TRIB
Sentenza 21 marzo 2025
Sentenza 21 marzo 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Roma, sentenza 21/03/2025, n. 4377 |
|---|---|
| Giurisdizione : | Trib. Roma |
| Numero : | 4377 |
| Data del deposito : | 21 marzo 2025 |
Testo completo
R.G.N. 70018/2021
Repubblica Italiana
In nome del popolo italiano
Tribunale Ordinario di Roma
Sezione XVI civile
Il Tribunale di Roma, in persona del giudice unico, dott. Stefano Iannaccone, ha pronunciato la seguente sentenza nella causa civile in grado d'appello iscritta al n. 70018 del ruolo contenzioso generale dell'anno 2021, e vertente tra
in persona del Presidente e l.r.p.t., elettivamente domiciliata in Roma, Parte_1
Viale Europa n. 190, presso la Direzione Affari Legali della società, rappresentata e difesa dagli avv.ti Domenico Febbo e Nives Mura, che la rappresentano e difendono, giusta procura in calce all'atto di citazione in appello;
- appellante
elettivamente domiciliato in Roma, Via Giuseppe Andreoli n. 1, presso Parte_2 lo studio degli avv. Tatiana Bizzoni, che lo rappresenta e difende, giusta procura rilasciata ex art. 83 c.p.c. 3° co. c.p.c.;
- appellato
Conclusioni delle parti
Per parte appellante: “Voglia l'Ecc.mo Tribunale Civile di Roma adito, ogni altra eccezione respinta, in totale riforma della sentenza impugnata,
In via principale, e previa integrale riforma della sentenza impugnata n° 7493/2021 emessa in data 30.3.2021 dal Giudice di Pace di Roma nel procedimento iscritto al n. RG 3272/ 2019
1) IN VIA PRELIMINARE dichiarare la carenza di legittimazione passiva della Società
[...]
e/o ordinare l'integrazione del contraddittorio con;
IN VIA Parte_1 CP_1
PREGIUDIZIALE dichiarare la nullità della domanda attorea;
NEL MERITO comunque respingere le domande tutte avanzate dal Sig. nei confronti di in quanto del Parte_2 Parte_1
Pag. 1 a 9 tutto ed infondate in e diritto;
con vittoria di spese e onorari”.
Per parte appellata: “Voglia” l'Ill.mo Giudice adito, contrariis rejectis, alla luce delle considerazioni svolte così provvedere:
Nel merito:
- rigettare l'appello e le avverse domande, ovvero rigettarle nel merito siccome infondate in fatto ed in diritto e per l'effetto confermare la sentenza n. 7493/2021, emessa dal
Giudice di Pace di Roma, sezione VI, dottor Giorgio Taranta, nel procedimento R.G. n.
3272/2019 in data 22 marzo 2021 e pubblicata il 30 marzo 2021.
Con vittoria di spese documentate e compensi”.
Svolgimento del processo e motivi della decisione
Il presente giudizio scaturisce dalla proposizione da parte di di un'azione Parte_2 tesa ad ottenere la condanna dell'odierna appellante al pagamento della somma di € 3.450,00.
Con l'atto di citazione introduttivo del giudizio dinanzi al Giudice di Pace il Parte_2 rappresentava:
- di essere titolare di una Carta Postepay Evolution, emessa da Parte_1
- di aver ricevuto, in data 17/02/18, una e-mail a mezzo della quale egli sarebbe stato informato del blocco della funzionalità del suo account ove non avesse seguito la procedura indicata nella email stessa;
- di aver cliccato sul link contenuto all'interno della mail, recante la dicitura “accedi al servizio online”, il quale lo avrebbe reindirizzato ad una diversa pagina web, all'interno della quale gli sarebbe stato chiesto di inserire i codici OTP pervenuti sul suo numero di cellulare;
- che poco dopo egli avrebbe ricevuto due SMS nei quali gli veniva comunicato che, non essendo la verifica andata a buon fine, sarebbe stato necessario cliccare su un ulteriore link contenuto all'interno dei messaggi;
- che, insospettito dal tenore dei messaggi, avrebbe controllato lo stato del proprio conto corrente, riscontrando in tale occasione l'ammanco della somma di € 3.450,00, per la restituzione della quale agiva in giudizio.
Si costituiva in giudizio eccependo il proprio difetto di legittimazione passiva e Pt_1 contestando, nel merito, quanto dedotto dal rilevando che nel caso di specie Parte_2
l'operazione sarebbe stata autorizzata a causa del comportamento gravemente negligente di
Pag. 2 a 9 quest'ultimo, il quale, comunicando a terzi i codici segreti di accesso al proprio conto, avrebbe reso possibile l'effettuazione dell'operazione in questa sede contestata.
Il Giudice di Pace, con la sentenza in questa sede appellata, accoglieva la domanda proposta dal condannando l'odierna appellante al pagamento della somma di € 3.196,55 Parte_2
(somma già rivalutata) oltre interessi e della somma di € 1.340,00 oltre IVA, CPA e spese generali, per spese legali.
Avverso detta sentenza proponeva appello eccependo: Parte_1
- in via preliminare, la carenza di legittimazione passiva in ragione della cessione di ramo aziendale;
- nel merito, l'insussistenza di un nesso causale tra il danno patito dall'appellato ed il non diligente trattamento dei dati personali del titolare della carta attribuito a;
Pt_1
- che, nel merito, il sarebbe incorso in colpa grave, avendo egli rivelato a terzi Parte_2
i propri codici segreti, pur essendo a conoscenza di un divieto in tal senso imposto dall'art. 4 co. 1 lett. e) delle condizioni generali del contratto Bancoposta sottoscritto;
- che il non avendo osservato gli obblighi contrattuali assunti relativamente Parte_2 alla corretta conservazione dei propri codici identificativi, sarebbe al contempo incorso nella violazione degli obblighi prescritti dall'art. 7 D. Lgs. n. 11/2010, ravvisandosi conseguentemente la colpa grave ai sensi dell'art. 12 co. 3 e 4 del decreto medesimo;
- che non vi sarebbe prova dell'avvenuta violazione del sistema di sicurezza in uso a e che, di conseguenza, l'istituto di credito non sarebbe tenuto a Parte_1 rispondere di un danno integralmente ascrivibile, sul piano causale, esclusivamente all'imprudenza e alla negligenza del cliente;
- che l'applicativo SIA confermerebbe che la carta al momento delle transazioni era in sicurezza;
- che la circostanza sarebbe confermata dal fatto che le transazioni sarebbero state effettuate manualmente da WEB con PAN (primary account number) della carta digitato manualmente, di talché nessuna colpa sarebbe ascrivibile all'appellante;
- che la sicurezza del sistema di sarebbe stata e sarebbe tuttora periodicamente Pt_1 controllata, accertata e certificata come confermato dalle certificazioni SINCERT, CSQ,
IQ NET.
L'appellato, costituitosi in giudizio, contestava la fondatezza delle domande di parte
Pag. 3 a 9 appellante ribadendo le argomentazioni già addotte nell'ambito del giudizio di primo grado a supporto della propria domanda.
^^^^^
Con ordinanza del 25/11/24 la causa veniva trattenuta in decisione concedendo alle parti i termini ex art. 190 c.p.c.
^^^^^
L'appello va accolto, dovendosi ritenere fondato il motivo di appello teso a far rilevare l'ascrivibilità delle operazioni fraudolente ad una condotta gravemente colposa da parte dell'appellato.
A tal riguardo, appare opportuna una breve ricostruzione del quadro normativo di riferimento.
L'art. 7 d.lgs. 11/2010 definisce gli “obblighi dell'utente di servizi di pagamento in relazione agli strumenti di pagamento e alle credenziali di sicurezza personalizzate”, stabilendo, per quel che qui interessa, che:
“1. L'utente abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di:
- a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso e che devono essere obiettivi, non discriminatori e proporzionati;
- b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza”;
“2. non appena riceve uno strumento di pagamento, adotta[re] tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”.
Il successivo art. 8 determina gli obblighi del prestatore del servizio, stabilendo, per quel che qui rileva, che questi sia tenuto a:
- “a) assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest'ultimo ai sensi dell'articolo 7”;
- “c) assicurare che siano sempre disponibili strumenti adeguati affinché l'utente dei servizi di pagamento possa eseguire la comunicazione di cui all'articolo 7, comma 1, lettera b)
[…]”.
A mente dell'art. 12, poi:
“[…]
Pag. 4 a 9 -
2. Salvo il caso in cui abbia agito in modo fraudolento, l'utente non è responsabile delle perdite derivanti dall'utilizzo dello strumento di pagamento smarrito, sottratto o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto all'obbligo di cui all'articolo 8, comma 1, lettera c). […]
-
2-ter. Il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o
l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento, salvo il caso in cui abbia agito in modo fraudolento, o se la perdita è stata causata da atti o omissioni di dipendenti, agenti o succursali del prestatore di servizi di pagamento o dell'ente cui sono state esternalizzate le attività.
-
3. Negli altri casi, salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno
o più degli obblighi di cui all'articolo 7, con dolo o colpa grave, il pagatore può sopportare, per un importo comunque non superiore a euro 50, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita.
-
4. Qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7, con dolo o colpa grave, l'utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 50 euro di cui al comma 3”.
L'art. 10 regola la distribuzione dell'onere della prova, stabilendo che il prestatore del servizio debba dimostrare sia che l'operazione di pagamento controversa “è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”, sia che questa sia stata “autorizzata dall'utente medesimo”, “che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7”.
Ai sensi degli artt. 1176, 1856 e 1710 c.c., infine, la è tenuta all'osservanza del canone CP_2 della diligenza professionale, il quale, nella speciale materia in questione, si risolve nella diligenza dell'accorto banchiere. Tale parametro fa sì che “la diligenza della banca va[da] a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo”(Cass. Civ., Sez. I, 4 settembre 2024, n. 23683).
Sulla scorta del quadro normativo di cui s'è dato conto, è stato condivisibilmente affermato in
Pag. 5 a 9 giurisprudenza che “nell'ambito di questo sistema di responsabilità e, più in generale, del fenomeno del phishing, il fatto che il pagatore comunichi a terzi truffatori le credenziali di accesso al proprio conto on line è un evento fisiologico, essendo la modalità standard tramite la quale vengono compiute tali truffe e quindi quella in ragione della quale è predisposta, a livello internazionale e nazionale, tutta la normativa anti-phishing. La comunicazione a terzi delle credenziali di accesso al proprio conto e per l'operatività sul proprio conto può essere espressiva di una colpa grave del pagatore solo quando, per le modalità ed il contesto nel quale viene compiuta, sia espressiva di straordinaria e inescusabile leggerezza che consenta di escludere il rispetto di quella minima prudenza esigibile ed osservabile da tutti” (Trib. Milano sez. VI,
01/12/2022, n. 9475).
Orbene, venendo al caso di specie, contrariamente a quanto affermato dal giudice di prime cure, deve ritenersi che i prelevamenti fraudolenti oggetto di causa fossero causalmente ascrivibili ad una condotta gravemente colposa del Parte_2
Ed invero, nel caso di specie può dirsi pacifico che le operazioni fraudolente per cui è causa fossero state effettuate da terzi facendo uso delle credenziali statiche e dinamiche loro fornite dallo stesso appellato.
La circostanza, allegata dallo stesso e ritenuta provata dallo stesso giudice di prime Parte_2 cure, è riscontrata sul piano documentale dall'esame degli SMS e dell'e-mail ricevuta dal nelle fasi immediatamente antecedenti l'effettuazione delle operazioni. Parte_2
Ciò posto, ritiene il Tribunale che la condotta dell'appellato, contrariamente a quanto sostenuto dal Giudice di prime cure, integrasse un'ipotesi di colpa grave (e non lieve) tale da escludere la responsabilità dell'odierna appellante.
Sul punto va in primo luogo richiamata la recente giurisprudenza di legittimità formatasi in tema di phishing, secondo la quale “non può dubitarsi del comportamento decisamente imprudente e negligente del danneggiato, il quale aveva digitato i propri codici personali
(verosimilmente richiestigli con una e-mail fraudolenta), in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto del danneggiato (esclusa, nella specie, la restituzione delle somme prelevate da un conto corrente mediante bonifico online, atteso che la responsabilità era da addossarsi al danneggiato che aveva incautamente fornito i propri codici personali ver osimilmente a causa di un'attività di phishing)” (cfr. Cassazione civile sez. I, 13/03/2023, n.7214).
A tal proposito, giova evidenziare che il principio di diritto consacrato nella massima, affermato in un obieter dictum contenuto nella sentenza stessa, non esonera il Giudice
Pag. 6 a 9 dall'onere di verificare, caso per caso, se il fenomeno di phishing, in considerazione delle specifiche modalità che connotano il caso concreto, fosse andato a buon fine proprio a causa di una condotta gravemente colposa del correntista.
In altri termini, ritiene il Tribunale che siffatta pronuncia dei Giudici di legittimità non rappresenti necessariamente un superamento del consolidato principio di diritto secondo il quale “nell'ambito di questo sistema di responsabilità e, più in generale, del fenomeno del phishing, il fatto che il pagatore comunichi a terzi truffatori le credenziali di accesso al proprio conto on line è un evento fisiologico, essendo la modalità standard tramite la quale vengono compiute tali truffe e quindi quella in ragione della quale è predisposta, a livello internazionale e nazionale, tutta la normativa anti-phishing. La comunicazione a terzi delle credenziali di accesso al proprio conto e per l'operatività sul proprio conto può essere espressiva di una colpa grave del pagatore solo quando, per le modalità ed il contesto nel quale viene compiuta, sia espressiva di straordinaria e inescusabile leggerezza che consenta di escludere il rispetto di quella minima prudenza esigibile ed osservabile da tutti” (Trib. Milano sez. VI, 01/12/2022, n.
9475).
Ciò premesso, venendo all'esame del caso di specie, risulta per tabulas (nonché dalle allegazioni dello stesso appellato) che:
- alle ore 21:21 del 17/02/2018 il riceveva una e-mail, la quale, pur recando Parte_2 nel campo identificativo del mittente la dicitura “ , proveniva Parte_1 dall'indirizzo email “ ”; Email_1
- con detta e-mail il veniva reindirizzato su un diverso sito internet, a suo dire Parte_2 del tutto identico a quello ufficiale di nel quale gli veniva chiesto di Parte_1 inserire i propri codici personali e al fine di prevenire l'imminente blocco della carta
Postepay in uso all'appellato;
- seguiva la ricezione di password dinamiche a mezzo SMS, che lo stesso Parte_2 inseriva sul sito internet al quale era stato reindirizzato;
- nell'immediatezza, venivano effettuate le due operazioni per cui è causa;
- a distanza di poche ore, lo stesso riceveva due ulteriori SMS da un numero Parte_2 sconosciuto, a mezzo dei quali lo stesso veniva informato dell'esito negativo della procedura e gli veniva richiesto di cliccare sui link bit e bit. ; CP_3 Email_2
- insospettito dalla circostanza, l'appellato verificava il saldo del proprio conto corrente, rendendosi conto in tale circostanza dell'effettuazione delle operazioni fraudolente per cui è causa.
Dunque, dalla stessa ricostruzione operata dal può desumersi che terzi, ad oggi Parte_2
Pag. 7 a 9 rimasti ignoti, avessero carpito le credenziali dello stesso appellato nel momento in cui quest'ultimo le aveva inserite all'interno del sito civetta al quale era stato reindirizzato cliccando sul link riportato nell'email ricevuta alle ore 21:21 del 17/02/2018.
Ebbene, sulla scorta della giurisprudenza pocanzi richiamata, deve ritenersi gravemente colposa la condotta del nel caso di specie consistita nel cliccare su un link Parte_2 contenuto all'interno di un messaggio di posta elettronica proveniente dalla casella
“ ” e nell'inserire le proprie credenziali ed i codici di autorizzazione Email_1 nel sito al quale lo stesso appellato era stato rimandato.
Ciò in ragione del fatto che il dominio da cui proveniva il messaggio in questione doveva apparire, anche ad un utente estremamente superficiale, del tutto inattendibile, in quanto manifestamente non riconducibile a Parte_1
Né la colpa del può essere degradata a “colpa lieve” in ragione del fatto che il campo Parte_2 relativo al mittente recava la dicitura “ , trattandosi di dicitura suscettibile Parte_1 di essere unilateralmente modificata dal mittente stesso e che, per tale ragione, notoriamente non consente di identificare univocamente la casella di posta elettronica del mittente.
Ciò a maggior ragione ove si consideri che l'art. 4 del contratto sottoscritto dall'odierno reclamato prevedeva a chiare lettere che ““non richiede mai attraverso Parte_1 messaggi di posta elettronica, lettere o telefono di fornire i dati relativi al PIN o altri dati identificativi della Carta”.
Siffatto avviso, necessariamente noto al in quanto contenuto in una clausola del Parte_2 contratto da lui stesso sottoscritto, avrebbe dovuto indurre l'odierno appellante a verificare con cura l'attendibilità della e-mail prima di cliccare sul link in essa riportato e, soprattutto, prima di inserire i propri codici di accesso e le OTP nel sito cui era stato rinviato.
Di contro, come detto, nel caso di specie è provato che il pur potendo appurare Parte_2 agevolmente l'assoluta inattendibilità della e-mail semplicemente prendendo visione della casella di posta elettronica di provenienza, risulta che lo stesso si fosse limitato a confidare nella mera intestazione del messaggio, preimpostata dal mittente stesso.
Trattasi, come noto, di una verifica agevolmente esperibile contestualmente alla lettura della e-mail, come peraltro indirettamente dimostrato dal fatto che lo stesso appellato, nello sporgere querela contro ignoti in data 20/02/2018, riconosceva quanto segue: “verificando la mail ricevuta notavo che aveva solo l'intestazione delle ma l'indirizzo mail era il Parte_1 seguente ”. Email_1
Le considerazioni che precedono inducono a ritenere che la condotta tenuta dall'appellato, nella specie consistita nell'aver inserito le proprie credenziali, i propri codici di accesso e la
Pag. 8 a 9 OTP ricevuta via SMS su un sito richiamato da una mail proveniente da un mittente
( ) palesemente estraneo al circuito di integri Email_1 Parte_1 un'ipotesi di condotta tanto incauta e connotata da una colpa tanto grave da interrompere il nesso eziologico tra l'attività pericolosa ex art. 2050 cod. civ. e l'evento dannoso, con conseguente esclusione della responsabilità dell'appellante, come già espresso in precedenza dalla giurisprudenza di legittimità (Cass. civ. n. 9158/2018).
Alla luce delle suesposte argomentazioni l'appello va accolto con integrale riforma della decisione impugnata.
Le spese di lite seguono la soccombenza e sono liquidate, per entrambi i gradi di giudizio, facendo applicazione del D.M. n. 55 del 2014.
P.Q.M.
Il Tribunale di Roma definitivamente pronunciando sull'appello proposto da Parte_1 nei confronti di , così provvede:
[...] Parte_2
I. in accoglimento dell'appello proposto da rigetta le domande Parte_1 proposte da;
Parte_2
II. condanna alla rifusione in favore di delle spese Parte_2 Parte_1 di lite che liquida a. per il primo grado di giudizio in € 1.278,00 oltre spese generali, IVA e CPA come per legge;
b. per il grado di appello in € 1.458,00 oltre spese di iscrizione a ruolo, spese generali, IVA e CPA come per legge.
Così deciso in Roma, il 21/03/2025
il Giudice dott. Stefano Iannaccone
Pag. 9 a 9
Repubblica Italiana
In nome del popolo italiano
Tribunale Ordinario di Roma
Sezione XVI civile
Il Tribunale di Roma, in persona del giudice unico, dott. Stefano Iannaccone, ha pronunciato la seguente sentenza nella causa civile in grado d'appello iscritta al n. 70018 del ruolo contenzioso generale dell'anno 2021, e vertente tra
in persona del Presidente e l.r.p.t., elettivamente domiciliata in Roma, Parte_1
Viale Europa n. 190, presso la Direzione Affari Legali della società, rappresentata e difesa dagli avv.ti Domenico Febbo e Nives Mura, che la rappresentano e difendono, giusta procura in calce all'atto di citazione in appello;
- appellante
elettivamente domiciliato in Roma, Via Giuseppe Andreoli n. 1, presso Parte_2 lo studio degli avv. Tatiana Bizzoni, che lo rappresenta e difende, giusta procura rilasciata ex art. 83 c.p.c. 3° co. c.p.c.;
- appellato
Conclusioni delle parti
Per parte appellante: “Voglia l'Ecc.mo Tribunale Civile di Roma adito, ogni altra eccezione respinta, in totale riforma della sentenza impugnata,
In via principale, e previa integrale riforma della sentenza impugnata n° 7493/2021 emessa in data 30.3.2021 dal Giudice di Pace di Roma nel procedimento iscritto al n. RG 3272/ 2019
1) IN VIA PRELIMINARE dichiarare la carenza di legittimazione passiva della Società
[...]
e/o ordinare l'integrazione del contraddittorio con;
IN VIA Parte_1 CP_1
PREGIUDIZIALE dichiarare la nullità della domanda attorea;
NEL MERITO comunque respingere le domande tutte avanzate dal Sig. nei confronti di in quanto del Parte_2 Parte_1
Pag. 1 a 9 tutto ed infondate in e diritto;
con vittoria di spese e onorari”.
Per parte appellata: “Voglia” l'Ill.mo Giudice adito, contrariis rejectis, alla luce delle considerazioni svolte così provvedere:
Nel merito:
- rigettare l'appello e le avverse domande, ovvero rigettarle nel merito siccome infondate in fatto ed in diritto e per l'effetto confermare la sentenza n. 7493/2021, emessa dal
Giudice di Pace di Roma, sezione VI, dottor Giorgio Taranta, nel procedimento R.G. n.
3272/2019 in data 22 marzo 2021 e pubblicata il 30 marzo 2021.
Con vittoria di spese documentate e compensi”.
Svolgimento del processo e motivi della decisione
Il presente giudizio scaturisce dalla proposizione da parte di di un'azione Parte_2 tesa ad ottenere la condanna dell'odierna appellante al pagamento della somma di € 3.450,00.
Con l'atto di citazione introduttivo del giudizio dinanzi al Giudice di Pace il Parte_2 rappresentava:
- di essere titolare di una Carta Postepay Evolution, emessa da Parte_1
- di aver ricevuto, in data 17/02/18, una e-mail a mezzo della quale egli sarebbe stato informato del blocco della funzionalità del suo account ove non avesse seguito la procedura indicata nella email stessa;
- di aver cliccato sul link contenuto all'interno della mail, recante la dicitura “accedi al servizio online”, il quale lo avrebbe reindirizzato ad una diversa pagina web, all'interno della quale gli sarebbe stato chiesto di inserire i codici OTP pervenuti sul suo numero di cellulare;
- che poco dopo egli avrebbe ricevuto due SMS nei quali gli veniva comunicato che, non essendo la verifica andata a buon fine, sarebbe stato necessario cliccare su un ulteriore link contenuto all'interno dei messaggi;
- che, insospettito dal tenore dei messaggi, avrebbe controllato lo stato del proprio conto corrente, riscontrando in tale occasione l'ammanco della somma di € 3.450,00, per la restituzione della quale agiva in giudizio.
Si costituiva in giudizio eccependo il proprio difetto di legittimazione passiva e Pt_1 contestando, nel merito, quanto dedotto dal rilevando che nel caso di specie Parte_2
l'operazione sarebbe stata autorizzata a causa del comportamento gravemente negligente di
Pag. 2 a 9 quest'ultimo, il quale, comunicando a terzi i codici segreti di accesso al proprio conto, avrebbe reso possibile l'effettuazione dell'operazione in questa sede contestata.
Il Giudice di Pace, con la sentenza in questa sede appellata, accoglieva la domanda proposta dal condannando l'odierna appellante al pagamento della somma di € 3.196,55 Parte_2
(somma già rivalutata) oltre interessi e della somma di € 1.340,00 oltre IVA, CPA e spese generali, per spese legali.
Avverso detta sentenza proponeva appello eccependo: Parte_1
- in via preliminare, la carenza di legittimazione passiva in ragione della cessione di ramo aziendale;
- nel merito, l'insussistenza di un nesso causale tra il danno patito dall'appellato ed il non diligente trattamento dei dati personali del titolare della carta attribuito a;
Pt_1
- che, nel merito, il sarebbe incorso in colpa grave, avendo egli rivelato a terzi Parte_2
i propri codici segreti, pur essendo a conoscenza di un divieto in tal senso imposto dall'art. 4 co. 1 lett. e) delle condizioni generali del contratto Bancoposta sottoscritto;
- che il non avendo osservato gli obblighi contrattuali assunti relativamente Parte_2 alla corretta conservazione dei propri codici identificativi, sarebbe al contempo incorso nella violazione degli obblighi prescritti dall'art. 7 D. Lgs. n. 11/2010, ravvisandosi conseguentemente la colpa grave ai sensi dell'art. 12 co. 3 e 4 del decreto medesimo;
- che non vi sarebbe prova dell'avvenuta violazione del sistema di sicurezza in uso a e che, di conseguenza, l'istituto di credito non sarebbe tenuto a Parte_1 rispondere di un danno integralmente ascrivibile, sul piano causale, esclusivamente all'imprudenza e alla negligenza del cliente;
- che l'applicativo SIA confermerebbe che la carta al momento delle transazioni era in sicurezza;
- che la circostanza sarebbe confermata dal fatto che le transazioni sarebbero state effettuate manualmente da WEB con PAN (primary account number) della carta digitato manualmente, di talché nessuna colpa sarebbe ascrivibile all'appellante;
- che la sicurezza del sistema di sarebbe stata e sarebbe tuttora periodicamente Pt_1 controllata, accertata e certificata come confermato dalle certificazioni SINCERT, CSQ,
IQ NET.
L'appellato, costituitosi in giudizio, contestava la fondatezza delle domande di parte
Pag. 3 a 9 appellante ribadendo le argomentazioni già addotte nell'ambito del giudizio di primo grado a supporto della propria domanda.
^^^^^
Con ordinanza del 25/11/24 la causa veniva trattenuta in decisione concedendo alle parti i termini ex art. 190 c.p.c.
^^^^^
L'appello va accolto, dovendosi ritenere fondato il motivo di appello teso a far rilevare l'ascrivibilità delle operazioni fraudolente ad una condotta gravemente colposa da parte dell'appellato.
A tal riguardo, appare opportuna una breve ricostruzione del quadro normativo di riferimento.
L'art. 7 d.lgs. 11/2010 definisce gli “obblighi dell'utente di servizi di pagamento in relazione agli strumenti di pagamento e alle credenziali di sicurezza personalizzate”, stabilendo, per quel che qui interessa, che:
“1. L'utente abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di:
- a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso e che devono essere obiettivi, non discriminatori e proporzionati;
- b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza”;
“2. non appena riceve uno strumento di pagamento, adotta[re] tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”.
Il successivo art. 8 determina gli obblighi del prestatore del servizio, stabilendo, per quel che qui rileva, che questi sia tenuto a:
- “a) assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest'ultimo ai sensi dell'articolo 7”;
- “c) assicurare che siano sempre disponibili strumenti adeguati affinché l'utente dei servizi di pagamento possa eseguire la comunicazione di cui all'articolo 7, comma 1, lettera b)
[…]”.
A mente dell'art. 12, poi:
“[…]
Pag. 4 a 9 -
2. Salvo il caso in cui abbia agito in modo fraudolento, l'utente non è responsabile delle perdite derivanti dall'utilizzo dello strumento di pagamento smarrito, sottratto o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto all'obbligo di cui all'articolo 8, comma 1, lettera c). […]
-
2-ter. Il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o
l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento, salvo il caso in cui abbia agito in modo fraudolento, o se la perdita è stata causata da atti o omissioni di dipendenti, agenti o succursali del prestatore di servizi di pagamento o dell'ente cui sono state esternalizzate le attività.
-
3. Negli altri casi, salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno
o più degli obblighi di cui all'articolo 7, con dolo o colpa grave, il pagatore può sopportare, per un importo comunque non superiore a euro 50, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita.
-
4. Qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7, con dolo o colpa grave, l'utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 50 euro di cui al comma 3”.
L'art. 10 regola la distribuzione dell'onere della prova, stabilendo che il prestatore del servizio debba dimostrare sia che l'operazione di pagamento controversa “è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”, sia che questa sia stata “autorizzata dall'utente medesimo”, “che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7”.
Ai sensi degli artt. 1176, 1856 e 1710 c.c., infine, la è tenuta all'osservanza del canone CP_2 della diligenza professionale, il quale, nella speciale materia in questione, si risolve nella diligenza dell'accorto banchiere. Tale parametro fa sì che “la diligenza della banca va[da] a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo”(Cass. Civ., Sez. I, 4 settembre 2024, n. 23683).
Sulla scorta del quadro normativo di cui s'è dato conto, è stato condivisibilmente affermato in
Pag. 5 a 9 giurisprudenza che “nell'ambito di questo sistema di responsabilità e, più in generale, del fenomeno del phishing, il fatto che il pagatore comunichi a terzi truffatori le credenziali di accesso al proprio conto on line è un evento fisiologico, essendo la modalità standard tramite la quale vengono compiute tali truffe e quindi quella in ragione della quale è predisposta, a livello internazionale e nazionale, tutta la normativa anti-phishing. La comunicazione a terzi delle credenziali di accesso al proprio conto e per l'operatività sul proprio conto può essere espressiva di una colpa grave del pagatore solo quando, per le modalità ed il contesto nel quale viene compiuta, sia espressiva di straordinaria e inescusabile leggerezza che consenta di escludere il rispetto di quella minima prudenza esigibile ed osservabile da tutti” (Trib. Milano sez. VI,
01/12/2022, n. 9475).
Orbene, venendo al caso di specie, contrariamente a quanto affermato dal giudice di prime cure, deve ritenersi che i prelevamenti fraudolenti oggetto di causa fossero causalmente ascrivibili ad una condotta gravemente colposa del Parte_2
Ed invero, nel caso di specie può dirsi pacifico che le operazioni fraudolente per cui è causa fossero state effettuate da terzi facendo uso delle credenziali statiche e dinamiche loro fornite dallo stesso appellato.
La circostanza, allegata dallo stesso e ritenuta provata dallo stesso giudice di prime Parte_2 cure, è riscontrata sul piano documentale dall'esame degli SMS e dell'e-mail ricevuta dal nelle fasi immediatamente antecedenti l'effettuazione delle operazioni. Parte_2
Ciò posto, ritiene il Tribunale che la condotta dell'appellato, contrariamente a quanto sostenuto dal Giudice di prime cure, integrasse un'ipotesi di colpa grave (e non lieve) tale da escludere la responsabilità dell'odierna appellante.
Sul punto va in primo luogo richiamata la recente giurisprudenza di legittimità formatasi in tema di phishing, secondo la quale “non può dubitarsi del comportamento decisamente imprudente e negligente del danneggiato, il quale aveva digitato i propri codici personali
(verosimilmente richiestigli con una e-mail fraudolenta), in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto del danneggiato (esclusa, nella specie, la restituzione delle somme prelevate da un conto corrente mediante bonifico online, atteso che la responsabilità era da addossarsi al danneggiato che aveva incautamente fornito i propri codici personali ver osimilmente a causa di un'attività di phishing)” (cfr. Cassazione civile sez. I, 13/03/2023, n.7214).
A tal proposito, giova evidenziare che il principio di diritto consacrato nella massima, affermato in un obieter dictum contenuto nella sentenza stessa, non esonera il Giudice
Pag. 6 a 9 dall'onere di verificare, caso per caso, se il fenomeno di phishing, in considerazione delle specifiche modalità che connotano il caso concreto, fosse andato a buon fine proprio a causa di una condotta gravemente colposa del correntista.
In altri termini, ritiene il Tribunale che siffatta pronuncia dei Giudici di legittimità non rappresenti necessariamente un superamento del consolidato principio di diritto secondo il quale “nell'ambito di questo sistema di responsabilità e, più in generale, del fenomeno del phishing, il fatto che il pagatore comunichi a terzi truffatori le credenziali di accesso al proprio conto on line è un evento fisiologico, essendo la modalità standard tramite la quale vengono compiute tali truffe e quindi quella in ragione della quale è predisposta, a livello internazionale e nazionale, tutta la normativa anti-phishing. La comunicazione a terzi delle credenziali di accesso al proprio conto e per l'operatività sul proprio conto può essere espressiva di una colpa grave del pagatore solo quando, per le modalità ed il contesto nel quale viene compiuta, sia espressiva di straordinaria e inescusabile leggerezza che consenta di escludere il rispetto di quella minima prudenza esigibile ed osservabile da tutti” (Trib. Milano sez. VI, 01/12/2022, n.
9475).
Ciò premesso, venendo all'esame del caso di specie, risulta per tabulas (nonché dalle allegazioni dello stesso appellato) che:
- alle ore 21:21 del 17/02/2018 il riceveva una e-mail, la quale, pur recando Parte_2 nel campo identificativo del mittente la dicitura “ , proveniva Parte_1 dall'indirizzo email “ ”; Email_1
- con detta e-mail il veniva reindirizzato su un diverso sito internet, a suo dire Parte_2 del tutto identico a quello ufficiale di nel quale gli veniva chiesto di Parte_1 inserire i propri codici personali e al fine di prevenire l'imminente blocco della carta
Postepay in uso all'appellato;
- seguiva la ricezione di password dinamiche a mezzo SMS, che lo stesso Parte_2 inseriva sul sito internet al quale era stato reindirizzato;
- nell'immediatezza, venivano effettuate le due operazioni per cui è causa;
- a distanza di poche ore, lo stesso riceveva due ulteriori SMS da un numero Parte_2 sconosciuto, a mezzo dei quali lo stesso veniva informato dell'esito negativo della procedura e gli veniva richiesto di cliccare sui link bit e bit. ; CP_3 Email_2
- insospettito dalla circostanza, l'appellato verificava il saldo del proprio conto corrente, rendendosi conto in tale circostanza dell'effettuazione delle operazioni fraudolente per cui è causa.
Dunque, dalla stessa ricostruzione operata dal può desumersi che terzi, ad oggi Parte_2
Pag. 7 a 9 rimasti ignoti, avessero carpito le credenziali dello stesso appellato nel momento in cui quest'ultimo le aveva inserite all'interno del sito civetta al quale era stato reindirizzato cliccando sul link riportato nell'email ricevuta alle ore 21:21 del 17/02/2018.
Ebbene, sulla scorta della giurisprudenza pocanzi richiamata, deve ritenersi gravemente colposa la condotta del nel caso di specie consistita nel cliccare su un link Parte_2 contenuto all'interno di un messaggio di posta elettronica proveniente dalla casella
“ ” e nell'inserire le proprie credenziali ed i codici di autorizzazione Email_1 nel sito al quale lo stesso appellato era stato rimandato.
Ciò in ragione del fatto che il dominio da cui proveniva il messaggio in questione doveva apparire, anche ad un utente estremamente superficiale, del tutto inattendibile, in quanto manifestamente non riconducibile a Parte_1
Né la colpa del può essere degradata a “colpa lieve” in ragione del fatto che il campo Parte_2 relativo al mittente recava la dicitura “ , trattandosi di dicitura suscettibile Parte_1 di essere unilateralmente modificata dal mittente stesso e che, per tale ragione, notoriamente non consente di identificare univocamente la casella di posta elettronica del mittente.
Ciò a maggior ragione ove si consideri che l'art. 4 del contratto sottoscritto dall'odierno reclamato prevedeva a chiare lettere che ““non richiede mai attraverso Parte_1 messaggi di posta elettronica, lettere o telefono di fornire i dati relativi al PIN o altri dati identificativi della Carta”.
Siffatto avviso, necessariamente noto al in quanto contenuto in una clausola del Parte_2 contratto da lui stesso sottoscritto, avrebbe dovuto indurre l'odierno appellante a verificare con cura l'attendibilità della e-mail prima di cliccare sul link in essa riportato e, soprattutto, prima di inserire i propri codici di accesso e le OTP nel sito cui era stato rinviato.
Di contro, come detto, nel caso di specie è provato che il pur potendo appurare Parte_2 agevolmente l'assoluta inattendibilità della e-mail semplicemente prendendo visione della casella di posta elettronica di provenienza, risulta che lo stesso si fosse limitato a confidare nella mera intestazione del messaggio, preimpostata dal mittente stesso.
Trattasi, come noto, di una verifica agevolmente esperibile contestualmente alla lettura della e-mail, come peraltro indirettamente dimostrato dal fatto che lo stesso appellato, nello sporgere querela contro ignoti in data 20/02/2018, riconosceva quanto segue: “verificando la mail ricevuta notavo che aveva solo l'intestazione delle ma l'indirizzo mail era il Parte_1 seguente ”. Email_1
Le considerazioni che precedono inducono a ritenere che la condotta tenuta dall'appellato, nella specie consistita nell'aver inserito le proprie credenziali, i propri codici di accesso e la
Pag. 8 a 9 OTP ricevuta via SMS su un sito richiamato da una mail proveniente da un mittente
( ) palesemente estraneo al circuito di integri Email_1 Parte_1 un'ipotesi di condotta tanto incauta e connotata da una colpa tanto grave da interrompere il nesso eziologico tra l'attività pericolosa ex art. 2050 cod. civ. e l'evento dannoso, con conseguente esclusione della responsabilità dell'appellante, come già espresso in precedenza dalla giurisprudenza di legittimità (Cass. civ. n. 9158/2018).
Alla luce delle suesposte argomentazioni l'appello va accolto con integrale riforma della decisione impugnata.
Le spese di lite seguono la soccombenza e sono liquidate, per entrambi i gradi di giudizio, facendo applicazione del D.M. n. 55 del 2014.
P.Q.M.
Il Tribunale di Roma definitivamente pronunciando sull'appello proposto da Parte_1 nei confronti di , così provvede:
[...] Parte_2
I. in accoglimento dell'appello proposto da rigetta le domande Parte_1 proposte da;
Parte_2
II. condanna alla rifusione in favore di delle spese Parte_2 Parte_1 di lite che liquida a. per il primo grado di giudizio in € 1.278,00 oltre spese generali, IVA e CPA come per legge;
b. per il grado di appello in € 1.458,00 oltre spese di iscrizione a ruolo, spese generali, IVA e CPA come per legge.
Così deciso in Roma, il 21/03/2025
il Giudice dott. Stefano Iannaccone
Pag. 9 a 9