TRIB
Sentenza 9 dicembre 2025
Sentenza 9 dicembre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Cosenza, sentenza 09/12/2025, n. 1852 |
|---|---|
| Giurisdizione : | Trib. Cosenza |
| Numero : | 1852 |
| Data del deposito : | 9 dicembre 2025 |
Testo completo
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Il Tribunale di Cosenza, seconda sezione civile, nella persona del giudice unico, dott.
ON VA ZA, ha reso la seguente
SENTENZA nella causa civile in grado d'appello iscritta al n. 1410 del ruolo generale per gli affari contenziosi dell'anno 2023, vertente
TRA in persona del legale rappresentante p.t., rappresentato e difeso dagli Parte_1
Avv.ti Massimiliano Cesare e Alfonso Pisanzio;
appellante
E
(CF ), rappresentata e difesa dall'Avv. Giuseppe CP_1 C.F._1
Bruni; appellata
OGGETTO: appello avverso sentenza n. 1443/2022 del Giudice di Pace di Cosenza.
CONCLUSIONI: come in atti.
Ragioni di fatto e di diritto della decisione conveniva in giudizio chiedendo la condanna al CP_1 Controparte_2 pagamento della somma di € 780,00, sottratta da terzi con modalità fraudolente dal conto corrente postale intrattenuto con la convenuta. A sostegno della domanda deduceva di essere titolare della carta Postepay Evolution n. 5333171039755059; che, in data 20.5.2019 riceveva un sms da parte di - il quale compariva in coda a precedenti messaggi Parte_2 anch'essi ricevuti da - con il quale veniva invitata a cliccare su un link indicato Parte_2
nel corpo del testo al fine di aggiornare i propri dati;
che, immediatamente dopo aver cliccato sul link, riceveva un ulteriore sms con il quale le veniva comunicato un codice
(password) per la conferma dei propri dati;
che, dopo la ricezione del codice, riceveva una telefonata da parte di un numero riconducibile a e l'interlocutore invitava CP_2
l'attrice a comunicare il codice ricevuto attraverso sms;
che, successivamente, effettuato
1 l'accesso al proprio conto corrente online, riscontrava la contabilizzazione di un'operazione non autorizzata consistente in un addebito dell'importo di € 780,00; che, dunque, immediatamente contattava l'assistenza di al fine di bloccare la CP_2
carta di debito e in data 24.5.2019 proponeva atto di formale denuncia-querela nonché reclamo presso l'Ufficio Postale di Rende tramite l'apposito modulo di contestazione addebiti prestampato per ottenere il riaccredito delle somme sottratte, tuttavia, disatteso. resisteva alla domanda sollevando preliminarmente il difetto di Controparte_2
legittimazione passiva in favore di per effetto del conferimento, in favore Parte_1 di quest'ultima, del ramo aziendale inerente la monetica e i servizi di pagamento con decorrenza dall'1.10.2016; nel merito evidenziava che la carta Postepay Evolution era
“securizzata”, ovvero abbinata all'utenza telefonica dell'attrice e che la modalità di esecuzione dei pagamenti online prevedeva, dunque, il sistema cd. di autenticazione forte consistente nell'inoltro sull'utenza telefonica di una One Time Password (“OTP”) per perfezionare ciascun pagamento;
che, pertanto, l'occorso era da addebitarsi esclusivamente alla colpevole condotta dell'attrice, la quale aveva imprudentemente rivelato a soggetti ignoti le proprie chiavi di sicurezza OTP.
Disposta l'integrazione del contraddittorio nei confronti di questa si Parte_1
costituiva in giudizio respingendo ogni responsabilità e deducendo, in particolare, che l'occorso denunciato dall'attrice doveva inquadrarsi nell'ambito del fenomeno della frode informatica o cd. phishing, dunque, non riconducibile ad una violazione del sistema di sicurezza di e che, in ogni caso, la transazione fraudolenta era avvenuta con la Pt_1
colpevole partecipazione dell'attrice, la quale aveva cliccato sul link presente nell'sms e, soprattutto, comunicato telefonicamente l'OTP ad uno sconosciuto.
Il Giudice di Pace di Cosenza, preliminarmente dichiarata la carenza di legittimazione passiva di accoglieva la domanda e, per l'effetto, condannava Controparte_2
a rimborsare la riconoscendone la responsabilità contrattuale per non aver Pt_1 CP_1 adottato tutte le misure necessarie a garantire la sicurezza dei dati dell'attrice e del sistema informatico, non avendo fornito la prova liberatoria in ordine all'inserimento di terzi nel sistema informatico.
Con atto di appello l'odierna appellante impugnava la suddetta sentenza chiedendone la riforma, per omessa applicazione della normativa di riferimento di cui al D. lgs. n. 11/10 e,
2 segnatamente, degli artt. 7, relativo al dovere di custodia e 12 il quale prescrive che
“qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7, con dolo o colpa grave, l'utilizzatore sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate”, la cui applicazione al caso in esame avrebbe condotto ad una pronuncia di segno contrario;
deduceva, altresì, il malgoverno degli elementi istruttori per aver erroneamente ricavato la buona fede della dalla CP_1 circostanza che l'sms contenente il link fraudolento fosse pervenuto in coda ad altri precedentemente ricevuti da , non attribuendo rilevanza, di contro, alla Pt_1
circostanza che avesse comunicato ad un ignoto interlocutore telefonico il codice Pt_3
OTP ricevuto sulla propria utenza mobile nella consapevolezza che l'inserimento di questo nella piattaforma web è finalizzato all'esecuzione ed autenticazione di ciascuna transazione, circostanza questa che avrebbe dovuto, diversamente, indurre a valutare quale colpevole la condotta tenuta dall'attrice; evidenziava, in ogni caso, che l'utilizzo abusivo dell'alias ” - impiegato per inoltrare l'sms incriminato - non era in alcun modo Parte_2 controllabile da parte dell'odierna appellante, a nulla rilevando, dunque, che il messaggio truffaldino risultasse visualizzabile nello stesso canale di messaggistica adoperato da
, anche considerati i contenuti palesemente difformi rispetto a quelli Pt_1
ordinariamente ricevuti in via ufficiale che, dunque, avrebbero dovuto allertare l'attrice.
L'odierna appellata, resisteva al gravame eccependo in via preliminare l'inammissibilità dello spiegato appello, dovendosi annoverare la sentenza emessa dal Giudice di Pace tra i provvedimenti decisori pronunciati secondo equità considerato il valore della controversia inferiore a € 1.100,00, e non rientrando i motivi di gravame tra quelli specificamente individuati nell'art. 339 n. 3 c.p.c.; nel merito, contestava i motivi di appello chiedendo la conferma della sentenza di primo grado.
All'udienza del 24.1.2025 la causa veniva trattenuta in decisione sulle conclusioni rassegnate dalle parti, previa concessione dei termini di cui all'art. 190 c.p.c.
******************
Preliminarmente, deve essere disattesa l'eccezione di inammissibilità dello spiegato appello sollevata da parte appellata, atteso che la pronuncia oggetto del presente gravame non configura una decisione secondo equità, rientrando nell'espressa deroga prevista dall'art. 113 co. 2 c.p.c. Va osservato, infatti, che il contratto da cui trae origine la
3 controversia, posto a fondamento della responsabilità contrattuale invocata, rientra nel novero dei contratti conclusi mediante la sottoscrizione di moduli o formulari, trattandosi di documento preconfezionato dal predisponente nel suo contenuto, restando all'altro contraente solo la possibilità di aderire o meno al regolamento contrattuale, senza alcuna possibilità di intervenire sullo stesso e predisposto con l'intenzione di disciplinare in maniera uniforme il rapporto tra cliente e istituto postale in relazione al servizio di utilizzo della . Parte_4
Svolta tale premessa, passando all'esame dei motivi d'appello, l'odierna appellante censura la pronuncia di primo grado per aver omesso ogni riferimento alla normativa di cui al D. lgs. n. 11/2010, erroneamente richiamando la disciplina di cui al D. lgs. n. 196/2003 in materia di protezione dei dati personali.
Nonostante sia condivisibile l'assunto di parte appellante secondo cui il riferimento alla normativa in materia di protezione dei dati personali di cui al D. lgs. n. 196/2003, contenuto nella sentenza di primo grado, non appare conferente rispetto al caso in esame e, in particolare, alla prospettazione delle difese di parte appellata, la motivazione del Giudice di prime cure non appare, in ogni caso, viziata alla luce dell'inquadramento giuridico della fattispecie nell'ambito della responsabilità ex art. 1218 c.c., per cui nell'esecuzione dei contratti la risponde nei confronti del cliente ex art. 1176, co. 2 c.c. CP_3
Del resto, nella conclusioni il Giudice di Pace di Cosenza non condanna l'appellante in ragione della responsabilità extracontrattuale quale violazione in materia di dati personali, bensì per inadempimento contrattuale.
In tale senso, pertanto, il Giudice di prime cure ha fatto corretta applicazione del criterio probatorio di cui all'art. 2967 c.c. e dei principi giurisprudenziali di legittimità che regolano la materia.
Non appare, dunque, dirimente il mancato richiamo alla disciplina contenuta nel D. lgs. n.
11 del 2010, la cui applicazione non avrebbe mutato le conclusioni raggiunte dal GdP, anche considerato che già prima del recepimento della Direttiva europea n. 2007/64/CE, applicata in Italia con il D. lgs. n. 11 del 2010, la giurisprudenza di legittimità sosteneva che “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole
4 ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, la banca, cui
è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente” (Cass.
n. 2950/2017).
Tale onere probatorio è stato, poi, confermato dal D. Lgs. n. 11 del 2010, alla cui disciplina deve essere ricondotta la fattispecie in questione, il quale dispone che l'onere di dimostrare che l'operazione, posta in essere illecitamente dal terzo, sia stata comunque effettuata correttamente e che non vi sia stata anomalia che abbia consentito la fraudolenta operazione, grava sulla banca (articolo 10, primo comma, D. lgs. n. 11 del 2010).
L'art. 10, co. 2 del D. lgs. indicato prosegue statuendo che: “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Sul punto, la giurisprudenza di legittimità ha osservato che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, si presume, salvo prova di una situazione di colpa grave dell'utente, configurabile ad esempio nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto
(Cass. n. 18045/2019).
Inoltre, di recente, la S.C. - con sentenza n. 3780/2024 - è intervenuta nuovamente sulla questione e, ribadita la natura contrattuale della responsabilità della banca, ha dato seguito
5 all'orientamento giurisprudenziale secondo cui la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere (Cass. n. 806/2016), affermando che, dunque, la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.
La giurisprudenza della Corte è, pertanto, consolidata nel ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento, e che il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, ovvero l'adozione delle misure atte a garantire la sicurezza del servizio.
Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente, una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3,
n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020).
Tanto premesso, l'appellante non ha assolto l'onere probatorio sullo stesso gravante.
Invero, alla luce del sopra illustrato panorama normativo e giurisprudenziale consolidato, incombeva su l'onere di provare di aver adeguatamente gestito il conto Parte_1
corrente on line intestato alla al fine di prevenire i rischi connessi alla natura CP_1
telematica del servizio reso, essendo emerso che in data 20.5.2019, sul conto corrente connesso alla Postepay Evolution intestata all'attrice, veniva eseguita una transazione on line dell'importo di € 780,00, rispetto alla quale l'attrice in primo grado deduceva
6 l'assenza dell'ordine di pagamento e, dunque, la non riconducibilità ad essa dello stesso, allegando di aver fornito il codice di sicurezza OTP al falso operatore di al solo CP_2
scopo di aggiornare i propri dati e così evitare la sospensione della carta, così come prospettato nel falso messaggio ricevuto (all. 1 al fascicolo di parte del giudizio di primo grado). Dall'esame dell'estratto conto accluso al fascicolo di parte, si evinceva che la citata operazione risultava contabilizzata nella stessa data in cui l'attrice aveva ricevuto l'“sms”
(20.5.2019) con cui veniva allertata ad aggiornare i propri dati e contestualmente invitata a cliccare sul link al fine di provvedervi ed evitare la sospensione della carta e Parte_1 non forniva prova che l'ordinativo di pagamento fosse avvenuto in un momento
[...] successivo al ricevimento del suddetto “sms”.
Quanto dedotto, trovava conforto, altresì, nelle dichiarazioni rese dal teste , Testimone_1
il quale riferiva che il 20.5.2019 la UN riceveva un messaggio da Poste Info che le chiedeva di verificare i propri dati mediante il click su un link inserito nel predetto messaggio;
che, dopo la ricezione di questo messaggio, la riceveva una telefonata da CP_1
un numero riconducibile a in quanto la signora utilizzava un sistema di CP_2 riconoscimento delle telefonate, l'operatore al telefono invitava la a cliccare sul link CP_1
per verificare i suoi dati personali;
che, a questo punto la cliccava sul link e dopo CP_1
circa 30 minuti riceveva dei messaggi che la informavano che erano stati effettuati degli addebiti sulla propria carta.
Di contro, non emergeva - né forniva la prova - della colpa grave in capo Pt_1 all'attrice, considerato che quest'ultima dimostrava di essersi immediatamente attivata per il blocco della carta di debito, tanto che lo stesso 20.5.2019 provvedeva a contattare il numero di assistenza di per bloccare la carta e comunicare a l'uso non CP_2 CP_2
autorizzato delle credenziali di sicurezza personalizzate, oltre a sporgere, in data
24.5.2019, formale denuncia-querela presso i Carabinieri di Rende dopo avere appreso dell'avvenuta operazione e, dunque, della natura fraudolenta dell'addebito, nonché, nella stessa data, si adoperava a presentare reclamo tramite l'apposito modulo di contestazione prestampato all'ufficio postale di Rende, non potendo apprezzarsi in termini di colpa grave, sulla base di quanto sopra argomentato, la condotta dell'utente consistita nell'aver rivelato a terzi il codice OTP, in quanto sottratto mediante tecniche fraudolente, non
7 potendosi, quindi, ravvisare in capo all'attrice alcuna violazione dell'art. 7 D. lgs. n.
11/2010.
Pertanto, non risulta assolto l'onere di di provare di aver adottato soluzioni Pt_1 idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto, non essendo sufficienti quale prova liberatoria di responsabilità le circostanze addotte da circa la sicurezza delle operazioni di home banking e in generale del sistema Pt_1
informatico.
In assenza di tale prova, deve ritenersi che rientri nel rischio professionale della banca la possibilità che terzi accedano ai profili dei clienti con condotte fraudolente (Cass. n.
3780/2024).
Anche la censura relativa alla palese anomalia del messaggio non appare condivisibile, in quanto, in linea con le affermazioni del Giudice di prime cure, deve rilevarsi che i messaggi ricevuti dalla il 20.5.2019 provenivano dalla medesima utenza in uso a CP_1
, tanto da comparire nella conversazione con il mittente contrassegnato CP_2 dall'alias ” unitamente ad altre autentiche comunicazioni precedentemente Parte_2
ricevute sempre da , peraltro di analogo tenore, non potendosi accedere alla CP_2
contestazione di parte appellante secondo cui i messaggi inoltrati dagli ignoti malfattori presentassero indici di anomalia tali da indurre l'attrice a prestare particolare cautela. Allo stesso modo, la dedotta impossibilità di controllare l'utilizzo ed impedire impieghi abusivi dell'alias ” non può configurare un'esimente da responsabilità, costituendo, Parte_2
semmai, ulteriore indice di insufficienza dei sistemi impiegati al fine di garantire un adeguato livello di sicurezza del sistema informatico. Si evince, dunque, che il meccanismo fraudolento adoperato per aggredire il conto della sia stato CP_1
particolarmente insidioso, in quanto idoneo a generare maggiore affidamento sulla genuinità delle comunicazioni e sull'attendibilità della provenienza delle stesse da , e CP_2
pertanto, deve condividersi la motivazione della sentenza di primo grado nella parte in cui il Giudice di Pace ha valorizzato tale circostanza in funzione di escludere qualsiasi profilo di colpevolezza nella condotta dell'attrice.
8 In conclusione, deve rigettarsi lo spiegato appello e, per l'effetto, confermarsi la sentenza di primo grado.
Le spese del presente grado di giudizio seguono la soccombenza e sono liquidate come in dispositivo.
Deve darsi atto della sussistenza dei presupposti per il versamento, da parte dell'impugnante soccombente, dell'importo a titolo di contributo unificato pari a quello dovuto per l'impugnazione da lui proposta, a norma dell'art. 13, comma 1-quater del
D.P.R. n. 115 del 2002, inserito dalla L. 24 dicembre 2012, n. 228, art. 1, comma 17.
P.Q.M.
Il Tribunale, quale Giudice di Appello, definitivamente pronunciando, ogni contraria e diversa istanza e deduzione disattesa, così provvede:
- rigetta l'appello;
- condanna parte appellante alla refusione delle spese del presente grado di giudizio in favore di che liquida in € 662,00 per compensi, oltre al rimborso spese CP_1
forfettarie, IVA e CPA come per legge, da distarsi in favore del procuratore istante;
- dà atto della sussistenza dei presupposti di cui all'art. 13, comma 1-quater, del D.P.R. n.
115 del 2002, per il versamento, da parte dell'appellante, dell'ulteriore importo a titolo di contributo unificato, pari a quello dovuto per l'appello.
Cosenza, 9.12.2025
Il Giudice
Dott. ON VA ZA
9
IN NOME DEL POPOLO ITALIANO
Il Tribunale di Cosenza, seconda sezione civile, nella persona del giudice unico, dott.
ON VA ZA, ha reso la seguente
SENTENZA nella causa civile in grado d'appello iscritta al n. 1410 del ruolo generale per gli affari contenziosi dell'anno 2023, vertente
TRA in persona del legale rappresentante p.t., rappresentato e difeso dagli Parte_1
Avv.ti Massimiliano Cesare e Alfonso Pisanzio;
appellante
E
(CF ), rappresentata e difesa dall'Avv. Giuseppe CP_1 C.F._1
Bruni; appellata
OGGETTO: appello avverso sentenza n. 1443/2022 del Giudice di Pace di Cosenza.
CONCLUSIONI: come in atti.
Ragioni di fatto e di diritto della decisione conveniva in giudizio chiedendo la condanna al CP_1 Controparte_2 pagamento della somma di € 780,00, sottratta da terzi con modalità fraudolente dal conto corrente postale intrattenuto con la convenuta. A sostegno della domanda deduceva di essere titolare della carta Postepay Evolution n. 5333171039755059; che, in data 20.5.2019 riceveva un sms da parte di - il quale compariva in coda a precedenti messaggi Parte_2 anch'essi ricevuti da - con il quale veniva invitata a cliccare su un link indicato Parte_2
nel corpo del testo al fine di aggiornare i propri dati;
che, immediatamente dopo aver cliccato sul link, riceveva un ulteriore sms con il quale le veniva comunicato un codice
(password) per la conferma dei propri dati;
che, dopo la ricezione del codice, riceveva una telefonata da parte di un numero riconducibile a e l'interlocutore invitava CP_2
l'attrice a comunicare il codice ricevuto attraverso sms;
che, successivamente, effettuato
1 l'accesso al proprio conto corrente online, riscontrava la contabilizzazione di un'operazione non autorizzata consistente in un addebito dell'importo di € 780,00; che, dunque, immediatamente contattava l'assistenza di al fine di bloccare la CP_2
carta di debito e in data 24.5.2019 proponeva atto di formale denuncia-querela nonché reclamo presso l'Ufficio Postale di Rende tramite l'apposito modulo di contestazione addebiti prestampato per ottenere il riaccredito delle somme sottratte, tuttavia, disatteso. resisteva alla domanda sollevando preliminarmente il difetto di Controparte_2
legittimazione passiva in favore di per effetto del conferimento, in favore Parte_1 di quest'ultima, del ramo aziendale inerente la monetica e i servizi di pagamento con decorrenza dall'1.10.2016; nel merito evidenziava che la carta Postepay Evolution era
“securizzata”, ovvero abbinata all'utenza telefonica dell'attrice e che la modalità di esecuzione dei pagamenti online prevedeva, dunque, il sistema cd. di autenticazione forte consistente nell'inoltro sull'utenza telefonica di una One Time Password (“OTP”) per perfezionare ciascun pagamento;
che, pertanto, l'occorso era da addebitarsi esclusivamente alla colpevole condotta dell'attrice, la quale aveva imprudentemente rivelato a soggetti ignoti le proprie chiavi di sicurezza OTP.
Disposta l'integrazione del contraddittorio nei confronti di questa si Parte_1
costituiva in giudizio respingendo ogni responsabilità e deducendo, in particolare, che l'occorso denunciato dall'attrice doveva inquadrarsi nell'ambito del fenomeno della frode informatica o cd. phishing, dunque, non riconducibile ad una violazione del sistema di sicurezza di e che, in ogni caso, la transazione fraudolenta era avvenuta con la Pt_1
colpevole partecipazione dell'attrice, la quale aveva cliccato sul link presente nell'sms e, soprattutto, comunicato telefonicamente l'OTP ad uno sconosciuto.
Il Giudice di Pace di Cosenza, preliminarmente dichiarata la carenza di legittimazione passiva di accoglieva la domanda e, per l'effetto, condannava Controparte_2
a rimborsare la riconoscendone la responsabilità contrattuale per non aver Pt_1 CP_1 adottato tutte le misure necessarie a garantire la sicurezza dei dati dell'attrice e del sistema informatico, non avendo fornito la prova liberatoria in ordine all'inserimento di terzi nel sistema informatico.
Con atto di appello l'odierna appellante impugnava la suddetta sentenza chiedendone la riforma, per omessa applicazione della normativa di riferimento di cui al D. lgs. n. 11/10 e,
2 segnatamente, degli artt. 7, relativo al dovere di custodia e 12 il quale prescrive che
“qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7, con dolo o colpa grave, l'utilizzatore sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate”, la cui applicazione al caso in esame avrebbe condotto ad una pronuncia di segno contrario;
deduceva, altresì, il malgoverno degli elementi istruttori per aver erroneamente ricavato la buona fede della dalla CP_1 circostanza che l'sms contenente il link fraudolento fosse pervenuto in coda ad altri precedentemente ricevuti da , non attribuendo rilevanza, di contro, alla Pt_1
circostanza che avesse comunicato ad un ignoto interlocutore telefonico il codice Pt_3
OTP ricevuto sulla propria utenza mobile nella consapevolezza che l'inserimento di questo nella piattaforma web è finalizzato all'esecuzione ed autenticazione di ciascuna transazione, circostanza questa che avrebbe dovuto, diversamente, indurre a valutare quale colpevole la condotta tenuta dall'attrice; evidenziava, in ogni caso, che l'utilizzo abusivo dell'alias ” - impiegato per inoltrare l'sms incriminato - non era in alcun modo Parte_2 controllabile da parte dell'odierna appellante, a nulla rilevando, dunque, che il messaggio truffaldino risultasse visualizzabile nello stesso canale di messaggistica adoperato da
, anche considerati i contenuti palesemente difformi rispetto a quelli Pt_1
ordinariamente ricevuti in via ufficiale che, dunque, avrebbero dovuto allertare l'attrice.
L'odierna appellata, resisteva al gravame eccependo in via preliminare l'inammissibilità dello spiegato appello, dovendosi annoverare la sentenza emessa dal Giudice di Pace tra i provvedimenti decisori pronunciati secondo equità considerato il valore della controversia inferiore a € 1.100,00, e non rientrando i motivi di gravame tra quelli specificamente individuati nell'art. 339 n. 3 c.p.c.; nel merito, contestava i motivi di appello chiedendo la conferma della sentenza di primo grado.
All'udienza del 24.1.2025 la causa veniva trattenuta in decisione sulle conclusioni rassegnate dalle parti, previa concessione dei termini di cui all'art. 190 c.p.c.
******************
Preliminarmente, deve essere disattesa l'eccezione di inammissibilità dello spiegato appello sollevata da parte appellata, atteso che la pronuncia oggetto del presente gravame non configura una decisione secondo equità, rientrando nell'espressa deroga prevista dall'art. 113 co. 2 c.p.c. Va osservato, infatti, che il contratto da cui trae origine la
3 controversia, posto a fondamento della responsabilità contrattuale invocata, rientra nel novero dei contratti conclusi mediante la sottoscrizione di moduli o formulari, trattandosi di documento preconfezionato dal predisponente nel suo contenuto, restando all'altro contraente solo la possibilità di aderire o meno al regolamento contrattuale, senza alcuna possibilità di intervenire sullo stesso e predisposto con l'intenzione di disciplinare in maniera uniforme il rapporto tra cliente e istituto postale in relazione al servizio di utilizzo della . Parte_4
Svolta tale premessa, passando all'esame dei motivi d'appello, l'odierna appellante censura la pronuncia di primo grado per aver omesso ogni riferimento alla normativa di cui al D. lgs. n. 11/2010, erroneamente richiamando la disciplina di cui al D. lgs. n. 196/2003 in materia di protezione dei dati personali.
Nonostante sia condivisibile l'assunto di parte appellante secondo cui il riferimento alla normativa in materia di protezione dei dati personali di cui al D. lgs. n. 196/2003, contenuto nella sentenza di primo grado, non appare conferente rispetto al caso in esame e, in particolare, alla prospettazione delle difese di parte appellata, la motivazione del Giudice di prime cure non appare, in ogni caso, viziata alla luce dell'inquadramento giuridico della fattispecie nell'ambito della responsabilità ex art. 1218 c.c., per cui nell'esecuzione dei contratti la risponde nei confronti del cliente ex art. 1176, co. 2 c.c. CP_3
Del resto, nella conclusioni il Giudice di Pace di Cosenza non condanna l'appellante in ragione della responsabilità extracontrattuale quale violazione in materia di dati personali, bensì per inadempimento contrattuale.
In tale senso, pertanto, il Giudice di prime cure ha fatto corretta applicazione del criterio probatorio di cui all'art. 2967 c.c. e dei principi giurisprudenziali di legittimità che regolano la materia.
Non appare, dunque, dirimente il mancato richiamo alla disciplina contenuta nel D. lgs. n.
11 del 2010, la cui applicazione non avrebbe mutato le conclusioni raggiunte dal GdP, anche considerato che già prima del recepimento della Direttiva europea n. 2007/64/CE, applicata in Italia con il D. lgs. n. 11 del 2010, la giurisprudenza di legittimità sosteneva che “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole
4 ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, la banca, cui
è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente” (Cass.
n. 2950/2017).
Tale onere probatorio è stato, poi, confermato dal D. Lgs. n. 11 del 2010, alla cui disciplina deve essere ricondotta la fattispecie in questione, il quale dispone che l'onere di dimostrare che l'operazione, posta in essere illecitamente dal terzo, sia stata comunque effettuata correttamente e che non vi sia stata anomalia che abbia consentito la fraudolenta operazione, grava sulla banca (articolo 10, primo comma, D. lgs. n. 11 del 2010).
L'art. 10, co. 2 del D. lgs. indicato prosegue statuendo che: “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Sul punto, la giurisprudenza di legittimità ha osservato che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, si presume, salvo prova di una situazione di colpa grave dell'utente, configurabile ad esempio nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto
(Cass. n. 18045/2019).
Inoltre, di recente, la S.C. - con sentenza n. 3780/2024 - è intervenuta nuovamente sulla questione e, ribadita la natura contrattuale della responsabilità della banca, ha dato seguito
5 all'orientamento giurisprudenziale secondo cui la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere (Cass. n. 806/2016), affermando che, dunque, la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.
La giurisprudenza della Corte è, pertanto, consolidata nel ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento, e che il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, ovvero l'adozione delle misure atte a garantire la sicurezza del servizio.
Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente, una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3,
n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020).
Tanto premesso, l'appellante non ha assolto l'onere probatorio sullo stesso gravante.
Invero, alla luce del sopra illustrato panorama normativo e giurisprudenziale consolidato, incombeva su l'onere di provare di aver adeguatamente gestito il conto Parte_1
corrente on line intestato alla al fine di prevenire i rischi connessi alla natura CP_1
telematica del servizio reso, essendo emerso che in data 20.5.2019, sul conto corrente connesso alla Postepay Evolution intestata all'attrice, veniva eseguita una transazione on line dell'importo di € 780,00, rispetto alla quale l'attrice in primo grado deduceva
6 l'assenza dell'ordine di pagamento e, dunque, la non riconducibilità ad essa dello stesso, allegando di aver fornito il codice di sicurezza OTP al falso operatore di al solo CP_2
scopo di aggiornare i propri dati e così evitare la sospensione della carta, così come prospettato nel falso messaggio ricevuto (all. 1 al fascicolo di parte del giudizio di primo grado). Dall'esame dell'estratto conto accluso al fascicolo di parte, si evinceva che la citata operazione risultava contabilizzata nella stessa data in cui l'attrice aveva ricevuto l'“sms”
(20.5.2019) con cui veniva allertata ad aggiornare i propri dati e contestualmente invitata a cliccare sul link al fine di provvedervi ed evitare la sospensione della carta e Parte_1 non forniva prova che l'ordinativo di pagamento fosse avvenuto in un momento
[...] successivo al ricevimento del suddetto “sms”.
Quanto dedotto, trovava conforto, altresì, nelle dichiarazioni rese dal teste , Testimone_1
il quale riferiva che il 20.5.2019 la UN riceveva un messaggio da Poste Info che le chiedeva di verificare i propri dati mediante il click su un link inserito nel predetto messaggio;
che, dopo la ricezione di questo messaggio, la riceveva una telefonata da CP_1
un numero riconducibile a in quanto la signora utilizzava un sistema di CP_2 riconoscimento delle telefonate, l'operatore al telefono invitava la a cliccare sul link CP_1
per verificare i suoi dati personali;
che, a questo punto la cliccava sul link e dopo CP_1
circa 30 minuti riceveva dei messaggi che la informavano che erano stati effettuati degli addebiti sulla propria carta.
Di contro, non emergeva - né forniva la prova - della colpa grave in capo Pt_1 all'attrice, considerato che quest'ultima dimostrava di essersi immediatamente attivata per il blocco della carta di debito, tanto che lo stesso 20.5.2019 provvedeva a contattare il numero di assistenza di per bloccare la carta e comunicare a l'uso non CP_2 CP_2
autorizzato delle credenziali di sicurezza personalizzate, oltre a sporgere, in data
24.5.2019, formale denuncia-querela presso i Carabinieri di Rende dopo avere appreso dell'avvenuta operazione e, dunque, della natura fraudolenta dell'addebito, nonché, nella stessa data, si adoperava a presentare reclamo tramite l'apposito modulo di contestazione prestampato all'ufficio postale di Rende, non potendo apprezzarsi in termini di colpa grave, sulla base di quanto sopra argomentato, la condotta dell'utente consistita nell'aver rivelato a terzi il codice OTP, in quanto sottratto mediante tecniche fraudolente, non
7 potendosi, quindi, ravvisare in capo all'attrice alcuna violazione dell'art. 7 D. lgs. n.
11/2010.
Pertanto, non risulta assolto l'onere di di provare di aver adottato soluzioni Pt_1 idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto, non essendo sufficienti quale prova liberatoria di responsabilità le circostanze addotte da circa la sicurezza delle operazioni di home banking e in generale del sistema Pt_1
informatico.
In assenza di tale prova, deve ritenersi che rientri nel rischio professionale della banca la possibilità che terzi accedano ai profili dei clienti con condotte fraudolente (Cass. n.
3780/2024).
Anche la censura relativa alla palese anomalia del messaggio non appare condivisibile, in quanto, in linea con le affermazioni del Giudice di prime cure, deve rilevarsi che i messaggi ricevuti dalla il 20.5.2019 provenivano dalla medesima utenza in uso a CP_1
, tanto da comparire nella conversazione con il mittente contrassegnato CP_2 dall'alias ” unitamente ad altre autentiche comunicazioni precedentemente Parte_2
ricevute sempre da , peraltro di analogo tenore, non potendosi accedere alla CP_2
contestazione di parte appellante secondo cui i messaggi inoltrati dagli ignoti malfattori presentassero indici di anomalia tali da indurre l'attrice a prestare particolare cautela. Allo stesso modo, la dedotta impossibilità di controllare l'utilizzo ed impedire impieghi abusivi dell'alias ” non può configurare un'esimente da responsabilità, costituendo, Parte_2
semmai, ulteriore indice di insufficienza dei sistemi impiegati al fine di garantire un adeguato livello di sicurezza del sistema informatico. Si evince, dunque, che il meccanismo fraudolento adoperato per aggredire il conto della sia stato CP_1
particolarmente insidioso, in quanto idoneo a generare maggiore affidamento sulla genuinità delle comunicazioni e sull'attendibilità della provenienza delle stesse da , e CP_2
pertanto, deve condividersi la motivazione della sentenza di primo grado nella parte in cui il Giudice di Pace ha valorizzato tale circostanza in funzione di escludere qualsiasi profilo di colpevolezza nella condotta dell'attrice.
8 In conclusione, deve rigettarsi lo spiegato appello e, per l'effetto, confermarsi la sentenza di primo grado.
Le spese del presente grado di giudizio seguono la soccombenza e sono liquidate come in dispositivo.
Deve darsi atto della sussistenza dei presupposti per il versamento, da parte dell'impugnante soccombente, dell'importo a titolo di contributo unificato pari a quello dovuto per l'impugnazione da lui proposta, a norma dell'art. 13, comma 1-quater del
D.P.R. n. 115 del 2002, inserito dalla L. 24 dicembre 2012, n. 228, art. 1, comma 17.
P.Q.M.
Il Tribunale, quale Giudice di Appello, definitivamente pronunciando, ogni contraria e diversa istanza e deduzione disattesa, così provvede:
- rigetta l'appello;
- condanna parte appellante alla refusione delle spese del presente grado di giudizio in favore di che liquida in € 662,00 per compensi, oltre al rimborso spese CP_1
forfettarie, IVA e CPA come per legge, da distarsi in favore del procuratore istante;
- dà atto della sussistenza dei presupposti di cui all'art. 13, comma 1-quater, del D.P.R. n.
115 del 2002, per il versamento, da parte dell'appellante, dell'ulteriore importo a titolo di contributo unificato, pari a quello dovuto per l'appello.
Cosenza, 9.12.2025
Il Giudice
Dott. ON VA ZA
9