N. 2378/2021 Ruolo Generale
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE DI PORDENONE
Il Tribunale di Pordenone, in persona del Giudice dr.ssa Maria Paola Costa, ha pronunciato la seguente sentenza
nella causa civile di primo grado, promossa con atto di citazione notificato il 27 ottobre
2021
da
(C.F. ) rappresentata e Parte_1 P.IVA_1
difesa, per mandato in calce al predetto atto di citazione, dagli avv. Alvise Cecchinato e
Susanna Geremia e presso il loro studio in Portogruaro via del Rastrello n. 45 elettivamente domiciliata
- attrice -
contro
(C.F. ) rappresentata e difesa, per mandato in Controparte_1 P.IVA_2 calce alla comparsa di costituzione, dall'avv. prof. Lotario Benedetto Dittrich e presso il suo studio in Milano via Santa Croce n. 4 elettivamente domiciliata
- convenuta -
Oggetto: contratti bancari (deposito bancario, etc.).
Causa iscritta a ruolo il 5 novembre 2021 e trattenuta in decisione all'udienza di
Pagina 1 di 12

precisazione delle conclusioni del 20 settembre 2024.
CONCLUSIONI
Per l'attrice: come da foglio depositato telematicamente il 18 settembre 2024:
“Nel merito:
ravvisata anzitutto la violazione da parte della dei propri Controparte_2
doveri, contrattuali e di legge, in particolare alla normativa di cui al D.Lgs. n. 11/2010 come modificato dal D.Lgs. n. 217/2018, e quindi l'illegittimità, sia con riguardo all'addebito della somma per cui è causa, nonostante si trattasse di operazione non autorizzata, sia, dopo il ristoro a cui la stessa aveva provveduto, con riguardo al riaddebito della somma, stante
l'arbitrarietà per inconferenza e infondatezza delle motivazioni,
ravvisata comunque ex lege, sempre per la normativa di cui al D.Lgs. n. 11/2010 come modificato dal D.Lgs. n. 217/2018, non risultando essere stata adeguatamente dimostrata colpa, tantomeno grave, in capo alla correntista, la responsabilità della
[...]
e, per quanto occorra, la natura di indebito del primo prelievo e/o del Controparte_2
secondo,
condannare alla restituzione a Controparte_2 Parte_1
della somma di Euro 25.000,00, oltre agli interessi di legge dal dovuto al saldo
[...]
(e, dalla proposizione della domanda giudiziale, al tasso previsto dalla legislazione speciale relativa ai ritardi di pagamento nelle transazioni commerciali, ex art. 1284 penultimo comma c.c.) e anche al risarcimento del maggior danno (ex art. 1224 secondo comma c.c.), pari al costo del denaro per l'attrice imprenditore commerciale, o alla diversa somma, maggiore o minore, che risulterà di Giustizia e/o ; CP_3
In via istruttoria: come da memorie ex art. 183 VI comma c.p.c. nn. 2 (dd. 17.5.22) e 3 (dd.
8.6.22); sulla C.T.U. come da osservazioni depositate con nota dd. 20.4.23, deduzioni in udienza e note autorizzate dd. 14.7.23.
Con vittoria di spese legali, da liquidarsi ex parametri ministeriali D.M. 55/14 come aggiornati al D.M. 37/18, tanto per le attività stragiudiziali di cui alla diffida ed alla procedura di mediazione obbligatoria, quanto per la presente causa, per compensi e
Pagina 2 di 12 anticipazioni, oltre spese generali, c.p. ed i.v.a. come per legge.
Si reitera la dichiarazione di non accettare il contraddittorio su richieste e difese nuove di controparte”.
Per la convenuta: come da foglio depositato telematicamente il 19 settembre 2024:
“Voglia l'Ill.mo Tribunale adito, ogni contraria domanda, eccezione ed istanza reietta:
– in via preliminare, riunire la presente causa alla causa proposta da
[...]
avanti a questo Tribunale, RG 2377/2021; Controparte_4
– in via principale, respingersi la domanda di risarcimento del danno proposta dall'attrice;
– in via subordinata, respingersi le domande di risarcimento del maggior danno ex art.
1224 secondo comma c.c. nonché la domanda di condanna al pagamento “dalla proposizione della domanda giudiziale, al tasso previsto dalla legislazione speciale relativa ai ritardi di pagamento nelle transazioni commerciali, ex art. 1284 penultimo comma c.c.”.
– In ogni caso, con piena vittoria di spese ed onorari di causa.
– In via istruttoria,
si insta per l'acquisizione dei log relativi alla causa avente R.G. 2378/2021;
si deduce il seguente capitolo di prova per testimoni:
1) “Vero che il doc. n. 13, che mi si rammostra, costituisce fedele estratto dal sistema informatico di con riferimento alle operazioni effettuate da Controparte_2 Pt_1 dall'1.8.2020 al 31.10.2020”.
Si indica come testimone il sig. , c/o , c.so Savona n. Testimone_1 Controparte_2
58, Moncalieri (TO)”.
RAGIONI DELLA DECISIONE
1.1 Con atto di citazione ritualmente notificato, l'attrice Parte_1
(di seguito solo attrice o ha evocato avanti al Tribunale di Pordenone la
[...] Pt_1
convenuta (di seguito solo convenuta o , al fine di Controparte_2 CP_5 CP_2
Pagina 3 di 12 sentir accogliere le seguenti, testuali, domande:
“Nel merito:
ravvisata anzitutto la violazione, da parte della dei Controparte_2 propri doveri, contrattuali e di legge, con riguardo all'addebito della somma per cui è causa, nonostante si trattasse di operazione non autorizzata, e quindi la sua responsabilità,
ravvisata altresì, per quanto occorra, dopo il ristoro a cui aveva provveduto, la arbitrarietà del riaddebito della somma, per l'inconferenza e l'infondatezza delle motivazioni, e quindi la sua illegittimità,
ravvisata comunque la responsabilità della e, per Controparte_2
quanto occorra, la natura di indebito del primo prelievo e/o del secondo,
condannarla alla restituzione a della somma di Parte_1
Euro 25.000,00, oltre agli interessi di legge dal dovuto al saldo (e, dalla proposizione della domanda giudiziale, al tasso previsto dalla legislazione speciale relativa ai ritardi di pagamento nelle transazioni commerciali, ex art. 1284 penultimo comma c.c.) e anche al risarcimento del maggior danno (ex art. 1224 secondo comma c.c.), pari al costo del denaro per l'attrice imprenditore commerciale, o alla diversa somma, maggiore o minore, che risulterà di Giustizia e/o ; CP_3
In via istruttoria:
Si effettua la produzione dei documenti di cui in narrativa e di cui all'elenco in fondo al presente atto;
con riserva di ulteriori produzioni e di ogni opportuna richiesta.
Con vittoria di spese legali, da liquidarsi ex parametri ministeriali D.M. 55/14 come aggiornati al D.M. 37/18, tanto per le attività stragiudiziali di cui alla diffida ed alla procedura di mediazione obbligatoria, quanto per la presente causa, per compensi e anticipazioni, oltre spese generali, c.p. ed i.v.a. come per legge”.
A sostegno di tali domande, a dedotto: Pt_1
- di aver acceso presso la filiale di Bibione della il c/c n. 13953 1000 00000971, CP_2
Pagina 4 di 12 dotato di specifico servizio home banking, con sistema denominato INBIZ;

- di aver disposto in data 31 agosto 2020 un bonifico per l'importo di € 25.000,00 a favore di Immobiliare Plata s.a.s., su c/c ad essa intestato sempre presso la Banca;

- di aver appreso, dopo qualche giorno, del mancato accredito sul c/c di destinazione di
Immobiliare Plata s.a.s., in quanto detta somma era pervenuta a tale , con Persona_1
cui nessun rapporto e/o contatto essa attrice aveva mai avuto, su c/c di iban completamente diverso da quello digitato;

- che si era, in buona sostanza, ritrovata un addebito di € 25.000,00 a favore non di
Immobiliare Plata s.a.s. (come aveva disposto), bensì del succitato (come Persona_1
mai autorizzato);
- che, sporta denuncia presso i Carabinieri e recatasi in filiale, era stata invitata a formalizzare il disconoscimento della operazione, in modo da essere subito ristorata;

Con
- che effettivamente le aveva riaccreditato la somma in questione;

- che, tuttavia, dopo qualche mese, con una comunicazione di contenuto palesemente standardizzato, genericamente adducente “opportuni ed oggettivi controlli” ed apoditticamente affermante una “totale estraneità all'accaduto”, la convenuta le aveva addebitato somma corrispondente a quella all'epoca versata a ristoro della movimentazione mai autorizzata;

- che, più precisamente, la aveva prelevato dal c/c n. 13953 1000 00000971 CP_2
l'importo di € 25.000,00, con, nel movimento, la causale “addebito per chiusura pratica di disconoscimento ... storno cliente per esito negativo”;
- di aver inoltravano alla con lettera del 10 dicembre 2020 formale reclamo, con CP_2 quale aveva contestato l'iniziativa di cui al suddetto ripensamento, in quanto arbitraria, ed invitato e diffidato la convenuta ad effettuare nuovamente la restituzione delle somme, per
€ 25.000,00, ovvero comunque a risarcire i danni subiti e subendi, pari, almeno, alla somma suindicata;

- che, in mancanza di fattivo riscontro al reclamo, aveva invano promosso procedura di mediazione obbligatoria;

Pagina 5 di 12 - di aver inviato una diffida ultimativa, ribadendo tutte le ragioni di fatto e di diritto e trasmettendo anche formalmente, per completezza, una perizia, che aveva confermato l'adeguatezza delle dotazioni informatiche hardware e software da essa utilizzate e ricollegato l'hackeraggio solo ed esclusivamente ai sistemi della Banca;

Con
- che anche tale diffida ultimativa era restata senza seguito, poiché , nonostante l'evidenza della sua responsabilità, nulla le aveva restituito;

- che la convenuta era responsabile per i danni che ne erano conseguiti, pari all'importo del bonifico di che trattasi, maggiorato di interessi e maggior danno, poiché non aveva impedito a terzi di introdursi illecitamente nel sistema telematico del proprio cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, con violazione dell'art. 15 codice della privacy, dell'art. 2050 c.c. e del D.Lgs.
27 gennaio 2010 n. 11;
- che il ripensamento ed il riaddebito erano, peraltro, arbitrari;

- che le dovevano essere rifuse anche le spese legali, ivi comprese quelle sostenute per la diffida e per la procedura di mediazione.
Con 1.2 , nel costituirsi rilevando l'esclusiva responsabilità di per quanto accaduto Pt_1
e premettendo che era pendente avanti a questo Tribunale anche la analoga causa N.
2377/2021 Ruolo Generale promossa da ha CP_4 Controparte_4
formulato le seguenti, testuali, conclusioni:
“Ogni contraria domanda, eccezione ed istanza reietta,
- In via preliminare: riunire la presente causa a quella proposta da Controparte_4 avanti a questo Tribunale, RG 2377/2021, dott.ssa Chiara Maria Risolo”
[...]
[rectius: Chiara Ilaria Risolo];
“- Ivia principale:” [rectius: - In via principale:] “respingersi la domanda di risarcimento del danno proposta dall'attrice;
- In via subordinata: respingersi le domande di risarcimento del maggior danno ex art.
1224 secondo comma c.c. nonché la domanda di condanna al pagamento “dalla proposizione della domanda giudiziale, al tasso previsto dalla legislazione speciale relativa
Pagina 6 di 12 ai ritardi di pagamento nelle transazioni commerciali, ex art. 1284 penultimo comma c.c.”.
- In ogni caso: con piena vittoria di spese ed onorari di causa”.
1.3 Rigettata l'istanza di riunione dei giudizi, non ricorrendo alcuna delle previsioni di cui agli artt. 273 e 274 c.p.c., ed autorizzato il deposito delle memorie ex art. 183 comma
6° c.p.c., è stata, quindi, espletata Ctu, affidata all'ing. Persona_2
1.4 Da ultimo, all'esito dell'udienza cartolare del 20 settembre 2024 la causa è stata trattenuta in decisione sulle conclusioni in epigrafe riportate, con concessione alle parti di termine sino al 19 novembre 2024 per il deposito delle comparse conclusionali e di successivo termine sino al 9 dicembre 2024 per il deposito delle memorie di replica.
2.1 Esposti, nei termini succinti che precedono, i fatti rilevanti oggetto del contendere,
Con deve per l'ennesima volta rigettarsi l'istanza, svolta in via preliminare da sin dalla Con comparsa di costituzione e da ultimo dalla stessa ribadita in sede di conclusioni definitive, di riunione della presente causa a quella recante N. 2377/2021 Ruolo Generale proposta da avanti a questo Tribunale. Controparte_4
Ed, invero, come già si è statuito all'udienza cartolare del 18 marzo 2022, senza che in seguito la Banca abbia sostanzialmente sviluppato, sul punto, nuove argomentazioni difensive, non resta che riaffermare che dalla disamina degli atti di causa non ricorrono le previsioni di cui agli artt. 273 e 274 c.p.c., poiché non vi è piena identità soggettiva delle parti, diverso è l'oggetto, né si è al cospetto di procedimenti legati da stretto vincolo di connessione, con conseguente rischio di contrasto di giudicati.
2.2 Passando, quindi, al merito, la domanda può essere accolta per le ragioni di seguito illustrate.
Deve, anzitutto, ritenersi fatto incontestato (giacché la convenuta non ha in alcun modo adombrato che l'attrice avesse fraudolentemente preso parte all'operazione qui in esame) che nell'estate del 2020 M.C. è stata vittima di una truffa informatica.
Più nel dettaglio, pur avendo il 31 agosto 2020 disposto un bonifico di € 25.000,00 in favore di Immobiliare Plata s.a.s., avvalendosi del servizio home banking in dotazione del rapporto presso la Banca, l'attrice, constatato dopo qualche giorno e, comunque, in
Pagina 7 di 12 tempi obiettivamente ragionevoli il mancato accredito sul conto corrente di destinazione, ha scoperto che siffatta somma era pervenuta a tale , ovvero a soggetto con Persona_1
cui è altrettanto incontestato che la stessa attrice non ha mai intrattenuto alcun affare.
Un tanto è avvenuto, secondo quanto le parti avevano ipotizzato sin dai loro scritti introduttivi ed il nominato Ctu ha poi confermato, a causa di un attacco informatico di tipo man in the browser.
Ed appare da subito utile precisare che un attacco di tal fatta aveva colpito in quello
Con stesso periodo anche altri clienti di , come ha allegato nelle note scritte Pt_1
predisposte in previsione della prima udienza, tenutasi in modalità cartolare in data 18 marzo 2022, e si è anche offerta di provare, e come, del resto, emerge per tabulas (cfr., per tutte, la sentenza n. 2267/2023 del Tribunale di Padova e la sentenza n. 63/2025 del
Tribunale di Avellino).
Orbene, quanto all'attacco man in the browser, l'ing. ha chiarito Persona_2
che esso si svolge come segue.
Nella prima fase viene installato nel PC della vittima, senza che essa ne sia a conoscenza, un malware, che modifica il comportamento del browser, ponendosi, poi, in stato silente ed inattivo fino all'avvio di operazioni su sistemi di online banking.
Nella seconda fase viene avviata dal PC con browser infettato un'operazione relativa ad un bonifico bancario.
Nella terza fase entra in funzione il malware che modifica l'operazione, solitamente cambiando nome del beneficiario ed IBAN.
Nella quarta fase l'operazione modificata viene inviata al sistema informativo bancario.
Nella quinta fase l'Istituto di credito chiede conferma dell'operazione ed anche la richiesta di conferma, ricevuta dal browser infetto, è oggetto di modifica da parte del malware installato nel PC, sicché la vittima visualizza la richiesta di conferma in merito all'operazione originale richiesta, recante a volte qualche leggera differenza, come è avvenuto nella specie (“doppia I” all'inizio dell'IBAN e mancanza della lettera “Q” dopo le
Pagina 8 di 12 cifre 93 dell'IBAN).
Nella sesta ed ultima fase la vittima autorizza l'operazione (che, come detto, visualizza nei termini della propria richiesta), ad esempio, nel caso in questione, con la digitazione di un codice OTP.
In questi casi, se il documento PDF, contenente la contabile di bonifico, viene scaricato nella medesima sessione web, lo stesso documento PDF è oggetto di modifica da parte del malware, con l'effetto che l'utente effettivamente dispone di una contabile di bonifico corrispondente, almeno in buona parte, ma a volte anche completamente, all'operazione di bonifico da lui richiesta, operazione che, tuttavia, è stata inviata alla banca in modo del tutto differente.
Analoghe considerazioni si possono fare relativamente alla visualizzazione dei movimenti online, atteso che, anche in questo caso, il malware modifica la visualizzazione via browser del movimento modificato all'interno della stessa sessione di operatività utente via web.
Operate dette premesse ed attenendosi alla relazione del Ctu, se ne ha che l'ing. mancando la copia forense del PC utilizzato per l'operazione, non ha Persona_2 potuto fornire risposta certa alla domanda “in quale modo si può essere infettato il browser con il malware che consentirà poi un attacco del tipo man in the browser?”.
Il medesimo ing. ha, nondimeno, ritenuto di poter ipotizzare vi Persona_2 fosse stato un preliminare attacco di tipo phishing, in forza del quale l'utente riceve, ad esempio, una e-mail fasulla o accede ad un sito web malevolo, e-mail o pagina web in cui sono presenti uno o più link, sui quali l'utente, inavvertitamente o intenzionalmente, effettua un click, in tal modo scaricando inconsapevolmente del malware, che poi consentirà il successivo attacco di tipo man in the browser anche molti giorni dopo.
Non resta, allora, che osservare che, al di là che non vi è alcuna prova (prova che, come si vedrà, doveva dare la Banca) che l'attrice abbia intenzionalmente cliccato sul link pericoloso, non coglie, comunque, nel segno e, dunque, non può essere condivisa (per quanto, del pari, si dirà infra) la risposta data dal Ctu alla successiva domanda “come ci si difende da tali attacchi?”.
Pagina 9 di 12 Diminuire sensibilmente la probabilità di attacchi informatici, ponendo in essere delle vere e complete misure in termini di cybersecurity, come risponde, difatti, l'ing.
[...]
non solo è affermazione priva di contenuto descrittivo della condotta che in Per_2 concreto avrebbe dovuto tenere l'attrice, ma anche e soprattutto non concorre a dare Con fondatezza all'unica censura che ha sollevato nel presente giudizio, affermando, altrettanto genericamente, che la grave colpa di era consistita nel non aver adottato Pt_1
le necessarie attività di sicurezza e di prevenzione nei propri sistemi informatici. E, si badi,
Con tutto ciò fa , senza indicare quale precauzione preventiva avrebbe omesso di attuare l'attrice ovvero quale radicale bonifica successiva dei propri sistemi la stessa attrice avrebbe omesso di mettere in atto.
Inconferenti, ai fini qui in esame, si rivelano anche le differenze presenti nell'IBAN, davvero minimali e, pertanto, difficilmente percepibili, come pure la circostanza che l'attrice non abbia (a dire della Banca) prestato la dovuta attenzione a quanto riportato nel campo “Esito disposizione di Pagamento” presente nella ricevuta di bonifico visualizzata dal proprio computer ed, in particolare, alla indicazione riferita al quadro C.R.O., quadro
Con che, in ogni caso, come stessa espressamente riconosce (così testualmente a pagina
9 della sua comparsa di costituzione) è “un codice numerico di undici cifre, con il quale ogni istituto bancario” (ma non anche ed indiscutibilmente il cliente, per quanto accorto e professionale egli sia) “identifica in maniera univoca ciascuna transazione bancaria, e che consente (a seconda degli istituti bancari) di verificare la movimentazione di denaro fra istituti di credito”.
Venendo, infine, al tema sopra accennato dell'onere probatorio, appare sufficiente evidenziare (cfr., per tutte, Cassazione civile, sez. VI, sentenza n. 9158 del 12 aprile 2018) che l'utilizzazione dei servizi telematici di home banking da parte dei correntisti rientra nell'area del rischio professionale della banca e richiede, pertanto, una sua diligenza di natura tecnica specifica. È, quindi, onere della banca, in caso di contestazione, fornire la prova della riconducibilità dell'operazione al cliente correntista, sia per previsione normativa (D.Lgs. n. 11/2010 e successive modifiche) che contrattuale (non risultando la doppia, specifica, sottoscrizione del cliente in calce alla asserita clausola di esonero).
Detto altrimenti, poiché la responsabilità dell'istituto bancario per operazioni di tal fatta ha natura contrattuale, essa va esclusa solo se ricorre una situazione di colpa grave
Pagina 10 di 12 dell'utente (cfr., fra le più recenti, Cassazione civile, sez. III, sentenza n. 3780 del 12 febbraio 2024), situazione, nella specie, da escludersi per quanto sopra si è detto.
Con
Un breve cenno deve farsi alla circostanza, enfatizzata negli scritti finali da , che induce quest'ultima ad imputare ogni responsabilità per quanto accaduto ad agosto 2020 alla sola attrice, a suo dire rea di non aver adottato (le, comunque, non meglio specificate) nuove protezioni del proprio PC in relazione ad una successiva analoga truffa subita ad ottobre 2020 (dunque, mesi dopo) da altra società di famiglia. Circostanza con ogni evidenza irrilevante nel presente giudizio.
Per le dirimenti ragioni che precedono, in cui resta assorbita ogni altra questione, la domanda va, come detto, accolta, conseguendone la condanna della convenuta a restituire all'attrice € 25.000,00 complessivi, con i soli interessi legali dal dì del prelievo di tale somma dal conto corrente dell'attrice stessa sino al saldo, interessi, che dalla proposizione della domanda, andranno calcolati secondo le previsioni dell'art. 1284 comma 4° c.c. (cfr. Cassazione civile, sez. II, sentenza n. 28409 del 7 novembre 2018), in assenza di adeguata allegazione e di valida prova del maggior danno da svalutazione monetaria.
2.3 Le spese seguono la soccombenza e vanno liquidate come in dispositivo, in applicazione dei criteri medi suggeriti dai vigenti parametri forensi per il presente giudizio nonché per la procedura di mediazione obbligatoria e dei criteri minimi per l'assistenza stragiudiziale prestata in sede di reclamo e diffida.
2.4 Andranno, per le stesse ragioni, poste a definitivo ed integrale carico della convenuta anche le spese di CTU nella misura liquidata in corso di causa all'ing.
[...]
Per_2


P. Q. M.


Il Tribunale di Pordenone, definitivamente pronunciando nella causa civile di cui in epigrafe, così provvede:
1) in accoglimento della domanda, condanna la convenuta a restituire all'attrice €
25.000,00 complessivi, oltre interessi come specificati in motivazione;

Pagina 11 di 12 2) condanna la convenuta alla rifusione delle spese sostenute dall'attrice, che liquida, quanto al presente giudizio, in € 7.616,00 per compenso ed € 545,00 per anticipazioni, quanto alla fase stragiudiziale relativa a reclamo e diffida, in € 945,00 per compenso e, quanto alla procedura di mediazione obbligatoria, in € 1.260,00 per compenso ed € 371,60 per anticipazioni, il tutto oltre rimborso forfettario 15%, CNA ed IVA come per legge;

3) pone a definitivo carico della convenuta le già liquidate spese di Ctu.
Così deciso in Pordenone il 3 febbraio 2025.
Il Giudice
dr.ssa Maria Paola Costa
Pagina 12 di 12