TRIB
Sentenza 30 settembre 2025
Sentenza 30 settembre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Genova, sentenza 30/09/2025, n. 2211 |
|---|---|
| Giurisdizione : | Trib. Genova |
| Numero : | 2211 |
| Data del deposito : | 30 settembre 2025 |
Testo completo
N. R.G. 12057/2024
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di GENOVA
SESTA SEZIONE CIVILE
Il Tribunale, nella persona della Giudice dott. Patrizia Cazzato ha pronunciato la seguente SENTENZA nella causa civile di I Grado iscritta al n. r.g. 12057/2024 promossa da:
(C.F. , con il patrocinio Parte_1 P.IVA_1 dell'avv. TRINCHI ALESSANDRO, elettivamente domiciliato in VIA CAVOUR 6 02100 RIETI presso il difensore avv. TRINCHI ALESSANDRO
ATTORE/I contro
(C.F. ), con il patrocinio dell'avv. GHIGLINO NToparte_1 C.F._1 PIETRO, elettivamente domiciliato in VIA CESAREA, 2/6 16121 GENOVA presso il difensore avv. GHIGLINO PIETRO
CONVENUTO/I
CONCLUSIONI
Le parti hanno concluso come da fogli depositati telematicamente
Concisa esposizione delle ragioni di fatto e di diritto della decisione
pagina 1 di 12 Con atto di citazione in giudizio conveniva in giudizio NToparte_1 Parte_1
NT (per brevità, anche, chiedendo che venisse accertato e dichiarato l'inadempimento
[...] contrattuale della convenuta al contratto di conto corrente consistente nella mancata custodia delle informazioni relative alla correntista e nella mancata consegna alla residenza dell'attrice della carta bancomat;
il tutto in violazione degli obblighi di sicurezza e sorveglianza gravanti sulla banca. Per
l'effetto chiedeva la condanna della convenuta al risarcimento del danno pari ad € 5.000,00 oltre rivalutazione e interessi legali dalla data del sinistro al pagamento.
Esponeva quanto segue:
in data 18 settembre 2019 l'attrice veniva contattata, prima sul telefono fisso e poi sul numero NT di cellulare, da un sedicente funzionario di che le chiedeva conferma dei suoi dati personali e la informava che, per errore, la nuova carta bancomat, di cui attendeva la consegna, era stata inviata all'indirizzo sbagliato.
NT Il 19 settembre 2019 informava l'attrice che per motivi di sicurezza la carta bancomat era stata bloccata.
Emergevano, difatti, prelievi per € 5.500,00, che la signora disconosceva e così il 20 CP_1 settembre 2019 quest'ultima provvedeva a sporgere denuncia.
NT
richiedeva alla banca il denaro sottratto (doc. 3 di parte attrice), ma NToparte_1 replicava che le somme non potevano essere restituite perché era stata lei correntista ad avere fornito il NT proprio codice identificativo al sedicente dipendente di (doc. 4 di parte attrice).
L'attrice riteneva però che fosse stata la banca ad avere violato gli obblighi di sicurezza, non essendo la nuova carta bancomat mai pervenuta al suo indirizzo ed avendo reso possibile ai truffatori l'accesso ai suoi dati personali.
La banca era, pertanto, inadempiente tanto più perché non aveva fornito la prova della riconducibilità dell'operazione alla cliente ex art. 10 D.lgs. n. 11/2010;
non aveva, inoltre, tempestivamente bloccato la carta bancomat, nonostante due operazioni di prelievo consistenti, non segnalate alla correntista.
Alla luce di quanto sopra, quindi, l'attrice chiedeva la condanna al risarcimento del danno, già diminuito ad una somma inferiore rispetto a quanto prelevato illegittimamente, ossia ad € 5.000,00 in ragione dell'errore, seppur scusabile, della correntista di avere fornito i dati richiesti dai sedicenti NT impiegati di pagina 2 di 12 si costituiva in giudizio, chiedendo il rigetto delle domande Parte_1 attoree e in subordine che venisse accertato il concorso di nella causazione del danno. NToparte_1
Eccepiva:
l'incauta custodia da parte dell'attrice dei codici personali, la cui divulgazione costituiva un grave inadempimento contrattuale agli obblighi di legge;
l'assenza di prova circa l'intercettazione da parte dei truffatori dei dati sensibili dal sistema NT informatico di considerando, altresì, che la banca non aveva subito un attacco informatico all'epoca dei fatti;
inoltre, la difesa della convenuta sosteneva che, anche se il truffatore fosse entrato in possesso della nuova carta bancomat, non avrebbe potuto effettuare alcuna operazione senza conoscere il codice
PIN segreto che la aveva, difatti, colpevolmente comunicato. CP_1
I prelievi contestati dall'attrice per € 5.500,00 risultavano correttamente contabilizzati perché eseguiti mediante inserimento nell'ATM della carta di credito e della digitazione del codice PIN segreto, conoscibile unicamente dall'attrice.
NT aveva, pertanto, posto in essere tutte le cautele che la legge le imponeva avendo anche bloccato tempestivamente il 19 settembre 2019 la carta bancomat.
Eccepiva, altresì:
l'onere in capo alla correntista di attivare i servizi c.d. “SMS ALERT” con i quali potevano tenere sotto controllo l'operatività del proprio conto corrente e delle carte di pagamento;
il dovere di custodia gravante su nel momento della presa in carico della NToparte_3 busta sigillata contenente la carta bancomat ex art. 1693 c.c.
La banca non doveva procedere al rimborso perché previsto solamente in caso di pagamento non autorizzato ex art. 11 d.lgs. n. 11/2010.
In corso di giudizio venivano sentiti i testimoni di parte attrice ed, espletata la prova orale, la causa veniva rinviata per precisazione delle conclusioni al 12/12/2023.
Il Giudice di Pace di Genova con sentenza n.1764/2024 accoglieva la domanda proposta da NT
, accertando la responsabilità di in ordine alla indebita sottrazione delle somme NToparte_1 dal conto corrente dell'odierna appellata, condannando la banca al risarcimento del danno pari ad €
5.000,00, oltre alle spese di lite.
pagina 3 di 12 NT Con atto di citazione in appello conveniva in giudizio chiedendo, previa NToparte_1 sospensione dell'efficacia esecutiva della sentenza impugnata, il rigetto della domanda di condanna esperita dalla convenuta in primo grado di giudizio.
In subordine, chiedeva l'accertamento del concorso della responsabilità di nella NToparte_1 causazione del danno con conseguente riduzione della condanna.
NT La difesa di impugnava la pronuncia per violazione e falsa interpretazione dell'art. 2697
c.c. nonché dell'art. 10 d.lgs. n. 11/2020 ed erronea interpretazione delle risultanze istruttorie.
La difesa dell'appellante sosteneva quanto segue:
la testimone sentita nel corso del processo di primo grado, , figlia di , Testimone_1 CP_1 aveva fornito una serie di considerazioni valutative e ipotetiche, quindi inammissibili;
l'asserito furto della carta bancomat non era imputabile alla banca, non avendo la stessa alcuna responsabilità dell'incauto trasporto della busta sigillata contenente la nuova tessera, che era stata presa in carico da NToparte_3
in ogni caso, le credenziali riservate del correntista erano state messe a disposizione ai truffatori colposamente dalla stessa;
NToparte_1
il procedimento pendente avanti il Tribunale di Napoli non dimostrava che il sistema informativo della banca era stato violato da terzi.
NT In ordine alla prova liberatoria del caso fortuito o forza maggiore in capo a era stata, secondo l'appellante, fornita dalla stessa , che aveva ammesso di avere confermato i NToparte_1 suoi dati personali, rivelato il codice identificativo e il codice PIN segreto associato alla carta al sedicente funzionario.
Inoltre, la banca aveva dimostrato che tutte le operazioni contestate erano regolari e pienamente riconducibili alla correntista effettuate tramite la combinazione “carta di credito + PIN segreto”.
NT L'appellante impugnava, altresì, la sentenza appellata nella parte in cui condannava la al pagamento delle spese di lite, chiedendo che venissero poste a carico esclusivamente dell'appellata.
si costituiva in giudizio chiedendo il rigetto dell'appello e la conferma della NToparte_1 sentenza del Giudice di Pace di Genova.
In corso di giudizio veniva rigettata la richiesta di sospensione dell'efficacia esecutiva della sentenza di primo grado e parimenti la richiesta di espletamento di CTU.
pagina 4 di 12 La causa veniva rinviata ex art. 352 c.p.c. all'udienza del 16 settembre 2025 per trattenere la causa a decisione.
⃰ ⃰ ⃰
L'appello proposto da deve essere rigettato per i motivi che Parte_1 seguono.
La narrazione dei fatti non è contestata dalle parti in causa, mentre è contestata l'imputabilità del danno subito dalla correntista, odierna appellata, alla banca.
È, pertanto, provato che in data 18 settembre 2019 l'attrice veniva contattata, prima sul telefono NT fisso e poi sul numero di cellulare, da un sedicente funzionario di che le chiedeva conferma del suo nome e cognome, dell'indirizzo, della sua utenza telefonica e del suo numero di bancomat.
confermava le informazioni in possesso dell'interlocutore, che a sua volta informava la CP_1 correntista dell'invio errato della nuova carta bancomat in scadenza in via Lanfranco e non in Via
Lanfranconi.
Successivamente l'attrice rilasciava il proprio codice identificativo, necessario, secondo quanto prospettato dall'interlocutore al telefono, per la consegna della nuova carta bancomat.
NT Il 19 settembre 2019 informava che, per motivi di sicurezza, l'operatività NToparte_1 della sua carta bancomat era stata bloccata. Emergevano, difatti, prelievi per € 5.500,00 effettuati tra il
18 e il 19 settembre da terzi.
sporgeva, così, denuncia alla Questura di Genova in data 20 settembre 2019 (doc. 1 del CP_1 fascicolo di primo grado), integrata il 23 settembre 2019 (doc. 3 del fascicolo di primo grado).
È, altresì, incontestato che la nuova carta bancomat, in sostituzione di quella in scadenza, era NT stata spedita da ma non era mai pervenuta all'indirizzo di . NToparte_1
È, anche, incontestato che le operazioni di prelievo dal conto corrente intestato all'odierna appellata siano avvenute da parte di terzi, non da parte della titolare del conto e soprattutto senza il suo consenso.
La banca ha impugnato la sentenza di primo grado senza nulla contestare in merito alla non attribuibilità dei prelievi a , ma evidenziando come tali prelievi fossero avvenuti secondo le CP_1 normali procedure: inserimento della carta bancomat e digitazione del PIN segreto.
pagina 5 di 12 Ricostruiti nei termini sopra esposti i fatti, deve ritenersi, pertanto, provata l'avvenuta operazione truffaldina di induzione in errore a danno di , e il conseguente danno NToparte_1 patrimoniale a suo carico.
A fronte di quanto esposto, essendo i fatti così descritti incontestati, tutte le doglianze circa l'accertamento o meno in sede penale di un'eventuale violazione del sistema informatico della banca e circa la testimonianza resa nel corso del giudizio di primo grado davanti al Giudice di Pace devono ritenersi superate.
Bisogna, invece, stabilire se, proprio a fronte dei fatti così accertati e incontestati, sia imputabile NT a una qualche forma di responsabilità nella causazione del danno predetto.
Sul punto, ai fini di chiarezza, si ricorda che la condotta, di cui è stata vittima l'odierna appellata, viene denominata “phishing”, ossia una particolare tipologia di truffa telematica che si concretizza principalmente, attraverso messaggi di posta elettronica ingannevoli ma anche, come in tal caso a mezzo l'utilizzo della telefonia;
nel caso di specie trattasi, quindi, di voice phishing, o vishing.
Talvolta gli attacchi di vishing vengono condotti utilizzando sistemi automatizzati di sintesi vocale, in altri casi, come nel presente, intervengono operatori umani, fingendosi dipendenti di un ente legittimo, come la banca, per ottenere dati personali e informazioni finanziarie relative a carte di credito, conti bancari e altri dati sensibili della vittima.
In merito alla responsabilità della banca deve evidenziarsi che la giurisprudenza della Corte di
Cassazione ha assunto un approccio rigoroso nei confronti dell'ente creditizio. Ha qualificato la responsabilità della banca in termini contrattuali, affermando che “la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere;
dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.
pagina 6 di 12 La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019;
Cass., 6-3, n. 26916 del 26/11/2020). (Cass., Sez. III, 12/02/2024, n. 3780).
pagina 7 di 12 La disciplina specifica in materia, che attribuisce la responsabilità alla banca ex art. 10 d.lgs. n.
11/20101 statuisce che “è onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”. Sul punto si richiama anche l'indirizzo della giurisprudenza di questo stesso Tribunale chiamato a decidere controversie in casi simili: “l'eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo;
e ciò anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema” […]. “La misura di diligenza richiesta agli istituti di credito è valutata alla stregua dell'accorto banchiere, secondo il canone di diligenza professionale di cui all'art. 1176, comma 2, c.c., avuto riguardo alla natura dell'attività esercitata. Proprio per il fatto che la professionalità e la diligenza del banchiere si riflette su tutta la gamma delle attività da lui svolte nell'esercizio dell'impresa bancaria e, quindi, sui rapporti, per lo più asimmetrici, che in quelle attività sono radicati, egli dispone di strumenti e di competenze per la corretta attuazione delle predette attività che normalmente altri soggetti interessati non possiedono.” (Trib. di Genova, sent. pubb. il 17/07/2024, n. 2109 e si veda anche Trib. di Genova, sent. pubb. l'11/06/2020, n. 879.)
pagina 8 di 12 Alla banca, pertanto, viene attribuita una responsabilità oggettiva o comunque aggravata per la quale le condotte di phishing vengono ricondotte all'ambito del rischio di impresa dell'attività bancaria.
Mentre il correntista deve provare il titolo per andare esente da responsabilità, l'istituto di credito deve provare di avere adottato tutte le misure di sicurezza necessarie per la protezione del cliente e provare l'inadempimento doloso o gravemente colposo di quest'ultimo.
Anche l'attuale regolamento GDPR ha stabilito all'art. 82 che: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. In questo caso
è la banca il Responsabile del trattamento, che raccoglie i dati personali dei propri clienti ed è quindi tenuta al risarcimento dei danni anche se non ha alcuna colpa o non è in malafede. Si parla, cioè, di una
“responsabilità oggettiva” che scatta per il solo fatto di svolgere un'attività pericolosa, come quella della gestione del risparmio, salva prova che l'evento dannoso non le è in alcun modo imputabile.
Nel caso oggetto dell'odierno giudizio la decisione del Giudice di prime cure deve essere confermata.
pagina 9 di 12 NTariamente a quanto sostenuto dall'appellante, la banca non ha dato prova del fatto estintivo della responsabilità contrattuale che sulla stessa incombe, ossia che il fatto illecito sia attribuibile al dolo del titolare della carta bancomat o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo: il sedicente funzionario ha evidentemente intercettato la spedizione della nuova NT carta di pagamento da parte di all'indirizzo di;
sulla base di questa circostanza, NToparte_1 incontestata, ha indotto in errore, la correntista. L'autore del fatto illecito aveva già in possesso i dati personali della signora, il suo nome e cognome, l'indirizzo di residenza e la conoscenza circa la data di scadenza della carta di pagamento. Per questo, ha sì colposamente riferito il codice CP_1 identificativo del bancomat al sedicente funzionario ma confortata, evidentemente, da queste informazioni, di cui era già a conoscenza l'interlocutore. Anche il fatto che i dati personali siano stati ricavati dai truffatori dal contenuto della sola busta contenente la nuova carta bancomat, una volta affidata a per il trasporto, è circostanza irrilevante. La consegna del nuovo NToparte_3 bancomat rientrava tra le obbligazioni contrattuali in capo all'istituto di credito ed era quest'ultimo a doversi dotare di mezzi adatti di tutela e di controllo nella trasmissione. Non si tratta infatti di una diligenza del cliente nella custodia del bancomat (ad esempio avendolo perso ed essendo stata CP_1 incauta nella sua custodia), ma della necessaria diligenza dell'istituto di credito nell'approntare sistemi di consegna (e spedizione) tali da escludere la sua responsabilità: ciò non solo in riferimento alla tessera bancomat, ma anche in riferimento ai dati personali (quali generalità indirizzo, data di scadenza) associati alla stessa. Il bancomat è stato sottratto quando era ancora sotto la sfera di controllo dell'istituto di credito e non ha nessuna rilevanza il fatto che della spedizione si fosse occupata
[...]
, che, tutt'al più poteva essere chiamata in causa in garanzia. CP_3
La banca non ha neppure tentato di fornire la prova su di essa incombente di avere predisposto tutte le misure di sicurezza possibili per la protezione del cliente. Inoltre, nello specifico, per l'attivazione della carta, come eccepito da parte appellata, ben potevano essere predisposti sistemi di tutela rafforzata, quali quelli di tipo “token” o di riconoscimento facciale.
pagina 10 di 12 Ferma la responsabilità della banca, può ravvisarsi un concorso di colpa di nel fatto di CP_1 avere comunicato telefonicamente i propri dati identificativi (e soprattutto il PIN); ma tale concorso può avere rilevanza solo ex art. 1227 c.c. al fine di ridurre la somma oggetto di risarcimento. In proposito è però fatto incontestato che abbia già diminuito fin dall'instaurazione della NToparte_1 causa dinanzi al Giudice di Pace la somma risarcitoria oggetto di domanda rispetto al danno patrimoniale effettivamente subito: la somma indebitamente sottratte ammontava ad € 5.500,0 mentre quella richiesta in giudizio ammonta ad € 5.000,00. Deve ritenersi proporzionalmente adeguata una simile riduzione.
Alla luce di quanto esposto l'appello deve essere, pertanto, respinto.
Le spese di lite seguono la soccombenza e sono liquidate come da dispositivo e da seguente tabella, con distrazione a favore del difensore dichiaratosi antistatario.
Nel caso di specie in difetto di prova di pattuizioni intercorse tra la parte vittoriosa ed il suo difensore;
tenuto conto del valore determinabile del decisum e degli effetti della decisione;
della complessità della controversia, del numero e dell'importanza delle questioni trattate, nonché del pregio dell'opera prestata e dei complessivi risultati dei giudizi, le spese del giudizio vengono liquidate in applicazione dei parametri sotto indicati.
Tabelle: 2022 (D.M. n. 147 del 13/08/2022)
Competenza: giudizi di cognizione innanzi al tribunale
Valore della causa: da € 1.101,00 a € 5.200,00
Fase, Compenso
Fase di studio della controversia, valore medio: € 425,00
Fase introduttiva del giudizio, valore medio: € 425,00
Fase istruttoria e/o di trattazione, valore medio: € 851,00
Fase decisionale, valore medio: € 851,00
Compenso tabellare (valori medi) € 2.552,00
Il rigetto dell'appello comporta la condanna al pagamento dell'ulteriore importo previsto dall'art. 13, comma 1 quater, D.P.R. n. 115/2002. pagina 11 di 12
P.Q.M.
Il Tribunale di Genova definitivamente pronunciando, ogni contraria istanza, eccezione e deduzione disattesa al riguardo, così decide:
1. Respinge l'appello presentato da ei confronti della Parte_1 sentenza n. 1764/2024 del Giudice di Pace di Genova, pubblicata il 30/10/2024, e per l'effetto la conferma;
2. Condanna rifondere a le Parte_1 NToparte_1 spese di lite del presente grado di giudizio che liquida in € 2.552,00 per compensi, oltre 15% Spese
Generali, Iva e CPA come per legge da distrarsi in favore del difensore dichiaratosi antistatario
3. Il rigetto dell'appello comporta la condanna al pagamento dell'ulteriore importo previsto dall'art. 13, comma 1 quater, D.P.R. n. 115/2002.
Genova, 30 settembre 2025
La Giudice
dott.ssa Patrizia Cazzato
pagina 12 di 12 1. DA COMPARE FOOTNOTE PAGES 1 Art. 10 (Prova di autenticazione ed esecuzione delle operazioni di pagamento)
“
1. Qualora l'((utente)) di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
1-bis. Se l'operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze, l'operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato.
2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.”
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di GENOVA
SESTA SEZIONE CIVILE
Il Tribunale, nella persona della Giudice dott. Patrizia Cazzato ha pronunciato la seguente SENTENZA nella causa civile di I Grado iscritta al n. r.g. 12057/2024 promossa da:
(C.F. , con il patrocinio Parte_1 P.IVA_1 dell'avv. TRINCHI ALESSANDRO, elettivamente domiciliato in VIA CAVOUR 6 02100 RIETI presso il difensore avv. TRINCHI ALESSANDRO
ATTORE/I contro
(C.F. ), con il patrocinio dell'avv. GHIGLINO NToparte_1 C.F._1 PIETRO, elettivamente domiciliato in VIA CESAREA, 2/6 16121 GENOVA presso il difensore avv. GHIGLINO PIETRO
CONVENUTO/I
CONCLUSIONI
Le parti hanno concluso come da fogli depositati telematicamente
Concisa esposizione delle ragioni di fatto e di diritto della decisione
pagina 1 di 12 Con atto di citazione in giudizio conveniva in giudizio NToparte_1 Parte_1
NT (per brevità, anche, chiedendo che venisse accertato e dichiarato l'inadempimento
[...] contrattuale della convenuta al contratto di conto corrente consistente nella mancata custodia delle informazioni relative alla correntista e nella mancata consegna alla residenza dell'attrice della carta bancomat;
il tutto in violazione degli obblighi di sicurezza e sorveglianza gravanti sulla banca. Per
l'effetto chiedeva la condanna della convenuta al risarcimento del danno pari ad € 5.000,00 oltre rivalutazione e interessi legali dalla data del sinistro al pagamento.
Esponeva quanto segue:
in data 18 settembre 2019 l'attrice veniva contattata, prima sul telefono fisso e poi sul numero NT di cellulare, da un sedicente funzionario di che le chiedeva conferma dei suoi dati personali e la informava che, per errore, la nuova carta bancomat, di cui attendeva la consegna, era stata inviata all'indirizzo sbagliato.
NT Il 19 settembre 2019 informava l'attrice che per motivi di sicurezza la carta bancomat era stata bloccata.
Emergevano, difatti, prelievi per € 5.500,00, che la signora disconosceva e così il 20 CP_1 settembre 2019 quest'ultima provvedeva a sporgere denuncia.
NT
richiedeva alla banca il denaro sottratto (doc. 3 di parte attrice), ma NToparte_1 replicava che le somme non potevano essere restituite perché era stata lei correntista ad avere fornito il NT proprio codice identificativo al sedicente dipendente di (doc. 4 di parte attrice).
L'attrice riteneva però che fosse stata la banca ad avere violato gli obblighi di sicurezza, non essendo la nuova carta bancomat mai pervenuta al suo indirizzo ed avendo reso possibile ai truffatori l'accesso ai suoi dati personali.
La banca era, pertanto, inadempiente tanto più perché non aveva fornito la prova della riconducibilità dell'operazione alla cliente ex art. 10 D.lgs. n. 11/2010;
non aveva, inoltre, tempestivamente bloccato la carta bancomat, nonostante due operazioni di prelievo consistenti, non segnalate alla correntista.
Alla luce di quanto sopra, quindi, l'attrice chiedeva la condanna al risarcimento del danno, già diminuito ad una somma inferiore rispetto a quanto prelevato illegittimamente, ossia ad € 5.000,00 in ragione dell'errore, seppur scusabile, della correntista di avere fornito i dati richiesti dai sedicenti NT impiegati di pagina 2 di 12 si costituiva in giudizio, chiedendo il rigetto delle domande Parte_1 attoree e in subordine che venisse accertato il concorso di nella causazione del danno. NToparte_1
Eccepiva:
l'incauta custodia da parte dell'attrice dei codici personali, la cui divulgazione costituiva un grave inadempimento contrattuale agli obblighi di legge;
l'assenza di prova circa l'intercettazione da parte dei truffatori dei dati sensibili dal sistema NT informatico di considerando, altresì, che la banca non aveva subito un attacco informatico all'epoca dei fatti;
inoltre, la difesa della convenuta sosteneva che, anche se il truffatore fosse entrato in possesso della nuova carta bancomat, non avrebbe potuto effettuare alcuna operazione senza conoscere il codice
PIN segreto che la aveva, difatti, colpevolmente comunicato. CP_1
I prelievi contestati dall'attrice per € 5.500,00 risultavano correttamente contabilizzati perché eseguiti mediante inserimento nell'ATM della carta di credito e della digitazione del codice PIN segreto, conoscibile unicamente dall'attrice.
NT aveva, pertanto, posto in essere tutte le cautele che la legge le imponeva avendo anche bloccato tempestivamente il 19 settembre 2019 la carta bancomat.
Eccepiva, altresì:
l'onere in capo alla correntista di attivare i servizi c.d. “SMS ALERT” con i quali potevano tenere sotto controllo l'operatività del proprio conto corrente e delle carte di pagamento;
il dovere di custodia gravante su nel momento della presa in carico della NToparte_3 busta sigillata contenente la carta bancomat ex art. 1693 c.c.
La banca non doveva procedere al rimborso perché previsto solamente in caso di pagamento non autorizzato ex art. 11 d.lgs. n. 11/2010.
In corso di giudizio venivano sentiti i testimoni di parte attrice ed, espletata la prova orale, la causa veniva rinviata per precisazione delle conclusioni al 12/12/2023.
Il Giudice di Pace di Genova con sentenza n.1764/2024 accoglieva la domanda proposta da NT
, accertando la responsabilità di in ordine alla indebita sottrazione delle somme NToparte_1 dal conto corrente dell'odierna appellata, condannando la banca al risarcimento del danno pari ad €
5.000,00, oltre alle spese di lite.
pagina 3 di 12 NT Con atto di citazione in appello conveniva in giudizio chiedendo, previa NToparte_1 sospensione dell'efficacia esecutiva della sentenza impugnata, il rigetto della domanda di condanna esperita dalla convenuta in primo grado di giudizio.
In subordine, chiedeva l'accertamento del concorso della responsabilità di nella NToparte_1 causazione del danno con conseguente riduzione della condanna.
NT La difesa di impugnava la pronuncia per violazione e falsa interpretazione dell'art. 2697
c.c. nonché dell'art. 10 d.lgs. n. 11/2020 ed erronea interpretazione delle risultanze istruttorie.
La difesa dell'appellante sosteneva quanto segue:
la testimone sentita nel corso del processo di primo grado, , figlia di , Testimone_1 CP_1 aveva fornito una serie di considerazioni valutative e ipotetiche, quindi inammissibili;
l'asserito furto della carta bancomat non era imputabile alla banca, non avendo la stessa alcuna responsabilità dell'incauto trasporto della busta sigillata contenente la nuova tessera, che era stata presa in carico da NToparte_3
in ogni caso, le credenziali riservate del correntista erano state messe a disposizione ai truffatori colposamente dalla stessa;
NToparte_1
il procedimento pendente avanti il Tribunale di Napoli non dimostrava che il sistema informativo della banca era stato violato da terzi.
NT In ordine alla prova liberatoria del caso fortuito o forza maggiore in capo a era stata, secondo l'appellante, fornita dalla stessa , che aveva ammesso di avere confermato i NToparte_1 suoi dati personali, rivelato il codice identificativo e il codice PIN segreto associato alla carta al sedicente funzionario.
Inoltre, la banca aveva dimostrato che tutte le operazioni contestate erano regolari e pienamente riconducibili alla correntista effettuate tramite la combinazione “carta di credito + PIN segreto”.
NT L'appellante impugnava, altresì, la sentenza appellata nella parte in cui condannava la al pagamento delle spese di lite, chiedendo che venissero poste a carico esclusivamente dell'appellata.
si costituiva in giudizio chiedendo il rigetto dell'appello e la conferma della NToparte_1 sentenza del Giudice di Pace di Genova.
In corso di giudizio veniva rigettata la richiesta di sospensione dell'efficacia esecutiva della sentenza di primo grado e parimenti la richiesta di espletamento di CTU.
pagina 4 di 12 La causa veniva rinviata ex art. 352 c.p.c. all'udienza del 16 settembre 2025 per trattenere la causa a decisione.
⃰ ⃰ ⃰
L'appello proposto da deve essere rigettato per i motivi che Parte_1 seguono.
La narrazione dei fatti non è contestata dalle parti in causa, mentre è contestata l'imputabilità del danno subito dalla correntista, odierna appellata, alla banca.
È, pertanto, provato che in data 18 settembre 2019 l'attrice veniva contattata, prima sul telefono NT fisso e poi sul numero di cellulare, da un sedicente funzionario di che le chiedeva conferma del suo nome e cognome, dell'indirizzo, della sua utenza telefonica e del suo numero di bancomat.
confermava le informazioni in possesso dell'interlocutore, che a sua volta informava la CP_1 correntista dell'invio errato della nuova carta bancomat in scadenza in via Lanfranco e non in Via
Lanfranconi.
Successivamente l'attrice rilasciava il proprio codice identificativo, necessario, secondo quanto prospettato dall'interlocutore al telefono, per la consegna della nuova carta bancomat.
NT Il 19 settembre 2019 informava che, per motivi di sicurezza, l'operatività NToparte_1 della sua carta bancomat era stata bloccata. Emergevano, difatti, prelievi per € 5.500,00 effettuati tra il
18 e il 19 settembre da terzi.
sporgeva, così, denuncia alla Questura di Genova in data 20 settembre 2019 (doc. 1 del CP_1 fascicolo di primo grado), integrata il 23 settembre 2019 (doc. 3 del fascicolo di primo grado).
È, altresì, incontestato che la nuova carta bancomat, in sostituzione di quella in scadenza, era NT stata spedita da ma non era mai pervenuta all'indirizzo di . NToparte_1
È, anche, incontestato che le operazioni di prelievo dal conto corrente intestato all'odierna appellata siano avvenute da parte di terzi, non da parte della titolare del conto e soprattutto senza il suo consenso.
La banca ha impugnato la sentenza di primo grado senza nulla contestare in merito alla non attribuibilità dei prelievi a , ma evidenziando come tali prelievi fossero avvenuti secondo le CP_1 normali procedure: inserimento della carta bancomat e digitazione del PIN segreto.
pagina 5 di 12 Ricostruiti nei termini sopra esposti i fatti, deve ritenersi, pertanto, provata l'avvenuta operazione truffaldina di induzione in errore a danno di , e il conseguente danno NToparte_1 patrimoniale a suo carico.
A fronte di quanto esposto, essendo i fatti così descritti incontestati, tutte le doglianze circa l'accertamento o meno in sede penale di un'eventuale violazione del sistema informatico della banca e circa la testimonianza resa nel corso del giudizio di primo grado davanti al Giudice di Pace devono ritenersi superate.
Bisogna, invece, stabilire se, proprio a fronte dei fatti così accertati e incontestati, sia imputabile NT a una qualche forma di responsabilità nella causazione del danno predetto.
Sul punto, ai fini di chiarezza, si ricorda che la condotta, di cui è stata vittima l'odierna appellata, viene denominata “phishing”, ossia una particolare tipologia di truffa telematica che si concretizza principalmente, attraverso messaggi di posta elettronica ingannevoli ma anche, come in tal caso a mezzo l'utilizzo della telefonia;
nel caso di specie trattasi, quindi, di voice phishing, o vishing.
Talvolta gli attacchi di vishing vengono condotti utilizzando sistemi automatizzati di sintesi vocale, in altri casi, come nel presente, intervengono operatori umani, fingendosi dipendenti di un ente legittimo, come la banca, per ottenere dati personali e informazioni finanziarie relative a carte di credito, conti bancari e altri dati sensibili della vittima.
In merito alla responsabilità della banca deve evidenziarsi che la giurisprudenza della Corte di
Cassazione ha assunto un approccio rigoroso nei confronti dell'ente creditizio. Ha qualificato la responsabilità della banca in termini contrattuali, affermando che “la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere;
dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.
pagina 6 di 12 La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019;
Cass., 6-3, n. 26916 del 26/11/2020). (Cass., Sez. III, 12/02/2024, n. 3780).
pagina 7 di 12 La disciplina specifica in materia, che attribuisce la responsabilità alla banca ex art. 10 d.lgs. n.
11/20101 statuisce che “è onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”. Sul punto si richiama anche l'indirizzo della giurisprudenza di questo stesso Tribunale chiamato a decidere controversie in casi simili: “l'eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo;
e ciò anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema” […]. “La misura di diligenza richiesta agli istituti di credito è valutata alla stregua dell'accorto banchiere, secondo il canone di diligenza professionale di cui all'art. 1176, comma 2, c.c., avuto riguardo alla natura dell'attività esercitata. Proprio per il fatto che la professionalità e la diligenza del banchiere si riflette su tutta la gamma delle attività da lui svolte nell'esercizio dell'impresa bancaria e, quindi, sui rapporti, per lo più asimmetrici, che in quelle attività sono radicati, egli dispone di strumenti e di competenze per la corretta attuazione delle predette attività che normalmente altri soggetti interessati non possiedono.” (Trib. di Genova, sent. pubb. il 17/07/2024, n. 2109 e si veda anche Trib. di Genova, sent. pubb. l'11/06/2020, n. 879.)
pagina 8 di 12 Alla banca, pertanto, viene attribuita una responsabilità oggettiva o comunque aggravata per la quale le condotte di phishing vengono ricondotte all'ambito del rischio di impresa dell'attività bancaria.
Mentre il correntista deve provare il titolo per andare esente da responsabilità, l'istituto di credito deve provare di avere adottato tutte le misure di sicurezza necessarie per la protezione del cliente e provare l'inadempimento doloso o gravemente colposo di quest'ultimo.
Anche l'attuale regolamento GDPR ha stabilito all'art. 82 che: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. In questo caso
è la banca il Responsabile del trattamento, che raccoglie i dati personali dei propri clienti ed è quindi tenuta al risarcimento dei danni anche se non ha alcuna colpa o non è in malafede. Si parla, cioè, di una
“responsabilità oggettiva” che scatta per il solo fatto di svolgere un'attività pericolosa, come quella della gestione del risparmio, salva prova che l'evento dannoso non le è in alcun modo imputabile.
Nel caso oggetto dell'odierno giudizio la decisione del Giudice di prime cure deve essere confermata.
pagina 9 di 12 NTariamente a quanto sostenuto dall'appellante, la banca non ha dato prova del fatto estintivo della responsabilità contrattuale che sulla stessa incombe, ossia che il fatto illecito sia attribuibile al dolo del titolare della carta bancomat o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo: il sedicente funzionario ha evidentemente intercettato la spedizione della nuova NT carta di pagamento da parte di all'indirizzo di;
sulla base di questa circostanza, NToparte_1 incontestata, ha indotto in errore, la correntista. L'autore del fatto illecito aveva già in possesso i dati personali della signora, il suo nome e cognome, l'indirizzo di residenza e la conoscenza circa la data di scadenza della carta di pagamento. Per questo, ha sì colposamente riferito il codice CP_1 identificativo del bancomat al sedicente funzionario ma confortata, evidentemente, da queste informazioni, di cui era già a conoscenza l'interlocutore. Anche il fatto che i dati personali siano stati ricavati dai truffatori dal contenuto della sola busta contenente la nuova carta bancomat, una volta affidata a per il trasporto, è circostanza irrilevante. La consegna del nuovo NToparte_3 bancomat rientrava tra le obbligazioni contrattuali in capo all'istituto di credito ed era quest'ultimo a doversi dotare di mezzi adatti di tutela e di controllo nella trasmissione. Non si tratta infatti di una diligenza del cliente nella custodia del bancomat (ad esempio avendolo perso ed essendo stata CP_1 incauta nella sua custodia), ma della necessaria diligenza dell'istituto di credito nell'approntare sistemi di consegna (e spedizione) tali da escludere la sua responsabilità: ciò non solo in riferimento alla tessera bancomat, ma anche in riferimento ai dati personali (quali generalità indirizzo, data di scadenza) associati alla stessa. Il bancomat è stato sottratto quando era ancora sotto la sfera di controllo dell'istituto di credito e non ha nessuna rilevanza il fatto che della spedizione si fosse occupata
[...]
, che, tutt'al più poteva essere chiamata in causa in garanzia. CP_3
La banca non ha neppure tentato di fornire la prova su di essa incombente di avere predisposto tutte le misure di sicurezza possibili per la protezione del cliente. Inoltre, nello specifico, per l'attivazione della carta, come eccepito da parte appellata, ben potevano essere predisposti sistemi di tutela rafforzata, quali quelli di tipo “token” o di riconoscimento facciale.
pagina 10 di 12 Ferma la responsabilità della banca, può ravvisarsi un concorso di colpa di nel fatto di CP_1 avere comunicato telefonicamente i propri dati identificativi (e soprattutto il PIN); ma tale concorso può avere rilevanza solo ex art. 1227 c.c. al fine di ridurre la somma oggetto di risarcimento. In proposito è però fatto incontestato che abbia già diminuito fin dall'instaurazione della NToparte_1 causa dinanzi al Giudice di Pace la somma risarcitoria oggetto di domanda rispetto al danno patrimoniale effettivamente subito: la somma indebitamente sottratte ammontava ad € 5.500,0 mentre quella richiesta in giudizio ammonta ad € 5.000,00. Deve ritenersi proporzionalmente adeguata una simile riduzione.
Alla luce di quanto esposto l'appello deve essere, pertanto, respinto.
Le spese di lite seguono la soccombenza e sono liquidate come da dispositivo e da seguente tabella, con distrazione a favore del difensore dichiaratosi antistatario.
Nel caso di specie in difetto di prova di pattuizioni intercorse tra la parte vittoriosa ed il suo difensore;
tenuto conto del valore determinabile del decisum e degli effetti della decisione;
della complessità della controversia, del numero e dell'importanza delle questioni trattate, nonché del pregio dell'opera prestata e dei complessivi risultati dei giudizi, le spese del giudizio vengono liquidate in applicazione dei parametri sotto indicati.
Tabelle: 2022 (D.M. n. 147 del 13/08/2022)
Competenza: giudizi di cognizione innanzi al tribunale
Valore della causa: da € 1.101,00 a € 5.200,00
Fase, Compenso
Fase di studio della controversia, valore medio: € 425,00
Fase introduttiva del giudizio, valore medio: € 425,00
Fase istruttoria e/o di trattazione, valore medio: € 851,00
Fase decisionale, valore medio: € 851,00
Compenso tabellare (valori medi) € 2.552,00
Il rigetto dell'appello comporta la condanna al pagamento dell'ulteriore importo previsto dall'art. 13, comma 1 quater, D.P.R. n. 115/2002. pagina 11 di 12
P.Q.M.
Il Tribunale di Genova definitivamente pronunciando, ogni contraria istanza, eccezione e deduzione disattesa al riguardo, così decide:
1. Respinge l'appello presentato da ei confronti della Parte_1 sentenza n. 1764/2024 del Giudice di Pace di Genova, pubblicata il 30/10/2024, e per l'effetto la conferma;
2. Condanna rifondere a le Parte_1 NToparte_1 spese di lite del presente grado di giudizio che liquida in € 2.552,00 per compensi, oltre 15% Spese
Generali, Iva e CPA come per legge da distrarsi in favore del difensore dichiaratosi antistatario
3. Il rigetto dell'appello comporta la condanna al pagamento dell'ulteriore importo previsto dall'art. 13, comma 1 quater, D.P.R. n. 115/2002.
Genova, 30 settembre 2025
La Giudice
dott.ssa Patrizia Cazzato
pagina 12 di 12 1. DA COMPARE FOOTNOTE PAGES 1 Art. 10 (Prova di autenticazione ed esecuzione delle operazioni di pagamento)
“
1. Qualora l'((utente)) di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
1-bis. Se l'operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze, l'operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato.
2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.”