REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di MILANO
SESTA SEZIONE CIVILE
Il giudice Laura Massari ha pronunciato la seguente
SENTENZA nella causa civile di I grado iscritta al n. r.g. 14099/2024 promossa da:
(C.F. ), Parte_1 C.F._1 Parte_2 (C.F. ), (C.F. ), tutti con il
[...] P.IVA_1 Parte_3 P.IVA_2 patrocinio dell'avv. GRANELLI CARLO e CAPPELLARI LAURA ( ) VIA C.F._2
CORRIDONI, 1 20122 MILANO, elettivamente domiciliato in VIA CORRIDONI, 1 20100 MILANO presso il difensore avv. GRANELLI CARLO
ATTORI contro
(C.F. ), con il Controparte_1 P.IVA_3 patrocinio dell'avv. CHATZIKONSTANTI MARIA e RI ER ( ), elettivamente domiciliato in presso il difensore avv. CHATZIKONSTANTI C.F._3 MARIA
CONVENUTO

Oggetto: Contratti bancari (deposito bancario, etc)
CONCLUSIONI: Le parti hanno concluso per l'udienza del 23.9.2025: nella causa civile di I grado iscritta al n. r.g. 14099/2024 promossa da:
, Parte_1 Parte_2 Parte_3
Piaccia all'Ill.mo Tribunale adito – disattesa ogni contraria istanza, eccezione e deduzione – così giudicare:
a) nel merito – previ gli accertamenti del caso – condannare la Controparte_2 in persona del legale rappresentante pro tempore, a riaccreditare:
pagina 1 di 14 • all'arch. l'importo di € 39.900,00 – oltre interessi legali dalla data del relativo addebito Parte_1 a quella di proposizione della presente domanda – sul c/c n. 25265X78 dallo stesso acceso presso la Banca, IBAN n. [...]X78;
• alla l'importo di € 29.910,00 – oltre interessi legali dalla data del relativo addebito Parte_2
a quella di proposizione della presente domanda – sul c/c n. 24159X39 dalla stessa acceso presso la Banca, IBAN n. [...]X39;
• alla l'importo di € 32.900,00 – oltre interessi legali dalla data del relativo addebito a Parte_3 quella di proposizione della presente domanda – sul c/c n. 16717X66 dalla stessa acceso presso la Banca, IBAN n. [...]X66; oltre interessi ai sensi dell'art. 1284, comma 4, cod. civ. dalla data di proposizione della presente domanda al saldo effettivo;

b) in via istruttoria – per la sola ipotesi in cui ciò dovesse essere ritenuto necessario per l'accoglimento delle domande attrici e senza che ciò possa intendersi quale inversione della normale ripartizione dell'onere probatorio – disporsi consulenza tecnica d'ufficio volta ad acclarare i punti indicati memoria ex art. 171-ter, comma 1 n. 2, cod. proc. civ. in data 19.11.2024 depositata nell'interesse delle parti attrici;

c) in ogni caso, condannare la in persona del suo legale Controparte_2 rappresentante pro tempore, a rifondere all'arch. alla ed alla Parte_1 Parte_2 Parte_3 compensi e spese del presente giudizio, oltre spese generali (15%) ed oneri accessori (CPA ed IVA di legge al momento del pagamento).
Controparte_1
Voglia l'Ill.mo Tribunale adito, respinta ogni contraria azione, eccezione e difesa:
- in via principale, nel merito: respingere tutte le domande formulate da parte attrice nei confronti di in quanto infondate in fatto e in diritto;
Controparte_3
- in ogni caso: condannare la parte attrice alla rifusione delle spese di lite a favore della
[...]
Controparte_3
FATTO E DIRITTO
L'architetto in proprio e quale legale rappresentante delle società Finsa s.s. e Coesa s.r.l. Parte_1 ha convenuto in giudizio la e ne ha chiesto la condanna al pagamento Controparte_3 di diverse somme in favore di ciascuno degli attori oltre interessi legali (€ 39.900,00 per € Pt_1
29.910,00 per Finsa e € 32.900,00 per , previo accertamento della responsabilità dell'istituto Pt_3 bancario in relazione ad alcuni bonifici addebitati sui conti correnti degli attori in favore di soggetti ignoti e non disposti in alcun modo dai titolari del conti stessi. pagina 2 di 14 Hanno riferito gli attori:
-il 11.9.2022 il dott. arch. stipulava con la un Parte_1 Controparte_2 contratto di attivazione del pacchetto di servizi “Scrigno Plus” in collegamento con il c/c di corrispondenza nr. 023-25265/78 dallo stesso acceso presso la medesima banca (doc. n. 1 “conto
); Pt_1
-presso lo stesso istituto bancario l'arch. aveva poteri di firma su altri due conti corrente intestati Pt_1
a società delle quali era ed è legale rappresentante: dal 16.5.2011 conto corrente nr. 16717/66 – con allegato contratto di servizi di pagamento della società (doc. n. 2 “conto ); dal Parte_3 Pt_3
30.1.2019 conto corrente nr. 24159/39 – comprensivo di servizi di pagamento – della società Parte_2
(doc. n. 3 “conto ”); Pt_2
-in data 30.6.2023 (venerdì): sul conto venivano addebitate con due bonifici istantanei e causale “acquisto azioni” le Pt_1 somme di € 10,00 e di € 19.900,00 a favore del c/c [...] acceso da tale
(sedicente) sig. presso la IT (docc. 4 e 5); Persona_1 CP_2 sul conto veniva addebitato con bonifico istantaneo e causale “acquisto azioni” l'importo di € Pt_3
19.900,00 a favore del medesimo conto corrente (doc. 6); sul conto venivano addebitate con due bonifici istantanei e causale “acquisto azioni” le somme Pt_2 di € 10,00 e di € 19.900,00 a favore del c/c [...] acceso da tale
(sedicente) sig. presso la Banca IT (docc. 7 e 8); Persona_2
-in data 2.7.2023 (domenica):
sul conto veniva addebitata con bonifico istantaneo e causale “acquisto azioni” la somma di Pt_1
€ 19.900,00 a favore del c/c [...] acceso dallo stesso sig. Per_1 presso la IT (doc.9);
[...] CP_2 sul conto veniva addebitata con bonifico istantaneo e causale “acquisto azioni” la somma di € Pt_3
13.000,00 a favore del c/c [...] acceso da tale (sedicente) sig. Per_3 presso la IT (doc. 10);
[...] CP_2 sul conto veniva addebitato in forza di bonifico istantaneo e con la causale “acquisto azioni” Pt_2
l'importo di € 10.000,00 a favore del c/c [...] acceso tale (sedicente) sig.ra presso la IT (doc. 11); Parte_4 CP_2
pagina 3 di 14 -inoltre, in data 26.6.2023 (lunedì), alle ore 12,25, sul cellulare dell'arch. perveniva un SMS del Pt_1 seguente tenore: “Gentile cliente, a breve verrà contattato da un nostro operatore per motivi di sicurezza, segua le istruzioni” e poco altro SMS “Gentile cliente, ci sono problemi nel metterci in contatto con lei, restiamo in attesa di un suo contatto telefonico al servizio assistenza al numero
+393791918515” ai quali l'attore non dava risposta;
in serata un soggetto dichiaratosi operatore della banca contattava l'arch. sul cellulare e gli Pt_1 comunicava esservi stato un tentativo di accesso fraudolento ai suoi conti, presumibilmente da
Madrid, e gli chiedeva di poter accedere alla sua home-banking, altresì invitandolo a non utilizzare detta home-banking per le successive 24 ore, in quanto il suo account era in corso di aggiornamento;

l'arch. chiedeva di essere ricontattato dal centro di assistenza della banca, non dava alcuna Pt_1 autorizzazione e alle ore 18,32 riceveva un ulteriore SMS: “Gentile cliente, la confermiamo che sono state verificate correttamente le misure di sicurezza con il nostro operatore”;
-in data 30.6.2023 (venerdì), alle 18,05 l'arch. riceveva altro SMS: “Gentile cliente, a breve Pt_1 verrà contattato da un nostro operatore per motivi di sicurezza, segua le istruzioni”;
alle ore 18,21 SMS del seguente tenore: “SCRIGNO-bps: 30-06-2023 18:21 Cod. OTP: 198386” e alle ore 18,29 un ulteriore SMS: “SCRIGNO-bps: 30/06/2023, ore 18:29 – NUOVO
BENEFICIARIO (IBAN; IT***03576******051651): inviato bonifico di importo 10,00 EUR”; alle ore 18,30, un ulteriore SMS: “SCRIGNO-bps: 30/06/2023, ore 18:30 – NUOVO BENEFICIARIO
(IBAN; IT***03576******051651): inviato bonifico di importo 19900,00 EUR”; alle ore 18,43
SMS del seguente tenore: “SCRIGNO-bps: 30/06/2023, ore 18:43 – NUOVO BENEFICIARIO
(IBAN; IT***03576******051651): inviato bonifico di importo 19900,00 EUR”; alle ore 18,53
SMS del seguente tenore: “SCRIGNO-bps: 30/06/2023, ore 18:53 – NUOVO BENEFICIARIO
(IBAN; IT***03576******869126): inviato bonifico di importo 10,00 EUR”; alle ore 18,59, SMS del seguente tenore: “SCRIGNO-bps: 30/06/2023, ore 18:59 – NUOVO BENEFICIARIO (IBAN;
IT***03576******869126): inviato bonifico di importo 19900,00 EUR”; infine: SMS del seguente tenore: “Gentile cliente, i pagamenti sono stati bloccati come da Lei richiesto il nostro operatore la sta supportando per evitare gli addebiti provati dai malfattori”
-anche il successivo 2.7.2023 (domenica), al cellulare dell'arch. pervenivano diversi SMS: ore Pt_1
18,23 “SCRIGNO-bps: 02/07/2023, ore 18:23 – Inviato bonifico istantaneo di importo 19990,00 EUR
a Somma manuel ultime 7 cifre IBAN: 2051651”; ore 18,30 “SCRIGNO-bps: 02/07/2023, ore 18:30 – pagina 4 di 14 NUOVO BENEFICIARIO (IBAN: IT***03576********654489): inviato bonifico di importo
13000,00 EUR”; ore 18,36, “SCRIGNO-bps: 02/07/2023, ore 18:36 – NUOVO BENEFICIARIO
(IBAN: IT***03576********008929): inviato bonifico di importo 10000,00 EUR”; infine SMS del seguente tenore: “Gentile cliente La informiamo che le operazioni effettuate in territorio estero, sono state annullate come da sua richiesta”.
Hanno precisato gli attori che tutti gli SMS recano la intestazione;
essi sono riportati nel Pt_5 doc.14.
-in data 3.7.2023 (lunedì) l'arch. collegandosi alla propria home banking veniva a conoscenza Pt_1 degli importi addebitati sui conti corrente con i bonifici istantanei, bloccava l'accesso alla propria home banking e si recava in banca per segnalare gli accessi non autorizzati;
l'istituto tentava di richiamare i bonifici tuttavia senza successo.
Tanto premesso in fatto, sporta denuncia in relazione alla vicenda (doc.15) e presentato senza successo reclamo preventivo (docc.12-13), l'arch. nella qualità di cui sopra ha agito in giudizio e ha Pt_1 affermato di non aver mai impartito alla banca gli ordini di bonifico indicati, di ignorare la possibilità di effettuate 'bonifici istantanei' e di non aver mai autorizzato la banca ad operare in tale senso.
Ha quindi allegato la responsabilità dell'istituto bancario per la sottrazione del denaro per non essersi dotato di misure idonee a evitare intromissioni non autorizzate da parte di estranei nel proprio sistema informatico, in assenza di una autenticazione forte, e di non aver correttamente vigilato pur in presenza di una operatività anomala.
Si è costituita la e ha chiesto il rigetto di tutte le domande attoree, Controparte_3 rivendicando la correttezza della propria condotta.
Premesso di aver concluso con l'arch. il Contratto quadro “SCRIGNO Plus”, al fine di attivare Pt_1 un pacchetto di servizi accessori a (i.e. prodotto di home banking Controparte_4
Cont realizzato da che permette l'utilizzo di per tutti i rapporti di conto corrente Controparte_6 oggetto del giudizio (doc. 2), ha allegato che è lo strumento (in formato app o Controparte_6 fisico) di autenticazione forte che garantisce l'identità dell'utente e la sua volontà di compiere le operazioni bancarie richieste con o con . CP_7 Controparte_4
Ha chiarito la banca che “Più specificatamente, per si intende lo strumento di Controparte_6 autenticazione forte o telematico che consente – in relazione ai rapporti collegati al codice utente del quale il cliente ha la titolarità – di generare i codici OTP (One Time Password) necessari per effettuare pagina 5 di 14 il collegamento e l'utilizzo sicuro di per il tramite della combinazione tra Controparte_4 di loro di più dispositivi di sicurezza, ovvero (cfr. doc. 1 avv. pag. 3): (i) SMS: il cliente deve digitare, sul sito di Scrigno (i.e. o su Mobile o su app), un codice univoco OTP ricevuto CP_4 CP_4 tramite SMS da un telefono cellulare preventivamente associato al servizio;
(ii) App: il cliente deve digitare sul sito di Scrigno un codice univoco OTP generato da una app, protetta da password, installata sul proprio dispositivo mobile (fino a un massimo di cinque dispositivi associati alla singola app) e alla quale collegare un codice univoco (licenza) fornito dalla Banca;
(iii) Token: il cliente deve digitare sul sito di Scrigno un codice univoco OTP generato da un'apparecchiatura tascabile (se in versione fisica, altrimenti da un token software), autoalimentata e protetta da password, che gli è stata preventivamente consegnata e univocamente collegata.”.
Ha quindi precisato che tutte le operazioni contestate sono state eseguite secondo il predetto sistema di autenticazione forte ed inoltre che l'arch. ha sistematicamente ignorato i messaggi di SMS alert Pt_1 con i quali la banca lo avvisava in tempo reale delle operazioni compiute, e ciò nonostante i numerosi accessi alla propria home banking nei giorni interessati dia bonifici contestati.
Ha eccepito la non applicabilità della tutela di cui al D.lgs. n. 11/2010 al caso di specie poiché le operazioni contestate non possono configurarsi come eseguite da terzi non autorizzati, bensì direttamente dall'attore arch. ha rivendicato il rispetto da parte della banca dell'onere di Pt_1 diligenza con il sistema di autenticazione forte adottato anche per ciascuna delle operazioni contestate;
ha allegato la colpa grave del cliente che a fronte degli SMS ricevuti (taluni anche sgrammaticati) non ha mai contattato il numero verde di assistenza della banca, continuando ad accedere alla propria home banking e ignorando gli SMS alert.
Senza svolgimento di attività istruttoria, sulle conclusioni delle parti e assegnati i termini di cui all'art.189 c.p.c., la causa è stata rinviata all'udienza del 23 settembre 2025 per la sua rimessione in decisione, udienza poi sostituita dal deposito di note scritte.
***
Premesso che nel caso di specie il riferimento normativo è quello degli artt. 10 e seguenti del D.L.vo n.11/2010, costituente attuazione della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno, come modificato dal D.L.vo n. 218/2017, le domande attoree non possono trovare accoglimento.
pagina 6 di 14 Come già efficacemente ricostruito da questo Tribunale (sentenza n.1596/2023) “in materia di servizi di pagamento, il d.lgs. 27/01/2010, n. 11, in attuazione della direttiva 2007/64/CE, ha allocato, in ragione della capacità organizzativa e preventiva dei prestatori dei servizi di pagamento (di seguito,
PSP), i rischi derivanti da attività fraudolente a danno degli utenti. La direttiva citata, su cui sono intervenute diverse novelle, è stata successivamente abrogata dalla direttiva 2015/2366/UE, relativa ai servizi di pagamento nel mercato interno, la quale è stata attuata, nel nostro ordinamento, con d.lgs.
15/12/2017, n. 218, che ha apportato modifiche al d.lgs. 11/2010. La direttiva è stata, infine, integrata
a livello eurounitario con il regolamento delegato 2018/389/UE del 27 novembre 2017 della
Commissione europea per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri. La disciplina in materia di servizi di pagamento ruota intorno al consenso, preventivo, contestuale o successivo, del pagatore, ossia “il soggetto titolare di un conto di pagamento a valere sul quale viene impartito un ordine di pagamento ovvero, in mancanza di un conto di pagamento, il soggetto che impartisce un ordine di pagamento” (art. 1, d.lgs. 11/2010). L'art. 5, co. 1, d.lgs. 11/2010, stabilisce, infatti, che “il consenso del pagatore è un elemento necessario per la corretta esecuzione di un'operazione di pagamento. In assenza del consenso, un'operazione di pagamento non può considerarsi autorizzata”. Il consenso del pagatore deve essere distinto dall'ordine di pagamento il quale, nella normalità dei casi, lo presuppone, costituendone la manifestazione procedimentalizzata e autenticata tramite le moderne procedure informatiche. L'ordine di pagamento è, infatti, l'istruzione formale data dall'utente al proprio PSP, con la quale viene chiesta l'esecuzione di un'operazione di pagamento. Il consenso è il presupposto volitivo dell'ordine di pagamento, ossia la volontà del pagatore di dare avvio ad un'“operazione di pagamento” avvalendosi dei “servizi di pagamento” offerti da un “prestatore di servizi di pagamento”. In sostanza, con un esempio che si addice al caso in esame, è la volontà del cliente di ordinare alla propria banca di disporre un bonifico bancario in favore di un beneficiario determinato. L'art. 5, co. 2, d.lgs. 11/2010 recepisce la distinzione tra i due concetti, in armonia con
l'evoluzione tecnologica delle infrastrutture tecniche di comunicazione e, in particolare, delle procedure di autenticazione che consentono ai clienti di identificarsi e di disporre, a distanza, gli ordini di pagamento alla propria banca. Istituisce, pertanto, una procedimentalizzazione della manifestazione del consenso del pagatore (“il consenso ad eseguire un'operazione di pagamento o una serie di operazioni di pagamento è prestato nella forma e secondo la procedura concordata nel pagina 7 di 14 contratto quadro o nel contratto relativo a singole operazioni di pagamento”) e, di questa caratteristica, ne tiene conto in sede di allocazione dei rischi derivanti, tra le altre cose, dalle condotte fraudolente dei terzi che simulano un consenso del pagatore, dando avvio ad un'operazione di pagamento non voluta. Per comprendere la distribuzione degli obblighi di protezione e delle rispettive responsabilità, si deve tener presente che, alla luce del complessivo impianto normativo, nazionale ed eurounitario, i PSP sono considerati i soggetti più idonei ad investire risorse per prevenire i rischi connessi alla trasmissione del consenso e, pertanto, nella loro sfera giuridica (nel c.d. rischio di impresa) sono posti sia l'obbligo di assicurare che le credenziali di autenticazione attribuite ai propri clienti “non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento” sia i “rischi derivanti dalla spedizione di uno strumento di pagamento o delle relative credenziali di sicurezza personalizzate” (artt. 8 e 11 d.lgs. 11/2010). In generale, come verrà di seguito chiarito, è quindi configurata una responsabilità aggravata del PSP nel caso abbia dato seguito ad un'operazione non autorizzata, proprio in virtù di questa sua maggiore capacità di elaborare meccanismi sicuri di gestione e trasmissione del consenso, nonché di tempestiva ed esatta esecuzione degli ordini di pagamento così ricevuti. In quest'ottica, la dir. 2366/2015/UE, prima, e il reg. del. 2018/389/UE della Commissione, poi, hanno imposto agli PSP, salvo alcune eccezioni, di predisporre meccanismi di autenticazione forte, per la trasmissione del consenso, basati su due o più elementi che sono classificati nelle categorie della conoscenza, del possesso e dell'inerenza, con la generazione di un codice di autenticazione. Come contraltare di questa disciplina impositiva per gli
PSP, sono stati introdotti degli obblighi di diligenza in capo agli utenti di tali servizi per quanto concerne la propria sfera di influenza. Costoro, infatti, ricevono e devono custodire le credenziali di sicurezza personalizzate per accedere ai propri conti di pagamento ed impartire quegli ordini di pagamento che sono la manifestazione procedimentalizzata al PSP della propria volontà di dare corso ad un'operazione di pagamento. In quest'ottica, l'art. 7, d.lgs. 11/2010, prescrive che “1. L'utente abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di: a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e
l'uso e che devono essere obiettivi, non discriminatori e proporzionati;
b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.

2. Ai fini di cui al comma 1, lettera a), l'utente, non pagina 8 di 14 appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”. Ciò è, infatti, necessario per una completa prevenzione dai rischi connessi a queste operazioni, senza estendere eccessivamente la responsabilità, e i correlativi obblighi, dei PSP, responsabilità che inevitabilmente comporterebbe un irrigidimento e un rallentamento del mercato, con danno per i consumatori stessi. Questa esigenza di fluidità e celerità dei pagamenti, garantita dalla procedimentalizzazione della manifestazione del consenso e dalla sua automatica processazione, è, invero, espressamente riconosciuta nella dir. 2366/2015/UE (si veda considerando 79 e 80) ed è un valore su cui gli utenti possono fare affidamento: “Il funzionamento corretto ed efficiente del sistema di pagamento dipende dal fatto che l'utente possa fare affidamento sul fatto che il prestatore di servizi di pagamento esegua l'operazione di pagamento in modo corretto ed entro i tempi stabiliti” (considerando 85; si veda inoltre il considerando 77). Essa è alla base di diversi istituti, tra cui l'irrevocabilità del consenso non appena ricevuto dai PSP, i ristretti termini per adempiere ad un ordine di pagamento e la responsabilità dei PSP in caso di ritardo. Risponde, pertanto, ad un interesse del mercato e, come riconosciuto dalla Corte di Giustizia, anche dei consumatori stessi: “È nell'interesse, infatti, non soltanto del prestatore di servizi di pagamento, ma anche del suo cliente, disporre, purché quest'ultimo lo desideri e sia sufficientemente tutelato, di mezzi di pagamento innovativi, rapidi e di facile utilizzo” (Corte giustizia Unione Europea, Sez. I, Sent.,
11/11/2020, n. 287/19) Il delicato bilanciamento delle responsabilità in capo ad ambo le parti risente, ciononostante, dello spartiacque della comunicazione di cui all'art. 7, co. 1, lett. b), la quale mette il
PSP nelle condizioni di comprendere, per tempo, la discrasia tra consenso e manifestazione procedimentalizzata dello stesso. Ciò premesso, è opportuno circoscrivere l'analisi del riparto di responsabilità alle sole operazioni di pagamento non autorizzate eseguite dal PSP a seguito della corretta ricezione di un ordine di pagamento. Difatti, trattandosi di operazioni non autorizzate, ossia eseguite senza il consenso dell'utente, il decreto legislativo pone sul PSP (la banca) l'onere di
“provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti” (art. 10 d.lgs. 11/2010). In difetto di tale prova, non vi sarebbe alcun dubbio sulla responsabilità del PSP, il quale non potrebbe altrimenti aver fatto affidamento su un apparente consenso dell'utente manifestato attraverso quella procedimentalizzazione e autenticazione a cui si ha accennato. Al di fuori di tale ipotesi, e prima della comunicazione di cui pagina 9 di 14 all'art. 7, co. 1, lett. b), d.lgs. 11/2010, si possono verificare sostanzialmente tre situazioni: il PSP risponde, di regola, di tutte le operazioni di pagamento non autorizzate a cui ha dato corso, salvo fornisca la prova del caso fortuito o della forza maggiore (o nei casi l'evento dannoso si sia verificato
a causa dell'adeguamento del PSP a “vincoli derivanti da altri obblighi di legge”, art. 28, d.lgs.
11/2010); la responsabilità del PSP concorre a quella dell'utente nel caso di colpa lieve di quest'ultimo (si veda, a contrario, l'art. 12, co.

2-ter, d.lgs. 11/2010), il quale è così tenuto a sopportare le perdite nei limiti dell'importo di cui all'art. 12, co. 3 e 4, d.lgs. 11/2010; la responsabilità del PSP è, infine, esclusa nel caso in cui esso dimostri che il proprio utente pagatore abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, agli obblighi di diligenza e di tempestiva comunicazione di cui all'art. 7 (art. 12, d.lgs. 11/2010). Il regime di responsabilità del PSP si aggrava, infine, dopo la comunicazione di cui all'art. 7, co. 1, lett. b), d.lgs.
11/2010, oppure nel caso in cui non abbia predisposto degli strumenti adeguati a consentire al proprio cliente di inviare tale comunicazione tempestivamente o, infine, nelle ipotesi in cui il sistema di autenticazione con il PSP non esiga un'autenticazione forte del cliente nel trasmettere gli ordini di pagamento. In tutti questi casi, il PSP può liberarsi dalla propria responsabilità solo provando che il proprio cliente abbia agito in modo fraudolento. Per completare il quadro, il riferimento ad “altri inconvenienti” contenuto nell'art. 10, co. 1, d.lgs. 11/2020 comporta un'estensione della responsabilità dei PSP per tutte le cause e fattori sconosciuti che hanno condotto all'esecuzione di operazioni di pagamento non autorizzate.”.
Nel caso di specie, è risultato dimostrato come la banca avesse adottato un'autenticazione forte per le comunicazioni degli ordini di pagamento con il cliente.
In primo luogo va rilevato che il servizio di bonifici istantanei è stato abilitato il 26.6.2023 con il sistema di autenticazione forte ad opera dell'utente tramite il riconoscimento sull'App della sua identità come si evince dai LOG della Banca (cfr. doc. 7 convenuta), autorizzando esplicitamente le operazioni di accesso alla home banking e di successiva attivazione del nuovo servizio tramite il proprio token univoco (token-01) e autenticando le attività con inserimento di OTP standard (codice inserito scansionando un QR CODE tramite token software in fase di “Login Forte” e, in fase di abilitazione del servizio, premendo manualmente i pulsanti sullo stesso token-01).
pagina 10 di 14 Quanto alla valenza probatoria del doc.7 prodotto dalla banca, si condivide che “Per file di log si intendono quei file, in formato di testo, nei quali vengono indicate le operazioni compiute da un utente durante una sessione di lavoro del proprio dispositivo elettronico, quali, ad esempio, un personal computer, uno smartphone o un tablet. Come efficacemente sostenuto in dottrina, si tratta di vere e proprie "impronte digitali 2.0", particolarmente importanti in sede investigativa in quanto consentono di individuare molteplici profili relativi all'utilizzo dell'apparecchio, tra cui: a) gli orari e la durata della connessione ad Internet, con il relativo l'indirizzo IP (codice univoco che identifica un dispositivo su Internet o in una rete locale); b) le informazioni che questi ha inviato o ricevuto attraverso lo stesso indirizzo;
c) l'anagrafica dell'intestatario di un contratto di utenza. I file di log, inoltre, interessano le intercettazioni effettuate con captatore informatico (come nella vicenda in esame), fornendo tutte le informazioni relative al momento, preciso, della programmazione della captazione, della sua effettuazione e dell'ascolto, o della "smarcatura", dell'intercettazione così effettuata” ( cfr Cass. penale n.18464 del 2025).
E' stato allegato dalla banca e non specificamente contestato che la convenuta avesse adottato il sistema di autenticazione forte per le comunicazioni degli ordini di pagamento con il cliente (come per precedenti non oggetto del giudizio) e con tale modalità sono stati impartiti anche gli ordini di pagamento in questione ai quali la convenuta ha dato esecuzione proprio perché correttamente autenticati, ancorché disposti contro la volontà consapevole dell'attore.
Oltre all'estratto dei log relativi alle operazioni compiute, sono prodotti anche gli avvisi via SMS alert inviati dalla banca e regolarmente ricevuti dall'arch. (del quale lo stesso attore ha dato atto nella Pt_1 ricostruzione degli eventi fattuali), SMS alert pacificamente ignorati dal cliente ma che, se adeguatamente considerati, ben avrebbero consentito un tempestivo intervento tramite il servizio assistenza della banca sempre attivo.
Nessuna plausibile spiegazione è stata offerta dall'attore che si è limitato a chiedersi quale Pt_1
“norma (che) imporrebbe ad un residente in [...](quale è l'arch. di tenere acceso il proprio Pt_1 cellulare italiano anche nei week end?” (così pag.7 prima memoria istruttoria e ribadito a pag.18 conclusionale).
Attivare il servizio SMS alert e non usufruirne è libera scelta del cliente che tuttavia non può che assumersi la responsabilità delle conseguenze che possono derivare dal suo mancato utilizzo.
pagina 11 di 14 Non sono state indagate le modalità con cui terzi abbiano potuto disporre, autenticandosi, ordini di pagamento dai conti corrente intestati all'attore e alle società a lui riconducibili. L'arch ha Pt_1 negato di avere mai comunicato a terzi le proprie credenziali e di aver aderito alle richieste pervenutegli tramite SMS, sostanzialmente allegando una illecita violazione del sistema informatico della banca, ritenuto non adeguato.
Al contrario, la produzione da parte della convenuta dei log relativi alle operazioni compiute e i ripetuti avvisi inviati via SMS (riferiti dallo stesso consentono di concludere che la banca ha dimostrato Pt_1 che tutte le operazioni sono state autenticate, correttamente registrate e contabilizzate  attraverso un sistema di autenticazione forte a due fattori (inserimento di user name, password e codici OTP
) in assenza di qualsiasi malfunzionamento delle procedure necessarie per la loro esecuzione o di altri inconvenienti.
La banca ha dunque assolto all'onere della prova che la legge impone in caso di disconoscimento di una operazione di pagamento e il cliente ha inspiegabilmente ignorato le segnalazioni delle operazioni inviate dalla banca attraverso il servizio di SMS alert.
Le circostanze di fatto in cui si è svolta la vicenda, così come riferita dagli stessi attori, conducono a ritenere provata l'esclusiva responsabilità, per colpa grave, dell'arch. nelle sue qualità. Pt_1
Si condividono le considerazioni dell'istituto bancario nell'individuare le condotte gravemente colpose: ricevimento di messaggi sgrammaticati che presentavano un incipit diverso rispetto a quello sempre utilizzato dalla banca (SCRIGNObps e non Gentile Cliente); l'attivazione del servizio 'bonifici istantanei' non può che essere avvenuto con l'utilizzo del token 01 associato all'utenza dell'arch. che non ha custodito le proprie credenziali e i propri codici, e dunque con la sua partecipazione;
Pt_1 ha sistematicamente ignorato gli SMS alert senza alcuna ragionevole spiegazione;
ha atteso circa una settimana dal primo messaggio anomalo apparentemente ricevuto dalla banca prima di rivolgersi all'assistenza.
Le circostanze di fatto in cui si è svolta la vicenda, così come sopra ricostruita, conducono, quindi, a ritenere provata l'esclusiva responsabilità, per colpa grave, dell'attore, in proprio e quale legale rappresentante delle due società e Come chiarito nel considerando 72 della direttiva, che Pt_2 Pt_3 deve essere assunto quale criterio interpretativo della normativa nazionale di attuazione, “per valutare l'eventuale negligenza o grave negligenza da parte dell'utente di servizi di pagamento, dovrebbero essere prese in considerazione tutte le circostanze. È opportuno che di norma le prove e il grado della pagina 12 di 14 presunta negligenza siano valutati sulla base del diritto nazionale. Non di meno, il concetto di negligenza implica la violazione del dovere di diligenza, mentre per negligenza grave si dovrebbe intendere un comportamento che si spinge oltre la semplice negligenza e implica un grado significativo di mancanza di diligenza;
ad esempio, lasciare le credenziali usate per autorizzare un'operazione di pagamento vicino allo strumento di pagamento, in un formato aperto e facilmente individuabile da terzi”. In sintesi, possono costituire colpa grave solo le condotte negligenti dell'utente pagatore che afferiscono alla propria sfera di influenza, condotte che, in particolare, comportano una grave violazione degli obblighi di cui di cui all'art. 7, tra cui il dovere di custodia e sicurezza delle credenziali personalizzate di autenticazione. L'attore ha divulgato le proprie credenziali necessarie per attivare la
Smart App sul dispositivo dei truffatori, nonostante gli avvisi ricevuti in ordine all'operazione in corso, dimostrando per ciò stesso l'inescusabile negligenza con cui ha gestito le proprie credenziali e in tal modo ha vanificato le misure di sicurezza predisposte proprio al fine di evitare raggiri come quello oggetto di causa. Questi elementi dimostrano la violazione, per colpa grave, dell'obbligo di cui all'art. 7, co. 2, d.lgs. 11/2010, nella parte in cui prescrive all'utente di adottare “tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”.
Neppure è configurabile una responsabilità dell'istituto bancario per aver violato un suo dovere di monitorare gli schemi comportamentali del cliente e di avvertire o addirittura sospendere le operazioni di pagamento anomale, prima di darne esecuzione.
Oltre a considerare che -se ben si è inteso- l'anomalia nel caso di specie risiederebbe nella frequenza dei pagamenti disposti in un breve lasso di tempo e dall'utilizzo del bonifico istantaneo, in precedenza mai impiegato, va rilevato che un obbligo di monitoraggio a carico della banca non è normativamente previsto né specificamente pattuito tra le parti al momento della sottoscrizione dei contratti.
L'argomentazione della difesa attorea quanto alla esistenza di un obbligo di intervento della banca quando un proprio cliente disponga uno o più bonifici di importo anomalo (nel caso di specie neppure dimostrata in fatto), non è giuridicamente supportata e, come già correttamente rilevato (sentenza cit.)
“a normativa vigente, confliggono con l'obiettivo di garantire certezza e celerità dei pagamenti, anche nell'interesse dei consumatori stessi, e con il delicato bilanciamento normativo di riparto delle reciproche responsabilità, secondo le rispettive sfere di influenza”.
La domanda degli attori va pertanto rigettata.
Le spese di lite seguono la soccombenza e sono liquidate in dispositivo. pagina 13 di 14

P.Q.M.

il giudice, definitivamente pronunciando, ogni altra domanda, istanza ed eccezione disattesa, così provvede:
-rigetta le domande avanzate da in proprio e quale legale rappresentante delle società Parte_1
Finsa s.s. e Coesa s.r.l. nei confronti della Controparte_3
-condanna gli attori al pagamento in favore dlela convenuta delle spese del presente giudizio che si liquidano in € 14.103,00 per compensi, oltre rimborso spese forfettarie nella misura del 15%, Cpa e
Iva.
Milano, 7 ottobre 2025
Il giudice Laura Massari
pagina 14 di 14