TRIB
Sentenza 14 marzo 2025
Sentenza 14 marzo 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Milano, sentenza 14/03/2025, n. 2104 |
|---|---|
| Giurisdizione : | Trib. Milano |
| Numero : | 2104 |
| Data del deposito : | 14 marzo 2025 |
Testo completo
N. R.G. 25136/2024
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO TRIBUNALE ORDINARIO di MILANO SESTA CIVILE Il Tribunale di Milano in composizione monocratica, VI sezione civile, in persona del giudice Ada Favarolo, ha emesso la seguente SENTENZA nella causa civile iscritta al n. 25136 del Ruolo generale degli affari contenziosi dell'anno 2024, e vertente TRA
(C.F. , in persona Parte_1 P.IVA_1 dell'amministratore rag. , rappresentato e difeso dall'avvocato Maria Cristina Andreozzi, Parte_2 elettivamente domiciliato presso il suo studio in , Galleria Unione n. 1, in virtù di procura alle liti Pt_1 allegata al ricorso ATTORE E (C.F. ), in persona del suo procuratore dott. , Controparte_1 P.IVA_2 CP_2 rappresentata e difesa dall'avvocato dagli avvocati Filippo Carimati e Stefano Cavallini, elettivamente domiciliata presso il loro studio in , via Beccaria n. 5, in virtù di procura alle liti in atti Pt_1
CONVENUTA
OGGETTO: contratti bancari CONCLUSIONI Per il :“Voglia l'Ill.mo Tribunale adito, previa ogni declaratoria del caso Parte_1
e di legge, ogni diversa e contraria istanza ed eccezione disattesa, anche in via istruttoria e incidentale: Nel merito Accertata e dichiarata la responsabilità di di tutti i danni subiti dal Controparte_1 Parte_1 per non avere la stessa impedito a terzi, tra il 30 novembre 2020 e il 2 dicembre 2020, di introdursi
[...] illecitamente nel proprio sistema telematico “Portale Internet Inbiz” e accertata e dichiarata la conseguente illegittimità dell'addebito della complessiva somma di euro 29.360,34 disposto da in data 1 aprile 2021 sul conto Controparte_1 corrente n.1000/3721 intestato al condannare al Parte_1 Controparte_1 pagamento in favore di quest'ultimo della somma di euro 29.360,34 e della somma di euro 1.935,60 pari alle spese sostenute per il procedimento dinnanzi all'Arbitro Bancario Finanziario conclusosi con decisione n. 11137/2023 del 16 novembre 2023, oltre interessi dal dovuto al saldo e rivalutazione monetaria. In via istruttoria Pur ritenendo le domande di merito svolte fondate su prova documentale ed essendo i fatti di causa non controversi, la deducente difesa chiede di essere ammessa alla prova per testi sulle circostanze di cui alla narrativa del presente ricorso che, preceduti dalle parole “vero che”, devono intendersi separati capitoli di prova, riservandosi di proporre eventuali ulteriori istanze istruttorie, anche a prova contraria, all'esito della costituzione di parte convenuta.
pagina 1 di 9 Si indicano a testimoni: 1) la sig.ra residente in [...] – Testimone_1 Pt_1
2) il sig. presso Venetcom s.r.l. via Nazio Sauro, 96/a - Desenzano del Garda (BS) Testimone_2
3) la sig.ra presso Filiale viale Gran Sasso n. 30 – Testimone_3 Controparte_1 Pt_1
4) l'ing. presso SPIN Digital Forensics s.r.l. – piazza della Repubblica, 5 – Testimone_4 Pt_1
5) il rag. via Paisiello, 28 – Controparte_3 Pt_1
In ogni caso Con vittoria di spese e competenze del presente giudizio, oltre spese generali e oneri come per legge”.
Per la “Voglia il Tribunale Ill.mo adito, contrariis reiectis, così giudicare: Controparte_1 in rito,
- disporre con ordinanza ex art 281 duodecies c.p.c. la prosecuzione del processo nelle forme del rito ordinario fissando l'udienza di cui all'art. 183 c.p.c.;
- autorizzare ex art. 106 e 269 c.p.c. per tutti i motivi di cui alla presente comparsa di costituzione e risposta, la chiamata in causa di con sede legale in Via Gaetano Negri 1, Codice IVA e Iscrizione al Registro CP_4 Pt_1 PartitaIVA_3 delle Imprese di , e per l'effetto, disporre lo spostamento dell'udienza fissata per il 29/10/2024 allo Pt_1 P.IVA_4 scopo di consentire la citazione della menzionata nel rispetto dei termini dell'art. 163 bis c.p.c. CP_4 nel merito
- accertare e dichiarare la mancanza di qualsivoglia responsabilità in capo a per i fatti di cui alla Controparte_1 presente causa e, per l'effetto, rigettare la domande di parte attrice poichè infondate in fatto e in diritto;
- previo accertamento dell'esclusiva e/o comunque prevalente responsabilità del Sig. e di gestore Parte_2 CP_4 telefonico dell'utenza telefonica di parte attrice e/o dei beneficiari dei bonifici nella causazione del danno invocato, escludere o limitare il quantum liquidato a parte attrice nella misura che risulterà provata ed accertata in corso di causa. Con vittoria di competenze e spese di lite. In via istruttoria:
- si eccepisce l'inadempimento dell'onere della prova gravante su parte avversa. Si chiede sin d'ora che venga ordinata, ex art. 210 c.p.c., l'esibizione in giudizio a di tutta la documentazione relativa al cambio Sim dell'utenza del Sig. Rag. CP_4
” ; Parte_2
- si chiede l'ammissione della prova per testi sulle circostanze di cui in narrativa del presente atto, che preceduti da “vero che” devono intendersi separati capitoli di prova e si indica quale testimone il Sig. c/o DC SIST TRASFOR Testimone_5
DIGIT IMPRESE CORPORATE con sede in Corso Savona 58 - 10024 Moncalieri .”
RAGIONI IN FATTO ED IN DIRITTO DELLA DECISIONE
1. Con ricorso ex art. 281-decies c.p.c. depositato il 3 luglio 2024 il Parte_3
ha chiesto la condanna della al pagamento di € 29.360,34 e di €
[...] Controparte_1
1.935,60 (quest'ultimo importo pari alle spese sostenute per il procedimento svolto dinanzi all'Arbitro Bancario Finanziario conclusosi con decisione n. 11137/2023 del 16 novembre 2023), oltre interessi e rivalutazione monetaria, previo accertamento della responsabilità della banca per non aver impedito l'introduzione illecita da parte di terzi nel sistema telematico “Portale Internet Inbiz” tra il 30 novembre 2020 e il 2 dicembre 2020, nonché per aver illegittimamente riaddebitato la somma di € 29.360,34 in data 1 aprile 2021 sul conto corrente n. 1000/3721 intestato al . Parte_1
1.1. Con riferimento allo svolgimento dei fatti, il IO ha esposto che:
pagina 2 di 9 - , anche quale amministratore del ricorrente, aveva stipulato un contratto di utilizzo del Parte_2
Portale internet inbiz per la gestione di tutti i conti correnti intestati ai condomìni da lui amministrati, nonché per il conto corrente n. 1000/4121 utilizzato solamente per la propria attività professionale (doc. 6 di parte ricorrente); Con
- in data 2 dicembre 2020 , leggendo uno strano sms ricevuto da sullo smartphone Parte_2 dedicato al Portale internet inbiz, aveva appreso che il 30 novembre, per ragioni ignote, la SIM precedentemente associata al numero 3664871047 era stata bloccata (doc. 7 di parte ricorrente); Con
- si era così rivolto al referente della , , il quale gli aveva Parte_2 Testimone_2 comunicato che avrebbe provveduto a segnalare l'accaduto alla compagnia telefonica, procurando Con all'amministratore una nuova SIM e un nuovo numero telefonico, attivati da il 2 dicembre intorno alle ore 18:00;
- la sera del medesimo 2 dicembre 2020 aveva effettuato l'accesso all'app Intesa Sanpaolo Parte_2
Mobile utilizzando lo smartphone personale, accorgendosi che sul conto corrente per l'attività professionale n. 1000/4121 risultava un ammanco di circa € 29.360,34, a seguito di due disposizioni di bonifico da lui mai disposte, ciascuna dell'importo di € 14.970,34, in favore di (doc. 8 Persona_1 di parte ricorrente);
- il successivo 3 dicembre 2020, dunque, aveva riferito dell'ammanco sul predetto conto Parte_2 corrente alla responsabile della filiale di di viale Gran Sasso a Controparte_1 Pt_1 Testimone_3 la quale aveva provveduto prontamente a bloccare i codici di accesso al Portale internet inbiz e ad associare la nuova SIM, consegnando a i nuovi codici di accesso;
Parte_2
- il medesimo 3 dicembre 2020 aveva così effettuato l'accesso all'app Intesa Sanpaolo Parte_2 inbiz dallo smartphone dedicato con le nuove credenziali alla presenza della responsabile Tes_3
ed era venuto a conoscenza del fatto che nel lasso di tempo in cui la precedente SIM associata al
[...]
Portale internet inbiz era rimasta bloccata sui ventitré conti correnti collegati al predetto portale erano state disposte da ignoti ben quarantadue operazioni di bonifico per complessivi € 604.712,29, in favore di beneficiari sconosciuti, precisando che due di questi bonifici, uno dell'importo di € 14.390,00, l'altro dell'importo di € 14.970,34, erano stati disposti sul conto corrente n. 1000/3721 intestato al e Parte_1 contabilizzati il 1 dicembre 2020 (doc. 9 di parte ricorrente);
- il 4 dicembre 2020 aveva quindi presentato, in proprio e come amministratore dei Parte_2 condomìni coinvolti, denuncia-querela contro ignoti (doc. 10 di parte ricorrente), al fine di poter disconoscere le quarantadue disposizioni di modifico, mediante sottoscrizione dei moduli predisposti dalla responsabile (docc. 11-12 di parte ricorrente), evidenziando come dai controlli fosse Testimone_3 emerso che la maggior parte dei bonifici era stata ordinata con causali pressoché identiche per importi simili di poco inferiori a € 15.000,00 e che le somme erano state accreditate su conti in parte italiani, in parte esteri, con indicati come destinatari soggetti beneficiari per la prima volta di pagamenti disposti da quei conti;
- la banca, ricevuti i moduli di disconoscimento delle operazioni non autorizzate, aveva riaccreditato in data 10 dicembre 2020 le somme sia sul conto corrente di sia su quelli dei condomìni frodati;
Parte_2
- nei giorni successivi aveva appreso dalla responsabile che la banca Parte_2 Testimone_3 era riuscita a revocare in uscita sette dei quarantadue bonifici, recuperando un importo di € 104.772,00, poiché in alcuni casi i movimenti non erano andati a buon fine;
- mesi dopo, precisamente alla mezzanotte tra il 31 marzo 2021 e il 1° aprile 2021, improvvisamente la banca aveva proceduto in modo unilaterale e senza alcun preavviso allo storno di complessivi € 499.990,29, che lo stesso istituto di credito aveva riaccreditato sui conti correnti dopo il disconoscimento delle pagina 3 di 9 operazioni non autorizzate, ivi comprese, dunque, anche quelle inizialmente riaccreditate sul conto del
(doc. 13 di parte ricorrente); Parte_1
- a fronte dello storno, , in proprio e per tutti i condomìni frodati, incluso il IO Parte_2 odierno ricorrente, aveva proposto reclamo alla banca, sia direttamente con propria missiva del 31 marzo 2021 (doc. 14 di parte ricorrente), sia tramite lettera inviata dai legali di fiducia in data 15 aprile 2021 (doc. 15 di parte ricorrente), ricevendo tuttavia risposta di diniego di qualsivoglia responsabilità da parte dell'istituto di credito (doc. 16 di parte ricorrente);
- il 3 giugno 2021 il Pubblico Ministero, incaricato delle indagini preliminari, aveva chiesto e ottenuto dal GIP una proroga dei termini determinata proprio dalla loro complessità (doc. 17 di parte ricorrente); Con
- , dal canto suo, si era rivolto a , la quale con lettera del 4 ottobre 2021 gli aveva Parte_2 comunicato che la linea telefonica 3664871047 era stata bloccata in seguito a una segnalazione di smarrimento pervenuta al Servizio Assistenza Clienti da persona presentatasi come l'intestatario (doc. 18 di parte ricorrente);
- aveva incaricato l'ingegner esperto del settore informatico, di Parte_2 Testimone_4 svolgere ogni più opportuno accertamento tecnico sulla frode (doc. 19 di parte ricorrente);
- peraltro, un primo esame sulla rete informatica di era stato già svolto nell'immediatezza Parte_2 dei fatti, ossia già nel dicembre 2020 (doc. 20 di parte ricorrente);
- a seguito dello storno da parte della banca e del riscontro negativo dell'istituto di credito alla richiesta di restituzione delle medesime, in data 30 novembre 2022 aveva presentato autonomo reclamo (doc. 22 di parte ricorrente);
- successivamente, aveva proposto ricorso all'Arbitro Bancario Finanziario di , conclusosi con Pt_1 decisione n. 11137/2023, che aveva disposto a carico della banca il pagamento della somma di € 29.360,34 in favore del IO (docc. 1-2-23-24 di parte ricorrente);
- l'Arbitro Bancario Finanziario di aveva comunicato, tuttavia, il mancato adempimento da parte Pt_1 della banca al ricorrente, il quale per la proposizione del ricorso e per l'assistenza legale aveva intanto sostenuto spese pari a complessivi € 1.935,60 (docc. 25-26 di parte ricorrente); Per quanto concerne i profili di diritto, parte ricorrente:
- ha dedotto la violazione, da parte della della disciplina prevista dalla Direttiva UE Controparte_1
n. 2015/2366 (c.d. PSD2), come integrata dal Regolamento UE n. 2018/389 emanato dalla Commissione il 27 novembre 2017, cui nel nostro ordinamento ha dato attuazione il d.lgs. n. 11/2010, rilevando che i passaggi di autenticazione, i sistemi di monitoraggio degli accessi e gli strumenti di informazione al cliente non erano sufficientemente sicuri, adeguati e completi per impedire attacchi sussumibili nella fattispecie del c.d. SIM swap fraud;
- ha dedotto che in base all'art. 10, comma 2, del citato d.lgs. n. 11/2010 la responsabilità della banca è esclusa soltanto laddove la stessa sia in grado di provare la colpa grave del cliente, aggiungendo in proposito che, secondo la giurisprudenza, il rischio della causa ignota rimane sempre a carico dell'istituto di credito, poiché tale rischio è insito nella sua attività professionale e d'impresa e, di conseguenza, amministrabile con un costo sostenibile. 1.2. Si è costituita in giudizio la chiedendo il rigetto integrale del ricorso, Controparte_1 siccome infondato in fatto e in diritto. Preliminarmente, la società resistente ha chiesto la conversione del rito semplificato in ordinario, evidenziando, tra gli altri motivi, la necessità di chiamare in causa in garanzia impropria il gestore telefonico Con
, in quanto la sua condotta colposa aveva reso possibile l'illecito perpetratosi a danno del IO,
pagina 4 di 9 come del resto era emerso dalla lettera prodotta da parte ricorrente come documento n. 19, avente natura confessoria. La banca ha quindi eccepito che:
- il sistema adottato per prevenire frodi informatiche è assolutamente adeguato e all'avanguardia, in quanto le soluzioni di Internet banking e di gestione per la sicurezza delle informazioni del CP_5
è da anni certificato ISO/IEC 27001, standard che costituisce il riferimento internazionale per
[...] sicurezza nelle informazioni (docc. 2 e 5 di parte resistente), precisando in merito all'analisi dell'ingegner che l'attivazione dell'app della banca su un dispositivo differente da quello in uso al cliente non si Tes_4 può realizzare senza la cooperazione dello stesso cliente, il quale fornisce a chi effettua il c.d. “enrollment” il codice titolare, il codice pin e il codice OTS (cfr. doc. 6 di parte resistente);
- le operazioni oggetto d'esame si erano potute verificare, in quanto tutte e indistintamente erano state autorizzate dal disponente con il ripetuto e corretto inserimento non solo di user-id e password, bensì anche con l'autorizzazione di ogni singola operazione a mezzo di OTP virtuale sull'app Intesa Sanpaolo Mobile installata sul cellulare in possesso del cliente, nonché con il corretto inserimento di codici OTS, generati con specifico riguardo alle predette operazioni e inviati al numero di utenza telefonica certificata, come del resto emergerebbe dalle schermate dei vari passaggi di validazione e autorizzazione svolti dal cliente tramite l'app installata sul proprio smartphone associato (cfr. docc.
7-10 di parte resistente);
- l'importo era stato così correttamente riaddebitato, siccome il modulo di disconoscimento sottoscritto da espressamente prevedeva che qualora fosse stato successivamente dimostrato che le Parte_2 operazioni erano state autorizzate la banca aveva diritto di ottenere la restituzione dell'importo rimborsato in precedenza, dandone comunicazione all'intestatario del rapporto (docc. 11-12 di parte resistente);
- a , quale amministratore del IO, fosse addebitabile un rimprovero di colpa Parte_2 grave, poiché soltanto il 3 dicembre 2020 si era recato in banca per comprendere cosa fosse realmente successo, nonostante già in data 30 novembre 2020 avesse ricevuto il messaggio di blocco della sua linea telefonico richiesto da terzi tre giorni per verificare cosa fosse realmente accaduto a seguito del blocco della sua linea telefonica richiesto da terzi e nonostante il medesimo 30 novembre 2020 avesse ricevuto anche un messaggio dalla stessa banca (cfr. doc. 13 di parte resistente);
- la responsabilità dell'istituto di credito doveva essere esclusa, poiché l'art. 6, comma 2, del contratto Inbiz stabilisce che prima del momento in cui la segnalazione dell'uso non autorizzato delle credenziali è opponibile alla banca le conseguenze derivanti dall'utilizzo indebito delle credenziali sono a carico del e in quanto la circostanza che tale mole di operazioni provenisse dalla medesima utenza Parte_1 risultava del tutto giustificata, trattandosi dell'utenza professionale dell'amministratore;
- era configurabile, invece, la responsabilità in capo al gestore telefonico per aver omesso un CP_4 adeguato controllo sull'identità del soggetto richiedente il duplicato della SIM, consentendo così al truffatore di accedere allo spazio riservato all'effettivo titolare e ad effettuare le operazioni sui conti allo stesso intestati;
- in ogni caso, l'istituto di credito non sarebbe tenuto al rimborso delle spese relative al procedimento svoltosi dinnanzi all'Arbitro Bancario di Milano, rilevando come il IO avesse scelto arbitrariamente di esercitare tale opzione alternativa alla giustizia civile ed evidenziando che parte ricorrente non aveva nemmeno dimostrato di aver effettivamente sostenuto tali spese, producendo un mero conteggio. 1.3. Con ordinanza del 20 novembre 2024 a scioglimento della riserva assunta nella prima udienza del 19 novembre 2024, ritenuti insussistenti i presupposti per la conversione del rito da semplificato in ordinario, nonché per la chiamata in causa della rigettate le richieste di prova formulate dalle CP_4
pagina 5 di 9 parti, la causa è stata rinviata per la precisazione delle conclusioni. All'udienza del 12 febbraio 2025 la causa è stata trattenuta in decisione. 2. Orbene, la domanda proposta dal è fondata per le Parte_1 Parte_3 ragioni e nei limiti che seguono. Nel merito, il ha dedotto l'illegittimità del riaddebito della somma di € 29.360,34, alla Parte_1 luce della disciplina prevista dal d.lgs. n. 11/2010, che ha dato attuazione nel nostro ordinamento alla Direttiva UE n. 2015/2366 (c.d. PSD2), come integrata dal Regolamento UE n. 2018/389 emanato dalla Commissione europea il 27 novembre 2017. Per quanto maggiormente interessa ai fini della decisione, l'art. 10, comma 1, del decreto legislativo citato prevede che “[q]ualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”. Il successivo comma 2, poi, aggiunge che “l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento (…) non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più obblighi di cui all'art. 7”, essendo onere del prestatore di servizi proprio “fornire la prova della frode, del dolo o della colpa grave dell'utente”. Coerentemente con il dato normativo la prevalente giurisprudenza di legittimità e di merito ritiene che “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente” (così Cass. civ., sez. III, 12 febbraio 2024, n. 3780; cfr., tra le altre, Cass. civ., sez. VI, 26 novembre 2020, n. 26916; Tribunale di Benevento, sez. II, 11 ottobre 2023, n. 2012; Tribunale di Milano, sez. VI, 6 luglio 2018, n. 7644). Ebbene, nel caso di specie, non è oggetto di seria contestazione tra le parti che un soggetto terzo abbia effettuato, tramite il blocco temporaneo della SIM associata a , un illecito accesso al Parte_2 portale Intesa Sanpaolo inbiz con le credenziali dell'amministratore di condominio, eseguendo, tra le altre, due disposizioni di bonifico dal conto corrente del odierno ricorrente. Ciò, del resto, può Parte_1 ritenersi anche dimostrato documentalmente dalla pec del 4 ottobre 2021 inviata dal servizio clienti del gestore telefonico, il quale ha comunicato a che la linea 3664871047 è stata bloccata in Parte_2 seguito ad una segnalazione pervenuta al Servizio Assistenza Clienti il 30 novembre 2020 alle ore 14:11 da persona presentatasi come l'intestatario, fornendo i suoi dati anagrafici. Il IO ha osservato che i sistemi di sicurezza informatica della banca non si sono rivelati adeguati a prevenire e impedire la frode, evidenziando come la responsabilità della banca possa essere esclusa soltanto laddove risulti la colpa grave dell'utente. Dal canto suo, la ha invece giustificato il riaddebito delle somme sul presupposto Controparte_1 che le operazioni oggetto d'esame sarebbero state apparentemente autorizzate dal disponente con il ripetuto corretto inserimento delle credenziali e dei codici di accesso al portale, rilevando come ciò sia stato reso possibile da colpose condotte attive e omissive di . Parte_2
In particolare, sotto il primo profilo, la banca ha sostenuto che l'amministratore del aveva Parte_1 incautamente fornito a terzi i codici e gli strumenti necessari per operare, facendo affidamento su messaggi truffaldini. Tuttavia, tale allegazione appare generica ed è priva di supporto probatorio. Sul punto, la banca ha prodotto le schermate dell'estratto delle registrazioni effettuate e dei file riportanti i log di validazione delle credenziali relative all'utenza. Tali documenti, però, non dimostrano che abbia con Parte_2
pagina 6 di 9 colpa grave comunicato a terzi le proprie credenziali di accesso al portale da cui gestiva le movimentazioni dei conti correnti. Sotto il secondo profilo, parte resistente ha evidenziato come possa muoversi un rimprovero di colpa grave nei confronti dell'amministratore del IO per essersi lo stesso recato tardivamente presso la filiale della a seguito del blocco della linea telefonica. Segnatamente, a fronte di un Controparte_1 messaggio di blocco della SIM risalente al 30 novembre 2020, ad avviso della società resistente,
[...]
avrebbe atteso troppo tempo per comprendere cosa fosse realmente successo sui conti correnti Pt_2 di cui poteva disporre, recandosi in banca soltanto il 3 dicembre 2020, ossia tre giorni dopo la comunicazione del gestore telefonico. La stessa parte ricorrente ha ammesso che ha letto Parte_2 il 2 dicembre 2020 il messaggio di blocco della SIM ricevuto il 30 novembre 2020. Tuttavia, non appena letto il messaggio, l'amministratore del IO lo stesso 2 dicembre 2020 ha prontamente contattato il referente della , segnalando l'accaduto. Inoltre, dopo aver effettuato CP_4 Persona_2
l'accesso sull'app Intesa Sanpaolo Mobile dal proprio smartphone personale la sera dello stesso 2 dicembre 2020 ed essere venuto a conoscenza che sul proprio conto corrente per l'attività professionale n. 1000/4121 risultava un consistente ammanco, il giorno successivo si è recato in banca per comprenderne la motivazione, apprendendo delle disposizioni di bonifico anche dal conto corrente intestato al IO ricorrente. Pertanto, anche ad attribuire rilievo alla circostanza che abbia letto il Parte_2 messaggio di blocco della SIM due giorni dopo la sua ricezione, non sussistono gli estremi per qualificare la colpa dell'amministratore del IO come grave. A tale riguardo, occorre considerare come dalla notizia del blocco della SIM non possa immediatamente e automaticamente ipotizzabile l'illecita introduzione da parte di terzi nel portale di gestione dei conti correnti. In ogni caso, due giorni costituiscono un lasso di tempo piuttosto esiguo per configurare una condotta gravemente negligente da parte di . Alcuna rilevanza, poi, può attribuirsi al documento n. 13 di parte resistente, che Parte_2 dovrebbe dimostrare la trasmissione dalla banca a di due SMS, il primo in data 30 Parte_2 novembre 2020 e il secondo in data 1° dicembre 2020. Trattasi, infatti, di un documento di formazione unilaterale e privo di intestazione, in quanto tale intrinsecamente inidoneo a fornire adeguata prova del fatto. Posto che sulla base delle allegazioni, deduzioni e documenti prodotti in giudizio non risulta provata la colpa grave di , quale rappresentate legale del IO ricorrente, la responsabilità Parte_2 dell'istituto di credito non può parimenti ritenersi esclusa alla luce della clausola contenuta dall'art. 6, comma 2, del contratto, richiamato dalla difesa della Controparte_1
La norma contrattuale citata stabilisce che “[p]rima del momento in cui la segnalazione è opponibile alla Banca, le conseguenze derivanti dall'utilizzo indebito delle Credenziali sono integralmente a carico della Società” e deve essere letta insieme alla parte del comma 1, ove è previsto che “la segnalazione è opponibile alla Banca dal momento in cui essa comunica l'apposizione del blocco all'Utente”. La difesa di parte resistente ne deduce la validità sul presupposto che l'art. 2, comma 4, del d.lgs. n. 11/2010, qualora l'utente dei servizi di pagamento non sia consumatore, consente alle parti di convenire che gli artt. 3, commi 1, 4 e 5, 10, commi 1 e 2, 12, 12 bis, 13, 14, 17 e 25 non siano in tutto o in parte applicati. Tuttavia, in disparte la questione relativa alla possibilità di qualificare il IO come consumatore, la norma contrattuale invocata da parte resistente non contiene una deroga specifica alle suddette disposizioni del decreto legislativo. Invero, essa si presenta come una clausola che limita e, di fatto, addirittura esclude la responsabilità della banca, rimettendo a una scelta arbitraria di quest'ultima il momento dell'opponibilità della segnalazione e quindi il momento in cui far gravare sulla banca le conseguenze derivanti dall'utilizzo indebito delle credenziali. Pertanto, il combinato disposto del comma 1 e del comma 2 dell'art. 6 del contratto prevede clausole nulle. In ogni caso, preme evidenziare pagina 7 di 9 che soltanto l'art. 6, comma 1, del contratto risulta specificamente approvato per iscritto ai sensi dell'art. 1341, comma 2, c.c. e che, invece, il comma 2, privo di specifica approvazione, sarebbe comunque improduttivo di effetti in favore della banca. È del tutto irrilevante, poi, che i sistemi di informatici della banca fossero o meno sufficientemente sicuri per impedire l'accesso illecito da parte di terzi sul portale inbiz e le successive disposizioni di bonifico. Facendo applicazione del dato normativo, nonché dei principi espressi in merito da parte della giurisprudenza precedentemente richiamata, infatti, in assenza della prova della colpa grave dell'amministratore del IO la banca è responsabile per le autorizzazioni di pagamento negate e disconosciute, a prescindere dall'adeguatezza dei propri sistemi nelle fasi di autenticazione dell'utente e di monitoraggio delle operazioni. Del resto, come è stato correttamente osservato anche dalla più recente giurisprudenza di questo Tribunale, nel rapporto contrattuale che si configura in questi casi la posizione della banca non è ricostruibile tanto nei termini di un soggetto obbligato alla prestazione. È piuttosto da considerare che nell'ambito del modello organizzativo dell'home banking l'esecuzione di operazioni formalmente autorizzate dal sedicente titolare del conto corrente ma in realtà non consentite dal vero intestatario costituisce il rischio professionale tipico del prestatore di servizi di pagamento (cfr. Tribunale di Milano, sez. VI, 25 ottobre 2024, n. 9257, prodotta sub doc. 23 da parte ricorrente in allegato alla nota di deposito del 20 novembre 2024). In definitiva, la banca è tenuta al pagamento della somma di € 29.360,34, illegittimamente riaddebitata a carico del IO in data 1 aprile 2021, oltre interessi. Infine, va considerato che l'obbligazione di risarcimento del danno costituisce debito di valore, come tale quantificabile tenendo conto anche d'ufficio della svalutazione monetaria sopravvenuta fino alla data della liquidazione (cfr. tra le altre Cass., 25/02/2009 n. 4587; Cass., 27/06/2016 n. 13225). Ne consegue che l'importo di euro 29.360,34 va rivalutato all'attualità con decorrenza dal giorno dell'illecito (1 aprile 2021) e ammonta, applicando i corrispondenti indici ISTAT, ad euro 34.234,16. Sulla somma riconosciuta in favore del ricorrente sono inoltre dovuti gli interessi compensativi per la ritardata corresponsione dell'equivalente pecuniario del danno, posto che, nelle obbligazioni di valore, il debitore è in mora dal momento della produzione dell'evento di danno;
peraltro, avuto riguardo ai principi enunciati dalla sentenza n. 1712/1995 delle SS.UU. della Corte di Cassazione, al fine di evitare un lucro ingiustificato per il creditore, e per meglio rispettare la funzione compensativa dell'interesse legale riconosciuto sulla somma rivalutata, gli interessi devono essere calcolati non sulla somma rivalutata (o espressa in moneta attuale) al momento della liquidazione, né sulla somma originaria, ma debbono essere computati sulla somma originaria che via via si incrementa, a partire dal livello iniziale fino a quello finale, nei singoli periodi trascorsi. Recependo i principi di cui alla citata sentenza delle Sezioni Unite, appare congruo adottare, anche in applicazione del principio equitativo ex artt. 1226 e 2056 c.c., come criterio di risarcimento del pregiudizio da ritardato conseguimento della somma dovuta, tenuto conto della natura del danno, dell'arco temporale considerato e di tutte le circostanze accertate, quello degli interessi legali nella misura indicata dall'art. 1284, comma 1, c.c.. La banca va dunque condannata al pagamento in favore del ricorrente della somma di euro Parte_1
34.234,16, già rivalutata all'attualità, oltre interessi compensativi calcolati sulla somma devalutata alla data dell'illecito (1 aprile 2021), pari ad euro 29.360,34, via via rivalutata, anno per anno, secondo gli indici Istat e fino alla data odierna. Sugli importi come determinati all'attualità (euro 34.234,16) sono dovuti gli ulteriori interessi legali fino al saldo. 3. Anche con riferimento all'importo di € 1.935,60, richiesto per le spese di assistenza stragiudiziale sostenute per il procedimento dinanzi all'Arbitro Bancario Finanziario, il IO ha soddisfatto il pagina 8 di 9 proprio onere probatorio, avendo documentato il pagamento della somma € 20,00 per i diritti di segreteria ai fini dell'iscrizione del procedimento, producendo la relativa contabile di bonifico e avendo prodotto la fattura emessa dall'avvocato Maria Cristina Andreozzi per l'importo di € 1.915,60 per l'assistenza legale prestata dal professionista durante il giudizio davanti all'Arbitro Bancario Finanziario (cfr. doc. 25-26 del fascicolo di parte ricorrente). 4. Dalle considerazioni che precedono discende che la domanda proposta dal deve Parte_1 essere accolta e, conseguentemente, la banca deve essere condannata al pagamento della somma di euro 34.234,16, già rivalutata all'attualità, oltre interessi ex art. 1284, comma 1, c.c. con decorrenza dall'1 aprile 2021 al saldo, nonché al pagamento della somma di euro 1.935,60 quali spese di assistenza stragiudiziale. I rilievi sin qui svolti sono tali da assorbire ogni ulteriore contestazione o domanda proposte, evidenziandosi che i profili non espressamente esaminati sono stati ritenuti non rilevanti ai fini della decisione e comunque inidonei a supportare una valutazione di tipo diverso. 5. Le spese di lite seguono la soccombenza di parte resistente e vengono liquidate in dispositivo secondo i parametri di cui al D.M. n. 55/2014, come da ultimo aggiornati dal D.M. n. 147/2022, tenuto conto del valore della causa determinato ai sensi dell'art. 5 del predetto decreto, dell'attività effettivamente svolta (tenuto conto, in particolare, dell'assenza di attività svolte nella fase istruttoria, nonché in quella decisoria) e della complessità delle questioni esaminate.
P.Q.M.
Il Tribunale di Milano, in persona del giudice Ada Favarolo, definitivamente pronunciando sulla domanda proposta dal nei confronti di così Parte_4 Controparte_1 provvede: a. condanna al pagamento, in favore del Controparte_1 Parte_4
, sia dell'importo di 34.234,16, oltre interessi, secondo i criteri indicati in motivazione, ai sensi
[...] dell'art. 1284, comma 1, c.c. con decorrenza dall'1 aprile 2021 al saldo, nonché al pagamento dell'ulteriore somma di euro 1.935,60; b. condanna al pagamento, in favore del Controparte_1 Parte_4
, delle spese di giudizio, che liquida in € 545,00 per spese vive e in € 2.905,00 per compensi, oltre al
[...]
15% per spese generali, CPA e IVA come per legge. Così deciso a Milano, in data 14 marzo 2024
Il giudice Ada Favarolo
pagina 9 di 9
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO TRIBUNALE ORDINARIO di MILANO SESTA CIVILE Il Tribunale di Milano in composizione monocratica, VI sezione civile, in persona del giudice Ada Favarolo, ha emesso la seguente SENTENZA nella causa civile iscritta al n. 25136 del Ruolo generale degli affari contenziosi dell'anno 2024, e vertente TRA
(C.F. , in persona Parte_1 P.IVA_1 dell'amministratore rag. , rappresentato e difeso dall'avvocato Maria Cristina Andreozzi, Parte_2 elettivamente domiciliato presso il suo studio in , Galleria Unione n. 1, in virtù di procura alle liti Pt_1 allegata al ricorso ATTORE E (C.F. ), in persona del suo procuratore dott. , Controparte_1 P.IVA_2 CP_2 rappresentata e difesa dall'avvocato dagli avvocati Filippo Carimati e Stefano Cavallini, elettivamente domiciliata presso il loro studio in , via Beccaria n. 5, in virtù di procura alle liti in atti Pt_1
CONVENUTA
OGGETTO: contratti bancari CONCLUSIONI Per il :“Voglia l'Ill.mo Tribunale adito, previa ogni declaratoria del caso Parte_1
e di legge, ogni diversa e contraria istanza ed eccezione disattesa, anche in via istruttoria e incidentale: Nel merito Accertata e dichiarata la responsabilità di di tutti i danni subiti dal Controparte_1 Parte_1 per non avere la stessa impedito a terzi, tra il 30 novembre 2020 e il 2 dicembre 2020, di introdursi
[...] illecitamente nel proprio sistema telematico “Portale Internet Inbiz” e accertata e dichiarata la conseguente illegittimità dell'addebito della complessiva somma di euro 29.360,34 disposto da in data 1 aprile 2021 sul conto Controparte_1 corrente n.1000/3721 intestato al condannare al Parte_1 Controparte_1 pagamento in favore di quest'ultimo della somma di euro 29.360,34 e della somma di euro 1.935,60 pari alle spese sostenute per il procedimento dinnanzi all'Arbitro Bancario Finanziario conclusosi con decisione n. 11137/2023 del 16 novembre 2023, oltre interessi dal dovuto al saldo e rivalutazione monetaria. In via istruttoria Pur ritenendo le domande di merito svolte fondate su prova documentale ed essendo i fatti di causa non controversi, la deducente difesa chiede di essere ammessa alla prova per testi sulle circostanze di cui alla narrativa del presente ricorso che, preceduti dalle parole “vero che”, devono intendersi separati capitoli di prova, riservandosi di proporre eventuali ulteriori istanze istruttorie, anche a prova contraria, all'esito della costituzione di parte convenuta.
pagina 1 di 9 Si indicano a testimoni: 1) la sig.ra residente in [...] – Testimone_1 Pt_1
2) il sig. presso Venetcom s.r.l. via Nazio Sauro, 96/a - Desenzano del Garda (BS) Testimone_2
3) la sig.ra presso Filiale viale Gran Sasso n. 30 – Testimone_3 Controparte_1 Pt_1
4) l'ing. presso SPIN Digital Forensics s.r.l. – piazza della Repubblica, 5 – Testimone_4 Pt_1
5) il rag. via Paisiello, 28 – Controparte_3 Pt_1
In ogni caso Con vittoria di spese e competenze del presente giudizio, oltre spese generali e oneri come per legge”.
Per la “Voglia il Tribunale Ill.mo adito, contrariis reiectis, così giudicare: Controparte_1 in rito,
- disporre con ordinanza ex art 281 duodecies c.p.c. la prosecuzione del processo nelle forme del rito ordinario fissando l'udienza di cui all'art. 183 c.p.c.;
- autorizzare ex art. 106 e 269 c.p.c. per tutti i motivi di cui alla presente comparsa di costituzione e risposta, la chiamata in causa di con sede legale in Via Gaetano Negri 1, Codice IVA e Iscrizione al Registro CP_4 Pt_1 PartitaIVA_3 delle Imprese di , e per l'effetto, disporre lo spostamento dell'udienza fissata per il 29/10/2024 allo Pt_1 P.IVA_4 scopo di consentire la citazione della menzionata nel rispetto dei termini dell'art. 163 bis c.p.c. CP_4 nel merito
- accertare e dichiarare la mancanza di qualsivoglia responsabilità in capo a per i fatti di cui alla Controparte_1 presente causa e, per l'effetto, rigettare la domande di parte attrice poichè infondate in fatto e in diritto;
- previo accertamento dell'esclusiva e/o comunque prevalente responsabilità del Sig. e di gestore Parte_2 CP_4 telefonico dell'utenza telefonica di parte attrice e/o dei beneficiari dei bonifici nella causazione del danno invocato, escludere o limitare il quantum liquidato a parte attrice nella misura che risulterà provata ed accertata in corso di causa. Con vittoria di competenze e spese di lite. In via istruttoria:
- si eccepisce l'inadempimento dell'onere della prova gravante su parte avversa. Si chiede sin d'ora che venga ordinata, ex art. 210 c.p.c., l'esibizione in giudizio a di tutta la documentazione relativa al cambio Sim dell'utenza del Sig. Rag. CP_4
” ; Parte_2
- si chiede l'ammissione della prova per testi sulle circostanze di cui in narrativa del presente atto, che preceduti da “vero che” devono intendersi separati capitoli di prova e si indica quale testimone il Sig. c/o DC SIST TRASFOR Testimone_5
DIGIT IMPRESE CORPORATE con sede in Corso Savona 58 - 10024 Moncalieri .”
RAGIONI IN FATTO ED IN DIRITTO DELLA DECISIONE
1. Con ricorso ex art. 281-decies c.p.c. depositato il 3 luglio 2024 il Parte_3
ha chiesto la condanna della al pagamento di € 29.360,34 e di €
[...] Controparte_1
1.935,60 (quest'ultimo importo pari alle spese sostenute per il procedimento svolto dinanzi all'Arbitro Bancario Finanziario conclusosi con decisione n. 11137/2023 del 16 novembre 2023), oltre interessi e rivalutazione monetaria, previo accertamento della responsabilità della banca per non aver impedito l'introduzione illecita da parte di terzi nel sistema telematico “Portale Internet Inbiz” tra il 30 novembre 2020 e il 2 dicembre 2020, nonché per aver illegittimamente riaddebitato la somma di € 29.360,34 in data 1 aprile 2021 sul conto corrente n. 1000/3721 intestato al . Parte_1
1.1. Con riferimento allo svolgimento dei fatti, il IO ha esposto che:
pagina 2 di 9 - , anche quale amministratore del ricorrente, aveva stipulato un contratto di utilizzo del Parte_2
Portale internet inbiz per la gestione di tutti i conti correnti intestati ai condomìni da lui amministrati, nonché per il conto corrente n. 1000/4121 utilizzato solamente per la propria attività professionale (doc. 6 di parte ricorrente); Con
- in data 2 dicembre 2020 , leggendo uno strano sms ricevuto da sullo smartphone Parte_2 dedicato al Portale internet inbiz, aveva appreso che il 30 novembre, per ragioni ignote, la SIM precedentemente associata al numero 3664871047 era stata bloccata (doc. 7 di parte ricorrente); Con
- si era così rivolto al referente della , , il quale gli aveva Parte_2 Testimone_2 comunicato che avrebbe provveduto a segnalare l'accaduto alla compagnia telefonica, procurando Con all'amministratore una nuova SIM e un nuovo numero telefonico, attivati da il 2 dicembre intorno alle ore 18:00;
- la sera del medesimo 2 dicembre 2020 aveva effettuato l'accesso all'app Intesa Sanpaolo Parte_2
Mobile utilizzando lo smartphone personale, accorgendosi che sul conto corrente per l'attività professionale n. 1000/4121 risultava un ammanco di circa € 29.360,34, a seguito di due disposizioni di bonifico da lui mai disposte, ciascuna dell'importo di € 14.970,34, in favore di (doc. 8 Persona_1 di parte ricorrente);
- il successivo 3 dicembre 2020, dunque, aveva riferito dell'ammanco sul predetto conto Parte_2 corrente alla responsabile della filiale di di viale Gran Sasso a Controparte_1 Pt_1 Testimone_3 la quale aveva provveduto prontamente a bloccare i codici di accesso al Portale internet inbiz e ad associare la nuova SIM, consegnando a i nuovi codici di accesso;
Parte_2
- il medesimo 3 dicembre 2020 aveva così effettuato l'accesso all'app Intesa Sanpaolo Parte_2 inbiz dallo smartphone dedicato con le nuove credenziali alla presenza della responsabile Tes_3
ed era venuto a conoscenza del fatto che nel lasso di tempo in cui la precedente SIM associata al
[...]
Portale internet inbiz era rimasta bloccata sui ventitré conti correnti collegati al predetto portale erano state disposte da ignoti ben quarantadue operazioni di bonifico per complessivi € 604.712,29, in favore di beneficiari sconosciuti, precisando che due di questi bonifici, uno dell'importo di € 14.390,00, l'altro dell'importo di € 14.970,34, erano stati disposti sul conto corrente n. 1000/3721 intestato al e Parte_1 contabilizzati il 1 dicembre 2020 (doc. 9 di parte ricorrente);
- il 4 dicembre 2020 aveva quindi presentato, in proprio e come amministratore dei Parte_2 condomìni coinvolti, denuncia-querela contro ignoti (doc. 10 di parte ricorrente), al fine di poter disconoscere le quarantadue disposizioni di modifico, mediante sottoscrizione dei moduli predisposti dalla responsabile (docc. 11-12 di parte ricorrente), evidenziando come dai controlli fosse Testimone_3 emerso che la maggior parte dei bonifici era stata ordinata con causali pressoché identiche per importi simili di poco inferiori a € 15.000,00 e che le somme erano state accreditate su conti in parte italiani, in parte esteri, con indicati come destinatari soggetti beneficiari per la prima volta di pagamenti disposti da quei conti;
- la banca, ricevuti i moduli di disconoscimento delle operazioni non autorizzate, aveva riaccreditato in data 10 dicembre 2020 le somme sia sul conto corrente di sia su quelli dei condomìni frodati;
Parte_2
- nei giorni successivi aveva appreso dalla responsabile che la banca Parte_2 Testimone_3 era riuscita a revocare in uscita sette dei quarantadue bonifici, recuperando un importo di € 104.772,00, poiché in alcuni casi i movimenti non erano andati a buon fine;
- mesi dopo, precisamente alla mezzanotte tra il 31 marzo 2021 e il 1° aprile 2021, improvvisamente la banca aveva proceduto in modo unilaterale e senza alcun preavviso allo storno di complessivi € 499.990,29, che lo stesso istituto di credito aveva riaccreditato sui conti correnti dopo il disconoscimento delle pagina 3 di 9 operazioni non autorizzate, ivi comprese, dunque, anche quelle inizialmente riaccreditate sul conto del
(doc. 13 di parte ricorrente); Parte_1
- a fronte dello storno, , in proprio e per tutti i condomìni frodati, incluso il IO Parte_2 odierno ricorrente, aveva proposto reclamo alla banca, sia direttamente con propria missiva del 31 marzo 2021 (doc. 14 di parte ricorrente), sia tramite lettera inviata dai legali di fiducia in data 15 aprile 2021 (doc. 15 di parte ricorrente), ricevendo tuttavia risposta di diniego di qualsivoglia responsabilità da parte dell'istituto di credito (doc. 16 di parte ricorrente);
- il 3 giugno 2021 il Pubblico Ministero, incaricato delle indagini preliminari, aveva chiesto e ottenuto dal GIP una proroga dei termini determinata proprio dalla loro complessità (doc. 17 di parte ricorrente); Con
- , dal canto suo, si era rivolto a , la quale con lettera del 4 ottobre 2021 gli aveva Parte_2 comunicato che la linea telefonica 3664871047 era stata bloccata in seguito a una segnalazione di smarrimento pervenuta al Servizio Assistenza Clienti da persona presentatasi come l'intestatario (doc. 18 di parte ricorrente);
- aveva incaricato l'ingegner esperto del settore informatico, di Parte_2 Testimone_4 svolgere ogni più opportuno accertamento tecnico sulla frode (doc. 19 di parte ricorrente);
- peraltro, un primo esame sulla rete informatica di era stato già svolto nell'immediatezza Parte_2 dei fatti, ossia già nel dicembre 2020 (doc. 20 di parte ricorrente);
- a seguito dello storno da parte della banca e del riscontro negativo dell'istituto di credito alla richiesta di restituzione delle medesime, in data 30 novembre 2022 aveva presentato autonomo reclamo (doc. 22 di parte ricorrente);
- successivamente, aveva proposto ricorso all'Arbitro Bancario Finanziario di , conclusosi con Pt_1 decisione n. 11137/2023, che aveva disposto a carico della banca il pagamento della somma di € 29.360,34 in favore del IO (docc. 1-2-23-24 di parte ricorrente);
- l'Arbitro Bancario Finanziario di aveva comunicato, tuttavia, il mancato adempimento da parte Pt_1 della banca al ricorrente, il quale per la proposizione del ricorso e per l'assistenza legale aveva intanto sostenuto spese pari a complessivi € 1.935,60 (docc. 25-26 di parte ricorrente); Per quanto concerne i profili di diritto, parte ricorrente:
- ha dedotto la violazione, da parte della della disciplina prevista dalla Direttiva UE Controparte_1
n. 2015/2366 (c.d. PSD2), come integrata dal Regolamento UE n. 2018/389 emanato dalla Commissione il 27 novembre 2017, cui nel nostro ordinamento ha dato attuazione il d.lgs. n. 11/2010, rilevando che i passaggi di autenticazione, i sistemi di monitoraggio degli accessi e gli strumenti di informazione al cliente non erano sufficientemente sicuri, adeguati e completi per impedire attacchi sussumibili nella fattispecie del c.d. SIM swap fraud;
- ha dedotto che in base all'art. 10, comma 2, del citato d.lgs. n. 11/2010 la responsabilità della banca è esclusa soltanto laddove la stessa sia in grado di provare la colpa grave del cliente, aggiungendo in proposito che, secondo la giurisprudenza, il rischio della causa ignota rimane sempre a carico dell'istituto di credito, poiché tale rischio è insito nella sua attività professionale e d'impresa e, di conseguenza, amministrabile con un costo sostenibile. 1.2. Si è costituita in giudizio la chiedendo il rigetto integrale del ricorso, Controparte_1 siccome infondato in fatto e in diritto. Preliminarmente, la società resistente ha chiesto la conversione del rito semplificato in ordinario, evidenziando, tra gli altri motivi, la necessità di chiamare in causa in garanzia impropria il gestore telefonico Con
, in quanto la sua condotta colposa aveva reso possibile l'illecito perpetratosi a danno del IO,
pagina 4 di 9 come del resto era emerso dalla lettera prodotta da parte ricorrente come documento n. 19, avente natura confessoria. La banca ha quindi eccepito che:
- il sistema adottato per prevenire frodi informatiche è assolutamente adeguato e all'avanguardia, in quanto le soluzioni di Internet banking e di gestione per la sicurezza delle informazioni del CP_5
è da anni certificato ISO/IEC 27001, standard che costituisce il riferimento internazionale per
[...] sicurezza nelle informazioni (docc. 2 e 5 di parte resistente), precisando in merito all'analisi dell'ingegner che l'attivazione dell'app della banca su un dispositivo differente da quello in uso al cliente non si Tes_4 può realizzare senza la cooperazione dello stesso cliente, il quale fornisce a chi effettua il c.d. “enrollment” il codice titolare, il codice pin e il codice OTS (cfr. doc. 6 di parte resistente);
- le operazioni oggetto d'esame si erano potute verificare, in quanto tutte e indistintamente erano state autorizzate dal disponente con il ripetuto e corretto inserimento non solo di user-id e password, bensì anche con l'autorizzazione di ogni singola operazione a mezzo di OTP virtuale sull'app Intesa Sanpaolo Mobile installata sul cellulare in possesso del cliente, nonché con il corretto inserimento di codici OTS, generati con specifico riguardo alle predette operazioni e inviati al numero di utenza telefonica certificata, come del resto emergerebbe dalle schermate dei vari passaggi di validazione e autorizzazione svolti dal cliente tramite l'app installata sul proprio smartphone associato (cfr. docc.
7-10 di parte resistente);
- l'importo era stato così correttamente riaddebitato, siccome il modulo di disconoscimento sottoscritto da espressamente prevedeva che qualora fosse stato successivamente dimostrato che le Parte_2 operazioni erano state autorizzate la banca aveva diritto di ottenere la restituzione dell'importo rimborsato in precedenza, dandone comunicazione all'intestatario del rapporto (docc. 11-12 di parte resistente);
- a , quale amministratore del IO, fosse addebitabile un rimprovero di colpa Parte_2 grave, poiché soltanto il 3 dicembre 2020 si era recato in banca per comprendere cosa fosse realmente successo, nonostante già in data 30 novembre 2020 avesse ricevuto il messaggio di blocco della sua linea telefonico richiesto da terzi tre giorni per verificare cosa fosse realmente accaduto a seguito del blocco della sua linea telefonica richiesto da terzi e nonostante il medesimo 30 novembre 2020 avesse ricevuto anche un messaggio dalla stessa banca (cfr. doc. 13 di parte resistente);
- la responsabilità dell'istituto di credito doveva essere esclusa, poiché l'art. 6, comma 2, del contratto Inbiz stabilisce che prima del momento in cui la segnalazione dell'uso non autorizzato delle credenziali è opponibile alla banca le conseguenze derivanti dall'utilizzo indebito delle credenziali sono a carico del e in quanto la circostanza che tale mole di operazioni provenisse dalla medesima utenza Parte_1 risultava del tutto giustificata, trattandosi dell'utenza professionale dell'amministratore;
- era configurabile, invece, la responsabilità in capo al gestore telefonico per aver omesso un CP_4 adeguato controllo sull'identità del soggetto richiedente il duplicato della SIM, consentendo così al truffatore di accedere allo spazio riservato all'effettivo titolare e ad effettuare le operazioni sui conti allo stesso intestati;
- in ogni caso, l'istituto di credito non sarebbe tenuto al rimborso delle spese relative al procedimento svoltosi dinnanzi all'Arbitro Bancario di Milano, rilevando come il IO avesse scelto arbitrariamente di esercitare tale opzione alternativa alla giustizia civile ed evidenziando che parte ricorrente non aveva nemmeno dimostrato di aver effettivamente sostenuto tali spese, producendo un mero conteggio. 1.3. Con ordinanza del 20 novembre 2024 a scioglimento della riserva assunta nella prima udienza del 19 novembre 2024, ritenuti insussistenti i presupposti per la conversione del rito da semplificato in ordinario, nonché per la chiamata in causa della rigettate le richieste di prova formulate dalle CP_4
pagina 5 di 9 parti, la causa è stata rinviata per la precisazione delle conclusioni. All'udienza del 12 febbraio 2025 la causa è stata trattenuta in decisione. 2. Orbene, la domanda proposta dal è fondata per le Parte_1 Parte_3 ragioni e nei limiti che seguono. Nel merito, il ha dedotto l'illegittimità del riaddebito della somma di € 29.360,34, alla Parte_1 luce della disciplina prevista dal d.lgs. n. 11/2010, che ha dato attuazione nel nostro ordinamento alla Direttiva UE n. 2015/2366 (c.d. PSD2), come integrata dal Regolamento UE n. 2018/389 emanato dalla Commissione europea il 27 novembre 2017. Per quanto maggiormente interessa ai fini della decisione, l'art. 10, comma 1, del decreto legislativo citato prevede che “[q]ualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”. Il successivo comma 2, poi, aggiunge che “l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento (…) non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più obblighi di cui all'art. 7”, essendo onere del prestatore di servizi proprio “fornire la prova della frode, del dolo o della colpa grave dell'utente”. Coerentemente con il dato normativo la prevalente giurisprudenza di legittimità e di merito ritiene che “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente” (così Cass. civ., sez. III, 12 febbraio 2024, n. 3780; cfr., tra le altre, Cass. civ., sez. VI, 26 novembre 2020, n. 26916; Tribunale di Benevento, sez. II, 11 ottobre 2023, n. 2012; Tribunale di Milano, sez. VI, 6 luglio 2018, n. 7644). Ebbene, nel caso di specie, non è oggetto di seria contestazione tra le parti che un soggetto terzo abbia effettuato, tramite il blocco temporaneo della SIM associata a , un illecito accesso al Parte_2 portale Intesa Sanpaolo inbiz con le credenziali dell'amministratore di condominio, eseguendo, tra le altre, due disposizioni di bonifico dal conto corrente del odierno ricorrente. Ciò, del resto, può Parte_1 ritenersi anche dimostrato documentalmente dalla pec del 4 ottobre 2021 inviata dal servizio clienti del gestore telefonico, il quale ha comunicato a che la linea 3664871047 è stata bloccata in Parte_2 seguito ad una segnalazione pervenuta al Servizio Assistenza Clienti il 30 novembre 2020 alle ore 14:11 da persona presentatasi come l'intestatario, fornendo i suoi dati anagrafici. Il IO ha osservato che i sistemi di sicurezza informatica della banca non si sono rivelati adeguati a prevenire e impedire la frode, evidenziando come la responsabilità della banca possa essere esclusa soltanto laddove risulti la colpa grave dell'utente. Dal canto suo, la ha invece giustificato il riaddebito delle somme sul presupposto Controparte_1 che le operazioni oggetto d'esame sarebbero state apparentemente autorizzate dal disponente con il ripetuto corretto inserimento delle credenziali e dei codici di accesso al portale, rilevando come ciò sia stato reso possibile da colpose condotte attive e omissive di . Parte_2
In particolare, sotto il primo profilo, la banca ha sostenuto che l'amministratore del aveva Parte_1 incautamente fornito a terzi i codici e gli strumenti necessari per operare, facendo affidamento su messaggi truffaldini. Tuttavia, tale allegazione appare generica ed è priva di supporto probatorio. Sul punto, la banca ha prodotto le schermate dell'estratto delle registrazioni effettuate e dei file riportanti i log di validazione delle credenziali relative all'utenza. Tali documenti, però, non dimostrano che abbia con Parte_2
pagina 6 di 9 colpa grave comunicato a terzi le proprie credenziali di accesso al portale da cui gestiva le movimentazioni dei conti correnti. Sotto il secondo profilo, parte resistente ha evidenziato come possa muoversi un rimprovero di colpa grave nei confronti dell'amministratore del IO per essersi lo stesso recato tardivamente presso la filiale della a seguito del blocco della linea telefonica. Segnatamente, a fronte di un Controparte_1 messaggio di blocco della SIM risalente al 30 novembre 2020, ad avviso della società resistente,
[...]
avrebbe atteso troppo tempo per comprendere cosa fosse realmente successo sui conti correnti Pt_2 di cui poteva disporre, recandosi in banca soltanto il 3 dicembre 2020, ossia tre giorni dopo la comunicazione del gestore telefonico. La stessa parte ricorrente ha ammesso che ha letto Parte_2 il 2 dicembre 2020 il messaggio di blocco della SIM ricevuto il 30 novembre 2020. Tuttavia, non appena letto il messaggio, l'amministratore del IO lo stesso 2 dicembre 2020 ha prontamente contattato il referente della , segnalando l'accaduto. Inoltre, dopo aver effettuato CP_4 Persona_2
l'accesso sull'app Intesa Sanpaolo Mobile dal proprio smartphone personale la sera dello stesso 2 dicembre 2020 ed essere venuto a conoscenza che sul proprio conto corrente per l'attività professionale n. 1000/4121 risultava un consistente ammanco, il giorno successivo si è recato in banca per comprenderne la motivazione, apprendendo delle disposizioni di bonifico anche dal conto corrente intestato al IO ricorrente. Pertanto, anche ad attribuire rilievo alla circostanza che abbia letto il Parte_2 messaggio di blocco della SIM due giorni dopo la sua ricezione, non sussistono gli estremi per qualificare la colpa dell'amministratore del IO come grave. A tale riguardo, occorre considerare come dalla notizia del blocco della SIM non possa immediatamente e automaticamente ipotizzabile l'illecita introduzione da parte di terzi nel portale di gestione dei conti correnti. In ogni caso, due giorni costituiscono un lasso di tempo piuttosto esiguo per configurare una condotta gravemente negligente da parte di . Alcuna rilevanza, poi, può attribuirsi al documento n. 13 di parte resistente, che Parte_2 dovrebbe dimostrare la trasmissione dalla banca a di due SMS, il primo in data 30 Parte_2 novembre 2020 e il secondo in data 1° dicembre 2020. Trattasi, infatti, di un documento di formazione unilaterale e privo di intestazione, in quanto tale intrinsecamente inidoneo a fornire adeguata prova del fatto. Posto che sulla base delle allegazioni, deduzioni e documenti prodotti in giudizio non risulta provata la colpa grave di , quale rappresentate legale del IO ricorrente, la responsabilità Parte_2 dell'istituto di credito non può parimenti ritenersi esclusa alla luce della clausola contenuta dall'art. 6, comma 2, del contratto, richiamato dalla difesa della Controparte_1
La norma contrattuale citata stabilisce che “[p]rima del momento in cui la segnalazione è opponibile alla Banca, le conseguenze derivanti dall'utilizzo indebito delle Credenziali sono integralmente a carico della Società” e deve essere letta insieme alla parte del comma 1, ove è previsto che “la segnalazione è opponibile alla Banca dal momento in cui essa comunica l'apposizione del blocco all'Utente”. La difesa di parte resistente ne deduce la validità sul presupposto che l'art. 2, comma 4, del d.lgs. n. 11/2010, qualora l'utente dei servizi di pagamento non sia consumatore, consente alle parti di convenire che gli artt. 3, commi 1, 4 e 5, 10, commi 1 e 2, 12, 12 bis, 13, 14, 17 e 25 non siano in tutto o in parte applicati. Tuttavia, in disparte la questione relativa alla possibilità di qualificare il IO come consumatore, la norma contrattuale invocata da parte resistente non contiene una deroga specifica alle suddette disposizioni del decreto legislativo. Invero, essa si presenta come una clausola che limita e, di fatto, addirittura esclude la responsabilità della banca, rimettendo a una scelta arbitraria di quest'ultima il momento dell'opponibilità della segnalazione e quindi il momento in cui far gravare sulla banca le conseguenze derivanti dall'utilizzo indebito delle credenziali. Pertanto, il combinato disposto del comma 1 e del comma 2 dell'art. 6 del contratto prevede clausole nulle. In ogni caso, preme evidenziare pagina 7 di 9 che soltanto l'art. 6, comma 1, del contratto risulta specificamente approvato per iscritto ai sensi dell'art. 1341, comma 2, c.c. e che, invece, il comma 2, privo di specifica approvazione, sarebbe comunque improduttivo di effetti in favore della banca. È del tutto irrilevante, poi, che i sistemi di informatici della banca fossero o meno sufficientemente sicuri per impedire l'accesso illecito da parte di terzi sul portale inbiz e le successive disposizioni di bonifico. Facendo applicazione del dato normativo, nonché dei principi espressi in merito da parte della giurisprudenza precedentemente richiamata, infatti, in assenza della prova della colpa grave dell'amministratore del IO la banca è responsabile per le autorizzazioni di pagamento negate e disconosciute, a prescindere dall'adeguatezza dei propri sistemi nelle fasi di autenticazione dell'utente e di monitoraggio delle operazioni. Del resto, come è stato correttamente osservato anche dalla più recente giurisprudenza di questo Tribunale, nel rapporto contrattuale che si configura in questi casi la posizione della banca non è ricostruibile tanto nei termini di un soggetto obbligato alla prestazione. È piuttosto da considerare che nell'ambito del modello organizzativo dell'home banking l'esecuzione di operazioni formalmente autorizzate dal sedicente titolare del conto corrente ma in realtà non consentite dal vero intestatario costituisce il rischio professionale tipico del prestatore di servizi di pagamento (cfr. Tribunale di Milano, sez. VI, 25 ottobre 2024, n. 9257, prodotta sub doc. 23 da parte ricorrente in allegato alla nota di deposito del 20 novembre 2024). In definitiva, la banca è tenuta al pagamento della somma di € 29.360,34, illegittimamente riaddebitata a carico del IO in data 1 aprile 2021, oltre interessi. Infine, va considerato che l'obbligazione di risarcimento del danno costituisce debito di valore, come tale quantificabile tenendo conto anche d'ufficio della svalutazione monetaria sopravvenuta fino alla data della liquidazione (cfr. tra le altre Cass., 25/02/2009 n. 4587; Cass., 27/06/2016 n. 13225). Ne consegue che l'importo di euro 29.360,34 va rivalutato all'attualità con decorrenza dal giorno dell'illecito (1 aprile 2021) e ammonta, applicando i corrispondenti indici ISTAT, ad euro 34.234,16. Sulla somma riconosciuta in favore del ricorrente sono inoltre dovuti gli interessi compensativi per la ritardata corresponsione dell'equivalente pecuniario del danno, posto che, nelle obbligazioni di valore, il debitore è in mora dal momento della produzione dell'evento di danno;
peraltro, avuto riguardo ai principi enunciati dalla sentenza n. 1712/1995 delle SS.UU. della Corte di Cassazione, al fine di evitare un lucro ingiustificato per il creditore, e per meglio rispettare la funzione compensativa dell'interesse legale riconosciuto sulla somma rivalutata, gli interessi devono essere calcolati non sulla somma rivalutata (o espressa in moneta attuale) al momento della liquidazione, né sulla somma originaria, ma debbono essere computati sulla somma originaria che via via si incrementa, a partire dal livello iniziale fino a quello finale, nei singoli periodi trascorsi. Recependo i principi di cui alla citata sentenza delle Sezioni Unite, appare congruo adottare, anche in applicazione del principio equitativo ex artt. 1226 e 2056 c.c., come criterio di risarcimento del pregiudizio da ritardato conseguimento della somma dovuta, tenuto conto della natura del danno, dell'arco temporale considerato e di tutte le circostanze accertate, quello degli interessi legali nella misura indicata dall'art. 1284, comma 1, c.c.. La banca va dunque condannata al pagamento in favore del ricorrente della somma di euro Parte_1
34.234,16, già rivalutata all'attualità, oltre interessi compensativi calcolati sulla somma devalutata alla data dell'illecito (1 aprile 2021), pari ad euro 29.360,34, via via rivalutata, anno per anno, secondo gli indici Istat e fino alla data odierna. Sugli importi come determinati all'attualità (euro 34.234,16) sono dovuti gli ulteriori interessi legali fino al saldo. 3. Anche con riferimento all'importo di € 1.935,60, richiesto per le spese di assistenza stragiudiziale sostenute per il procedimento dinanzi all'Arbitro Bancario Finanziario, il IO ha soddisfatto il pagina 8 di 9 proprio onere probatorio, avendo documentato il pagamento della somma € 20,00 per i diritti di segreteria ai fini dell'iscrizione del procedimento, producendo la relativa contabile di bonifico e avendo prodotto la fattura emessa dall'avvocato Maria Cristina Andreozzi per l'importo di € 1.915,60 per l'assistenza legale prestata dal professionista durante il giudizio davanti all'Arbitro Bancario Finanziario (cfr. doc. 25-26 del fascicolo di parte ricorrente). 4. Dalle considerazioni che precedono discende che la domanda proposta dal deve Parte_1 essere accolta e, conseguentemente, la banca deve essere condannata al pagamento della somma di euro 34.234,16, già rivalutata all'attualità, oltre interessi ex art. 1284, comma 1, c.c. con decorrenza dall'1 aprile 2021 al saldo, nonché al pagamento della somma di euro 1.935,60 quali spese di assistenza stragiudiziale. I rilievi sin qui svolti sono tali da assorbire ogni ulteriore contestazione o domanda proposte, evidenziandosi che i profili non espressamente esaminati sono stati ritenuti non rilevanti ai fini della decisione e comunque inidonei a supportare una valutazione di tipo diverso. 5. Le spese di lite seguono la soccombenza di parte resistente e vengono liquidate in dispositivo secondo i parametri di cui al D.M. n. 55/2014, come da ultimo aggiornati dal D.M. n. 147/2022, tenuto conto del valore della causa determinato ai sensi dell'art. 5 del predetto decreto, dell'attività effettivamente svolta (tenuto conto, in particolare, dell'assenza di attività svolte nella fase istruttoria, nonché in quella decisoria) e della complessità delle questioni esaminate.
P.Q.M.
Il Tribunale di Milano, in persona del giudice Ada Favarolo, definitivamente pronunciando sulla domanda proposta dal nei confronti di così Parte_4 Controparte_1 provvede: a. condanna al pagamento, in favore del Controparte_1 Parte_4
, sia dell'importo di 34.234,16, oltre interessi, secondo i criteri indicati in motivazione, ai sensi
[...] dell'art. 1284, comma 1, c.c. con decorrenza dall'1 aprile 2021 al saldo, nonché al pagamento dell'ulteriore somma di euro 1.935,60; b. condanna al pagamento, in favore del Controparte_1 Parte_4
, delle spese di giudizio, che liquida in € 545,00 per spese vive e in € 2.905,00 per compensi, oltre al
[...]
15% per spese generali, CPA e IVA come per legge. Così deciso a Milano, in data 14 marzo 2024
Il giudice Ada Favarolo
pagina 9 di 9