei danni in relazione alle quattro Controparte_1
operazioni di prelievo fraudolentemente attuate, tra il 14 ed il 15 gennaio 2021, dal loro conto corrente Banco Posta n. 1010860573 da parte di ignoti truffatori, mediante la tecnica nota come phishing, per il complessivo importo di € 11.966,00.
Essi in particolare esponevano e lamentavano che in data 14 gennaio 2021, ad ore 15.53, la sig.ra aveva ricevuto un messaggio dall'apparente mittente PO FO (dal nr. di Pt_1
cellulare 366 9950437), col quale un presunto operatore di invitava la stessa a CP_1
verificare un'anomalia sul proprio conto corrente, accedendo al link, contenuto nel medesimo messaggio di testo, "http://In-b-com.preview-domain.com/"; la sig.ra aveva eseguito Pt_1
l'accesso mediante detto link, che la conduceva ad una videata con l'impaginazione del sito
" " (titoli blu su sfondo giallo) e spazi dove inserire i codici di sicurezza. Indi, alle CP_1
ore 16.02 del 14.01.2021 (dopo pochi minuti dal termine della chiamata ricevuta alle 15.53), la sig.ra riceveva un primo codice tramite sms da apparente mittente POFO ed Pt_1
anche, alle ore 16.04, una telefonata mediante la quale un operatore le chiedeva di inserire il codice ricevuto tramite sms. La stessa rispondeva all'operatore di non essere disponibile ad inserire il codice ricevuto, in quanto indaffarata con la figlia piccola, ma a quel punto il falso operatore di , con fare disponibile, chiedeva alla sig.ra di comunicargli CP_1 Pt_1 telefonicamente il codice ricevuto tramite sms al fine di aiutare la stessa con l'operazione di controllo. La sig.ra in detta circostanza asseriva di non aver comunicato alcunché, Pt_1
anche se, immediatamente dopo, riceveva altre chiamate dallo stesso numero, ad una delle quali, ad ore 16,16, rispondeva. Il falso operatore delle , a quel punto, la invitava ad CP_1
accelerare l'inserimento del codice ricevuto tramite sms in quanto si trattava di un'operazione a tempo;
alle ore 16.17, pertanto, la sig.ra inseriva il secondo codice ricevuto tramite Pt_1
sms dal numero apparentemente riferibile a PO FO. Alle ore 16.18, parte attrice riceveva l'ennesima telefonata dal falso operatore di , con la quale veniva informata che non CP_1
sarebbe potuta entrare sul proprio conto on-line nelle successive 24/48 ore altrimenti il conto corrente avrebbe subito un blocco.
pagina 3 di 16 Il giorno seguente, in data 15.01.2021, alle ore 8.30 la sig.ra si recava presso l'Ufficio Pt_1
Postale di CA (VA) al fine di prendere visione dei movimenti sul proprio conto corrente,
e solo in quel momento si sarebbe resa conto di essere stata vittima di una frode informatica.
Infatti, dal conto corrente già citato, cointestato con risultavano effettuati due Parte_2 prelevamenti, il primo alle ore 16.23 dell'importo di euro 2.990,00.= e il secondo alle ore
16.32 dell'importo di euro 2.997,00.
L'impiegato di presso la sede di CA, a quel punto, le avrebbe consigliato CP_1
di immediatamente dissociare il proprio numero di cellulare dal numero di conto corrente e successivamente, di ri-associarlo nuovamente;
tale operazione, a detta dell'impiegato di
, sarebbe servita per cancellare qualsiasi traccia in possesso ai truffatori;
così, CP_1 in seguito alle indicazioni ed istruzioni ricevute, dopo aver segnalato l'accaduto a
[...]
ed effettuato l'operazione di cui sopra, la sig.ra riceveva alle ore 8.58 del CP_1 Pt_1
giorno seguente, 15.01.2021, un sms, ancora in apparenza proveniente da POFO
(sorprendentemente, a detta della difesa, dallo stesso numero dal quale aveva ricevuto il giorno prima i due messaggi incriminati) con un codice di sicurezza da comunicare all'operatore e, alle ore 9.04, riceveva un ulteriore sms in cui si comunicava che l'operazione di modifica era stata effettuata con successo (doc. 3 di parte attrice).
Avrebbe quindi sporto regolare denuncia per i fatti, ed avrebbe ottenuto, da parte di
[...]
soltanto un parziale ristoro per i danni subìti; infatti Controparte_1 Controparte_1
provvedevano soltanto al riaccredito sul conto corrente cointestato ai due appellanti della somma di € 3.790 (doc. n. 14).
Tanto premesso, gli attori concludevano per la condanna di ritenuta Controparte_1 insufficiente la congerie di misure da quest'ultima adottate per proteggere i propri correntisti contro gli atti di illegittima penetrazione del sistema informatico e di fraudolenta appropriazione delle somme giacenti sul conto corrente assistito dal sistema di on line banking, al rimborso di quanto illegittimamente sottratto dal proprio conto corrente, dedotto il rimborso parziale già ricevuto, e pertanto la somma di € 8.176,00, oltre interessi legali dal dovuto al saldo, con vittoria di spese, competenze ed onorari.
Nel giudizio così radicato, si costituiva chiedendo il rigetto della Controparte_1
domanda.
In particolare, – dopo aver prodotto documentazione attestante Controparte_1
l'adeguamento del proprio sistema di online banking agli standards di sicurezza legislativamente previsti (in particolare, doc. n. 9 prodotto in primo grado), con adozione, in pagina 4 di 16 particolare, di un sistema di autenticazione forte, cd. a “due fattori”, il cui funzionamento veniva analiticamente descritto in comparsa - sottolineava come il comportamento della fosse stato gravemente imprudente;
dal punto di vista tecnico, infatti, le predette Pt_1
operazioni truffaldine, note con il termine phishing, vengono usualmente effettuate attraverso l'installazione, da parte dei terzi frodatori, di un nuovo wallet (portafoglio) nel primo giorno di frode (14.01.2021), con la cancellazione del vecchio preinstallato dalla cliente, e dunque, proprio grazie alla collaborazione della sig.ra la quale, dapprima Pt_1
aveva fatto accesso ad uno sconosciuto e sospetto sito, tramite il link fornito dai truffatori
(http://In-b-com.preview-domain.com/), incautamente obbedendo alle direttive contenute in un primo sms ricevuto alle h. 15:53 dal n. di cell. 3669950437 e, successivamente inseriva, a suo dire dettandolo ad uno sconosciuto operatore che l'aveva contattata telefonicamente, il codice n. 564100 ricevuto con un altro sms ed, ancora, inseriva un ulteriore codice, n. 4457, ricevuto con un altro sms, che andava a completare l'operazione fraudolenta in corso. contestava poi quanto asserito in citazione, ovvero che i messaggi Controparte_1
fossero giunti tutti dallo stesso numero, in quanto, contrariamente a quanto affermato, i messaggi successivi all'ingresso della nella falsa schermata , erano Pt_1 CP_1
pervenuti da utenza riferibile a . Infatti il primo messaggio proveniva da numero CP_1 sconosciuto e solo nel testo veniva riportato il nominativo “POFO”, scritto senza dubbio dal frodatore, tanto che era perfino presente un palese errore grammaticale, posto che la era stata invitata a verificare “un anomalia”, non meglio specificata, sul proprio Pt_1
conto; inoltre, come già detto, nel medesimo messaggio sms era contenuto un link in nessun modo riferibile a Controparte_1
La stessa in sintesi, comunicando entrambi i codici ricevuti da Pt_1 Controparte_1 ai frodatori, aveva permesso loro l'installazione di un applicativo (APP) su un loro DEVICE
(dispositivo elettronico) e, la creazione di un nuovo POID, necessario per effettuare le operazioni di prelievo in contestazione.
E ciò la aveva fatto nonostante nel sito istituzionale di fossero Pt_1 Controparte_1
rinvenibili specifiche avvertenze dirette a prevenire la perpetrazione di truffe simili.
In particolare, era stato diffuso il seguente comunicato: “Attento alle truffe dei falsi operatori di call center di ! PO e POPay non chiedono mai le tue credenziali di accesso e i CP_1
codici di sicurezza attraverso link inviati via SMS o al telefono, né di installare APP come strumento per la sicurezza. Se hai dubbi contattaci a questo indirizzo fornendoci i dettagli della comunicazione sospetta: . Email_1
pagina 5 di 16 Inoltre, nelle Condizioni Contrattuali da costei sottoscritte al momento di apertura del conto, era espressamente sottolineato il dovere del correntista di custodire con la massima attenzione le proprie credenziali, non comunicandole a terzi per nessun motivo. Infatti nella sezione intitolata “Custodia della carta e delle credenziali di sicurezza personalizzate –
Responsabilità” – era dato leggersi: “Il Correntista è tenuto a custodire con ogni cura la Carta, il PIN, il proprio dispositivo mobile contenente il Certificato Digitale e le altre Credenziali di sicurezza personalizzate…. Tutte le Credenziali di sicurezza personalizzate devono restare segrete e non devono essere riportate sulla Carta né conservate insieme con essa. Il
è responsabile di ogni conseguenza dannosa che possa derivare dall'abuso o CP_2 dall'uso illecito della Carta, del PIN, del proprio dispositivo mobile contenente il Certificato
Digitale e delle altre Credenziali di sicurezza personalizzate, nonché delle conseguenze dannose derivanti dal loro smarrimento o sottrazione, salvo quanto previsto dal successivo comma 4. Resta, comunque, a carico di la responsabilità per conseguenze CP_1 dannose derivanti da fatti imputabili a stessa…”. CP_1
Ed ancora, veniva riportato nelle suddette Condizioni Contrattuali: “Il Correntista, inoltre, dovrà verificare che anche la connessione sia protetta controllando che la pagina web in cui vengono richiesti i dati della Carta, inizi per “https”. Questa sigla indica che il sito in quel momento è criptato e, di conseguenza, lo saranno anche i dati inseriti. Il predetto prefisso
“https” nella barra di navigazione ed il lucchetto chiuso in basso a destra della finestra di navigazione indicano che la protezione è attiva. A tutela della sicurezza dei propri pagamenti, il Correntista non dovrà comunicare mai a terzi i dati della carta, i codici personali, il PIN e/o le altre Credenziali di sicurezza personalizzate”.
L'Art. 11 delle suddette condizioni, poi, rubricato “SMARRIMENTO O SOTTRAZIONE
DELLA CARTA E/O DEL PIN, DEL CODICE POSTEID E/O DEL DISPOSITIVO MOBILE -
RICHIESTA DI BLOCCO - RICHIESTA DI NUOVA EMISSIONE”, prevedeva che : “In caso di uso non autorizzato o sospetto, smarrimento o sottrazione della Carta, da sola o unitamente al PIN, il Correntista è tenuto a chiedere immediatamente il blocco della Carta stessa, telefonando al numero comunicato da secondo quanto previsto dal precedente CP_1
art. 7, comma 2. Il Correntista dovrà fornire, se richiesti, a gli elementi CP_1
indispensabili per procedere al blocco della Carta e cioè: il proprio nome, cognome, luogo e data di nascita, giorno e ora in cui si è verificato o è stato rilevato l'evento ed eventualmente il numero di conto afferente la Carta. È possibile che venga richiesto anche il numero di Carta, il codice fiscale o altre informazioni ritenute opportune da . Nel corso della CP_1
pagina 6 di 16 telefonata al numero indicato da , l'operatore comunicherà al il CP_1 CP_2 numero di blocco. Il Cliente è inoltre tenuto a denunciare l'accaduto all'Autorità Giudiziaria o alla Pubblica Sicurezza. La segnalazione di smarrimento o di sottrazione è opponibile a
[...]
dalla data e dall'ora di rilascio del numero di blocco, comunicato dall'operatore al CP_1
momento della telefonata del Cliente al numero indicato da . Pertanto è CP_1
interesse del Correntista inoltrare al numero indicato da la richiesta di blocco CP_1 con la massima tempestività”.
Ancora, nelle “Condizioni Generali per l'attivazione dell'account , la registrazione al sito CP_1 www.poste.it e la fruizione delle relative funzionalità e/o servizi attivabili” intitolato
“Responsabilità dell'utente. Manleve. Risolutiva espressa”, era stabilito che “1. L'Utente è tenuto a conservare le Credenziali con la massima diligenza, impegnandosi a non consentirne l'utilizzo a terzi. L'Utente assume quindi ogni responsabilità per l'eventuale utilizzo da parte di terzi delle Credenziali, manlevando e tenendo indenne da ogni e CP_1 qualsiasi responsabilità al riguardo.
3. L'Utente, al verificarsi di eventi che possano comunque compromettere la riservatezza/segretezza delle Credenziali, dovrà tempestivamente attivarsi per richiedere la revoca delle Credenziali associate all'Account PO con le modalità riportate sul Sito”.
Ancora, nelle istruzioni operative per l'utilizzo dei servizi di banca multicanale (Conto
BancoPosta) erano disciplinate le procedure che devono essere effettuate dal cliente in caso di “Gestione, furto o smarrimento, utilizzo non autorizzato degli strumenti di autenticazione ed autorizzativi: procedure da seguire e responsabilità” :“In caso di smarrimento o furto, nonché di uso non autorizzato o sospetto delle credenziali per l'accesso (nome utente, password) e/o degli strumenti operativi (es. Codice Conto, dispositivo mobile, Carta, PIN della Carta, Codice
POID), il Cliente è tenuto a comunicare immediatamente l'accaduto a il Call CP_1
Center* per le opportune azioni di contrasto, non appena ne viene a conoscenza. Inoltre è tenuto a porre in essere le attività di seguito descritte ed a sporgere tempestivamente denuncia alle Autorità competenti.
* da rete mobile e fissa per chi chiama dall'Italia al numero gratuito 800.00.33.22 altrimenti, per chi chiama dall'estero 02 82 44 33 33 con costo legato all'operatore utilizzato. Altrimenti, da rete fissa al numero verde 803.160; da rete mobile al numero 199.100.160, costi legato all'operatore utilizzato, pari al massimo a euro 0,60 al minuto più euro 0,15 alla risposta.
Servizi disponibili dal lunedì al sabato dalle ore 8.00 alle ore 20.00”.
pagina 7 di 16 Anche in riferimento alla seconda tranche di prelievi, quindi, ovvero quelli che la Pt_1
sosteneva essersi verificati dopo che, ad ore 8,30 del 15 gennaio 2021, in occasione del proprio accesso all'Ufficio Postale, ella avrebbe diligentemente effettuato, su suggerimento dell'impiegato, l'operazione di dissociazione e riassociazione del proprio numero di cellulare dal conto postale, nessuna responsabilità poteva ascriversi a non Controparte_1
essendo state effettuate tutte le operazioni (in particolare, blocco della carta e richiesta di un nuovo identificativo, previa disattivazione del precedente codice ID) raccomandate ripetutamente da al fine di proteggere il proprio conto da illecite e Controparte_1
fraudolente operazioni.
La causa veniva istruita con ammissione ed espletamento di prove orali. In particolare, venivano escussi i testi e . Testimone_1 Testimone_2
Indi, precisate le conclusioni, la causa veniva trattenuta in decisione.
5) Il Tribunale di Varese, con la sentenza n. 363 del 18 aprile 2023 così decideva:
“Il Tribunale, definitivamente pronunciando, ogni diversa istanza ed eccezione disattesa o assorbita, così dispone:
- rigetta la domanda proposta da e nei confron-ti di Parte_2 Parte_1 [...]
Controparte_1
- condanna altresì gli attori in solido tra loro a rimborsare alla parte convenuta le spese di lite, che si liquidano in € 2.540,00 per compensi, oltre i.v.a. se dovuta, c.p.a. e 15 % per spese generali.”
6) Avverso tale sentenza hanno proposto atto di gravame la ed il Pt_1 Pt_2
lamentando gradatamente:
Omessa e non corretta applicazione degli artt. 1218 e 2697 c.c., nonché vizi motivazionali, per avere il Tribunale omesso di applicare le regole in tema di ripartizione dell'onere probatorio
In particolare, parte appellante lamentava come il giudice di prime cure avesse basato la propria decisione su mere allegazioni di la quale si sarebbe limitata ad Controparte_1
affermare di aver adottato tutte le misure necessarie a proteggere i conti, senza tuttavia nulla dimostrare in merito, e tanto in violazione dell'art. 1218 c.c.; in punto, la giurisprudenza, aveva invece affermato che "non può essere omessa (...) la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire la sicurezza del servizio (...); infatti, la
pagina 8 di 16 diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere" (Cass. 12 giugno 2007, n. 13777; v. anche Cass.
19 gennaio 2016, n. 806). E cio' in quanto la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al client: ne discendeva che aveva invece evidentemente omesso di operare tali verifiche tanto che, Controparte_1
sebbene in assenza del codice pin del conto degli appellanti, i truffatori erano riusciti a prelevare le somme dal conto corrente degli stessi (per es. da ultimo, Cassazione civile sez.
VI - 12/04/2018, n. 9158).
Secondo motivo
Errata valutazione dei fatti di causa e delle risultanze probatorie e conseguente erronea imputazione della responsabilità del danno agli appellanti
I sig.ri e contestavano la sentenza n. 363/2023 nella parte in cui, a pag. 4 il Pt_2 Pt_1 giudice aveva affermato: “L'azione promossa dagli attori evidenzia però un dato fondamentale
e puntualmente eccepito dalla parte convenuta, ossia che le disposizioni di pagamento da parte di terzi sono state possibili solamente tramite la collaborazione dell'attrice stessa, la quale ritenendo (colposamente) di seguire delle indicazioni impartite dagli operatori dell'ente poste ha in realtà seguito tutte le istruzioni fornite dai truffatori per consentire loro di accedere al suo conto. Come correttamente evidenziato dalla società convenuta l'attrice era stata vittima di una truffa perpetrata con la tecnica ormai comunemente nota come “phishing”; dallo stesso contenuto dell'atto di citazione e dal contenuto della querela l'attrice si è esposta alla truffa accedendo attraverso un link inviato tramite un sms da parte di terzi, come richiesto dallo scarno messaggio accompagnatorio (in cui si segnalava “un anomalia” del conto corrente da verificare mediante accesso al link) che non presentava elementi di provenienza da (cfr doc. n. 2).” Controparte_1
Non sarebbe stato in particolare provato ciò che il giudice di prime cure reputa antecedente necessario della sottrazione, ovvero che la stessa avesse fornito il proprio codice Pt_1
ai truffatori, mentre invece la stessa si era limitata a fornire due sequenze numeriche Pt_4
in alcun modo riconducibili alla propria personale chiave di accesso al conto.
pagina 9 di 16 Di conseguenza, se anche fosse vero che gli OTP (one time password) forniti dall'attrice avevano permesso di installare nei dispositivi dei frodatori un nuovo account per accedere al conto corrente, non si capiva come gli stessi fossero riusciti ad autorizzare gli spostamenti di denaro senza conoscere la password personale (codice ID) della sig.ra La Pt_1 circostanza in base alla quale l'appellante non aveva mai fornito la propria chiave di accesso personale del conto ai frodatori era stata peraltro confermata dalla teste sig.ra Tes_1
Terzo motivo
Errata valutazione dei fatti di causa e delle risultanze probatorie
Con riguardo alla seconda tranche di prelievi
Con il terzo motivo di censura gli appellanti censuravano la pronuncia di prime cure nella parte in cui il Giudice, a pagina 5, aveva ritenuto non provato cosa la avesse Pt_1 comunicato in occasione dell'accesso all'Ufficio postale in data 15 gennaio 2021 e neppure provata l'operazione di dissociazione del numero di cellulare, dubitando che quest'ultima potesse essere risolutiva per impedire ulteriori accessi di terzi, e deducendone che non sarebbe possibile addebitare alcuna omissione specifica alla parte convenuta.
Ciò risulterebbe smentito dallo stesso direttore di di CA, il sig. CP_1 Tes_2
, che escusso quale teste, avrebbe confermato che si tratta di una operazione
[...]
comunemente consigliata a fronte di illeciti utilizzi delle credenziali del conto da parte di terzi.
Peraltro l'operazione di dissociazione del numero telefonico dal conto, di cui il Giudice di prime cure aveva ritenuto non formata prova, sarebbe dimostrata dal tenore del documento n.
3 prodotto in prime cure.
Sulle spese di lite
Gli appellanti impugnavano la pronuncia anche in riferimento al capo relativo alle spese, di cui chiedevano la riforma in ragione della soccombenza di parte avversa in fase di appello.
Nel giudizio di secondo grado così radicato, si è costituita l'appellata Controparte_1 rilevando ed eccependo, in via preliminare, l'inammissibilità dell'appello e nel merito, chiedendone il rigetto, riproponendo le argomentazioni già sviluppate in primo grado, e rilevando come l'istruttoria espletata non avesse fornito alcun elemento che potesse pagina 10 di 16 lumeggiare, da un lato, inadempimento di agli obblighi contrattuali del Controparte_1 buon banchiere, con riferimento agli standards di sicurezza del servizio, e dall'altro, a supporto della mancanza di colpa grave della Pt_1
Motivi della decisione
Ad avviso della Corte l'appello, da considerarsi comunque ammissibile ai sensi dell'art. 348
c.p.c., in quanto basato su argomentazioni non palesemente pretestuose o palesemente incoerenti con il contenuto dalla pronuncia impugnata, è infondato e non merita accoglimento, con conseguente conferma della sentenza di prime cure, per le ragioni che seguono.
Va premesso che, secondo il consolidato orientamento della giurisprudenza di legittimità, “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento, ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale” (così, da ultimo, Cass. sentenza n. 3780 del 12/02/2024).
Pertanto, mentre “il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore” (così la citata sentenza della
Cass. n. 3780/2024, che ha richiamato le conformi pronunce della Cass. n. 2950/17, n.
18045/19, n. 26916/2020).
Tra questi eventi, indubbiamente, ha un ruolo decisivo la colpa grave dell'utente, che con la sua condotta imprudente o negligente abbia reso possibile il perfezionamento dell'operazione illecita.
Se è vero, quindi, che l'entrata in vigore del D. Lgs. 11/2010 ha comportato un aggravamento degli oneri probatori posti a carico degli istituti di credito (in particolare, questi ultimi, per liberarsi da responsabilità, sono tenuti a dimostrare che possiedono un sistema di sicurezza
“forte” e che non vi è stato alcun malfunzionamento dei software) è altrettanto vero che ogni nesso di riferibilità di quanto lamentato dal correntista all'istituto di credito viene interrotto pagina 11 di 16 laddove sussista un comportamento gravemente negligente del cliente, che da solo – assurgendo a fattore causale efficiente e determinante - abbia reso possibile la perpetrazione dell'illecito (Cass. 10638/2016).
Resta infatti – comunque - in capo ai clienti un principio di autoresponsabilità e un obbligo di cautela particolarmente qualificata nell'esecuzione delle operazioni di pagamento tramite il sistema home banking.
Tale principio è stato ripetutamente affermato da questa Corte (in particolare, sentenza n.
3940 del 14 dicembre 2022), la quale, in altra controversia involgente truffa informatica sovrapponibile alla presente, ha testualmente ritenuto:
“Il principio (quello relativo allo standard medio di diligenza del banchiere n.d.r.) trova una prima affermazione al comma 2 dell'art. 10 D.Lgs. 11/2010: “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento (…) non è di per sé' necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo
7. È onere del prestatore di servizi di pagamento (…) fornire la prova della frode, del dolo o della colpa grave dell'utente”.
A sua volta, l'art. 7 prevede che l'utente, abilitato all'utilizzo di uno strumento di pagamento, abbia l'obbligo di utilizzare lo stesso in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso e di comunicare, secondo le modalità esplicitate nel contratto quadro, al prestatore di servizi di pagamento, o al soggetto da questo indicato, lo smarrimento, furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
Il comma 2 impone, altresì, di adottare tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personali.
Ciò posto, l'accertamento della sussistenza di una “colpa grave” va condotto alla luce delle peculiarità delle fattispecie concrete, attraverso una valutazione che il giudice opera sulla base del diritto nazionale, tenuto conto che la presenza di grave negligenza va provata dal fornitore del servizio, che è tenuto ad allegare le circostanze che supportino tale presupposto.
Secondo la ricostruzione offerta dallo stesso consulente di parte Fr., la truffa risulta perpetrata in ragione del fatto che “il malvivente, dopo aver creato un portale del tutto similare come grafica, impostazioni e linguaggio alla pagina web di banca Intesa San Polo, avrebbe inoltrato alla dott.ssa Fr. una mail contenente un messaggio fittiziamente proveniente da banca Intesa San Paolo ed un link collegato al portale fasullo.
Cliccando inconsapevolmente sul link, la dottoressa avrebbe visualizzato sul proprio pc una pagina praticamente identica
a quella internet di Intesa San Paolo, ma fasulla (dal momento che il log era http:// e non https://) che le richiedeva i dati del proprio account.
La dottoressa avrebbe dunque compilato i campi di login sulla pagina fasulla digitando anche il codice OTP. Ciò senza sapere che il malvivente le stesse “rubando” le credenziali di accesso. Il malvivente, entrato in possesso di tutti i tre i codici di accesso (nome utente, password e codice OTP) è riuscito ad effettuare l'accesso all'home banking ufficiale della dottoressa Fr. sottraendole del denaro”.
La Fr., certamente avvezza all'uso delle procedure online anche in virtù della professione svolta e consapevole della diffusione e frequenza delle truffe online – essendone, tra l'altro, già stata vittima, come dalla stessa dichiarato – ha omesso non solo l'adozione di tutte le condotte descritte dalla banca nella “Gu. ai Servizi” e nell'”FOrmativa sulla Sicurezza” (tra cui: raggiungere il sito della Banca attraverso l'accesso diretto all'indirizzo istituzionale www.intesasanpaolo.com, evitare di cliccare su link all'interno di email, non fornire mai informazioni sui dati di accesso), ma ha anche rifiutato l'attivazione CP_ dell'ulteriore servizio di sicurezza SMS predisposto per monitorare più efficacemente, e in tempo reale, l'operatività del proprio conto corrente. Co.ì facendo, ha violato l'art. 7 del d.lgs. 11/2010 che impone di adottare “tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”.
Anche la giurisprudenza dell'Arbitro bancario e finanziario si è espressa in tal senso allorchè, in casi analoghi a quello oggetto della presente controversia, ha osservato e ritenuto: “la cliente è vittima di una colpevole credulità in quanto portata a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell'intermediario e tanto più
pagina 12 di 16 colpevole si rivela quell'atto di ingenuità quanto più si consideri che tali forme di accalappiamento possono dirsi ormai note al pur non espertissimo navigatore di Internet ” .
Alla luce delle suesposte considerazioni è quindi ravvisabile, ad avviso della Corte, una condotta gravemente colposa in Pa capo alla Signora Fr. . E tale condotta è risultata determinante a bypassare tutti i presidi di sicurezza predisposti dalla
che lo stesso CTU ha definito più che adeguati. CP_4 In virtù dell'accoglimento della impugnazione con riferimento alle censure sopra esaminate, risultano definitivamente assorbiti i restanti motivi”. Nella presente fattispecie, ha provato, anche mediante produzione Controparte_1 di documenti – così come previsto dall'art. 8 del D. Lgs n. 11/2010 – di aver offerto ai propri clienti un elevato grado di sicurezza, attraverso l'adozione di un sistema di autenticazione forte a due fattori, che prevede l'uso di un codice utente, di una password di accesso statica e di una password one time generata dal token (in questo senso cfr. App. Milano n.
3185/2023 pubblicata in data 13/11/2023).
La stessa parte appellante, del resto, nel descrivere la procedura che occorre per operare qualsivoglia transazione sul proprio conto mediante on line banking, ha ammesso che detta procedura richiede l'inserimento di ben tre codici, di cui uno personale dell'utente e da questi custodito ab initio, corrispondente all'ID personale, di un ulteriore codice “statico” e di un ulteriore codice temporaneo generato da un token (OTP).
Questo sistema è stato considerato in numerose pronunce dell'Arbitro Bancario Finanziario
(ABF) come il più sicuro e come idoneo a dimostrare il corretto e diligente adempimento, da parte dell'istituto di credito, degli obblighi normativamente impostigli (si veda la decisione del
Collegio di Bari n. 19356/2019).
Di conseguenza, non è possibile imputare a alcuna negligenza Controparte_1 nell'adozione dei sistemi di sicurezza.
Di contro, in occasione di entrambe le tranches di prelievi fraudolenti, è certo che la Pt_1 abbia commesso patenti violazioni degli obblighi di diligenza previsti, legalmente, all'art. 7 del
D. Lgs. già citato, ma anche delle specifiche raccomandazioni diramate da Controparte_1 per proteggere i propri correntisti dall'eventualità di frodi informatiche.
[...]
Ed invero non è contestato il fatto che sia stata la stessa appellante a fornire telefonicamente tali codici, in violazione delle precise raccomandazioni del debitore a non comunicarli a nessuno per nessuna ragione.
La condotta della invero, integra gli estremi della colpa grave già a partire dalla Pt_1 violazione dell'art. 7 d.lgs. 11/2010, il quale impone perentoriamente di attenersi ai termini di servizio e di proteggere le proprie credenziali di accesso.
pagina 13 di 16 A ciò si aggiunga che il testo del messaggio c.d. civetta presentava evidenti indici di dubbia attendibilità (come errori grammaticali o sintattici, sopra evidenziati) o anomalie evidenti
(quale l'invito a selezionare un link ictu oculi non riferibile all'intermediario) che ben dovevano essere percepite dall'odierna appellante, inducendola, in forza del principio di autoresponsabilità, a non assecondare la richiesta telefonica che ebbe a portarla, poi, a comunicare le proprie credenziali necessarie per l'operatività sul conto on line (cfr. lo screenshot dell'SMS ricevuto dalla sub doc. 2 parte appellante). Pt_1
Per quanto la in questo confermata dalla teste (che tuttavia, appare Pt_1 Tes_3
scarsamente attendibile laddove giunge ad escludere che da parte della si sia Pt_1 digitato il proprio codice ID personale per l'ingresso nel proprio account), abbia negato di aver digitato il proprio codice identificativo personale una volta fatto accesso nella falsa schermata di poste italiane, è certo – perché da lei stesso ammesso – che ella ebbe a cliccare il link contenuto nel messaggio, ed ulteriormente, su sollecitazione telefonica pervenuta dagli ignoti operatori, ebbe a comunicare agli stessi gli ulteriori due codici pervenuti sulla sua utenza, consentendo così ai malfattori di eseguire i primi due prelievi, avendo gli stessi, nel frattempo, creato un duplicato del suo account, mediante i dati da lei stessi forniti.
In quest'ottica, si spiega l'invito rivoltole, che altrettanto avrebbe dovuto insospettire qualsiasi soggetto di media avvedutezza, a non fare accesso al proprio conto corrente on line nelle successive 24 ore, tempo che, all'evidenza, una volta scattata la mezzanotte del giorno successivo, avrebbe consentito ai malfattori di operare nuovi prelievi.
Anche tale incauta e pedissequa obbedienza a quanto richiestole dai truffatori ha evidentemente avuto un ruolo determinante sia nella ritardata scoperta delle prime operazioni di prelievo, ma anche rilievo esiziale sulla possibilità di adottare tempestive misure, atte a paralizzare la sottrazione compiuta, ovvero a prevenire ulteriori danni.
Peraltro, anche qualora rispondesse a verità quanto affermato (non si comprende come) dalla teste in ordine al fatto che la non aveva digitato il proprio ID personale nel Tes_3 Pt_1
pomeriggio del 14 gennaio, sta di fatto che in un caso esattamente sovrapponibile al presente, la mera negazione, da parte del correntista, di aver immesso le proprie credenziali, così consentendone l'utilizzo al truffatore, può essere superata in base ad elementi presuntivi, che indicano comunque la riferibilità della incauta condotta di comunicazione a terzi di detti dati al correntista (v. per es. la recente Cass. n. 7214 del 2023, citata da , nella CP_1
cui motivazione si legge, in un caso sovrapponibile al presente, in cui i correntisti avevano semplicemente negato la riferibilità a sé dell'operazione, resa possibile mediante accesso al pagina 14 di 16 loro conto corrente: “Con il secondo motivo i ricorrenti deducono che la sentenza impugnata è caratterizzata da falsa applicazione degli artt. 1218 e 2697 c.c., nonché degli artt. 115 e 116
c.p.c. "e dei principi in tema di responsabilità contrattuale e riparto dell'onere della prova", non avendo , a fronte del disconoscimento dell'operazione da parte di essi ricorrenti, CP_1
provato che l'addebito della sopra indicata somma di danaro "era frutto di una specifica disposizione di pagamento proveniente dai clienti stessi, mediante il corretto utilizzo della sua username e password".
4. Anche tale motivo è inammissibile perché, come detto, secondo la sentenza impugnata la prova, per presunzioni, della apparente provenienza dai ricorrenti dell'ordine di bonifico previa immissione nel sistema informatico di username, di password e di pin per l'accesso ai dati interni al conto corrente postale loro assegnati e dei cui contenuti solo costoro avrebbero dovuto essere a conoscenza;
inferendo dunque che, a fronte del diniego dei ricorrenti di avere utilizzato tali dati identificativi per dare l'ordine di bonifico controverso, gli stessi dati fossero stati fraudolentemente, dapprima captati e, dappoi, in concreto utilizzati da un terzo”).
Quanto poi, alla seconda tranche di prelievi del 15 gennaio 2021, a prescindere dalla considerazione che in mancanza di dati di conoscenza dell'orario in cui i due prelievi sono stati effettuati (al contrario dei primi due, che parte appellante stessa documenta essere avvenuti poco dopo le ore 16 del 14 gennaio 2021), neppure può escludersi che gli stessi siano stati effettuati durante le oltre 12 ore in cui la si è colpevolmente astenuta di Pt_1
andare a controllare quanto stesse avvenendo sul proprio conto, sta di fatto che - a maggior ragione - sono ravvisabili ulteriori profili di imprudenza e negligenza a carico del correntista:
a) in primo luogo, la stessa dichiara di aver ricevuto i messaggi che la Pt_1 avvertivano della dissociazione della propria utenza telefonica dall'account dal medesimo numero cellulare dal quale provenivano i messaggi ricevuti il giorno prima dai truffatori: se ciò fosse corrisposto a verità, a maggior ragione la stessa avrebbe dovuto allertarsi ed assumere ulteriori iniziative, anziché continuare incautamente ad operare sullo stesso conto e con il medesimo account, come è confermato, oltre che dalla stessa rappresentazione di parte appellante, dall'operazione di prelievo postamat effettuata lo stesso giorno 15 gennaio 2021, pacificamente riferibile agli odierni appellanti (docc. n. 8 e 14 di parte attrice in primo grado).
b) nonostante quanto avvenuto, la non ha, pacificamente, né provveduto al Pt_1 blocco della carta, né provveduto a richiedere l'assegnazione di un nuovo ID,
pagina 15 di 16 continuando ad operare con l'ID oggetto di fraudolenta utilizzazione, contravvenendo a regole contrattuali e comunque, di comune prudenza.
Deve, pertanto, escludersi la responsabilità di in relazione al danno Controparte_1 sofferto dall'odierna parte appellante, essendo questo esclusivamente riconducibile alla colpa grave della stessa parte danneggiata.
Le considerazioni sin qui svolte consentono di ritenere l'appello infondato e per l'effetto, di confermare integralmente la sentenza appellata.
Secondo il criterio della soccombenza la parte appellante va condannata a rimborsare alla parte appellata le spese di lite del presente grado di giudizio, come liquate in dispositivo in applicazione dei criteri di cui al D.M. 10/3/2014 n. 55 (come modificati con il D.M. 13/8/2022
n. 147) relativi al valore di causa, con liquidazione dei compensi ai parametri medi di tariffa e con esclusione dei compensi riferibili alla fase di istruttoria-trattazione, trattandosi di fase non tenutasi in questo grado di giudizio.
Va altresì dichiarata la sussistenza, in ragione della soccombenza nel duplice grado di giudizio, dei requisiti e dei presupposti per il raddoppio del contributo unificato, a norma dell'art. 13 comma 1 quater del D.P.R. n. 115/2002.
P.Q.M.
La Corte d'Appello di Milano, ogni contraria istanza ed eccezione disattesa, definitivamente pronunciando sull'appello proposto da e nei confronti di Parte_1 Parte_2 [...]
. avverso la sentenza del Tribunale di Varese n. 373/2023 pubblicata in data 18 Controparte_1
aprile 2023, così provvede:
1) rigetta l'appello e conferma integralmente la sentenza impugnata;
2) condanna gli appellanti al pagamento delle spese di secondo grado, che liquida in complessivi euro 3.966,00 per compensi, oltre 15% per rimborso spese forfettarie, oltre VA e C.P.A. come per legge;
3) dichiara la sussistenza dei requisiti e dei presupposti per il raddoppio del contributo unificato ex art. 13 comma 1 quater D.P.R. n. 115/2002
Così deciso in Milano, nella camera di consiglio del 16 gennaio 2025.
Il Consigliere est. Il Presidente dott.ssa Alessandra Arceri dott.ssa Serena Baccolini
pagina 16 di 16