TRIB
Sentenza 20 maggio 2025
Sentenza 20 maggio 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Messina, sentenza 20/05/2025, n. 942 |
|---|---|
| Giurisdizione : | Trib. Messina |
| Numero : | 942 |
| Data del deposito : | 20 maggio 2025 |
Testo completo
TRIBUNALE ORDINARIO di MESSINA
II Sezione civile
Verbale della causa n. 5699/2022 R.G. - TRATTAZIONE SCRITTA (127 ter c.p.c.)
Oggi 20 maggio 2025, innanzi alla dott.ssa Maria Carmela D'Angelo, si dà atto che sono state depositate note scritte nell'interesse del Sig. , nato a [...] il [...], residente Parte_1 in Santa Teresa di Riva (ME), via Stradella Catania n. 55, C.F. , con l'avv. C.F._1
Fabio Di Cara, nell'interesse di (C.F./P. IVA rappresentata e Controparte_1 P.IVA_1 difesa dall'avv. Luigi Parenti
Il Giudice pronuncia sentenza dando lettura del dispositivo e della concisa esposizione delle ragioni di fatto e di diritto della decisione.
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE DI MESSINA
II Sezione Civile
Il Giudice dott.ssa Maria Carmela D'Angelo, in funzione di giudice monocratico, ha reso la seguente
SENTENZA nella causa iscritta al n. 5699/2022 R.G.
TRA
(C.F./P. IVA in persona dell'Amministratore Delegato e Controparte_1 P.IVA_1 legale rappresentante pro tempore Dott. , con sede legale in Roma (cap. 00144), Parte_2
Viale Europa n. 190, rappresentata e difesa dall'avv. Luigi Parenti
Appellante
Contro
, c.f. , rappresentato e difeso dall'avv. Fabio Pasquale Di Parte_1 C.F._1
Cara
Appellato
Oggetto: appello
In fatto ed in diritto
Con atto di gravame ritualmente notificato, ha adito questo Tribunale Controparte_1 spiegando impugnazione nei confronti della sentenza del Giudice di Pace di Messina, dott.ssa
Bonfiglio, n. 10/2022 (proc. n. 118/2020 R.G.), pubblicata in data 26.04.2022 nella quale il predetto giudicante ha accolto la domanda di rimborso formulata da nei confronti di Parte_1 CP_1
in relazione ad un'operazione di addebito non autorizzata intervenuta in data 30.08.2019 sulla
[...] sua carta Postepay Evolution n. 5333171014783456 per l'importo di € 3.450,00, con condanna della convenuta alle spese di giudizio. La parte appellante ha lamentato l'ingiustizia di tale pronuncia e ne ha quindi chiesto la riforma, previa istanza di sospensione dell'efficacia esecutiva, ritenendo che la transazione con cui è stata addebitata la complessiva somma di € 3.450,00 al sia avvenuta per Pt_1 fatto e colpa esclusivi del medesimo e risulta da correlarsi a un fenomeno di c.d.
1 phishing non imputabile a , né rientrante fra i casi di ristoro per le CP_1
"operazioni non autorizzate". In virtù di quanto precede ha quindi chiesto al Tribunale di voler: - in via cautelare disporre la sospensione dell'efficacia esecutiva della sentenza impugnata;
- in via principale: annullare e/o riformare integralmente la sentenza del Giudice di Pace di Messina (ex Alì Terme) n. 10/2022 e, per l'effetto, dichiarare e accertare che la transazione con cui è stata addebitata la complessiva somma di € 3.450,00 a è avvenuta per fatto e colpa esclusivi del Parte_1 medesimo e, per l'effetto, rigettare integralmente tutte le domande da lui avanzate, perché infondate sia in fatto che in diritto;
con vittoria di spese e compensi di giudizio.
Con comparsa depositata in data 25.09.2024 si è costituito nel presente grado di giudizio l'appellato contestando le avverse prospettazioni e in particolare affermando la correttezza della Parte_1 sentenza di prime cure e la non addebitabilità a sé di alcuna responsabilità, in quanto l'operazione disconosciuta, poiché disposta con utilizzo dei codici di accesso del cliente verosimilmente a lui carpiti, è addebitabile esclusivamente a colpa e negligenza di Controparte_1 la quale “avrebbe dovuto utilizzare adeguate misure di sicurezza atte a prevenire l'illecita apprensione dei dati evitando accessi non autorizzati, invii di sms fraudolenti, link, su utenze telefoniche oltretutto securizzate, rientrando tale controllo nel c.d. rischio d'impresa da porre in essere impiegando la diligenza dell' ”accorto banchiere””. Sulla scorta di quanto precede la parte appellata ha chiesto al Tribunale di voler confermare la sentenza di prime cure e rigettare l'appello, poiché infondato in fatto e in diritto. Con vittoria di spese e onorari.
Il giudizio è stato rinviato per la decisione all'udienza del 20 maggio 2025.
Innanzitutto, va precisato che deve ritenersi formato il giudicato interno (con esonero di questo giudice da qualsivoglia delibazione) rispetto a tutto quanto richiesto nel primo grado di giudizio e non oggetto di appello (principale o incidentale), nè di specifica riproposizione (secondo quanto previsto dall'art. 336 c.p.c.), nè, altresì, dipendente dai capi della sentenza specificamente impugnati
(come disposto ai sensi degli art. 329 e 336 c.p.c.).
L'appello è infondato e va pertanto rigettato, con conseguente conferma della sentenza di prime cure, per le ragioni qui di seguito esposte.
In punto di diritto, giova osservare che il presente giudizio attiene a una domanda spiegata da un cliente di per un'operazione da lui non autorizzata - e di cui ha negato il rimborso - CP_2 CP_1 espressamente disconosciuta dal cliente (cfr. documentazione allegata dall'appellato.), denunciata alle competenti autorità e comunicata a (cfr. reclamo, richiesta di rimborso e riscontri di ) CP_3 CP_3
Va preliminarmente osservato che nell'adempimento delle obbligazioni inerenti l'esercizio di un'attività professionale, la diligenza richiesta va valutata, ai sensi dell'art. 1176, comma 2, c.c., con riguardo alla natura dell'attività specificamente esercitata. In particolare, l'istituto che svolge un'attività di tipo finanziario o, in generale, creditizio (come, nella specie, la società Controparte_1 nell'ambito della gestione dei conti abilitati ad operazioni online) è tenuto ad adottare una diligenza qualificata da particolare rigore, dovendo adottare congrue misure preventive di sicurezza al fine di impedire che terzi soggetti si introducano illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso. Invero, con specifico riferimento all'utilizzazione di servizi e strumenti con funzione di pagamento gestiti mediante mezzi meccanici o elettronici, non può essere omessa la verifica dell'adozione di misure idonee a garantire la sicurezza del servizio. Infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della relativa sfera professionale (cfr., in questo senso, tra le altre, Tribunale Verona del
2.10.2012 e Tribunale Roma del 31.08.2016 n. 16221). Sin da epoca antecedente all'emanazione della
2 direttiva 2007/64/CE sui servizi di pagamento - recepita a livello nazionale dal d.lgs. n.
11/2010 (applicabile ratione temporis alla fattispecie), la giurisprudenza della S.C. si è espressa in linea con il principio generale relativo all'onere probatorio a carico del debitore professionale nelle azioni di risoluzione contrattuale, risarcimento del danno o adempimento.
"In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o
a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente" (v. Cass. 12/06/2007 n. 13777; Cass. n. 806 del
19/01/2016; Cass. civ., N. 03/02/2017, n. 2950; Cass. 2019/n. 18045; Cass. 2020/n. 26916 ha ribadito la natura contrattuale della responsabilità della banca in materia, da escludere pertanto solo ove ricorra una situazione di colpa grave dell'utente).
Dunque, considerato quanto sinora osservato, non può ritenersi che la società appellante, in ossequio agli oneri probatori gravanti a suo carico, abbia congruamente dimostrato di aver correttamente adempiuto la sua prestazione contrattuale (predisponendo, tra l'altro, adeguate misure di sicurezza del sistema telematico idonee ad impedire l'accesso non autorizzato di terzi ai dati personali) o che, comunque, tale inadempimento (o inesatto adempimento) sia stato determinato da eventi oggettivi, ad essa non imputabili, imprevedibili ed inevitabili.
Non è, tra l'altro, evincibile se i sistemi di sicurezza adottati fossero adeguati ad ostacolare accessi fraudolenti ai dati sensibili analoghi a quelli verificatisi in danno dell'appellato, anche tenuto conto dell'evoluzione delle misure di sicurezza disponibili e della possibilità di apprestare congrui sistemi di protezione idonei ad impedire anche modalità di frode ben note nel settore, come quella perpetrata mediante operazioni di "phishing" (richiamata dalla stessa società odierna appellante nella comparsa di costituzione depositata nel primo grado di giudizio).
Peraltro, quanto sinora rilevato è conforme alle previsioni contenute nel D.Lgs. n. 11 del
27.01.2010 in ordine all'obbligo del prestatore del servizio di pagamento di assicurare che i dispositivi personalizzati forniti dai gestori non siano accessibili a soggetti diversi dal legittimo titolare. Infatti, in merito alla ripartizione delle responsabilità derivanti dall'utilizzazione del servizio, gli artt. 10 e 11 del predetto decreto legislativo (richiamati, tra l'altro, dalla stessa società appellata) prevedono che qualora l'utente (come nella specie) neghi di aver autorizzato un'operazione di pagamento già effettuata, l'onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio (prova, comunque, non fornita nella fattispecie in esame). E, nel contempo, le suddette previsioni normative obbligano il prestatore del servizio a rifondere, con sostanziale immediatezza, il cliente in caso di operazione disconosciuta, tranne che non vi sia un motivato sospetto di frode dello stesso cliente (nel caso di specie inesistente e, comunque, neppure minimamente allegato dalla società appellata) e salva, naturalmente, la possibilità per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l'operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere ed ottenere, in tal caso, dall'utilizzatore la restituzione dell'importo rimborsato.
3 Quanto alla disciplina applicabile alla fattispecie in esame mette conto evidenziare che il decreto legislativo n. 11 del 27 gennaio 2010 di "Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE,
2006/48/CE, e che abroga la direttiva 97/5/CE", all'art. 10, comma 2, rubricato: "Prova di autenticazione ed esecuzione delle operazioni di pagamento", così come modificato dal d.lgs.
218/2017, statuisce che: "Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per se' necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, ne' che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.". Quanto agli obblighi previsti in capo all'utilizzatore dei servizi di pagamento l'art 7 lett b) prevede altresì
l'obbligo di comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
Altresì, a nulla rilevano, al fine di escludere la responsabilità della società appellante, le clausole da quest'ultima indicate contenute nelle condizioni generali di contratto depositate in atti
Né, a fronte dei principi di diritto vivente, del tutto pacifici, qui appena rammentati, può ritenersi che depongano in senso contrario le pronunce evocate dalla parte appellante ivi invero ribadendosi, al di là di riferimenti alle nozioni di "colpa" o "negligenza" (evidentemente impropri, trattandosi, come detto, di un'ipotesi di responsabilità oggettiva o semi-oggettiva), l'allocazione dell'onere probatorio in capo all'erogatrice del servizio. Onere dimostrativo poi ivi assolto, avendo in tali casi la società erogatrice dimostrato, la "fattiva collaborazione colposa" ovvero addirittura "la piena collaborazione" fra cliente e "truffatore" (cfr. Trib. Crotone, 20.06.2023 e Trib. Napoli, 14.04.2023, nonché Cass. civ.,
13.03.2023, n. 7214 – ove, in termini non dissimili da Trib. Potenza n. 1299/2021, si valorizzava pur in tal caso una condotta negligente del cliente), solo tale prova giustificando, nelle predette vicende, la reiezione delle domande attoree.
Va osservato quindi che il giudice di prime cure risulta aver correttamente applicato al caso sottoposto al suo esame i peculiari principi in tema di "riparto dell'onere della prova" vigenti in quest'ambito.
E infatti, ferma la pacifica sussistenza, nel caso di specie, del rapporto negoziale fra le parti e in particolare la titolarità, in capo al della Carta Postepay e l'intervenuta allegazione, sempre da Pt_1 parte del cliente, dell'altrui inadempimento [il quale ha tempestivamente provveduto, come detto, sia a disconoscere l'operazione, sia a denunciare l'accaduto], è pacifico che gravasse su , società CP_1 convenuta in primo grado ed erogatrice del servizio, congruamente e specificamente dimostrare che l'operazione disconosciuta fosse senz'altro riconducibile all'attore in prime cure e odierno appellato.
Onere, quest'ultimo, pacificamente non assolto nel caso di specie, non avendo invero CP_4 concretamente comprovato la predetta riconducibilità dell'operazione all'attore ovvero a una sua condotta dolosa o poco diligente.
La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici di pagamento, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta
4 mancata attivazione di una qualsiasi forma di controllo ad esempio degli estratti conto. Porre a carico dell'utente la prova di aver adottato un comportamento esente da colpa, finisce, dunque, per stravolgere il riparto dell'onere della prova sopra ricostruito (V. Cass. ordinanza n. 26916 /2020).
Si deve tenere in debito conto che di recente, proprio per l'abuso della tecnica dell'email fasulla, si è diffusa la tecnica dello smishing, evoluzione del secondo fenomeno che utilizza quale sistema per la trasmissione dei dati i messaggi di testo che giungono sullo smartphone: il messaggio si presenta come proveniente da una società molto nota e con simboli e modalità tipiche della loro messaggistica
- il che induce il ricevente a fidarsi- e utilizza tecniche di pressione psicologica (spesso si tratta di messaggi che informano l'utente che il suo account bancario è stato violato o che lo esortano a pagare una bolletta non saldato, onde evitare aggravi) che spingono l'utente, sull'onda di sentimenti di paura e preoccupazione, a rivelare le proprie credenziali e i propri dati.
Ciò posto, nella fattispecie in esame alla luce della documentazione versata agli atti deve ritenersi provato che l'attore sia stato vittima di un'attività smishing idonea, date le caratteristiche del messaggio ricevuto e del suo contenuto , ad indurre in errore l'attore che ha così proceduto a cliccare sul link fornendo le proprie chiavi di accesso elettroniche, che sono state poi utilizzate illegittimamente utilizzate da terzi per effettuare un a transazione.
Ne consegue, anche in virtù del surrichiamato articolo 10, comma 2, del Dlgs n. 11/2010, che non è sufficiente al fine di accertare la legittimità dell'operazione bancaria o postale che risultino inserite le credenziali per attribuire la volontarietà dell'azione al correntista. È necessario, invece, un quid pluris,
a carico dell'intermediario, sui cui grava l'onere di accertare l'effettiva volontà del correntista di dar luogo all'operazione in conto corrente prima di dar corso alla stessa. Orbene, nel caso di specie, per le ragioni su esposte, non ha fornito prova in tal senso, non avendo dimostrato la legittimità CP_1 dell'operazione on line non autorizzata, la violazione, da parte del cliente, degli obblighi nascenti dal contratto, né la condotta dolosa o colposa del danneggiato.
Alla luce dei principi innanzi evidenziati non può ritenersi che l'esistenza di un sistema a tre fattori di sicurezza (che prevede l'inserimento del Codice OTP che il cliente riceva via sms sul numero di cellulare associato alla carta, unitamente alla password di accesso al sito poste.it ed alla successiva notifica mediante notifica Push) e l'utilizzo degli stessi per effetto della condotta fraudolenta posta in esser da terzi, possa comportare in via automatica la colpa grave imputabile alla cliente .
L'eventuale realizzarsi di una tale condotta criminale - meramente dedotta ma, come detto, non dimostrata dalla società appellante - non avrebbe in ogni caso rilievo dirimente, non determinando l'esonero di responsabilità dell'erogatore di servizi non implicando invero il phishing né "la prova positiva" della colpa grave dei clienti che ne siano vittima
(non trattandosi di "comportamento" di per sé "incauto" o gravemente negligente), né, a fronte di
"fenomeno" ormai "noto da diversi anni", una vicenda "talmente … imprevedibile da non poter essere fronteggiata in anticipo con l'adozione di misure idonee a prevenire l'uso fraudolento dei sistemi elettronici di pagamento" [v., ex aliis, GDP Campobasso luglio 2021, cit., nonché arg. ex Trib. Parma
2018].
Sicché, non avendo nel caso di specie adempiuto all'onus su essa gravante e concretamente CP_1 dimostrato la riconducibilità dell'operazione disconosciuta al – cliente che, al contrario e come Pt_1 necessario, aveva invece provveduto a sporgere denuncia e a disconoscere l'operazione, tempestivamente segnalando alle competenti Autorità e all'erogatore del servizio quanto avvenuto, procedendo poi in giudizio, a fronte di un pacifico titolo contrattuale, ad allegare l'altrui inadempimento (come necessario, ma altresì sufficiente, ad ottemperare al proprio onus ai sensi
5 di Cass. civ., Sez. un., 30 ottobre 2001, n. 13533) -, è pacifico che ciò imponga la conferma della sentenza di prime cure.
Le spese di lite seguono la soccombenza e sono liquidate come in dispositivo, sulla base dei parametri oggi vigenti e dunque in base alle disposizioni del D.M. 55/2014 e ss.mm. (tenendo altresì conto del D.M. 147/2022, da ultimo intervenuto), in ragione delle attività effettivamente espletate
[attesa l'assenza di istruttoria ulteriore alle produzioni documentali delle parti in entrambi i gradi di giudizio] e del non eccessivo numero e grado di complessità e specificità delle questioni di fatto e di diritto effettivamente trattate, ciò giustificando la mancata applicazione dei valori medi dello scaglione. Visto l'art. 13, comma 1 quater D.P.R. n. 115/02, si dà atto della sussistenza dei presupposti per l'applicabilità di tale norma, con conseguente obbligo in capo all'appellante di versare un ulteriore importo a titolo di contributo unificato pari a quello dovuto per l'impugnazione, se dovuto.
P.Q.M.
Il Tribunale di Messina, Seconda Sezione Civile, in composizione monocratica, in funzione di giudice dell'appello, sentiti i procuratori delle parti, disattesa o assorbita ogni contraria istanza, eccezione e difesa, definitivamente pronunciando, così provvede:
1) rigetta l'appello e per l'effetto conferma la sentenza impugnata;
2) condanna la società alla refusione delle spese di lite in favore di Controparte_1 Pt_1
liquidate in € 962,00 per compensi del secondo grado di giudizio oltre rimborso spese
[...] generali, c.p.a. ed i.v.a;
3) si dà atto che sussistono i presupposti previsti dall'art. 13, c. 1 quater, D.P.R. n. 115/2002, modificato dalla L. n. 228/2012, per il pagamento da parte dell'appellante soccombente di un ulteriore importo a titolo di contributo unificato pari a quello dovuto per la stessa impugnazione.
Così deciso in Messina lì 20 maggio 2025
Il Giudice
Dott.ssa Maria Carmela D'Angelo
6
II Sezione civile
Verbale della causa n. 5699/2022 R.G. - TRATTAZIONE SCRITTA (127 ter c.p.c.)
Oggi 20 maggio 2025, innanzi alla dott.ssa Maria Carmela D'Angelo, si dà atto che sono state depositate note scritte nell'interesse del Sig. , nato a [...] il [...], residente Parte_1 in Santa Teresa di Riva (ME), via Stradella Catania n. 55, C.F. , con l'avv. C.F._1
Fabio Di Cara, nell'interesse di (C.F./P. IVA rappresentata e Controparte_1 P.IVA_1 difesa dall'avv. Luigi Parenti
Il Giudice pronuncia sentenza dando lettura del dispositivo e della concisa esposizione delle ragioni di fatto e di diritto della decisione.
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE DI MESSINA
II Sezione Civile
Il Giudice dott.ssa Maria Carmela D'Angelo, in funzione di giudice monocratico, ha reso la seguente
SENTENZA nella causa iscritta al n. 5699/2022 R.G.
TRA
(C.F./P. IVA in persona dell'Amministratore Delegato e Controparte_1 P.IVA_1 legale rappresentante pro tempore Dott. , con sede legale in Roma (cap. 00144), Parte_2
Viale Europa n. 190, rappresentata e difesa dall'avv. Luigi Parenti
Appellante
Contro
, c.f. , rappresentato e difeso dall'avv. Fabio Pasquale Di Parte_1 C.F._1
Cara
Appellato
Oggetto: appello
In fatto ed in diritto
Con atto di gravame ritualmente notificato, ha adito questo Tribunale Controparte_1 spiegando impugnazione nei confronti della sentenza del Giudice di Pace di Messina, dott.ssa
Bonfiglio, n. 10/2022 (proc. n. 118/2020 R.G.), pubblicata in data 26.04.2022 nella quale il predetto giudicante ha accolto la domanda di rimborso formulata da nei confronti di Parte_1 CP_1
in relazione ad un'operazione di addebito non autorizzata intervenuta in data 30.08.2019 sulla
[...] sua carta Postepay Evolution n. 5333171014783456 per l'importo di € 3.450,00, con condanna della convenuta alle spese di giudizio. La parte appellante ha lamentato l'ingiustizia di tale pronuncia e ne ha quindi chiesto la riforma, previa istanza di sospensione dell'efficacia esecutiva, ritenendo che la transazione con cui è stata addebitata la complessiva somma di € 3.450,00 al sia avvenuta per Pt_1 fatto e colpa esclusivi del medesimo e risulta da correlarsi a un fenomeno di c.d.
1 phishing non imputabile a , né rientrante fra i casi di ristoro per le CP_1
"operazioni non autorizzate". In virtù di quanto precede ha quindi chiesto al Tribunale di voler: - in via cautelare disporre la sospensione dell'efficacia esecutiva della sentenza impugnata;
- in via principale: annullare e/o riformare integralmente la sentenza del Giudice di Pace di Messina (ex Alì Terme) n. 10/2022 e, per l'effetto, dichiarare e accertare che la transazione con cui è stata addebitata la complessiva somma di € 3.450,00 a è avvenuta per fatto e colpa esclusivi del Parte_1 medesimo e, per l'effetto, rigettare integralmente tutte le domande da lui avanzate, perché infondate sia in fatto che in diritto;
con vittoria di spese e compensi di giudizio.
Con comparsa depositata in data 25.09.2024 si è costituito nel presente grado di giudizio l'appellato contestando le avverse prospettazioni e in particolare affermando la correttezza della Parte_1 sentenza di prime cure e la non addebitabilità a sé di alcuna responsabilità, in quanto l'operazione disconosciuta, poiché disposta con utilizzo dei codici di accesso del cliente verosimilmente a lui carpiti, è addebitabile esclusivamente a colpa e negligenza di Controparte_1 la quale “avrebbe dovuto utilizzare adeguate misure di sicurezza atte a prevenire l'illecita apprensione dei dati evitando accessi non autorizzati, invii di sms fraudolenti, link, su utenze telefoniche oltretutto securizzate, rientrando tale controllo nel c.d. rischio d'impresa da porre in essere impiegando la diligenza dell' ”accorto banchiere””. Sulla scorta di quanto precede la parte appellata ha chiesto al Tribunale di voler confermare la sentenza di prime cure e rigettare l'appello, poiché infondato in fatto e in diritto. Con vittoria di spese e onorari.
Il giudizio è stato rinviato per la decisione all'udienza del 20 maggio 2025.
Innanzitutto, va precisato che deve ritenersi formato il giudicato interno (con esonero di questo giudice da qualsivoglia delibazione) rispetto a tutto quanto richiesto nel primo grado di giudizio e non oggetto di appello (principale o incidentale), nè di specifica riproposizione (secondo quanto previsto dall'art. 336 c.p.c.), nè, altresì, dipendente dai capi della sentenza specificamente impugnati
(come disposto ai sensi degli art. 329 e 336 c.p.c.).
L'appello è infondato e va pertanto rigettato, con conseguente conferma della sentenza di prime cure, per le ragioni qui di seguito esposte.
In punto di diritto, giova osservare che il presente giudizio attiene a una domanda spiegata da un cliente di per un'operazione da lui non autorizzata - e di cui ha negato il rimborso - CP_2 CP_1 espressamente disconosciuta dal cliente (cfr. documentazione allegata dall'appellato.), denunciata alle competenti autorità e comunicata a (cfr. reclamo, richiesta di rimborso e riscontri di ) CP_3 CP_3
Va preliminarmente osservato che nell'adempimento delle obbligazioni inerenti l'esercizio di un'attività professionale, la diligenza richiesta va valutata, ai sensi dell'art. 1176, comma 2, c.c., con riguardo alla natura dell'attività specificamente esercitata. In particolare, l'istituto che svolge un'attività di tipo finanziario o, in generale, creditizio (come, nella specie, la società Controparte_1 nell'ambito della gestione dei conti abilitati ad operazioni online) è tenuto ad adottare una diligenza qualificata da particolare rigore, dovendo adottare congrue misure preventive di sicurezza al fine di impedire che terzi soggetti si introducano illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso. Invero, con specifico riferimento all'utilizzazione di servizi e strumenti con funzione di pagamento gestiti mediante mezzi meccanici o elettronici, non può essere omessa la verifica dell'adozione di misure idonee a garantire la sicurezza del servizio. Infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della relativa sfera professionale (cfr., in questo senso, tra le altre, Tribunale Verona del
2.10.2012 e Tribunale Roma del 31.08.2016 n. 16221). Sin da epoca antecedente all'emanazione della
2 direttiva 2007/64/CE sui servizi di pagamento - recepita a livello nazionale dal d.lgs. n.
11/2010 (applicabile ratione temporis alla fattispecie), la giurisprudenza della S.C. si è espressa in linea con il principio generale relativo all'onere probatorio a carico del debitore professionale nelle azioni di risoluzione contrattuale, risarcimento del danno o adempimento.
"In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o
a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente" (v. Cass. 12/06/2007 n. 13777; Cass. n. 806 del
19/01/2016; Cass. civ., N. 03/02/2017, n. 2950; Cass. 2019/n. 18045; Cass. 2020/n. 26916 ha ribadito la natura contrattuale della responsabilità della banca in materia, da escludere pertanto solo ove ricorra una situazione di colpa grave dell'utente).
Dunque, considerato quanto sinora osservato, non può ritenersi che la società appellante, in ossequio agli oneri probatori gravanti a suo carico, abbia congruamente dimostrato di aver correttamente adempiuto la sua prestazione contrattuale (predisponendo, tra l'altro, adeguate misure di sicurezza del sistema telematico idonee ad impedire l'accesso non autorizzato di terzi ai dati personali) o che, comunque, tale inadempimento (o inesatto adempimento) sia stato determinato da eventi oggettivi, ad essa non imputabili, imprevedibili ed inevitabili.
Non è, tra l'altro, evincibile se i sistemi di sicurezza adottati fossero adeguati ad ostacolare accessi fraudolenti ai dati sensibili analoghi a quelli verificatisi in danno dell'appellato, anche tenuto conto dell'evoluzione delle misure di sicurezza disponibili e della possibilità di apprestare congrui sistemi di protezione idonei ad impedire anche modalità di frode ben note nel settore, come quella perpetrata mediante operazioni di "phishing" (richiamata dalla stessa società odierna appellante nella comparsa di costituzione depositata nel primo grado di giudizio).
Peraltro, quanto sinora rilevato è conforme alle previsioni contenute nel D.Lgs. n. 11 del
27.01.2010 in ordine all'obbligo del prestatore del servizio di pagamento di assicurare che i dispositivi personalizzati forniti dai gestori non siano accessibili a soggetti diversi dal legittimo titolare. Infatti, in merito alla ripartizione delle responsabilità derivanti dall'utilizzazione del servizio, gli artt. 10 e 11 del predetto decreto legislativo (richiamati, tra l'altro, dalla stessa società appellata) prevedono che qualora l'utente (come nella specie) neghi di aver autorizzato un'operazione di pagamento già effettuata, l'onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio (prova, comunque, non fornita nella fattispecie in esame). E, nel contempo, le suddette previsioni normative obbligano il prestatore del servizio a rifondere, con sostanziale immediatezza, il cliente in caso di operazione disconosciuta, tranne che non vi sia un motivato sospetto di frode dello stesso cliente (nel caso di specie inesistente e, comunque, neppure minimamente allegato dalla società appellata) e salva, naturalmente, la possibilità per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l'operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere ed ottenere, in tal caso, dall'utilizzatore la restituzione dell'importo rimborsato.
3 Quanto alla disciplina applicabile alla fattispecie in esame mette conto evidenziare che il decreto legislativo n. 11 del 27 gennaio 2010 di "Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE,
2006/48/CE, e che abroga la direttiva 97/5/CE", all'art. 10, comma 2, rubricato: "Prova di autenticazione ed esecuzione delle operazioni di pagamento", così come modificato dal d.lgs.
218/2017, statuisce che: "Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per se' necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, ne' che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.". Quanto agli obblighi previsti in capo all'utilizzatore dei servizi di pagamento l'art 7 lett b) prevede altresì
l'obbligo di comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
Altresì, a nulla rilevano, al fine di escludere la responsabilità della società appellante, le clausole da quest'ultima indicate contenute nelle condizioni generali di contratto depositate in atti
Né, a fronte dei principi di diritto vivente, del tutto pacifici, qui appena rammentati, può ritenersi che depongano in senso contrario le pronunce evocate dalla parte appellante ivi invero ribadendosi, al di là di riferimenti alle nozioni di "colpa" o "negligenza" (evidentemente impropri, trattandosi, come detto, di un'ipotesi di responsabilità oggettiva o semi-oggettiva), l'allocazione dell'onere probatorio in capo all'erogatrice del servizio. Onere dimostrativo poi ivi assolto, avendo in tali casi la società erogatrice dimostrato, la "fattiva collaborazione colposa" ovvero addirittura "la piena collaborazione" fra cliente e "truffatore" (cfr. Trib. Crotone, 20.06.2023 e Trib. Napoli, 14.04.2023, nonché Cass. civ.,
13.03.2023, n. 7214 – ove, in termini non dissimili da Trib. Potenza n. 1299/2021, si valorizzava pur in tal caso una condotta negligente del cliente), solo tale prova giustificando, nelle predette vicende, la reiezione delle domande attoree.
Va osservato quindi che il giudice di prime cure risulta aver correttamente applicato al caso sottoposto al suo esame i peculiari principi in tema di "riparto dell'onere della prova" vigenti in quest'ambito.
E infatti, ferma la pacifica sussistenza, nel caso di specie, del rapporto negoziale fra le parti e in particolare la titolarità, in capo al della Carta Postepay e l'intervenuta allegazione, sempre da Pt_1 parte del cliente, dell'altrui inadempimento [il quale ha tempestivamente provveduto, come detto, sia a disconoscere l'operazione, sia a denunciare l'accaduto], è pacifico che gravasse su , società CP_1 convenuta in primo grado ed erogatrice del servizio, congruamente e specificamente dimostrare che l'operazione disconosciuta fosse senz'altro riconducibile all'attore in prime cure e odierno appellato.
Onere, quest'ultimo, pacificamente non assolto nel caso di specie, non avendo invero CP_4 concretamente comprovato la predetta riconducibilità dell'operazione all'attore ovvero a una sua condotta dolosa o poco diligente.
La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici di pagamento, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta
4 mancata attivazione di una qualsiasi forma di controllo ad esempio degli estratti conto. Porre a carico dell'utente la prova di aver adottato un comportamento esente da colpa, finisce, dunque, per stravolgere il riparto dell'onere della prova sopra ricostruito (V. Cass. ordinanza n. 26916 /2020).
Si deve tenere in debito conto che di recente, proprio per l'abuso della tecnica dell'email fasulla, si è diffusa la tecnica dello smishing, evoluzione del secondo fenomeno che utilizza quale sistema per la trasmissione dei dati i messaggi di testo che giungono sullo smartphone: il messaggio si presenta come proveniente da una società molto nota e con simboli e modalità tipiche della loro messaggistica
- il che induce il ricevente a fidarsi- e utilizza tecniche di pressione psicologica (spesso si tratta di messaggi che informano l'utente che il suo account bancario è stato violato o che lo esortano a pagare una bolletta non saldato, onde evitare aggravi) che spingono l'utente, sull'onda di sentimenti di paura e preoccupazione, a rivelare le proprie credenziali e i propri dati.
Ciò posto, nella fattispecie in esame alla luce della documentazione versata agli atti deve ritenersi provato che l'attore sia stato vittima di un'attività smishing idonea, date le caratteristiche del messaggio ricevuto e del suo contenuto , ad indurre in errore l'attore che ha così proceduto a cliccare sul link fornendo le proprie chiavi di accesso elettroniche, che sono state poi utilizzate illegittimamente utilizzate da terzi per effettuare un a transazione.
Ne consegue, anche in virtù del surrichiamato articolo 10, comma 2, del Dlgs n. 11/2010, che non è sufficiente al fine di accertare la legittimità dell'operazione bancaria o postale che risultino inserite le credenziali per attribuire la volontarietà dell'azione al correntista. È necessario, invece, un quid pluris,
a carico dell'intermediario, sui cui grava l'onere di accertare l'effettiva volontà del correntista di dar luogo all'operazione in conto corrente prima di dar corso alla stessa. Orbene, nel caso di specie, per le ragioni su esposte, non ha fornito prova in tal senso, non avendo dimostrato la legittimità CP_1 dell'operazione on line non autorizzata, la violazione, da parte del cliente, degli obblighi nascenti dal contratto, né la condotta dolosa o colposa del danneggiato.
Alla luce dei principi innanzi evidenziati non può ritenersi che l'esistenza di un sistema a tre fattori di sicurezza (che prevede l'inserimento del Codice OTP che il cliente riceva via sms sul numero di cellulare associato alla carta, unitamente alla password di accesso al sito poste.it ed alla successiva notifica mediante notifica Push) e l'utilizzo degli stessi per effetto della condotta fraudolenta posta in esser da terzi, possa comportare in via automatica la colpa grave imputabile alla cliente .
L'eventuale realizzarsi di una tale condotta criminale - meramente dedotta ma, come detto, non dimostrata dalla società appellante - non avrebbe in ogni caso rilievo dirimente, non determinando l'esonero di responsabilità dell'erogatore di servizi non implicando invero il phishing né "la prova positiva" della colpa grave dei clienti che ne siano vittima
(non trattandosi di "comportamento" di per sé "incauto" o gravemente negligente), né, a fronte di
"fenomeno" ormai "noto da diversi anni", una vicenda "talmente … imprevedibile da non poter essere fronteggiata in anticipo con l'adozione di misure idonee a prevenire l'uso fraudolento dei sistemi elettronici di pagamento" [v., ex aliis, GDP Campobasso luglio 2021, cit., nonché arg. ex Trib. Parma
2018].
Sicché, non avendo nel caso di specie adempiuto all'onus su essa gravante e concretamente CP_1 dimostrato la riconducibilità dell'operazione disconosciuta al – cliente che, al contrario e come Pt_1 necessario, aveva invece provveduto a sporgere denuncia e a disconoscere l'operazione, tempestivamente segnalando alle competenti Autorità e all'erogatore del servizio quanto avvenuto, procedendo poi in giudizio, a fronte di un pacifico titolo contrattuale, ad allegare l'altrui inadempimento (come necessario, ma altresì sufficiente, ad ottemperare al proprio onus ai sensi
5 di Cass. civ., Sez. un., 30 ottobre 2001, n. 13533) -, è pacifico che ciò imponga la conferma della sentenza di prime cure.
Le spese di lite seguono la soccombenza e sono liquidate come in dispositivo, sulla base dei parametri oggi vigenti e dunque in base alle disposizioni del D.M. 55/2014 e ss.mm. (tenendo altresì conto del D.M. 147/2022, da ultimo intervenuto), in ragione delle attività effettivamente espletate
[attesa l'assenza di istruttoria ulteriore alle produzioni documentali delle parti in entrambi i gradi di giudizio] e del non eccessivo numero e grado di complessità e specificità delle questioni di fatto e di diritto effettivamente trattate, ciò giustificando la mancata applicazione dei valori medi dello scaglione. Visto l'art. 13, comma 1 quater D.P.R. n. 115/02, si dà atto della sussistenza dei presupposti per l'applicabilità di tale norma, con conseguente obbligo in capo all'appellante di versare un ulteriore importo a titolo di contributo unificato pari a quello dovuto per l'impugnazione, se dovuto.
P.Q.M.
Il Tribunale di Messina, Seconda Sezione Civile, in composizione monocratica, in funzione di giudice dell'appello, sentiti i procuratori delle parti, disattesa o assorbita ogni contraria istanza, eccezione e difesa, definitivamente pronunciando, così provvede:
1) rigetta l'appello e per l'effetto conferma la sentenza impugnata;
2) condanna la società alla refusione delle spese di lite in favore di Controparte_1 Pt_1
liquidate in € 962,00 per compensi del secondo grado di giudizio oltre rimborso spese
[...] generali, c.p.a. ed i.v.a;
3) si dà atto che sussistono i presupposti previsti dall'art. 13, c. 1 quater, D.P.R. n. 115/2002, modificato dalla L. n. 228/2012, per il pagamento da parte dell'appellante soccombente di un ulteriore importo a titolo di contributo unificato pari a quello dovuto per la stessa impugnazione.
Così deciso in Messina lì 20 maggio 2025
Il Giudice
Dott.ssa Maria Carmela D'Angelo
6