TRIB
Sentenza 22 dicembre 2025
Sentenza 22 dicembre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Messina, sentenza 22/12/2025, n. 2352 |
|---|---|
| Giurisdizione : | Trib. Messina |
| Numero : | 2352 |
| Data del deposito : | 22 dicembre 2025 |
Testo completo
R E P U B B L I C A I T A L I A N A IN NOME DEL POPOLO ITALIANO TRIBUNALE DI MESSINA Seconda Sezione Civile Il Tribunale di Messina, seconda sezione civile, in persona del Giudice monocratico, dott.ssa Emanuela Lo Presti ha pronunciato la seguente SENTENZA nella causa civile iscritta al n. 224 /2021 R.G., introitata per la decisione all'udienza di precisazione delle conclusioni del giorno 19/06/2025, promossa da (C.F. Parte_1
), rappresentata e difesa dall'avv. Cinzia Picciolo, C.F._1 giusta procura in atti, attrice contro (C.F. , in Controparte_1 P.IVA_1 persona del legale rappresentante pro tempore, rappresentata e difesa dall'avv. Alessandro Trinchi, giusta procura in atti, convenuta avente ad oggetto: risarcimento danni;
rapporti bancari;
In fatto ed in diritto Con atto di citazione, notificato il 15.01.2021, Parte_1
premesso di essere intestataria del conto corrente n. 04200071006, in
[...] essere presso la e di aver attivato, in data CP_1 Controparte_1
06.08.2020, il servizio di canalità diretta e pagamenti in mobilità, ha agito in giudizio nei confronti di quest'ultima, chiedendone la condanna al risarcimento dei danni subiti a causa di una truffa informatica (cd. phishing) di cui è stata vittima, ad opera di ignoti. A fondamento della domanda proposta, ha esposto di essersi casualmente accorta, in data 31.08.2020, dell'effettuazione dal proprio conto corrente di quattro bonifici non autorizzati, rispettivamente in data 12.08.2020, 13.08.2020, 17.08.2020 e 19.08.2020, per la somma complessiva di € 42.191,25. Ha, quindi, eccepito la responsabilità di per non aver impedito a terzi di introdursi CP_2 illecitamente nel proprio sistema informatico, consentendo la violazione dei dati personali e l'indebita esecuzione delle operazioni bancarie in oggetto, chiedendo la condanna della stessa alla restituzione della somma illecitamente sottratta, oltre al risarcimento dei danni non patrimoniali subiti. La costituendosi in giudizio, ha Controparte_1 contestato la fondatezza delle domande proposte, rilevando di aver adottato adeguate misure di protezione dei propri sistemi informatici ed eccependo la responsabilità colposa dell'attrice nella causazione del danno per aver comunicato a terzi i propri codici personali. Concessi i termini ex art. 183, comma VI, c.p.c., in assenza di ulteriore attività istruttoria, la causa è stata rinviata per la precisazione delle conclusioni e per la discussione orale ex art. 281 sexies c.p.c. all'esito della quale la causa è stata assunta in decisione. La domanda è fondata e deve, pertanto, essere accolta per i motivi che seguono. Secondo il costante orientamento della Suprema Corte, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, grava sull'istituto di credito l'obbligo, secondo le regole del mandato di cui all'art. 1856 c.c. e quale contraente qualificato, di adeguarsi all'evoluzione dei sistemi di sicurezza informatici al fine di contrastare episodi di frodi informatico – finanziarie, messe a segno mediante la forzatura dei sistemi di pagamento elettronici, pone in capo all'intermediario che offre servizi di pagamento il dovere di adempiere all'obbligo di custodia del patrimonio dei propri clienti con la diligenza professionale richiesta dall'art. 1176, comma 2, c.c., predisponendo misure di protezione idonee ad evitare l'accesso fraudolento di terzi ai depositi o a neutralizzarne gli effetti. Il debitore di prestazione professionale, per andare esente da responsabilità, deve, quindi, adoperare la diligenza resa necessaria dalle peculiari circostanze concrete del caso e ciò, sia mediante un adeguato sforzo tecnico che impiegando le energie ed i mezzi necessari - e, obiettivamente, anche soltanto utili – all'adempimento della prestazione dovuta, oltreché ad evitare possibili eventi dannosi (Cass. Civ., 24.06.2020, n. 12407). Ne consegue che, nell'ambito del rapporto di conto corrente con operatività mediante piattaforma telematica, eccezion fatta nell'ipotesi in cui ricorra la colpa grave (o il dolo) dell'utente – ovverosia, la violazione delle norme prudenziali sottese alle modalità di utilizzo del conto corrente mediante cd. home banking – sussiste la responsabilità contrattuale dell'intermediario per le operazioni effettuate a mezzo strumenti elettronici, mediante illecita utilizzazione delle credenziali di accesso da parte di terzi, relativamente alla mancata verifica della riconducibilità dell'operazione alla volontà del cliente. Ed invero, è stato precisato che incombe sul prestatore dei servizi di pagamento il duplice onere di provare di aver adottato tutte le misure di sicurezza necessarie per la protezione del cliente e l'inadempimento doloso o gravemente colposo del cliente medesimo. Secondo il costante orientamento della Suprema Corte in argomento, infatti, in tema di responsabilità della
2 banca, ovvero dell'erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, va ricondotta nell'area del rischio professionale del prestatore dei servizi di pagamento - prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente - la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo (cfr., Cass. Civ., 10.03.2023, n. 13204, che richiama Cass. Civ., 26.11.2020, n. 26916; Cass. Civ., 03.02.2017, n. 2950; Cass. Civ., 05.07.2019, n. 18045; Cass. Civ., 23.05.2016, n. 10638). In particolare, la sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente, non essendo sufficiente che chi esegue l'operazione bancaria inserisca le credenziali per garantire la volontarietà dell'azione, ma occorrendo un quid pluris, per consentire alla banca di acclarare l'effettiva volontà del correntista di dar luogo alla disposizione patrimoniale (cfr., Cass. Civ., 12.04.2018, n. 9158). In tal senso, il D.lgs. 11/2010, attuativo della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, all'art. 10 che si occupa della “prova di autenticazione ed esecuzione delle operazioni di pagamento”, dispone che se il correntista (definito “utilizzatore di servizi di pagamento”) nega di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dalla banca (“prestatore di servizi di pagamento”) non è di per sé sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento. Da ciò consegue l'onere in capo all'erogatore di servizi, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, se vuole andare esente da responsabilità, di fornire la prova della legittimità dell'operazione on line, mediante la riconducibilità della stessa alla condotta colposa del danneggiato (cfr., tra le tante, Cass. Civ., sez. I, 20.05.2022, n. 16417, secondo la quale “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto”; v. anche Cass. Civ., 19.01.2016, n. 806: “non può essere omessa […] la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire
3 la sicurezza del servizio;
infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere”). Alla luce di tali principi, è stato recentemente precisato che è onere della banca fornire la prova della riconducibilità dell'operazione alla volontà del cliente (cfr. Cass. Civ., 10.03.2023, n. 13204, che richiama Cass. Civ., 03.02.2017, n. 2950; Cass. Civ., 05.07.2019, n. 18045; Cass. Civ., 23.05.2016, n. 10638; conf. Cass. Civ., 26.11.2020, n. 26916, la quale evidenzia che rientra “nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”), con la precisazione, in ogni caso, che, in applicazione del principio di cui all'art. 1176 c.c., “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto” (Cass. Civ., sez. III, 26.05.2020, n. 9721). Ciò posto, nel caso di specie, deve ritenersi che la convenuta non abbia assolto all'onere probatorio sulla stessa gravante, non avendo dimostrato di avere adottato tutte le cautele necessarie e rese possibili dalla migliore tecnica dell'epoca per evitare o limitare il rischio di frodi informatiche, nè l'assunzione di un comportamento colposo da parte cliente mediante l'incauta divulgazione a terzi dei propri dati, password o codici di accesso al sistema di home banking. Va, invero, in primo luogo, dato atto della predisposizione da parte della di un sistema di sicurezza potenzialmente idoneo CP_1 Controparte_1 ad evitare l'accesso ai dati personali del correntista da parte di terzi, mediante la presenza di un plurimo ordine di credenziali fornite e richieste, quali il nome utente, il pin dispositivo e l'OTP, come richiesto dall'art. 10 bis del D.lgs. 27 gennaio 2010, n. 11, di recepimento della direttiva europea sugli strumenti di pagamento, PSD1. Tale sistema di autenticazione/autorizzazione rispecchia le caratteristiche di Strong Customer Authentication, richieste dalla disciplina vigente e, in particolare, dalla direttiva europea dedicata ai servizi di pagamento digitali, meglio nota come “PSD2”, Payment Services Directive 2, la quale, con l'obiettivo di introdurre maggiore concorrenza sul mercato dei pagamenti e
4 garantire alle operazioni di online banking un più elevato livello di sicurezza, ha previsto sistemi di autenticazione più rigorosi, denominati “forti” o “a doppio fattore”, al fine di prevenire gli attacchi dei cybercriminali che adoperano strumenti sempre più sofisticati per carpire le credenziali degli utenti vittime delle frodi, effettuate mediante accessi non autorizzati ai conti correnti. La banca convenuta non ha, tuttavia, fornito prova dell'invio alla correntista dei cd. “SMS alert”, idonei ad informare tempestivamente quest'ultima dell'effettuazione di transazioni bancarie dal proprio conto corrente (cfr., anche ABF, Collegio di Milano, n. 9367/2023, secondo cui
“l'SMS alert […] svolge anche una funzione protettiva più ampia, costituendo un presidio a tutela della trasparenza, della consapevolezza e della sicurezza dei pagamenti. In particolare, nel contesto di una frode come quella oggetto del presente ricorso – denominata social hacking e perpetrata non grazie a una falla del sistema informatico dell'intermediario, ma attraverso la manipolazione psicologica del cliente – l'SMS alert può indurre il titolare del servizio di pagamento a realizzare la reale natura dell'operazione che sta materialmente svolgendo, di porre fine ad essa”). Sul punto, è stato, infatti, precisato che la mancata attivazione del servizio SMS alert costituisce in ogni caso una carenza organizzativa imputabile all'intermediario, scusabile solo laddove il cliente rilasci una specifica dichiarazione liberatoria di rifiuto ad avvalersene (ABF, 23.07.2024, n. 8672), insussistente nel caso di specie (cfr., in analoga fattispecie, Cass. Civ., 12.02.2024, n. 3780, ha ribadito che “era pertanto onere di , CP_3 come correttamente ritenuto dalla impugnata sentenza, dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente”). Nè può, in tal senso, ritenersi sufficiente l'invio, alle 23,40 dell'11.08.2020, dell'SMS che ha informato l'attrice della mera attivazione del Mobile Token (verosimilmente richiesta dalla stessa parte con l'adesione al servizio di home banking), in mancanza della singola segnalazione dell'effettuazione di transazioni economiche dal proprio conto corrente. Di contro, l'attrice ha dimostrato di essersi tempestivamente attivata, una volta venuta a conoscenza dell'esecuzione dei bonifici non autorizzati, in data 31.08.2020, a presentare denuncia querela presso il competente Comando dei Carabinieri, disconoscendo l'effettuazione delle transazioni economiche e segnalando alla società convenuta la commissione dell'illecito.
5 Non appaiono, pertanto, ravvisabili nella condotta dell'attrice gli estremi del concorso colposo del danneggiato nella causazione del danno, invocato dalla convenuta (cfr., Corte d'appello Ancona, sez. I, 13.01.2021, n. 18, per la quale “anche a voler sostenere l'idoneità e sicurezza del sistema approntato, la non ha tenuto la condotta dell'accorto banchiere […] Non ha CP_1 provato inoltre quel quid pluris, necessario a liberarla da responsabilità, ossia che i correntisti avessero effettivamente aperto l'e-mail, cliccato incautamente sul link e fornito le credenziali di accesso. Di conseguenza, non dando prova del dolo o della colpa grave, la resta responsabile dello CP_1 svotamento del conto corrente di controparte (Cass. civ. sez.VI, ordinanza del 12.04.2018 n.9158; Tribunale di Firenze sez. III, sentenza del 3.11.2014; Cass. Civ. sez. I sentenza del 24.09.2009 n.20543; Cass. Civ. sez. I del 12.06.2007 n.13777)”; conf. Tribunale Messina, 02.11.2023, n. 2022). Per quanto esposto, la banca convenuta deve essere condannata al risarcimento dal danno subito dalla società correntista in seguito all'illecito commesso e pari alla somma illecitamente sottratta di € 42.191,25. Tale importo costituisce oggetto di debito di valore e, pertanto, deve essere rivalutato secondo gli indici ISTAT con decorrenza dalla data dell'illecito depauperamento ad oggi (cfr. Cass. Civ., sez. III, 27.06.2016, n. 13225) e a tale somma devono aggiungersi gli interessi legali decorrenti dalla sentenza al soddisfo, in assenza di prova e allegazione che la somma rivalutata sia inferiore a quella di cui l'attrice avrebbe disposto, alla stessa data della sentenza, se il pagamento della somma originariamente dovuta fosse stato tempestivo (cfr. Cass. civ. sez. II, 19.01.2022, n. 1627). Deve, invece, essere rigettata l'ulteriore domanda di risarcimento danni formulata da parte attrice, in mancanza di allegazione e prova dei danni concretamente subiti. In tema di risarcimento del danno è, infatti, costante l'orientamento giurisprudenziale nel ritenere che il danno risarcibile non può considerarsi in re ipsa, identificandosi non nella lesione del diritto inviolabile, bensì nelle conseguenze di tale lesione, con la conseguenza che è onere del danneggiato provarne la sussistenza, potendo il Giudice procedere alla sua liquidazione sulla base, non di valutazioni astratte, ma del concreto pregiudizio patito, per come dedotto e provato (cfr. Cass. Civ., sez. VI, 05.12.2017, n. 28995, per la quale “ai fini dell'affermazione della responsabilità, sia in materia contrattuale che extracontrattuale, si richiede il nesso di causalità tra l'inadempimento o il fatto illecito e il danno e l'onere della dimostrazione di tale nesso, sia in materia contrattuale che extracontrattuale, è a carico di colui che agisce per il risarcimento”). Il sistema di responsabilità civile e contrattuale è, infatti, permeato dal principio della risarcibilità del danno effettivo che possa considerarsi come conseguenza diretta ed immediata dell'altrui comportamento illecito ovvero
6 inadempiente (cfr. Cass. Civ., Sez. Un., 24.03.2006, n. 6572, per la quale “la forma rimediale del risarcimento del danno opera solo in funzione di neutralizzare la perdita sofferta, concretamente, dalla vittima, mentre l'attribuzione ad essa di una somma di denaro in considerazione del mero accertamento della lesione, finirebbe con il configurarsi come somma-castigo, come una sanzione civile punitiva, inflitta sulla base del solo inadempimento, ma questo istituto non ha vigenza nel nostro ordinamento”). Ebbene, nel caso di specie, non sussistono sufficienti elementi per concludere nel senso della esistenza di ulteriore danno, non avendo l'attrice fornito prova di uno specifico pregiudizio che avrebbe subito dalla condotta negligente posta in essere dalla banca. Ogni altre questione è da ritenersi assorbita. Le spese di lite, liquidate come dispositivo secondo i parametri minimi di cui al D.M. n. 55/14, relativi alle controversie di valore compreso tra € 26.001,00 ed € 52.000,00, tenuto conto delle attività e delle difese spiegate, seguono la soccombenza e vanno, pertanto, poste a carico della banca convenuta.
P.Q.M.
Il Tribunale di Messina, seconda sezione civile, in composizione monocratica, disattesa ogni contraria istanza, eccezione e difesa, definitivamente pronunciando nella causa iscritta al n. 224/2021 R.G., così provvede:
1. accoglie la domanda di pagamento proposta da parte attrice e, per l'effetto, condanna la al Controparte_1 pagamento in favore di parte attrice, della somma di € 42.191,25, oltre rivalutazione monetaria dalla data del pagamento alla presente pronuncia ed interessi legali dalla sentenza al saldo;
2. rigetta la domanda di risarcimento danni proposta da parte attrice;
3. condanna la convenuta al pagamento, in favore dell'attrice, CP_1 delle spese di giudizio, liquidate in € 545,00 per spese ed € 3.809,00 per compensi, oltre rimborso spese generali, IVA e CPA come per legge. Si comunichi. Così deciso in Messina il 19 dicembre 2025.
Il Giudice
dott.ssa Emanuela Lo Presti
7
), rappresentata e difesa dall'avv. Cinzia Picciolo, C.F._1 giusta procura in atti, attrice contro (C.F. , in Controparte_1 P.IVA_1 persona del legale rappresentante pro tempore, rappresentata e difesa dall'avv. Alessandro Trinchi, giusta procura in atti, convenuta avente ad oggetto: risarcimento danni;
rapporti bancari;
In fatto ed in diritto Con atto di citazione, notificato il 15.01.2021, Parte_1
premesso di essere intestataria del conto corrente n. 04200071006, in
[...] essere presso la e di aver attivato, in data CP_1 Controparte_1
06.08.2020, il servizio di canalità diretta e pagamenti in mobilità, ha agito in giudizio nei confronti di quest'ultima, chiedendone la condanna al risarcimento dei danni subiti a causa di una truffa informatica (cd. phishing) di cui è stata vittima, ad opera di ignoti. A fondamento della domanda proposta, ha esposto di essersi casualmente accorta, in data 31.08.2020, dell'effettuazione dal proprio conto corrente di quattro bonifici non autorizzati, rispettivamente in data 12.08.2020, 13.08.2020, 17.08.2020 e 19.08.2020, per la somma complessiva di € 42.191,25. Ha, quindi, eccepito la responsabilità di per non aver impedito a terzi di introdursi CP_2 illecitamente nel proprio sistema informatico, consentendo la violazione dei dati personali e l'indebita esecuzione delle operazioni bancarie in oggetto, chiedendo la condanna della stessa alla restituzione della somma illecitamente sottratta, oltre al risarcimento dei danni non patrimoniali subiti. La costituendosi in giudizio, ha Controparte_1 contestato la fondatezza delle domande proposte, rilevando di aver adottato adeguate misure di protezione dei propri sistemi informatici ed eccependo la responsabilità colposa dell'attrice nella causazione del danno per aver comunicato a terzi i propri codici personali. Concessi i termini ex art. 183, comma VI, c.p.c., in assenza di ulteriore attività istruttoria, la causa è stata rinviata per la precisazione delle conclusioni e per la discussione orale ex art. 281 sexies c.p.c. all'esito della quale la causa è stata assunta in decisione. La domanda è fondata e deve, pertanto, essere accolta per i motivi che seguono. Secondo il costante orientamento della Suprema Corte, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, grava sull'istituto di credito l'obbligo, secondo le regole del mandato di cui all'art. 1856 c.c. e quale contraente qualificato, di adeguarsi all'evoluzione dei sistemi di sicurezza informatici al fine di contrastare episodi di frodi informatico – finanziarie, messe a segno mediante la forzatura dei sistemi di pagamento elettronici, pone in capo all'intermediario che offre servizi di pagamento il dovere di adempiere all'obbligo di custodia del patrimonio dei propri clienti con la diligenza professionale richiesta dall'art. 1176, comma 2, c.c., predisponendo misure di protezione idonee ad evitare l'accesso fraudolento di terzi ai depositi o a neutralizzarne gli effetti. Il debitore di prestazione professionale, per andare esente da responsabilità, deve, quindi, adoperare la diligenza resa necessaria dalle peculiari circostanze concrete del caso e ciò, sia mediante un adeguato sforzo tecnico che impiegando le energie ed i mezzi necessari - e, obiettivamente, anche soltanto utili – all'adempimento della prestazione dovuta, oltreché ad evitare possibili eventi dannosi (Cass. Civ., 24.06.2020, n. 12407). Ne consegue che, nell'ambito del rapporto di conto corrente con operatività mediante piattaforma telematica, eccezion fatta nell'ipotesi in cui ricorra la colpa grave (o il dolo) dell'utente – ovverosia, la violazione delle norme prudenziali sottese alle modalità di utilizzo del conto corrente mediante cd. home banking – sussiste la responsabilità contrattuale dell'intermediario per le operazioni effettuate a mezzo strumenti elettronici, mediante illecita utilizzazione delle credenziali di accesso da parte di terzi, relativamente alla mancata verifica della riconducibilità dell'operazione alla volontà del cliente. Ed invero, è stato precisato che incombe sul prestatore dei servizi di pagamento il duplice onere di provare di aver adottato tutte le misure di sicurezza necessarie per la protezione del cliente e l'inadempimento doloso o gravemente colposo del cliente medesimo. Secondo il costante orientamento della Suprema Corte in argomento, infatti, in tema di responsabilità della
2 banca, ovvero dell'erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, va ricondotta nell'area del rischio professionale del prestatore dei servizi di pagamento - prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente - la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo (cfr., Cass. Civ., 10.03.2023, n. 13204, che richiama Cass. Civ., 26.11.2020, n. 26916; Cass. Civ., 03.02.2017, n. 2950; Cass. Civ., 05.07.2019, n. 18045; Cass. Civ., 23.05.2016, n. 10638). In particolare, la sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente, non essendo sufficiente che chi esegue l'operazione bancaria inserisca le credenziali per garantire la volontarietà dell'azione, ma occorrendo un quid pluris, per consentire alla banca di acclarare l'effettiva volontà del correntista di dar luogo alla disposizione patrimoniale (cfr., Cass. Civ., 12.04.2018, n. 9158). In tal senso, il D.lgs. 11/2010, attuativo della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, all'art. 10 che si occupa della “prova di autenticazione ed esecuzione delle operazioni di pagamento”, dispone che se il correntista (definito “utilizzatore di servizi di pagamento”) nega di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dalla banca (“prestatore di servizi di pagamento”) non è di per sé sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento. Da ciò consegue l'onere in capo all'erogatore di servizi, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, se vuole andare esente da responsabilità, di fornire la prova della legittimità dell'operazione on line, mediante la riconducibilità della stessa alla condotta colposa del danneggiato (cfr., tra le tante, Cass. Civ., sez. I, 20.05.2022, n. 16417, secondo la quale “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto”; v. anche Cass. Civ., 19.01.2016, n. 806: “non può essere omessa […] la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire
3 la sicurezza del servizio;
infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere”). Alla luce di tali principi, è stato recentemente precisato che è onere della banca fornire la prova della riconducibilità dell'operazione alla volontà del cliente (cfr. Cass. Civ., 10.03.2023, n. 13204, che richiama Cass. Civ., 03.02.2017, n. 2950; Cass. Civ., 05.07.2019, n. 18045; Cass. Civ., 23.05.2016, n. 10638; conf. Cass. Civ., 26.11.2020, n. 26916, la quale evidenzia che rientra “nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”), con la precisazione, in ogni caso, che, in applicazione del principio di cui all'art. 1176 c.c., “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto” (Cass. Civ., sez. III, 26.05.2020, n. 9721). Ciò posto, nel caso di specie, deve ritenersi che la convenuta non abbia assolto all'onere probatorio sulla stessa gravante, non avendo dimostrato di avere adottato tutte le cautele necessarie e rese possibili dalla migliore tecnica dell'epoca per evitare o limitare il rischio di frodi informatiche, nè l'assunzione di un comportamento colposo da parte cliente mediante l'incauta divulgazione a terzi dei propri dati, password o codici di accesso al sistema di home banking. Va, invero, in primo luogo, dato atto della predisposizione da parte della di un sistema di sicurezza potenzialmente idoneo CP_1 Controparte_1 ad evitare l'accesso ai dati personali del correntista da parte di terzi, mediante la presenza di un plurimo ordine di credenziali fornite e richieste, quali il nome utente, il pin dispositivo e l'OTP, come richiesto dall'art. 10 bis del D.lgs. 27 gennaio 2010, n. 11, di recepimento della direttiva europea sugli strumenti di pagamento, PSD1. Tale sistema di autenticazione/autorizzazione rispecchia le caratteristiche di Strong Customer Authentication, richieste dalla disciplina vigente e, in particolare, dalla direttiva europea dedicata ai servizi di pagamento digitali, meglio nota come “PSD2”, Payment Services Directive 2, la quale, con l'obiettivo di introdurre maggiore concorrenza sul mercato dei pagamenti e
4 garantire alle operazioni di online banking un più elevato livello di sicurezza, ha previsto sistemi di autenticazione più rigorosi, denominati “forti” o “a doppio fattore”, al fine di prevenire gli attacchi dei cybercriminali che adoperano strumenti sempre più sofisticati per carpire le credenziali degli utenti vittime delle frodi, effettuate mediante accessi non autorizzati ai conti correnti. La banca convenuta non ha, tuttavia, fornito prova dell'invio alla correntista dei cd. “SMS alert”, idonei ad informare tempestivamente quest'ultima dell'effettuazione di transazioni bancarie dal proprio conto corrente (cfr., anche ABF, Collegio di Milano, n. 9367/2023, secondo cui
“l'SMS alert […] svolge anche una funzione protettiva più ampia, costituendo un presidio a tutela della trasparenza, della consapevolezza e della sicurezza dei pagamenti. In particolare, nel contesto di una frode come quella oggetto del presente ricorso – denominata social hacking e perpetrata non grazie a una falla del sistema informatico dell'intermediario, ma attraverso la manipolazione psicologica del cliente – l'SMS alert può indurre il titolare del servizio di pagamento a realizzare la reale natura dell'operazione che sta materialmente svolgendo, di porre fine ad essa”). Sul punto, è stato, infatti, precisato che la mancata attivazione del servizio SMS alert costituisce in ogni caso una carenza organizzativa imputabile all'intermediario, scusabile solo laddove il cliente rilasci una specifica dichiarazione liberatoria di rifiuto ad avvalersene (ABF, 23.07.2024, n. 8672), insussistente nel caso di specie (cfr., in analoga fattispecie, Cass. Civ., 12.02.2024, n. 3780, ha ribadito che “era pertanto onere di , CP_3 come correttamente ritenuto dalla impugnata sentenza, dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente”). Nè può, in tal senso, ritenersi sufficiente l'invio, alle 23,40 dell'11.08.2020, dell'SMS che ha informato l'attrice della mera attivazione del Mobile Token (verosimilmente richiesta dalla stessa parte con l'adesione al servizio di home banking), in mancanza della singola segnalazione dell'effettuazione di transazioni economiche dal proprio conto corrente. Di contro, l'attrice ha dimostrato di essersi tempestivamente attivata, una volta venuta a conoscenza dell'esecuzione dei bonifici non autorizzati, in data 31.08.2020, a presentare denuncia querela presso il competente Comando dei Carabinieri, disconoscendo l'effettuazione delle transazioni economiche e segnalando alla società convenuta la commissione dell'illecito.
5 Non appaiono, pertanto, ravvisabili nella condotta dell'attrice gli estremi del concorso colposo del danneggiato nella causazione del danno, invocato dalla convenuta (cfr., Corte d'appello Ancona, sez. I, 13.01.2021, n. 18, per la quale “anche a voler sostenere l'idoneità e sicurezza del sistema approntato, la non ha tenuto la condotta dell'accorto banchiere […] Non ha CP_1 provato inoltre quel quid pluris, necessario a liberarla da responsabilità, ossia che i correntisti avessero effettivamente aperto l'e-mail, cliccato incautamente sul link e fornito le credenziali di accesso. Di conseguenza, non dando prova del dolo o della colpa grave, la resta responsabile dello CP_1 svotamento del conto corrente di controparte (Cass. civ. sez.VI, ordinanza del 12.04.2018 n.9158; Tribunale di Firenze sez. III, sentenza del 3.11.2014; Cass. Civ. sez. I sentenza del 24.09.2009 n.20543; Cass. Civ. sez. I del 12.06.2007 n.13777)”; conf. Tribunale Messina, 02.11.2023, n. 2022). Per quanto esposto, la banca convenuta deve essere condannata al risarcimento dal danno subito dalla società correntista in seguito all'illecito commesso e pari alla somma illecitamente sottratta di € 42.191,25. Tale importo costituisce oggetto di debito di valore e, pertanto, deve essere rivalutato secondo gli indici ISTAT con decorrenza dalla data dell'illecito depauperamento ad oggi (cfr. Cass. Civ., sez. III, 27.06.2016, n. 13225) e a tale somma devono aggiungersi gli interessi legali decorrenti dalla sentenza al soddisfo, in assenza di prova e allegazione che la somma rivalutata sia inferiore a quella di cui l'attrice avrebbe disposto, alla stessa data della sentenza, se il pagamento della somma originariamente dovuta fosse stato tempestivo (cfr. Cass. civ. sez. II, 19.01.2022, n. 1627). Deve, invece, essere rigettata l'ulteriore domanda di risarcimento danni formulata da parte attrice, in mancanza di allegazione e prova dei danni concretamente subiti. In tema di risarcimento del danno è, infatti, costante l'orientamento giurisprudenziale nel ritenere che il danno risarcibile non può considerarsi in re ipsa, identificandosi non nella lesione del diritto inviolabile, bensì nelle conseguenze di tale lesione, con la conseguenza che è onere del danneggiato provarne la sussistenza, potendo il Giudice procedere alla sua liquidazione sulla base, non di valutazioni astratte, ma del concreto pregiudizio patito, per come dedotto e provato (cfr. Cass. Civ., sez. VI, 05.12.2017, n. 28995, per la quale “ai fini dell'affermazione della responsabilità, sia in materia contrattuale che extracontrattuale, si richiede il nesso di causalità tra l'inadempimento o il fatto illecito e il danno e l'onere della dimostrazione di tale nesso, sia in materia contrattuale che extracontrattuale, è a carico di colui che agisce per il risarcimento”). Il sistema di responsabilità civile e contrattuale è, infatti, permeato dal principio della risarcibilità del danno effettivo che possa considerarsi come conseguenza diretta ed immediata dell'altrui comportamento illecito ovvero
6 inadempiente (cfr. Cass. Civ., Sez. Un., 24.03.2006, n. 6572, per la quale “la forma rimediale del risarcimento del danno opera solo in funzione di neutralizzare la perdita sofferta, concretamente, dalla vittima, mentre l'attribuzione ad essa di una somma di denaro in considerazione del mero accertamento della lesione, finirebbe con il configurarsi come somma-castigo, come una sanzione civile punitiva, inflitta sulla base del solo inadempimento, ma questo istituto non ha vigenza nel nostro ordinamento”). Ebbene, nel caso di specie, non sussistono sufficienti elementi per concludere nel senso della esistenza di ulteriore danno, non avendo l'attrice fornito prova di uno specifico pregiudizio che avrebbe subito dalla condotta negligente posta in essere dalla banca. Ogni altre questione è da ritenersi assorbita. Le spese di lite, liquidate come dispositivo secondo i parametri minimi di cui al D.M. n. 55/14, relativi alle controversie di valore compreso tra € 26.001,00 ed € 52.000,00, tenuto conto delle attività e delle difese spiegate, seguono la soccombenza e vanno, pertanto, poste a carico della banca convenuta.
P.Q.M.
Il Tribunale di Messina, seconda sezione civile, in composizione monocratica, disattesa ogni contraria istanza, eccezione e difesa, definitivamente pronunciando nella causa iscritta al n. 224/2021 R.G., così provvede:
1. accoglie la domanda di pagamento proposta da parte attrice e, per l'effetto, condanna la al Controparte_1 pagamento in favore di parte attrice, della somma di € 42.191,25, oltre rivalutazione monetaria dalla data del pagamento alla presente pronuncia ed interessi legali dalla sentenza al saldo;
2. rigetta la domanda di risarcimento danni proposta da parte attrice;
3. condanna la convenuta al pagamento, in favore dell'attrice, CP_1 delle spese di giudizio, liquidate in € 545,00 per spese ed € 3.809,00 per compensi, oltre rimborso spese generali, IVA e CPA come per legge. Si comunichi. Così deciso in Messina il 19 dicembre 2025.
Il Giudice
dott.ssa Emanuela Lo Presti
7