TRIB
Sentenza 13 marzo 2025
Sentenza 13 marzo 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Napoli, sentenza 13/03/2025, n. 2592 |
|---|---|
| Giurisdizione : | Trib. Napoli |
| Numero : | 2592 |
| Data del deposito : | 13 marzo 2025 |
Testo completo
RG. 1296\2021
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di NAPOLI
II SEZIONE CIVILE
Il Tribunale, nella persona del Giudice dott. Roberta Guardasole ha pronunciato la seguente
SENTENZA nella causa civile iscritta al n. r.g. 1296\2021 promossa da:
(C.F. , in persona del legale rappresentante p.t., Controparte_1 P.IVA_1 rappresentata e difesa dall'Avv. Alessandro Abbondandolo, giusta procura alle liti allegata all'atto di citazione, domiciliata in Napoli, alla Via Gen. G. Orsini, n. 46;
ATTRICE contro
(C.F. , in persona del legale rappresentante Controparte_2 P.IVA_2
p.t., rappresentata e difesa dall'Avv. Enrico Minervini giusta procura alle liti allegata alla comparsa di costituzione e risposta, domiciliata in Napoli, alla Via Riviera di Chiaia, n. 168;
CONVENUTA
e
(C.F. , in persona del legale rappresentante Controparte_3 P.IVA_3
p.t., rappresentata e difesa dall'Avv. Gianluca Stanzione giusta procura alle liti allegata alla comparsa di costituzione e risposta, domiciliata in Napoli, alla Via ANta Lucia, n. 15;
TERZA CHIAMATA IN CAUSA
1 CONCLUSIONI
Le parti hanno concluso come da note scritte depositate all'udienza del 13.12.2024 e memorie conclusionali e di replica.
Concisa esposizione delle ragioni di fatto e di diritto della decisione
Con atto di citazione ritualmente notificato in data 11.01.2021, evocava in Controparte_1 giudizio la al fine di sentir dichiarare la responsabilità contrattuale Controparte_2 della convenuta banca per la violazione delle disposizioni in materia di servizi di pagamento nel mercato interno (d. lgs. 11/2010) e, per l'effetto, ottenere la restituzione della somma di
€ 48.500,00 sottratti all'istante a seguito di un ordine di bonifico fraudolentemente disposto da altri.
A sostegno della domanda, la deduceva le seguenti circostanze in fatto: a) di Controparte_1 essere titolare del c.c. 100000003750 acceso presso l'Agenzia Napoli 90 dell'Istituito convenuto;
b) che in data 24.10.2019 il telefono cellulare di , legale Persona_1 rappresentante della società attrice – autorizzato per ciò ad operare sul suddetto c.c.- subiva un apparente guasto, non riuscendo più a raggiungere la rete telefonica, né la rete mobile internet;
c) che riuscendo ugualmente ad effettuare accesso all'app della Banca, il Per_1 si avvedeva che ignoti, alle ore 18:14 del medesimo giorno, avevano introdotto un ordine di bonifico per € 48.500,00, intestato ad un certo;
d) che contattato il call Persona_2 center della alle ore 23.30 del medesimo giorno veniva invitato a rivolgersi in filiale al Pt_1 mattino seguente per procedere al recall del bonifico, e) che il giorno 25.10.2019 recatosi in filiale veniva attivata la procedura di recall;
e) che sporgeva, altresì, querela contro ignoti presso il Commissariato di P.S. di Napoli-Pianura (v. doc. n. 2 fascicolo parte attrice); f) che la attrice non si vedeva restituire quanto fraudolentemente sottratto, né riceveva copia degli atti che dimostrassero l'iter del procedimento recall effettuato dalla a tal fine. Pt_1
All'esito di tale ricostruzione in fatto, deduceva la violazione dell'art. 12, comma 1, del d.lgs. n. 11/2010 per cui “l'utente non sopporta alcuna perdita derivante dall'utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente” e che, dunque, la Controparte_2 avrebbe dovuto immediatamente ripristinare la provvista in conto corrente, ovvero bloccare il bonifico ed impedire l'effettivo trasferimento illecito dei fondi. In ragione di quanto detto, concludeva per la dichiarazione di inadempimento della e per la Pt_1 condanna della convenuta alla restituzione della somma di € 48.500,00 oltre interessi di legge e rivalutazione monetaria. Il tutto con vittoria delle spese del presente giudizio, da distrarre in favore del procuratore antistatario.
2 Si costituiva in giudizio la contestando tutte le domande attoree in Controparte_2 fatto ed in diritto.
Preliminarmente, eccepiva la improcedibilità della azione giudiziale, atteso il mancato esperimento del procedimento di mediazione obbligatoria. Precisava, in punto di fatto, che dalla querela sporta dal si evinceva una condotta negligente dello stesso, giacché Per_1 venendo indirizzato ad una pagina internet presumibilmente fittizia nel tentativo di aggiornare l'app di , forniva egli stesso codice utente e PIN per l'accesso al conto CP_2 corrente online, nonché numero di telefono (utenza 3478155435), divenendo incauta vittima di un riuscito tentativo di phishing, a cui seguiva un SIM Swap. Rappresentava, così, che anche per la disattenzione della compagnia telefonica del , la Per_1 Controparte_3
veniva fornita al truffatore un duplicato in sostituzione della SIM Card detenuta dal
[...]
, così consentendogli l'accesso al conto e di completare l'ordine di pagamento Per_1 fraudolento. Aggiungeva, poi, che la procedura c.d. di recall della somma portata dal bonifico per cui è causa veniva, a seguito dell'ordine di blocco di pagamento impartito dal
, rigettata in quanto il conto del destinatario del bonifico Per_1 Persona_2 veniva sottoposto a sequestro da parte dell'autorità giudiziaria. Dichiarava, pertanto, di voler chiamare in causa, ai sensi dell'art. 106 c.p.c., la e concludeva Controparte_3 per sentir dichiarare improcedibile ex art. 5, comma 1-bis, del d.lgs. 4 marzo 2010, n. 28, come successivamente modificato, il presente giudizio;
in subordine dichiarare inammissibili in rito, ed infondate nel merito, tutte le domande, di merito ed istruttorie, formulate dalla e per l'effetto Controparte_1
Controparte_ rigettarle;
in subordine in ipotesi di accoglimento delle domande formulate dalla condannare la a corrispondere quanto dovuto per il risarcimento del danno alla Controparte_3 Controparte_1
e mandare assolta la da ogni corrispondente pretesa risarcitoria;
in subordine in Controparte_2
Controparte_ ipotesi di accoglimento delle domande formulate dalla condannare la Controparte_3
a manlevare, rivalere e tenere indenne la di quanto fosse condannata a corrispondere Controparte_2 alla per il risarcimento del danno, e per l'effetto condannare la a Controparte_1 Controparte_3 pagare alla quanto questa fosse condannata a corrispondere alla con Controparte_2 Controparte_1 gli interessi e la rivalutazione monetaria;
in ogni caso condannare la e/o la Controparte_1 Controparte_3 al pagamento delle spese di lite, gravate del rimborso spese generali, dell'IVA e del contributo CPA
[...] come per legge.
Autorizzata la chiamata in causa della terza con comparsa del 26.07.2021 si costituiva in giudizio la eccependo preliminarmente l'improcedibilità della Controparte_3 domanda per omesso esperimento della mediazione ai sensi dell'art. 5, comma 1bis, d. lgs.
28/2010; rappresentava, poi, che in fase di sostituzione di una scheda SIM la compagnia telefonica non è in grado di sapere se il numero telefonico venga utilizzato per servizi di
3 home banking e che i contratti telefonici non prevedono alcuna forma di responsabilità da parte dell'operatore telefonico in caso di frodi tramite app.
Aggiungeva, altresì, che seguiva spontaneamente la procedura truffaldina Persona_1 fornendo le proprie informazioni personali e che la Banca ES ANLO S.p.a. era parimenti negligente in ordine all'utilizzo di contromisure tecnologiche inadatte a bloccare tempestivamente attacchi informatici come quelli del caso di specie. Concludeva, così, chiedendo in via preliminare: Accertare e dichiarare la improcedibilità della domanda attorea per omesso esperimento del tentativo obbligatorio di mediazione ex D.Lgs 28/2010. In via principale: Rigettare tutte le domande proposte nei confronti di , perché infondate in fatto ed in diritto ed in ogni Controparte_3 caso non provate. In via subordinata: per i motivi esposti in narrativa, nella denegata e non creduta ipotesi in cui dovesse essere ritenuta una qualche responsabilità da parte di in relazione agli asseriti CP_3 danni lamentati dall'attrice: a) accertare e dichiarare ai sensi dell'art. 1227 c.c. la partecipazione colposa totale, ovvero parziale, dell'attrice e di Banca ES ANLO Spa nella causazione dei pretesi danni dalla stessa asseritamente patiti, e/o evitabili usando l'orinaria diligenza, e, per l'effetto, anche per quanto detto in narrativa, rigettare le domande;
b) nella non creduta ipotesi in cui fosse, eventualmente, CP_3 chiamata a corrispondere all'attrice e/o ad altra parte processuale, qualsivoglia somma a titolo di indennizzo e/o risarcimento danni ovvero nella denegata ipotesi di accoglimento totale e/o parziale delle domande dell'attrice e/o altra parte processuale, accertare e dichiarare l'esclusiva responsabilità di Banca
ES ANLO Spa, in persona del legale rappresentante pro tempore, in ordine ai fatti per cui è causa, tenendo assolta/indenne da qualsivoglia pronuncia pregiudizievole ovvero, a titolo di garanzia CP_3
e/o manleva, tenuta Banca ES ANLO Spa, in persona del legale rappresentante pro tempore, a pagare e/o restituire a quanto eventualmente quest'ultima fosse condannata a corrispondere CP_3 all'attrice e/o ad altra parte processuale ovvero, a titolo di ripetizione e/o rivalsa e/o regresso, tenuta Banca
ES ANLO Spa, in persona del legale rappresentante pro tempore, a pagare e/o restituire a CP_3 quanto eventualmente quest'ultima fosse condannata a corrispondere all'attrice e/o ad altra parte processuale, il tutto oltre interessi. Il tutto con vittoria delle spese del presente giudizio, con attribuzione al procuratore antistatario.
All'udienza del 3.06.2022 la causa veniva riservata in decisione e, con ordinanza del
10.9.2022, veniva rimessa la suddetta sul ruolo al fine di ricostruire sotto un profilo tecnico l'evento per cui è causa mediante consulenza tecnica d'ufficio. Il ctu veniva autorizzato ad acquisire da la tracciatura informatica in formato excel, e da la Controparte_2 Controparte_3 documentazione relativa al cambio SIM, con ordine rivolto a ex art. 210 c.p.c. e Controparte_3 con ordine a di consegnare al ctu lo SMS ricevuto il 24.10.2019, all'origine della CP_1 vicenda (vd. verbale udienza 14.10.2022).
4 Depositata la perizia, formulata dal precedente magistrato proposta conciliativa ex art 185 bis c.p.c. in mancanza di adesione da parte della le parti alla nuova udienza CP_3 cartolare del 13.12.2024 rassegnavano nuovamente le conclusioni come da note di trattazione scritta anche alla luce della circostanza sopravvenuta rappresentata dalla restituzione all' attrice da parte di della somma di euro 21.844,00 a Controparte_4 seguito della definizione del giudizio penale a carico dell'autore del bonifico non autorizzato e dissequestro del conto del predetto da parte del la Controparte_5 causa veniva riservata in decisione con i termini di legge ex art 190 c.p.c.
Preliminarmente, va ritenuta procedibile la domanda spiegata dalla avendo la Controparte_1 stessa dato esecuzione alla mediazione obbligatoria ai sensi dell'art. 5, comma 1 bis, del d. lgs 28/2010 di cui al verbale prot. n. ADR-2021-000173 depositato agli atti, procedura conclusasi con esito negativo.
È opportuno, passando al merito della causa, individuare la qualificazione giuridica in cui vanno sussunti i fatti di causa.
Le disposizioni normative in tema di gestione dei servizi bancari di pagamento si rinvengono nel d.lgs. n. 11/2010 emanato in recepimento della direttiva europea
2007/64/CE, cd. PSD - Payment Services Directive, poi modificato dal d.lgs 218/2017
(entrato in vigore il 13.01.2018) in attuazione della cd. direttiva PSD2.
La normativa si pone l'obiettivo di favorire l'utilizzo e la diffusione degli strumenti di pagamento diversi dal contante tramite un sostanziale innalzamento dei livelli di sicurezza delle operazioni, delineando gli obblighi di comportamento a carico dell'intermediario e dell'utente, il regime di responsabilità e l'allocazione del rischio in caso di operazioni fraudolente.
Le disposizioni maggiormente rilevanti sono le seguenti:
L'art. 7 che delinea quelli che sono gli obblighi a carico dell'utente ovvero l'utilizzo in conformità al contratto degli strumenti di pagamento, la tempestiva comunicazione alla banca in caso di smarrimento, furto, appropriazione indebita o uso non autorizzato dello strumento, l'adozione di misure idonee a garantire la sicurezza e l'adeguata custodia dei dispositivi in dotazione;
L'art. 8 che descrive invece gli obblighi a carico del prestatore del servizio. In particolare, va sottolineata la necessità di assicurare che i dispositivi “non siano accessibili a soggetti diversi dall'utilizzatore legittimato ad usare lo strumento”, fatti salvi i doveri di custodia previsti dall'art. 7 cit.
La è quindi tenuta ad adottare le misure più idonee, alla luce dello sviluppo Pt_1 tecnologico, necessarie per impedire l'utilizzo abusivo dello strumento di pagamento.
5 Per innalzare i livelli di sicurezza e chiarire gli obblighi minimi a carico dei prestatori dei servizi la direttiva PSD2, n. 2015/2366/UE, recepita dall'Italia con d.lgs. 218/2017 (entrato in vigore il 13 gennaio 2018 ed applicabile, secondo la disciplina transitoria descritta dall'art. 6 del citato decreto legislativo, anche ai rapporti contrattuali pendenti e quindi anche al caso in esame) ha introdotto la cd. “autenticazione forte” del cliente (Strong Customer
Authentication - SCA). Si tratta di una procedura per convalidare l'identificazione di un utente basata sull'uso di due o più elementi di autenticazione (cd. "autenticazione a due fattori"), appartenenti ad almeno due categorie tra le seguenti:
- conoscenza (qualcosa che solo l'utente conosce, come una password o un PIN);
- possesso (qualcosa che solo l'utente possiede, come un token/chiavetta, o uno smartphone);
- inerenza (qualcosa che caratterizza l'utente, come l'impronta digitale o il riconoscimento facciale).
Questi elementi devono essere indipendenti tra loro, in modo che un'eventuale violazione di uno di essi non comprometta l'affidabilità degli altri.
Chiariti gli obblighi in capo alle parti, l'art. 10 individua i criteri di ripartizione dell'onere probatorio e dei rischi.
A fronte dell'allegazione da parte dell'utilizzatore che una determinata operazione di pagamento sia stata eseguita, il prestatore del servizio è tenuto a fornire la prova “che
l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
Anche qualora il prestatore offra tale prova non va per sé solo esente da responsabilità.
Infatti, il secondo comma prevede che “l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7”.
In altri termini, ancorché il prestatore dimostri che l'operazione è stata autorizzata nel rispetto delle procedure di autenticazione previste dalla banca, e che quindi sia giuridicamente imputabile all'utente, da tale circostanza non si può direttamente inferire che sia quest'ultimo a versare in colpa grave.
L'art. 10, letto in combinato disposto con l'art. 10 bis del D. Lgs. n. 11 del 2010, consente, dunque, di affermare che l'implementazione di un sistema di autenticazione cd. forte non può assurgere al rango di prova liberatoria, stante la riconducibilità nel rischio di impresa
6 assunto dalla banca dei danni che all'utente derivino da operazioni (soltanto in apparenza) regolarmente registrate e, successivamente, disconosciute dal cliente.
Si giunge, per tal via, ad allocare in capo al prestatore di servizi un onere della prova che risulta tipizzato, atteso che l'effetto liberatorio per la banca convenuta potrà discendere esclusivamente dalla prova che il cliente (e non altri) abbia agito in modo fraudolento o si sia rivelato inadempiente a uno o più degli obblighi di cui all'art. 7 del D. Lgs. n. 11 del
2010 sulla base di una condotta sorretta da dolo o colpa grave.
Non si può pertanto ritenere che la pressoché totale invulnerabilità del sistema di autenticazione forte a “due fattori” sia tale di per sé a fondare la presunzione di una colpa grave in capo al cliente, in assenza di altri elementi di prova.
Tenuto conto che la condotta tenuta dal cliente è una circostanza non agevolmente dimostrabile dalla perché ricade nella sola sfera di conoscenza dell'utente, si può Pt_1 tuttavia ritenere che, seppure l'adozione dell'intermediario di valide ed efficaci misure di sicurezza non costituisca di per sé una prova liberatoria, eleva tuttavia il livello delle allegazioni richieste al cliente, al fine di rendere adeguatamente verosimile il carattere fraudolento dell'operazione (in questo senso ex multis, ABF, Coll. Napoli, decisione 27 marzo 2013, n. 172).
Nell'ipotesi in cui all'esito del giudizio non emergano tuttavia in maniera chiara le modalità fraudolente (cd. rischio da ignoto tecnologico), sulla base della ripartizione dell'onere probatorio, la responsabilità ricadrà comunque sulla Pt_1
Ciò è conforme alla regola di ripartizione di responsabilità posta dall'art. 10 e alla ratio legis risultando equo oltreché economicamente efficiente, anche al fine di promuovere negli utenti la fiducia nell'utilizzo degli strumenti di pagamento elettronici, ricondurre nell'area del rischio professionale del PSP i casi di utilizzo fraudolento degli strumenti di pagamento non riconducibili al dolo o alla colpa del titolare, né ad una grave carenza dei presidi di sicurezza predisposti dall'intermediario.
La è infatti, è in grado, molto più che il singolo utente, di valutare la dimensione del Pt_1 rischio al fine non solo di adottare i presidi di sicurezza più evoluti ed efficaci per contenerlo, ma anche per tradurlo in un costo economicamente sostenibile (stipulando ad esempio contratti di assicurazione).
In questi termini si è espressa la giurisprudenza di legittimità che, dopo aver ricondotto la fattispecie nell'alveo della responsabilità contrattuale, ha affermato che “in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure 7 destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente” (Cass. 16417/2022; Cass. 9158/2018; Cass. 2959/2017).
Ciò premesso la documentazione offerta e le risultanze istruttorie complessive consentono di affermare che la vicenda in esame origina da una truffa phishing (rectius, SMSishing), a cui seguiva una truffa SIM Swap.
Le truffe così articolate si caratterizzano per l'utilizzo fraudolento di strumenti elettronici di pagamento, a cui, successivamente, si associa il furto di identità telefonica che consente un aggiramento del sistema di autenticazione a doppio fattore, laddove questo sia attuato mediante invio della password (OTP) tramite SMS (cd. OTS) giacché il codice OTP viene ricevuto da chi ha fraudolentemente sottratto l'identità telefonica ottenendo una nuova
Sim.
Depone in questo senso la documentazione prodotta in giudizio.
Invero, quanto alla circostanza che l'attore sia stato vittima di phishing si desume inequivocabilmente dal contenuto della querela sporta dallo stesso presso il Commissariato di P.S. di Napoli-Pianura ( allegata dall'attore) nel corpo della quale ha dichiarato “ nella mattinata del 24.10.2019 utilizzavo il mio cellulare nel tentativo di aggiornare la app ES AN LO , presumibilmente fittizia, nella quale mi veniva indicato di inserire il codice utente ed il pin per l'accesso al conto corrente on line, ed il mio numero telefonico, eseguivo quanto richiesto e la pagina mi indicava il successo della operazione”, tali dichiarazioni hanno valore confessorio, a ciò si aggiunga che la tracciatura applicativa prodotta dalla al CTU in fase di indagine non ha Controparte_2 evidenziato alcun invio di sms da parte di ES AN LO riferibile al messaggio di aggiornamento dell'app contente il link che ha dato luogo alla truffa.
Quanto alla circostanza che a seguito della diffusione delle generalità l'attore sia stato vittima anche di una truffa Sim Swap lo si desume dalle dichiarazioni rese nella querela in ordine all' impossibilità di raggiungere la rete telefonica e la rete mobile internet nella stessa giornata in cui gli veniva richiesto di fornire le proprie credenziali tramite il falso SMS, nonché la documentazione relativa alla richiesta di sostituzione della SIM prodotta dalla ovvero il modulo-istanza di sostituzione (mancante di codice fiscale, luogo di CP_3 nascita e timbro del rivenditore autorizzato) e la patente contraffatta. La tracciatura prodotta da ES AN LO ha poi evidenziato l'invio tramite sms alla utenza “ clonata”
8 dei codici OTS necessari ad autorizzare il bonifico per cui è causa nonché ulteriore invio di sms contenete altro codice OTS in ragione della segnalata operazione sospetta per essere l'accesso al conto avvenuto da un indirizzo ip diverso da quello collegato al conto ( ulteriore elemento di rafforzamento della tutela del correntista).
Così ricostruita la vicenda fattuale che ha dato origine al bonifico non autorizzato dal ricorrente, ritiene il Tribunale, che ricorrano nel caso in esame, gli elementi richiesti dalla normativa precedentemente analizzata ed applicabile al caso de quo ai fini dell'esonero di responsabilità dell'istituto di credito.
Ed invero risulta documentato dalla produzione del certificato Uni Cei (cfr. doc. lettera i) memorie ex art 183 comma Vi c.p.c. della convenuta) oltre che acclarato dal CTU che adotti un sistema di autenticazione forte a più fattori e, dunque, Controparte_2 idoneo ai sensi della direttiva Payment Services Directive 2 (v. e pagg. 10 e 11 perizia agli atti) a prevenire possibili truffe, sempre il CTU dall'analisi della tracciatura prodotta da
ES AN LO ha riscontrato che il sistema di pagamento on line ha correttamente funzionato e non vi sono stati malfunzionamenti, che vi è stata l'autenticazione, la corretta registrazione e la contabilizzazione della operazione disconosciuta.
Se è vero che tale circostanza, per quanto sopra detto, non sia di per sé sufficiente ad escludere la responsabilità dell'intermediario in ipotesi di disconoscimento dell'operazione,
l'istruttoria condotta ha consentito di appurare che l'operazione non autorizzata ha avuto corso per l'incauta custodia delle credenziali di identificazione, a cui si aggiunge un furto di identità.
Ora, se rispetto al furto di identità può non configurarsi nei confronti della società attrice una colpa grave, tale colpa è configurabile in relazione alla incauta custodia dei dati personali conseguenti alla diffusione degli stessi in ragione della condotta attiva consiste nell'avere cliccato il link ricevuto tramite un sms solo apparentemente riferibile all'intermediario e costituente una riconoscibile truffa phishing.
A tal fine non può non evidenziarsi come oggi, a seguito della diffusione di tali tipologie di truffe, costituisca dato consolidato che gli intermediari in nessun caso sollecitino l'aggiornamento delle credenziali di accesso all'app bancaria di riferimento fuori dall'app stessa con invio di sms, onde la sola circostanza che tale richiesta sia pervenuta all'attore tramite sms e fuori dal circuito dell'app avrebbe dovuto insospettirlo a maggior ragione che trattasi di soggetto qualificato abituato ad operare sul conto on line trattandosi del legale rappresentate di una società avvezzo a tali modalità di gestione del conto corrente.
Né vale obiettarsi che il messaggio è stato indirizzato direttamente nella cartella degli sms riferibili all'ES AN LO, atteso che la modalità di conservazione dei messaggi in
9 cartelle compresse anziché separatamente costituisce una valutazione personale dell'utente e non una conseguenza necessaria dell'operato dell'intermediario. Quanto poi alla eccezione formulata dall'attore che il predetto messaggio conteneva il link che rinviava all'indirizzo ip di ES AN LO, trattasi di circostanza indimostrata attesa la mancata produzione del messaggio da parte dello stesso e che il CTU in termini probabilistici ritiene di escludere.
Appare chiaro, quindi, che l'operazione fraudolenta, mai autorizzata dal Per_1 personalmente, veniva resa possibile attraverso l'uso abusivo delle credenziali fornite dal legale rappresentante della società attrice rese disponibili dal comportamento negligente ed imprudente del danneggiato il quale ha digitato i propri codici personali selezionando il link ricevuto via SMS in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto dello stesso.
In definitiva, l'incauta custodia dei dati ceduti dal mediante la riconoscibile truffa Per_1 di SMSishing ha determinato l'aggiramento del sistema di autenticazione forte dell'istituto bancario, nel quale si è inserita la truffa di Sim swap non riconducibile alla Banca, ma ad una incauta condotta della compagnia telefonica.
Occorre infatti sottolineare diversamente da quanto sostenuto dalla Controparte_3 che la stessa, ovvero i propri dealer erano tenuti ad una identificazione formale dei clienti - in occasione di richiesta di sostituzione della Sim precedentemente acquistata.
In relazione all'obbligo di identificazione dei clienti anche per la sola sostituzione della Sim,
l'art. 1, comma 46, l. n. 124/2017 ( applicabile ratione temporis al momento della truffa 2019) statuisce che “al fine di semplificare le procedure di migrazione tra operatori di telefonia mobile e le procedure per l'integrazione di SIM card aggiuntive o per la sostituzione di SIM card richieste da utenti già clienti di un operatore, con decreto del , di concerto con il Ministero dello sviluppo Controparte_6 economico, da adottare entro sei mesi dalla data di entrata in vigore della presente legge, sono previste misure per l'identificazione in via indiretta del cliente, anche utilizzando il sistema pubblico dell'identità digitale previsto dall' art. 64 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n.
82, e successive modificazioni, in modo da consentire che la richiesta di migrazione e di integrazione di SIM card e di tutte le operazioni ad essa connesse possano essere svolte per via telematica” sicché la ratio di tale intervento normativo, ossia semplificare le modalità di identificazione del cliente nelle operazioni di migrazione, integrazione o sostituzione della SIM, trova un antecedente logico necessario nell'esistenza di un dovere in capo agli operatori telefonici di provvedere all'identificazione del cliente in occasione delle operazioni menzionate.
Proprio la rilevanza del suddetto dovere ha determinato l'AGCOM all'emanazione della
Delibera n. 86/21/CR dell'8 luglio 2021 (a cui fa riferimento la negli scritti CP_3
10 difensivi), che, seppur ratione temporis non applicabile alla fattispecie in discorso, ha ulteriormente rafforzato l'obbligo già esistente in capo ai gestori dei servizi di telefonia quanto meno in termine di correttezza buona fede di identificare gli utenti.
[... Ne consegue che, per quanto esposto, il Tribunale non può accogliere la domanda della nei confronti di avente ad oggetto la restituzione della Parte_2 Controparte_2 somma di cui al bonifico fraudolento.
Altresì, non può essere esaminata la domanda con la quale l'istituto di credito convenuto ha chiesto di essere manlevato dalla compagnia telefonica giacché Controparte_3 spiegata soltanto in via subordinata e dunque assorbita nel rigetto della domanda attorea.
Sul punto preme precisare che l'attrice non ha convenuto in giudizio la Controparte_3
e solo nella comparsa conclusionale ne chiede la condanna. La domanda, pertanto, è
[...] tardiva e non ha pregio di essere esaminata.
Quanto alle spese di lite la peculiarità della materia del contendere giustifica l'integrale compensazione delle stesse.
PQM
Il Tribunale di Napoli, definitivamente pronunziando, ogni altra istanza respinta o disattesa, così provvede:
1. rigetta la domanda attorea;
2. compensa le spese di lite.
Napoli, 13.03.2025
Il Giudice
Dott.ssa Roberta Guardasole
11
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di NAPOLI
II SEZIONE CIVILE
Il Tribunale, nella persona del Giudice dott. Roberta Guardasole ha pronunciato la seguente
SENTENZA nella causa civile iscritta al n. r.g. 1296\2021 promossa da:
(C.F. , in persona del legale rappresentante p.t., Controparte_1 P.IVA_1 rappresentata e difesa dall'Avv. Alessandro Abbondandolo, giusta procura alle liti allegata all'atto di citazione, domiciliata in Napoli, alla Via Gen. G. Orsini, n. 46;
ATTRICE contro
(C.F. , in persona del legale rappresentante Controparte_2 P.IVA_2
p.t., rappresentata e difesa dall'Avv. Enrico Minervini giusta procura alle liti allegata alla comparsa di costituzione e risposta, domiciliata in Napoli, alla Via Riviera di Chiaia, n. 168;
CONVENUTA
e
(C.F. , in persona del legale rappresentante Controparte_3 P.IVA_3
p.t., rappresentata e difesa dall'Avv. Gianluca Stanzione giusta procura alle liti allegata alla comparsa di costituzione e risposta, domiciliata in Napoli, alla Via ANta Lucia, n. 15;
TERZA CHIAMATA IN CAUSA
1 CONCLUSIONI
Le parti hanno concluso come da note scritte depositate all'udienza del 13.12.2024 e memorie conclusionali e di replica.
Concisa esposizione delle ragioni di fatto e di diritto della decisione
Con atto di citazione ritualmente notificato in data 11.01.2021, evocava in Controparte_1 giudizio la al fine di sentir dichiarare la responsabilità contrattuale Controparte_2 della convenuta banca per la violazione delle disposizioni in materia di servizi di pagamento nel mercato interno (d. lgs. 11/2010) e, per l'effetto, ottenere la restituzione della somma di
€ 48.500,00 sottratti all'istante a seguito di un ordine di bonifico fraudolentemente disposto da altri.
A sostegno della domanda, la deduceva le seguenti circostanze in fatto: a) di Controparte_1 essere titolare del c.c. 100000003750 acceso presso l'Agenzia Napoli 90 dell'Istituito convenuto;
b) che in data 24.10.2019 il telefono cellulare di , legale Persona_1 rappresentante della società attrice – autorizzato per ciò ad operare sul suddetto c.c.- subiva un apparente guasto, non riuscendo più a raggiungere la rete telefonica, né la rete mobile internet;
c) che riuscendo ugualmente ad effettuare accesso all'app della Banca, il Per_1 si avvedeva che ignoti, alle ore 18:14 del medesimo giorno, avevano introdotto un ordine di bonifico per € 48.500,00, intestato ad un certo;
d) che contattato il call Persona_2 center della alle ore 23.30 del medesimo giorno veniva invitato a rivolgersi in filiale al Pt_1 mattino seguente per procedere al recall del bonifico, e) che il giorno 25.10.2019 recatosi in filiale veniva attivata la procedura di recall;
e) che sporgeva, altresì, querela contro ignoti presso il Commissariato di P.S. di Napoli-Pianura (v. doc. n. 2 fascicolo parte attrice); f) che la attrice non si vedeva restituire quanto fraudolentemente sottratto, né riceveva copia degli atti che dimostrassero l'iter del procedimento recall effettuato dalla a tal fine. Pt_1
All'esito di tale ricostruzione in fatto, deduceva la violazione dell'art. 12, comma 1, del d.lgs. n. 11/2010 per cui “l'utente non sopporta alcuna perdita derivante dall'utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente” e che, dunque, la Controparte_2 avrebbe dovuto immediatamente ripristinare la provvista in conto corrente, ovvero bloccare il bonifico ed impedire l'effettivo trasferimento illecito dei fondi. In ragione di quanto detto, concludeva per la dichiarazione di inadempimento della e per la Pt_1 condanna della convenuta alla restituzione della somma di € 48.500,00 oltre interessi di legge e rivalutazione monetaria. Il tutto con vittoria delle spese del presente giudizio, da distrarre in favore del procuratore antistatario.
2 Si costituiva in giudizio la contestando tutte le domande attoree in Controparte_2 fatto ed in diritto.
Preliminarmente, eccepiva la improcedibilità della azione giudiziale, atteso il mancato esperimento del procedimento di mediazione obbligatoria. Precisava, in punto di fatto, che dalla querela sporta dal si evinceva una condotta negligente dello stesso, giacché Per_1 venendo indirizzato ad una pagina internet presumibilmente fittizia nel tentativo di aggiornare l'app di , forniva egli stesso codice utente e PIN per l'accesso al conto CP_2 corrente online, nonché numero di telefono (utenza 3478155435), divenendo incauta vittima di un riuscito tentativo di phishing, a cui seguiva un SIM Swap. Rappresentava, così, che anche per la disattenzione della compagnia telefonica del , la Per_1 Controparte_3
veniva fornita al truffatore un duplicato in sostituzione della SIM Card detenuta dal
[...]
, così consentendogli l'accesso al conto e di completare l'ordine di pagamento Per_1 fraudolento. Aggiungeva, poi, che la procedura c.d. di recall della somma portata dal bonifico per cui è causa veniva, a seguito dell'ordine di blocco di pagamento impartito dal
, rigettata in quanto il conto del destinatario del bonifico Per_1 Persona_2 veniva sottoposto a sequestro da parte dell'autorità giudiziaria. Dichiarava, pertanto, di voler chiamare in causa, ai sensi dell'art. 106 c.p.c., la e concludeva Controparte_3 per sentir dichiarare improcedibile ex art. 5, comma 1-bis, del d.lgs. 4 marzo 2010, n. 28, come successivamente modificato, il presente giudizio;
in subordine dichiarare inammissibili in rito, ed infondate nel merito, tutte le domande, di merito ed istruttorie, formulate dalla e per l'effetto Controparte_1
Controparte_ rigettarle;
in subordine in ipotesi di accoglimento delle domande formulate dalla condannare la a corrispondere quanto dovuto per il risarcimento del danno alla Controparte_3 Controparte_1
e mandare assolta la da ogni corrispondente pretesa risarcitoria;
in subordine in Controparte_2
Controparte_ ipotesi di accoglimento delle domande formulate dalla condannare la Controparte_3
a manlevare, rivalere e tenere indenne la di quanto fosse condannata a corrispondere Controparte_2 alla per il risarcimento del danno, e per l'effetto condannare la a Controparte_1 Controparte_3 pagare alla quanto questa fosse condannata a corrispondere alla con Controparte_2 Controparte_1 gli interessi e la rivalutazione monetaria;
in ogni caso condannare la e/o la Controparte_1 Controparte_3 al pagamento delle spese di lite, gravate del rimborso spese generali, dell'IVA e del contributo CPA
[...] come per legge.
Autorizzata la chiamata in causa della terza con comparsa del 26.07.2021 si costituiva in giudizio la eccependo preliminarmente l'improcedibilità della Controparte_3 domanda per omesso esperimento della mediazione ai sensi dell'art. 5, comma 1bis, d. lgs.
28/2010; rappresentava, poi, che in fase di sostituzione di una scheda SIM la compagnia telefonica non è in grado di sapere se il numero telefonico venga utilizzato per servizi di
3 home banking e che i contratti telefonici non prevedono alcuna forma di responsabilità da parte dell'operatore telefonico in caso di frodi tramite app.
Aggiungeva, altresì, che seguiva spontaneamente la procedura truffaldina Persona_1 fornendo le proprie informazioni personali e che la Banca ES ANLO S.p.a. era parimenti negligente in ordine all'utilizzo di contromisure tecnologiche inadatte a bloccare tempestivamente attacchi informatici come quelli del caso di specie. Concludeva, così, chiedendo in via preliminare: Accertare e dichiarare la improcedibilità della domanda attorea per omesso esperimento del tentativo obbligatorio di mediazione ex D.Lgs 28/2010. In via principale: Rigettare tutte le domande proposte nei confronti di , perché infondate in fatto ed in diritto ed in ogni Controparte_3 caso non provate. In via subordinata: per i motivi esposti in narrativa, nella denegata e non creduta ipotesi in cui dovesse essere ritenuta una qualche responsabilità da parte di in relazione agli asseriti CP_3 danni lamentati dall'attrice: a) accertare e dichiarare ai sensi dell'art. 1227 c.c. la partecipazione colposa totale, ovvero parziale, dell'attrice e di Banca ES ANLO Spa nella causazione dei pretesi danni dalla stessa asseritamente patiti, e/o evitabili usando l'orinaria diligenza, e, per l'effetto, anche per quanto detto in narrativa, rigettare le domande;
b) nella non creduta ipotesi in cui fosse, eventualmente, CP_3 chiamata a corrispondere all'attrice e/o ad altra parte processuale, qualsivoglia somma a titolo di indennizzo e/o risarcimento danni ovvero nella denegata ipotesi di accoglimento totale e/o parziale delle domande dell'attrice e/o altra parte processuale, accertare e dichiarare l'esclusiva responsabilità di Banca
ES ANLO Spa, in persona del legale rappresentante pro tempore, in ordine ai fatti per cui è causa, tenendo assolta/indenne da qualsivoglia pronuncia pregiudizievole ovvero, a titolo di garanzia CP_3
e/o manleva, tenuta Banca ES ANLO Spa, in persona del legale rappresentante pro tempore, a pagare e/o restituire a quanto eventualmente quest'ultima fosse condannata a corrispondere CP_3 all'attrice e/o ad altra parte processuale ovvero, a titolo di ripetizione e/o rivalsa e/o regresso, tenuta Banca
ES ANLO Spa, in persona del legale rappresentante pro tempore, a pagare e/o restituire a CP_3 quanto eventualmente quest'ultima fosse condannata a corrispondere all'attrice e/o ad altra parte processuale, il tutto oltre interessi. Il tutto con vittoria delle spese del presente giudizio, con attribuzione al procuratore antistatario.
All'udienza del 3.06.2022 la causa veniva riservata in decisione e, con ordinanza del
10.9.2022, veniva rimessa la suddetta sul ruolo al fine di ricostruire sotto un profilo tecnico l'evento per cui è causa mediante consulenza tecnica d'ufficio. Il ctu veniva autorizzato ad acquisire da la tracciatura informatica in formato excel, e da la Controparte_2 Controparte_3 documentazione relativa al cambio SIM, con ordine rivolto a ex art. 210 c.p.c. e Controparte_3 con ordine a di consegnare al ctu lo SMS ricevuto il 24.10.2019, all'origine della CP_1 vicenda (vd. verbale udienza 14.10.2022).
4 Depositata la perizia, formulata dal precedente magistrato proposta conciliativa ex art 185 bis c.p.c. in mancanza di adesione da parte della le parti alla nuova udienza CP_3 cartolare del 13.12.2024 rassegnavano nuovamente le conclusioni come da note di trattazione scritta anche alla luce della circostanza sopravvenuta rappresentata dalla restituzione all' attrice da parte di della somma di euro 21.844,00 a Controparte_4 seguito della definizione del giudizio penale a carico dell'autore del bonifico non autorizzato e dissequestro del conto del predetto da parte del la Controparte_5 causa veniva riservata in decisione con i termini di legge ex art 190 c.p.c.
Preliminarmente, va ritenuta procedibile la domanda spiegata dalla avendo la Controparte_1 stessa dato esecuzione alla mediazione obbligatoria ai sensi dell'art. 5, comma 1 bis, del d. lgs 28/2010 di cui al verbale prot. n. ADR-2021-000173 depositato agli atti, procedura conclusasi con esito negativo.
È opportuno, passando al merito della causa, individuare la qualificazione giuridica in cui vanno sussunti i fatti di causa.
Le disposizioni normative in tema di gestione dei servizi bancari di pagamento si rinvengono nel d.lgs. n. 11/2010 emanato in recepimento della direttiva europea
2007/64/CE, cd. PSD - Payment Services Directive, poi modificato dal d.lgs 218/2017
(entrato in vigore il 13.01.2018) in attuazione della cd. direttiva PSD2.
La normativa si pone l'obiettivo di favorire l'utilizzo e la diffusione degli strumenti di pagamento diversi dal contante tramite un sostanziale innalzamento dei livelli di sicurezza delle operazioni, delineando gli obblighi di comportamento a carico dell'intermediario e dell'utente, il regime di responsabilità e l'allocazione del rischio in caso di operazioni fraudolente.
Le disposizioni maggiormente rilevanti sono le seguenti:
L'art. 7 che delinea quelli che sono gli obblighi a carico dell'utente ovvero l'utilizzo in conformità al contratto degli strumenti di pagamento, la tempestiva comunicazione alla banca in caso di smarrimento, furto, appropriazione indebita o uso non autorizzato dello strumento, l'adozione di misure idonee a garantire la sicurezza e l'adeguata custodia dei dispositivi in dotazione;
L'art. 8 che descrive invece gli obblighi a carico del prestatore del servizio. In particolare, va sottolineata la necessità di assicurare che i dispositivi “non siano accessibili a soggetti diversi dall'utilizzatore legittimato ad usare lo strumento”, fatti salvi i doveri di custodia previsti dall'art. 7 cit.
La è quindi tenuta ad adottare le misure più idonee, alla luce dello sviluppo Pt_1 tecnologico, necessarie per impedire l'utilizzo abusivo dello strumento di pagamento.
5 Per innalzare i livelli di sicurezza e chiarire gli obblighi minimi a carico dei prestatori dei servizi la direttiva PSD2, n. 2015/2366/UE, recepita dall'Italia con d.lgs. 218/2017 (entrato in vigore il 13 gennaio 2018 ed applicabile, secondo la disciplina transitoria descritta dall'art. 6 del citato decreto legislativo, anche ai rapporti contrattuali pendenti e quindi anche al caso in esame) ha introdotto la cd. “autenticazione forte” del cliente (Strong Customer
Authentication - SCA). Si tratta di una procedura per convalidare l'identificazione di un utente basata sull'uso di due o più elementi di autenticazione (cd. "autenticazione a due fattori"), appartenenti ad almeno due categorie tra le seguenti:
- conoscenza (qualcosa che solo l'utente conosce, come una password o un PIN);
- possesso (qualcosa che solo l'utente possiede, come un token/chiavetta, o uno smartphone);
- inerenza (qualcosa che caratterizza l'utente, come l'impronta digitale o il riconoscimento facciale).
Questi elementi devono essere indipendenti tra loro, in modo che un'eventuale violazione di uno di essi non comprometta l'affidabilità degli altri.
Chiariti gli obblighi in capo alle parti, l'art. 10 individua i criteri di ripartizione dell'onere probatorio e dei rischi.
A fronte dell'allegazione da parte dell'utilizzatore che una determinata operazione di pagamento sia stata eseguita, il prestatore del servizio è tenuto a fornire la prova “che
l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
Anche qualora il prestatore offra tale prova non va per sé solo esente da responsabilità.
Infatti, il secondo comma prevede che “l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7”.
In altri termini, ancorché il prestatore dimostri che l'operazione è stata autorizzata nel rispetto delle procedure di autenticazione previste dalla banca, e che quindi sia giuridicamente imputabile all'utente, da tale circostanza non si può direttamente inferire che sia quest'ultimo a versare in colpa grave.
L'art. 10, letto in combinato disposto con l'art. 10 bis del D. Lgs. n. 11 del 2010, consente, dunque, di affermare che l'implementazione di un sistema di autenticazione cd. forte non può assurgere al rango di prova liberatoria, stante la riconducibilità nel rischio di impresa
6 assunto dalla banca dei danni che all'utente derivino da operazioni (soltanto in apparenza) regolarmente registrate e, successivamente, disconosciute dal cliente.
Si giunge, per tal via, ad allocare in capo al prestatore di servizi un onere della prova che risulta tipizzato, atteso che l'effetto liberatorio per la banca convenuta potrà discendere esclusivamente dalla prova che il cliente (e non altri) abbia agito in modo fraudolento o si sia rivelato inadempiente a uno o più degli obblighi di cui all'art. 7 del D. Lgs. n. 11 del
2010 sulla base di una condotta sorretta da dolo o colpa grave.
Non si può pertanto ritenere che la pressoché totale invulnerabilità del sistema di autenticazione forte a “due fattori” sia tale di per sé a fondare la presunzione di una colpa grave in capo al cliente, in assenza di altri elementi di prova.
Tenuto conto che la condotta tenuta dal cliente è una circostanza non agevolmente dimostrabile dalla perché ricade nella sola sfera di conoscenza dell'utente, si può Pt_1 tuttavia ritenere che, seppure l'adozione dell'intermediario di valide ed efficaci misure di sicurezza non costituisca di per sé una prova liberatoria, eleva tuttavia il livello delle allegazioni richieste al cliente, al fine di rendere adeguatamente verosimile il carattere fraudolento dell'operazione (in questo senso ex multis, ABF, Coll. Napoli, decisione 27 marzo 2013, n. 172).
Nell'ipotesi in cui all'esito del giudizio non emergano tuttavia in maniera chiara le modalità fraudolente (cd. rischio da ignoto tecnologico), sulla base della ripartizione dell'onere probatorio, la responsabilità ricadrà comunque sulla Pt_1
Ciò è conforme alla regola di ripartizione di responsabilità posta dall'art. 10 e alla ratio legis risultando equo oltreché economicamente efficiente, anche al fine di promuovere negli utenti la fiducia nell'utilizzo degli strumenti di pagamento elettronici, ricondurre nell'area del rischio professionale del PSP i casi di utilizzo fraudolento degli strumenti di pagamento non riconducibili al dolo o alla colpa del titolare, né ad una grave carenza dei presidi di sicurezza predisposti dall'intermediario.
La è infatti, è in grado, molto più che il singolo utente, di valutare la dimensione del Pt_1 rischio al fine non solo di adottare i presidi di sicurezza più evoluti ed efficaci per contenerlo, ma anche per tradurlo in un costo economicamente sostenibile (stipulando ad esempio contratti di assicurazione).
In questi termini si è espressa la giurisprudenza di legittimità che, dopo aver ricondotto la fattispecie nell'alveo della responsabilità contrattuale, ha affermato che “in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure 7 destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente” (Cass. 16417/2022; Cass. 9158/2018; Cass. 2959/2017).
Ciò premesso la documentazione offerta e le risultanze istruttorie complessive consentono di affermare che la vicenda in esame origina da una truffa phishing (rectius, SMSishing), a cui seguiva una truffa SIM Swap.
Le truffe così articolate si caratterizzano per l'utilizzo fraudolento di strumenti elettronici di pagamento, a cui, successivamente, si associa il furto di identità telefonica che consente un aggiramento del sistema di autenticazione a doppio fattore, laddove questo sia attuato mediante invio della password (OTP) tramite SMS (cd. OTS) giacché il codice OTP viene ricevuto da chi ha fraudolentemente sottratto l'identità telefonica ottenendo una nuova
Sim.
Depone in questo senso la documentazione prodotta in giudizio.
Invero, quanto alla circostanza che l'attore sia stato vittima di phishing si desume inequivocabilmente dal contenuto della querela sporta dallo stesso presso il Commissariato di P.S. di Napoli-Pianura ( allegata dall'attore) nel corpo della quale ha dichiarato “ nella mattinata del 24.10.2019 utilizzavo il mio cellulare nel tentativo di aggiornare la app ES AN LO , presumibilmente fittizia, nella quale mi veniva indicato di inserire il codice utente ed il pin per l'accesso al conto corrente on line, ed il mio numero telefonico, eseguivo quanto richiesto e la pagina mi indicava il successo della operazione”, tali dichiarazioni hanno valore confessorio, a ciò si aggiunga che la tracciatura applicativa prodotta dalla al CTU in fase di indagine non ha Controparte_2 evidenziato alcun invio di sms da parte di ES AN LO riferibile al messaggio di aggiornamento dell'app contente il link che ha dato luogo alla truffa.
Quanto alla circostanza che a seguito della diffusione delle generalità l'attore sia stato vittima anche di una truffa Sim Swap lo si desume dalle dichiarazioni rese nella querela in ordine all' impossibilità di raggiungere la rete telefonica e la rete mobile internet nella stessa giornata in cui gli veniva richiesto di fornire le proprie credenziali tramite il falso SMS, nonché la documentazione relativa alla richiesta di sostituzione della SIM prodotta dalla ovvero il modulo-istanza di sostituzione (mancante di codice fiscale, luogo di CP_3 nascita e timbro del rivenditore autorizzato) e la patente contraffatta. La tracciatura prodotta da ES AN LO ha poi evidenziato l'invio tramite sms alla utenza “ clonata”
8 dei codici OTS necessari ad autorizzare il bonifico per cui è causa nonché ulteriore invio di sms contenete altro codice OTS in ragione della segnalata operazione sospetta per essere l'accesso al conto avvenuto da un indirizzo ip diverso da quello collegato al conto ( ulteriore elemento di rafforzamento della tutela del correntista).
Così ricostruita la vicenda fattuale che ha dato origine al bonifico non autorizzato dal ricorrente, ritiene il Tribunale, che ricorrano nel caso in esame, gli elementi richiesti dalla normativa precedentemente analizzata ed applicabile al caso de quo ai fini dell'esonero di responsabilità dell'istituto di credito.
Ed invero risulta documentato dalla produzione del certificato Uni Cei (cfr. doc. lettera i) memorie ex art 183 comma Vi c.p.c. della convenuta) oltre che acclarato dal CTU che adotti un sistema di autenticazione forte a più fattori e, dunque, Controparte_2 idoneo ai sensi della direttiva Payment Services Directive 2 (v. e pagg. 10 e 11 perizia agli atti) a prevenire possibili truffe, sempre il CTU dall'analisi della tracciatura prodotta da
ES AN LO ha riscontrato che il sistema di pagamento on line ha correttamente funzionato e non vi sono stati malfunzionamenti, che vi è stata l'autenticazione, la corretta registrazione e la contabilizzazione della operazione disconosciuta.
Se è vero che tale circostanza, per quanto sopra detto, non sia di per sé sufficiente ad escludere la responsabilità dell'intermediario in ipotesi di disconoscimento dell'operazione,
l'istruttoria condotta ha consentito di appurare che l'operazione non autorizzata ha avuto corso per l'incauta custodia delle credenziali di identificazione, a cui si aggiunge un furto di identità.
Ora, se rispetto al furto di identità può non configurarsi nei confronti della società attrice una colpa grave, tale colpa è configurabile in relazione alla incauta custodia dei dati personali conseguenti alla diffusione degli stessi in ragione della condotta attiva consiste nell'avere cliccato il link ricevuto tramite un sms solo apparentemente riferibile all'intermediario e costituente una riconoscibile truffa phishing.
A tal fine non può non evidenziarsi come oggi, a seguito della diffusione di tali tipologie di truffe, costituisca dato consolidato che gli intermediari in nessun caso sollecitino l'aggiornamento delle credenziali di accesso all'app bancaria di riferimento fuori dall'app stessa con invio di sms, onde la sola circostanza che tale richiesta sia pervenuta all'attore tramite sms e fuori dal circuito dell'app avrebbe dovuto insospettirlo a maggior ragione che trattasi di soggetto qualificato abituato ad operare sul conto on line trattandosi del legale rappresentate di una società avvezzo a tali modalità di gestione del conto corrente.
Né vale obiettarsi che il messaggio è stato indirizzato direttamente nella cartella degli sms riferibili all'ES AN LO, atteso che la modalità di conservazione dei messaggi in
9 cartelle compresse anziché separatamente costituisce una valutazione personale dell'utente e non una conseguenza necessaria dell'operato dell'intermediario. Quanto poi alla eccezione formulata dall'attore che il predetto messaggio conteneva il link che rinviava all'indirizzo ip di ES AN LO, trattasi di circostanza indimostrata attesa la mancata produzione del messaggio da parte dello stesso e che il CTU in termini probabilistici ritiene di escludere.
Appare chiaro, quindi, che l'operazione fraudolenta, mai autorizzata dal Per_1 personalmente, veniva resa possibile attraverso l'uso abusivo delle credenziali fornite dal legale rappresentante della società attrice rese disponibili dal comportamento negligente ed imprudente del danneggiato il quale ha digitato i propri codici personali selezionando il link ricevuto via SMS in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto dello stesso.
In definitiva, l'incauta custodia dei dati ceduti dal mediante la riconoscibile truffa Per_1 di SMSishing ha determinato l'aggiramento del sistema di autenticazione forte dell'istituto bancario, nel quale si è inserita la truffa di Sim swap non riconducibile alla Banca, ma ad una incauta condotta della compagnia telefonica.
Occorre infatti sottolineare diversamente da quanto sostenuto dalla Controparte_3 che la stessa, ovvero i propri dealer erano tenuti ad una identificazione formale dei clienti - in occasione di richiesta di sostituzione della Sim precedentemente acquistata.
In relazione all'obbligo di identificazione dei clienti anche per la sola sostituzione della Sim,
l'art. 1, comma 46, l. n. 124/2017 ( applicabile ratione temporis al momento della truffa 2019) statuisce che “al fine di semplificare le procedure di migrazione tra operatori di telefonia mobile e le procedure per l'integrazione di SIM card aggiuntive o per la sostituzione di SIM card richieste da utenti già clienti di un operatore, con decreto del , di concerto con il Ministero dello sviluppo Controparte_6 economico, da adottare entro sei mesi dalla data di entrata in vigore della presente legge, sono previste misure per l'identificazione in via indiretta del cliente, anche utilizzando il sistema pubblico dell'identità digitale previsto dall' art. 64 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n.
82, e successive modificazioni, in modo da consentire che la richiesta di migrazione e di integrazione di SIM card e di tutte le operazioni ad essa connesse possano essere svolte per via telematica” sicché la ratio di tale intervento normativo, ossia semplificare le modalità di identificazione del cliente nelle operazioni di migrazione, integrazione o sostituzione della SIM, trova un antecedente logico necessario nell'esistenza di un dovere in capo agli operatori telefonici di provvedere all'identificazione del cliente in occasione delle operazioni menzionate.
Proprio la rilevanza del suddetto dovere ha determinato l'AGCOM all'emanazione della
Delibera n. 86/21/CR dell'8 luglio 2021 (a cui fa riferimento la negli scritti CP_3
10 difensivi), che, seppur ratione temporis non applicabile alla fattispecie in discorso, ha ulteriormente rafforzato l'obbligo già esistente in capo ai gestori dei servizi di telefonia quanto meno in termine di correttezza buona fede di identificare gli utenti.
[... Ne consegue che, per quanto esposto, il Tribunale non può accogliere la domanda della nei confronti di avente ad oggetto la restituzione della Parte_2 Controparte_2 somma di cui al bonifico fraudolento.
Altresì, non può essere esaminata la domanda con la quale l'istituto di credito convenuto ha chiesto di essere manlevato dalla compagnia telefonica giacché Controparte_3 spiegata soltanto in via subordinata e dunque assorbita nel rigetto della domanda attorea.
Sul punto preme precisare che l'attrice non ha convenuto in giudizio la Controparte_3
e solo nella comparsa conclusionale ne chiede la condanna. La domanda, pertanto, è
[...] tardiva e non ha pregio di essere esaminata.
Quanto alle spese di lite la peculiarità della materia del contendere giustifica l'integrale compensazione delle stesse.
PQM
Il Tribunale di Napoli, definitivamente pronunziando, ogni altra istanza respinta o disattesa, così provvede:
1. rigetta la domanda attorea;
2. compensa le spese di lite.
Napoli, 13.03.2025
Il Giudice
Dott.ssa Roberta Guardasole
11