N.R.G. 74042/2019
RE A PU BBLICA ITA^LI
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO DI ROMA
SEZIONE XVI CIVILE
Il Giudice, in persona della dott.ssa Enrica Ciocca, ha pronunciato la seguente
SENTENZA nel procedimento civile di I grado iscritto al n. 74042/2019 del Ruolo Generale degli Affari
Civili, promosso da:
'nata a [...] il [...], residente Parte 1 C.F. ' C.F. 1
in Roma alla via Luigi Bodio n. 33, rappresentata e difesa dall'Avv. Laura Torroni, elettivamente domiciliata presso il suo studio professionale in Roma alla via Alessandria n.
130, giusta delega depositata in via telematica unitamente all'atto di citazione
ATTRICE
contro
Controparte 1 ^C.^F. P.^IVA 1 con sede legale in Roma alla via Venti Settembre n.
,
30, iscritta all'Albo delle Banche al n. 5578, Capogruppo del Gruppo Bancario CP 1
iscritto all'Albo dei Gruppi Bancari al n. 3263.1, in persona del legale rappresentante pro tempore, rappresentata e difesa dall'Avv. Benedetto Gargani e dall'Avv. Guido Gargani, elettivamente domiciliata presso il loro studio professionale in Roma al viale di Villa Grazioli
n. 15, giusta delega depositata in via telematica unitamente alla comparsa di costituzione e risposta
CONVENUTA
nonché
,nato a [...] il [...], residente in _2 C.F. C.F. 2 '
Londra al Flat 3 Bryher Court, Sancroft Street SE115UQ, rappresentato e difeso dall'Avv.
Valentina Valle, elettivamente domiciliato presso il suo studio professionale in Udine alla via
Mantova n. 86, giusta procura depositata in via telematica unitamente alla comparsa di costituzione e risposta
TERZO CHIA MATO

OGGETTO: Art. 2050- Responsabilità intermediario e dell'Istituto di credito
CONCLUSIONI DELLE PARTI
PARTE ATTRICE: "Voglia l'Ill.mo Tribunale adito, rigettata ogni avversa istanza, deduzione ed eccezione: accertare e dichiarare la responsabilità, ai sensi dell'art. 2050 c.c. di
[...] per le circostanze dedotte nell'atto di citazione;
Controparte_3 Controparte_3 convenuto al pagamento dell'importo di Euro 5.464,08 di cui pitale ed Euro 1.066,00 a titolo di interessi al tasso del 3,03% Euro 4.398,00 come previsto dal contratto di deposito, oltre quelli successivi fino all'effettivo soddisfo, nonché al risarcimento dei danni, patiti e patendi, dalla sig.ra Parte_1 ^da ^valutarsi ⁱn ^via equitativa all'esito dell'esperita istruttoria. Con vittoria di spese ed onorari”.
Controparte 1 r^ichiamandoPARTE CONVENUTA: "con le presenti note, pertanto, tutto quanto eccepito ed argomentato nei propri, prece tendersi qui integralmente richiamati e trascritti - precisa le conclusioni richiamando quelle della propria memoria ex art. 183, sesto comma, n. 1 c.p.c. depositata in atti ed insiste per il rigetto delle domande avversarie".
Nella memoria ex art. 183 comma VI n. 2 c.p.c. conclude: "Salvo ampliare ed illustrare, si chiede che l'Ecc.mo Tribunale Voglia: dichiarare inammissibili e/o, comunque, rigettare tutte le domande attrici, incluse quelle risarcitorie, in quanto infondate, in fatto ed in diritto, attesa anche la responsabilità esclusiva della istante nella causazione dei danni lamentati;

- in ogni caso, nella denegata ipotesi di soccombenza (anche parziale) ed in accoglimento della CP 2 domanda di manleva proposta dalla esponente, condannare il sig. Controparte_1 da ogni pretesa attore^manlevare e ^tenere ^indenne mma, a nessun titolo escluso, che la banca condanna del predetto alla re fosse eventualmente tenuta a pagare in favore della parte attrice, nella ipotesi di accoglimento delle domande dalla medesima formulate;

- alla luce delle difese spese dal sig.
,accertare che la chiamata in causa di terzo _2 notificata da Controparte_1 stata effettuata a causa della rappresentazione 1 sig. _2 operata dall' ie, per l'effetto condannare la sig.ra Parte_1 corsi da ogni somma - anche a titolo di a manlevare e tenere indenne Controparte_1
o di risarcimento per lite tem o Giudice dovesse eventualmente riconoscere al sig. CP 2 ; competenze ed onorari".
- con
TERZO CHIA MATO: "Piaccia al Tribunale Illustrissimo - disattesa ogni avversa deduzione eccezione ed istanza, rifiutato ogni allargamento di contraddittorio - così giudicare: In via preliminare in rito: preso atto della sentenza di assoluzione, resa ex art. 530 comma 1 c.p.p., n. 232/2019 della Corte d'Appello di Trieste, nel procedimento penale n. 7254/2014 R.G.N.R. Procura della Repubblica presso il Tribunale di Udine, revocare l'autorizzazione alla chiamata in causa del terzo per carenza del requisito della comunanza di causa ed estromettere il sig. CP 2 dalla presente controversia;
in via preliminaron to: alla luce del tenore della comparsa di costituzione e risposta della ON , dichiarare la nullità della chiamata in causa del Terzo ex art. 164 comma
4 c.p.c. per om ne e/o assoluta incertezza degli elementi individuatori della domanda rivolta al terzo chiamato e ciò ex art. 163, comma 3, nn. 3 e 4 c.p.c. dai fatti dedotti in causa in via principale, nel merito: accertare l'estraneità del sig. CP 2 dall'Attrice e l'assenza di qualsivoglia responsabilità in causazione degli stessi;
_2 per le quindi rigettare ogni domanda proposta nei confronti del sig. motivazioni ampiamente dedotte in narrativa, e ciò anche pre manda dell'Attrice in quanto infondata in fatto e in diritto, generica nella sua richiesta, oltre ad esser prescritto il diritto al risarcimento del danno per trattamento illecito dei dati personali ex art. 2050 c.c., come richiesto dall'Attrice; Con in via subordinata: nel caso di condanna della al pagamento di qualsivoglia somma in CP 2 dai fatti dedotti in causa favore dell'Attrice, accertare l'estraneità del Con la causazione degli stessi;
dall'Attrice e l'assenza di qualsivoglia responsabilità canche previo accertamento quindi dichiarare che nulla è dovuto dal sig. allaCP 2 allo stato assolutamente dell'intervenuta prescrizione di qualsivoglia tato incerto;
in ogni caso: stante il giudicato esistente tra l'Attrice e il Terzo chiamato (sentenza irrevocabile di assoluzione, come pronunciata dalla Corte d'Appello di Trieste) accertare la condotta omissiva dell'Attrice nella rappresentazione del fatto quale danno al sig. _2
e condannare ex art. 96 c.p.c. il risarcimento del danno patito dal sig. CP 2 equitativa per la sua chiamata in causa quale Terzo;
in ogni caso: spese di lite (competenze, maggiorazione per spese generali e accessori di legge) 'come allegati, interamente rifusi. e ulteriori costi sostenuti dal sig. CP 2 a e produzione nei termini di legge e in particolare In via istruttoria: ci si riserva og delle memorie ex art. 183 comma 6 nn. 1, 2 e 3 c.p.c.".
MOTIVI DI FATTO E DI DIRITTO DELLA DECISIONE
1.- Con atto di citazione notificato in data 8/11/2019 Parte 1 conveniva in giudizio avanti ^all'^intestato ^Tribunale ^la ^società Controparte_1 in persona del legale rappresentante pro tempore, esponendo in fatto:
Con
- di aver sottoscritto in data 25.8.2011 presso la filiale di Napoli della il contratto di conto deposito n. 0705000307;
- di essersi avveduta in data 17.9.2011 che il 5.9.2011 era stato effettuato, tramite il conto deposito n. 0705000307, un bonifico non autorizzato di € 4.398,00 in favore di tal [...]
CP 2
- che, con lettere raccomandate A-R del 23.9.2011 e del 26.9.2011, la correntista aveva informato di quanto sopra esposto la CP 1 la quale aveva negato il rimborso richiesto, affermando che la sola responsabile della suindicata operazione bancaria era la correntista;
che in data 17.11.2011 e 10.12.2011 la correntista aveva sporto denuncia-querela presso la stazione dei Carabinieri di Eboli e il 2.12.2011 aveva proposto ricorso all'Arbitro Bancario
Finanziario di Napoli, che aveva ritenuto insussistente qualsiasi profilo di responsabilità dell'odierna convenuta;

- che il 19.1.2017 il Tribunale di Trieste - Ufficio GUP, all'esito del procedimento avente ad i fatti sopra esposti, in cui la correntista si era costituita parte civile, aveva emesso la sentenza n. 36/2017, con cui era stato accertato il diritto di Parte 1 di ottenere il risarcimento del danno patito in dipendenza del reato di cui all'art. 648 c.p.;
- che, in base agli accertamenti compiuti in sede penale, era risultato evidente che gli accessi al sistema di home banking della correntista fossero avvenuti abusivamente e con modalità fraudolente, in quanto la CP 1 non aveva adottato idonee misure di sicurezza.
Tanto premesso, l'attrice concludeva chiedendo di accertare e dichiarare la responsabilità ex art. 2050 c.c. della convenuta, di cui chiedeva, quindi, la condanna al pagamento in proprio favore della somma di € 5.464,08 (€ 4.398,00 a titolo di sorte capitale ed € 1.066,00 a titolo di interessi come pattuiti alla sottoscrizione del contratto del 25.8.2011 nella misura del 3,03%), oltre agli interessi fino al saldo, nonché al risarcimento di tutti i danni subiti a causa delle condotte illegittime tenute dalla convenuta, da liquidarsi in via equitativa.
2.- Con comparsa depositata il 5.5.2020 si costituiva in giudizio la Controparte_1 ⁱⁿ persona del legale rappresentante pro tempore, esponendo:
- che, contestualmente alla sottoscrizione del contratto inter partes stipulato il 25.8.2011, alla correntista, che aveva attivato il servizio di internet banking con funzionalità dispositiva, era stato fornito il codice identificativo del cliente, il numero identificativo personale, la password di accesso e il dispositivo hardware di generazione delle password dispositive (c.d. token), elementi in difetto dei quali nessuna operazione di online banking poteva essere autorizzata dalla Banca;

· che la consegna di tali elementi trovava conferma nella sottoscrizione da parte della
-
correntista di un apposito modulo;

- che la correntista, nonostante avesse aderito al servizio di allerta sms contestualmente alla sottoscrizione del contratto di cui sopra, non aveva perfezionato la relativa procedura di attivazione;

- che il regolamento contrattuale inter partes prevedeva espressamente l'assenza di responsabilità della CP 1 per qualsiasi utilizzo abusivo o per la perdita, alterazione o diffusione di informazioni trasmesse tramite il servizio per cause imputabili a terzi ovvero non imputabili all'istituto di credito, clausola sottoscritta dalla cliente ex artt. 1341 e 1342 c.c.;
- che la convenuta era stata resa edotta dell'avvenuto bonifico non autorizzato solamente in data 19.9.2011 e si era immediatamente attivata per il recupero della somma contestata presso la CP 1 di destinazione, la quale, tuttavia, aveva dato riscontro negativo alla richiesta di rimborso, in quanto la somma bonificata era stata già prelevata lo stesso giorno dell'accredito da parte del beneficiario, titolare di un rapporto di conto corrente presso ^CP ⁴ acceso presso la filiale di Udine;

che la convenuta aveva rigettato legittimamente la richiesta di rimborso della correntista, poiché, all'esito delle verifiche effettuate, era emerso che la procedura di accesso all'area riservata era avvenuta mediante il corretto inserimento del nome utente e della password, mentre la successiva disposizione di esecuzione del bonifico contestato era avvenuta mediante il corretto inserimento del codice generato dal dispositivo "sicurcode" precedentemente consegnato alla correntista, il tutto in difetto di irregolarità o anomalie dei sistemi informatici della CP 1 come confermato dal fornitore dei servizi informatici bancari Consorzio Servizi Bancari CSE, che confermava anche la circostanza secondo cui la correntista in data 6.9.2011
aveva effettuato un nuovo accesso alla propria area riservata;

- che, in ragione delle suesposte circostanze e tenuto conto che il rapporto acceso da Pt_1
[...] aveva previsto la facoltà della correntista di disporre liberamente delle somme depositate, la CP_1 non aveva motivi per allarmarsi per un ordine di bonifico inviato attraverso la corretta digitazione delle credenziali in possesso del titolare, per una cifra inferiore al saldo contabile ed il cui beneficiario era un cittadino italiano intrattenente un rapporto bancario presso altro intermediario bancario nazionale;

- che la convenuta aveva seguito le raccomandazioni dall'Associazione Bancaria Italiana contenute nel decalogo ABI per banche e clienti sui sistemi di protezione dal phishing, avendo adottato tutte le necessarie precauzioni tese a garantire l'integrità e la riservatezza delle informazioni trattate nell'ambito del servizio, mediante l'adozione di misure di sicurezza e di protezione dagli accessi non autorizzati adeguate agli standard tecnologici, così tenendo uno standard di diligenza qualificata;

- che la sentenza del GUP di Trieste citata dalla controparte era inconferente, in quanto non escludeva che il carattere fraudolento dell'operazione bancaria non fosse dovuto alla negligente conservazione dei dati di accesso della correntista;

- che gli interessi attivi effettivamente pattuiti corrispondevano al 1,096% e non al 3,03% come asserito da controparte.
Tanto premesso, la CP_1 chiedeva, previa autorizzazione della chiamata in causa di [...] ^CP 2 di: 1) dichiarare improcedibili le domande avversarie, non essendo stato esperito il tentativo obbligatorio di mediazione;
2) di dichiarare inammissibili o comunque rigettare tutte le domande attrici in quanto infondate;
3) in ogni caso, nella denegata ipotesi di soccombenza anche parziale, in accoglimento della domanda di manleva proposta dalla esponente, di ^condannare a tene^re ^indenne ^la CP_1 da ogni pretesa attorea, con _2
conseguente condanna del predetto alla restituzione di ogni somma, a nessun titolo escluso, che la CP 1 fosse eventualmente tenuta a pagare in favore dell'attrice. Con provvedimento depositato in data 8.5.2020 veniva accolta la richiesta di chiamata in causa del terzo CP 2
'4-Con comparsa depositata il 3.11.2020 si costituiva in giudizio ^al ^solo ^fine CP 2
di eccepire la nullità della citazione del terzo per violazione del termine di comparizione, con conseguente richiesta di fissazione di altra udienza nel rispetto dei termini di cui all'art. 164 comma III c.p.c., per cui, stante la fondatezza della eccezione, veniva disposto rinvio all'udienza del 4.5.2021. Il 14.4.2021 ^CP ² depositava un'ulteriore comparsa, esponendo: ^Parte ¹ e di non aver avuto alcun collegamento con il bonifico contestato
- di non conoscere dall'attrice;
- che, come emerso nel relativo procedimento penale, egli stesso era stato vittima del reato di truffa, non avendo concorso in alcun modo all'illegittimo accesso al sistema di home banking subito dall'attrice;
- che, nel corso della stagione balneare del 2011, gli era stata fatta una proposta di lavoro dalla
Redflower s.r.l., che gli aveva offerto una collaborazione da remoto come promotore finanziario;

- che, al fine di manifestare il proprio interesse a tale collaborazione, il terzo chiamato, su espressa richiesta della società, aveva fornito i propri dati anagrafici, copia della carta di identità e le proprie coordinate bancarie e, sulla base di tali dati, la società aveva formulato ed inviato via posta elettronica la lettera di assunzione;

- che la prospettata collaborazione non era mai stata avviata ed il terzo chiamato, contestualmente impegnato nella propria attività di cuoco, non vi aveva prestato più attenzione, ma in seguito ^CP 2 era stato contattato dalla società, che gli aveva rappresentato che in data 6.9.2011 sarebbe stato destinatario di un bonifico bancario effettuato da una cliente della società e che tale somma doveva essere immediatamente girata alla società stessa attraverso le piattaforme Western Union e Money Gram;

- che all'esito della suddetta operazione la Redflowers.r.l. non si era più messa in contatto con il CP 2 ;
- che il Tribunale Ordinario di Udine, con sentenza n. 36/2017 del 19.1.2017, aveva condannato per il reato di cui all'art. 648-bis, ma la Corte d'Appello, in riforma della CP 2
pronuncia di primo grado, lo aveva assolto ex art. 530, comma I c.p.c., con sentenza n. 232 del
12.2.2019, divenuta irrevocabile il 30.3.2019, riconoscendo la sua estraneità ai fatti di causa.
Tanto premesso, il terzo chiamato concludeva come in epigrafe.
Concesso il termine per avviare la procedura di mediazione obbligatoria, conclusa con esito negativo in data 9.6.2021 ed esperiti gli incombenti preliminari, la causa veniva istruita in via meramente documentale ed assunta in decisione all'udienza del 12.6.2023 con concessione dei termini di legge ex art. 190 c.p.c. per il deposito delle comparse conclusionali e delle memorie di replica. ₅.- _La _domanda _formulata _da Parte 1 , all'esito della istruttoria svolta, è risultata fondata e va accolta per quanto di ragione. Giova evidenziare, ai fini della delimitazione del thema decidendum, che l'attrice ha chiesto di accertare, la responsabilità della Controparte_1 per l'esecuzione, ad opera di ignoti, di un bonifico emesso il 5.9.2011 per la somma di € 4.398,00 dal c.c. n. 0705000307 a lei intestato, con conseguente condanna della convenuta al pagamento dell'importo corrispondente alla sua deminutio patrimonii, oltre ad interessi al tasso convenzionale, dichiarando il proprio incolpevole coinvolgimento in un caso di frode bancaria informatica, consistito nella sottrazione di denaro ad opera di terzi tramite la fraudolenta captazione dei dati personali necessari al perfezionamento delle operazioni di pagamento a distanza. ^La Controparte 1 ha chiesto il rigetto delle domande attoree, affermando la responsabilità ^esclusiva ^di Parte 1 nella causazione dell'evento lesivo;
in via subordinata, in caso di accoglimento delle avverse domande, la banca ha chiesto di essere manlevata da [...] ^CP 2 da ogni pretesa attorea, con conseguente condanna del terzo chiamato in causa alla restituzione della somma che la convenuta fosse eventualmente tenuta a pagare.
Parte 1 ha stipulato con laCiò posto, è documentale che il 25.8.2011 Controparte_1 ^il contratto di apertura del conto deposito n. 0705000307 (cfr. allegato n. 1 dell'atto di citazione) avente ad oggetto anche il servizio di internet banking, ossia l'esercizio di servizi bancari a distanza tramite il sistema di autenticazione forte del cliente denominato "a due fattori", che prevede l'utilizzo congiunto di credenziali statiche e dinamiche generate dal dispositivo fornito dalla banca all'atto dell'accensione del conto, consistenti in codici temporanei generati appositamente per autorizzare le disposizioni sui relativi rapporti bancari connessi.
Occorre anzitutto rilevare che la presente controversia ha ad oggetto la responsabilità della banca per l'utilizzazione fraudolenta di uno strumento di pagamento.
La disciplina applicabile a tale fattispecie è prevista dal D.Lgs. n. 11 del 27.1.2010, che ha attuato la direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno europeo.
In particolare, l'art. 7, co. I e II del citato D.Lgs., nel testo applicabile ratione temporis, prevede che "l'utilizzatore abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di: a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso; b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza. Ai fini di cui al comma 1, lettera a), l'utilizzatore, non appena riceve uno strumento di pagamento, adotta le misure idonee a garantire la sicurezza dei dispositivi personalizzati che ne consentono l'utilizzo ". Inoltre, l'art. 12 comma III del citato decreto, vigente all'epoca del fatto, prevedeva, tra l'altro, che "1. Salvo il caso in cui abbia agito in modo fraudolento, l'utilizzatore non sopporta alcuna perdita derivante dall'utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente intervenuto dopo la comunicazione eseguita ai sensi dell'articolo 7, comma 1, lettera b).

2. Salvo il caso in cui abbia agito in modo fraudolento, l'utilizzatore non è responsabile delle perdite derivanti dall'utilizzo dello strumento di pagamento smarrito, sottratto o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto all'obbligo di cui all'articolo 8, comma 1, lettera c).

3. Salvo il caso in cui l'utilizzatore abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l'utilizzo dello strumento di pagamento, prima della comunicazione eseguita ai sensi dell'articolo 7, comma 1, lettera b), l'utilizzatore medesimo può sopportare per un importo comunque non superiore complessivamente a 150 euro la perdita derivante dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento.

4. Qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7 con dolo o colpa grave, l'utilizzatore sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 150 euro di cui al comma
3."
Ai sensi di tale disposizione, quindi, il prestatore di servizi di pagamento può escludere la propria responsabilità per l'utilizzo non autorizzato di uno strumento di pagamento soltanto provando la condotta fraudolenta, oppure la colpa grave (o il dolo) dell'utilizzatore, che costituiscono fatti impeditivi del risarcimento del danno, ai sensi dell'art. 2697 comma II c.c.
Anche la giurisprudenza di legittimità, infatti, ha affermato che la responsabilità della CP_1 per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e può essere esclusa solo se ricorra una situazione di colpa grave dell'utente (Cass. n. 18045 del 5.7.2019 che ha ritenuto configurabile una ipotesi di colpa grave nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto protrattasi per oltre due anni).
E, infatti, la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente;
sicché, in forza di tali osservazioni, è stato ritenuto che, ai fini del rigetto della domanda risarcitoria, non è sufficiente dare rilievo ad un incauto comportamento dell'utente che avrebbe consentito la sottrazione dei codici. Su tali basi,
pertanto, si è concluso che, al fine di garantire la fiducia degli utenti nella sicurezza del sistema
(ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo, e ciò conformemente al principio secondo cui l'impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato (art. 1218 c.c.) richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (in questo senso, oltre che Cass. n. 18045 del 5.7.2017, in motivazione, Cass. n. 2950 del
3.2.2017).
Può, dunque, affermarsi che, in tema di ripartizione dell'onere della prova, al correntista abilitato a svolgere operazioni on line che, alla stregua degli artt. 15 del D.Lgs. n. 196 del 2003
e 2050 c.c., agisca per l'abusiva utilizzazione (nella specie, mediante illegittime disposizioni di bonifico) delle sue credenziali informatiche, spetta soltanto la prova del danno siccome riferibile al trattamento del suo dato personale, mentre l'istituto creditizio risponde, quale titolare del trattamento di dato, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d'accesso del correntista, ove non dimostri che l'evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore (Cass. n. 10638 del
23.5.2016).
A tal proposito, si deve aggiungere che la colpa grave è costituita da una “straordinaria e inescusabile" imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del buon padre di famiglia di cui all'art. 1176 comma I c.c., ma anche "quel grado minimo ed elementare di diligenza generalmente osservato da tutti" (Cass.
n. 913 del 3.5.2011; Cass. n. 14456 del 19.11.2001).
Secondo la Suprema Corte, inoltre, la prova della sussistenza della colpa grave può essere fornita anche per mezzo di presunzioni, purché queste, com'è noto, siano gravi, precise e concordanti secondo quanto dispone l'art. 2729 c.c. (cfr. Cass. n. 654 del 18.1.2010).
In senso contrario, non vale richiamare il dettato dell'art. 10, co. II del D.Lgs. n. 11/2010, nella parte in cui dispone che “quando l'utilizzatore dei servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7".
Infatti, nonostante il dato testuale sembrerebbe escludere automaticamente qualsiasi tipo di presunzione, deve invece ritenersi che l'unica presunzione che appare vietata dalla richiamata disposizione sia quella relativa dell'affermazione della colpa grave esclusivamente collegata all'utilizzo della carta;
da ciò ne discende, a contrario, che sia invece ammissibile tale presunzione, laddove sussista una serie di elementi di fatto particolarmente univoca e convergente, tale per cui possa ragionevolmente ritenersi che l'utilizzo fraudolento sia effettivamente riconducibile sul piano causale alla condotta dell'utilizzatore.
Ne consegue che l'istituto che svolga un'attività di tipo finanziario o in generale creditizio
(nella specie la Controparte_1 quanto alla gestione di conti correnti abilitati a operazioni online) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l'evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell'interessato o da forza maggiore (cfr. Cass. 10638/2016).
In conclusione, è possibile affermare che l'imputazione di responsabilità all'utilizzatore dello strumento di pagamento, ex art. 12 comma III Decreto Legislativo n. 11 del 2010, presuppone che l'istituto di credito raggiunga una duplice prova, ossia: quella di aver usato un elevato grado di diligenza nell'adempimento dei propri oneri e quella che dimostri, con sufficiente grado di attendibilità giuridica, l'inadempimento degli obblighi del cliente dovuto a frode, dolo o colpa grave.
Venendo al caso di specie, parte attrice ha prodotto il contratto di apertura di conto depositi cui
è ricollegato un sistema di pagamento online, la querela sporta in data 17.9.2011 presso la stazione dei Carabinieri di Eboli, ove la correntista ha denunciato l'esecuzione di un bonifico non alla stessa riconducibile, con relativo documento di dettaglio e saldo conto, il reclamo inoltrato alla CP 1 a mezzo raccomandata del 19.9.2011 e il successivo diniego di questa al rimborso del 18.10.2011, l'integrazione della querela precedentemente sporta in data
10.12.2011 presso la stazione dei Carabinieri di Eboli, denunciando di essere stata vittima del reato di frode informatica, nonché gli atti di indagine della Polizia delle Comunicazioni -
Sezione di Udine. Risulta, dunque, documentato che Parte 1 è intestataria del conto deposito n. 0705000307 acceso presso la Controparte 1 in data 25.8.2011 con contestuale richiesta, da parte della correntista, di attivazione dei servizi di pagamento telematici. Parimenti pacifica è la circostanza secondo cui in data 5.9.2011 veniva disposto su tale conto un bonifico, oggetto di querela, per la somma di € 4.398,00 in favore di _2
Successivamente, parte attrice in data 17.09.2021 disconosceva l'operazione, sporgendo denuncia e dandone notizia alla CP 1 convenuta.
Sono, invece, oggetto di contestazione tra le parti le modalità secondo cui soggetti terzi si sono impossessati delle password legate al sistema di home banking al fine di effettuare il bonifico in contestazione. Se da un lato, infatti, la CP 1 afferma che tale accesso sia dovuto esclusivamente alla condotta negligente della correntista, la quale avrebbe omesso di custodire con le cautele del caso i propri dati personali di accesso al sistema di home banking, dall'altro la correntista nega il verificarsi di simili condotte allegando che la disconosciuta disposizione di bonifico bancario sarebbe dipesa dal mancato rispetto degli standard di sicurezza dei sistemi informatici della CP 1 convenuta.
Parte convenuta invoca al riguardo un recente arresto della giurisprudenza di legittimità (Cass.
n. 7214 del 13.3.2023), secondo cui non sussiste la responsabilità della CP_1 peri danni patiti al correntista in conseguenza di addebito di somme sul conto corrente bancario derivato da operazioni di bonifico eseguite per via telematica da un terzo, qualora si accerti, da un lato, che l'istituto ha adottato un sistema di sicurezza dei servizi informatici on line tale da impedire l'accesso ai dati personali del correntista da parte dei terzi, sistema certificato da appositi enti certificatori secondo i più rigorosi ed affidabili standard internazionale e tale che la sua utilizzazione può avvenire esclusivamente attraverso l'inserimento di vari codici segreti in possesso dell'utente e sconosciuti dallo stesso personale della CP 1 dall'altra che nel foglio illustrativo consegnato al correntista sia precisato che il cliente è responsabile della custodia e dell'utilizzazione corretta dei propri dati personali per l'utilizzo dei servizi informatici on line
(nel caso di specie, la Suprema corte ha ritenuto che il correntista avesse tenuto un comportamento imprudente e negligente, avendo digitato i propri codici personali
-
verosimilmente richiesti con una e-mail fraudolenta - in tale modo consentendo all'ignoto truffatore di successivamente utilizzarli per effettuare la disposizione sul conto).
Tuttavia, nel caso di specie, la Controparte 1 non ha fornito alcun elemento idoneo a comprovare la condotta negligente contestata all'attrice, né tantomeno a sostegno della regolarità formale delle operazioni fraudolente, da questa apoditticamente ritenute correttamente autenticate, registrate e contabilizzate. Non risulta prodotta, infatti, alcuna certificazione idonea ad attestare l'elevato livello di sicurezza dello strumento di pagamento, alcun file log contenente la tracciatura delle operazioni bancarie eseguite sul portale home banking dell'istituto di credito o alcun file log da cui evincere specificamente gli accessi e le caratteristiche degli IP unici relativi agli accessi concernenti le operazioni in oggetto, se non l'elenco degli indirizzi IP indicati in sede penale.
Non vi è prova, dunque, che l'accesso da parte di terzi al sistema di home banking della Pt_1 sia eziologicamente collegato a dolo o colpa grave di quest'ultima, in tutto o in parte, per sua imprudenza o imperizia.
Dagli accertamenti della Polizia delle Comunicazioni risulta, invece, che lo stesso giorno dell'operazione fraudolenta e il giorno successivo vi sono stati più accessi al conto della parte attrice da parte di terzi da numeri di IP diversi (e diversi da quello dell'attrice).
In difetto di prova di una condotta quantomeno colposa di parte attrice va accertata la responsabilità della CP_1 convenuta per l'operazione disconosciuta dalla correntista.
Il danno complessivamente subito dall'attrice equivale all'importo del bonifico illegittimamente eseguito (€ 4.398,00), oltre agli interessi al tasso del 3,030% dal 5.9.2011 al
31.12.2011, come da nota della Controparte 1 el 25/8/2011, che fissava al 3,030% il tasso d'interesse per le somme depositate sul conto depositi fino al 31/12/2011 ed al tasso dell'1,096% previsto dal contratto di deposito n. 0705000307 del 25.8.2011.
E' priva di pregio l'eccezione di prescrizione della pretesa creditoria attorea sollevata dalla convenuta, avendo l'attrice validamente interrotto il decorso dei relativi termini, quantomeno, con le raccomandate A/R del 25.8.2014 e del 14.6.2016.
Sulla scorta di tutte le suindicate considerazioni le domande attoree vanno dunque accolte.
Non può trovare accoglimento la domanda di manleva formulata dalla Controparte 1 nei ^confronti ^di _2 : dai documenti in atti, in particolare dall'esito delle indagini effettuate dalla Polizia postale e dall'esito del processo penale a carico del terzo chiamato, risulta che lo stesso non ha partecipato all'abusivo accesso al sistema di home banking dell'attrice e ^che ⁱl CP 2 non era a conoscenza dell'illecito prelievo di denaro e della illecita provenienza del denaro, anche se ha ammesso di aver comunicato le proprie coordinate bancarie a terzi ed ha, poi, girato la somma ricevuta su conto estero come da istruzioni ricevute, per un compenso irrisorio. Per quanto la condotta di risulti gravemente CP 2
imprudente, sulle base delle sue stesse allegazioni in comparsa, che riscontrano con quanto risultante anche dalla sentenza n. 232/2019 della Corte di Appello di Trieste pronunciata il
19.2.2017 e divenuta irrevocabile in data 30.3.2019, l'imputato non è stato ritenuto responsabile del delitto di cui all'art. 648-bis c.p. per difetto dell'elemento soggettivo e risulta solo che CP 2 ha accettato una proposta lavorativa tanto remunerativa quanto anomala e si è reso poi disponibile al trasferimento all'estero di somme che erano state da terzi accreditate sul suo conto. L'esclusione della responsabilità penale per mancanza di dolo non esclude la responsabilità civile del _2 , ma, sulla base degli scarni elementi allegati dalla convenuta, non è configurabile un fatto illecito dallo stesso commesso.
Ne consegue il rigetto della domanda di manleva.
E' infondata la domanda proposta dalla convenuta di condanna dell'attrice ai sensi dell'art 96
c.p.c., non ricorrendone i presupposti, stante l'esito del giudizio.
Le spese di lite seguono la soccombenza della convenuta nei confronti dell'attrice e sono liquidate nella misura indicata in dispositivo secondo i parametri di cui al D.M. 147/2022 in base al valore della causa.
Tenuto conto delle non univoche dichiarazioni rese dal CP 2 nel corso delle indagini, dell'esito del processo penale, ribaltate in grado di appello (cui la convenuta non ha partecipato e con sentenza non prodotta da parte attrice), ricorrono giusti motivi per la compensazione delle spese tra la convenuta ed il terzo chiamato.

P.Q.M.

Il Tribunale Ordinario di Roma, in composizione monocratica, definitivamente pronunciando
Parte 1 , la sulla domanda proposta nel giudizio N.R.G. 74042/2019 tra Controparte_1 ogni diversa istanza ed in persona del legale rappresentante pro tempore, e CP 2 '
eccezione disattesa o assorbita, così dispone:
1) DICHIARA tenuta e, per l'effetto, CONDANNA la Controparte_1 al pagamento ⁱn ^favore ^di Parte 1 della somma di € 4.398,00, oltre agli interessi al tasso del
3,030% dal 5.9.2011 al 31.12.2011 ed al tasso dell'1,096% dal 5.9.2011 al soddisfo;

2) RIGETTA la domanda ex art, 96 c.p.c. proposta dalla ^vverso Pt ¹ Controparte_1
[...] ;
Controparte 1 alla rifusione in favore di parte attrice delle spese 3) CONDANNA la di lite, che liquida in € 1.800,00 per compenso professionali ed € 264,00 per spese vive, oltre IVA e CPA come per legge ed al 15% per spese generali;

Controparte_1 nei confronti di 4) RIGETTA la domanda di manleva proposta da
CP 2 ;
5) COMPENSA le spese di lite tra Controparte_1 e il terzo chiamato.
Così deciso in Roma, li 9.1.2025
Il giudice
Enrica Ciocca