N. 821/2020 RGAC
TRIBUNALE DI PAOLA
SEZIONE CIVILE
* * *
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Il Tribunale di Paola, Sezione Civile, nella persona del dott. Antonio SCORTECCI, ha pronunciato la seguente
SENTENZA
nella causa iscritta al numero di ruolo indicato in epigrafe tra
(C.F. ), rappresentato e difeso dall'Avv. Parte_1 C.F._1
Francesco FAZZARI (C.F. ) C.F._2
- attore -
contro
(C.F. , rappresentata e difesa dall'Avv. Controparte_1 P.IVA_1
Luca CIRILLO (C.F. ) C.F._3
- convenuto -
CONCLUSIONI: come da atti e verbali

1

MOTIVI DELLA DECISIONE
1.1. – Con ricorso ex art. 702 bis c.p.c. ritualmente notificato, ha Parte_1
evocato in giudizio al fine di ottenere: Controparte_2
1) la condanna della convenuta – ai sensi degli artt. 2050 cod. civ. e 10 d.lgs. 11/2020 per omessa predisposizione di adeguati sistemi di sicurezza e attivazione delle cautele necessarie a impedire accessi impropri al canale home banking e conseguentemente al proprio conto corrente – al risarcimento dei danni corrispondenti alla somma indebitamente sottrattagli con bonifico bancario del
20.11.2019 (€ 9.798,24), ripristinando l'effettivo dare-avere in conto corrente;

2) la condanna della convenuta – ai sensi dell'art. 1218 c.c., per aver autorizzato, in violazione degli accordi contrattuali, il predetto bonifico bancario del 20.11.2019, , oltre il limite previsto di € 5.000,00 – al risarcimento dei danni conseguenti;

3) l'accertamento della cessazione del rapporto contrattuale relativo al conto corrente n. 66192/1000/100370 dal 13.3.2020, come da richiesta del correntista, con condanna al rimborso delle spese di tenuta conto computate dall'istituto di credito a partire da quella data.
A sostegno della propria domanda, ha dedotto che:
- in data 20.11.2019 ha subito un'operazione di SIM swapping, a mezzo della quale un soggetto terzo clonava la SIM telefonica associata al conto e, utilizzandola quale mezzo di autenticazione per l'accesso ai servizi di internet banking, effettuava illecitamente un bonifico bancario “istantaneo” di € 9.798,24, con accredito contestuale per il beneficiario (tale ; Persona_1
- prontamente, il 21.11.2019, ha sporto querela e disconosciuto l'operazione presso l'istituto di credito, compilando l'apposito modulo;

- persistendo l'addebito ingiustificato della banca, il 13.3.2020 ha inviato formale diffida, con richiesta di chiusura del conto;

- neppure tale istanza è stata soddisfatta in violazione degli artt. 1855 cod. civ. e 120 bis TUB.
1.2. – Si è costituita la quale ha chiesto di: Controparte_1
1) rigettare le domande attoree perché infondate;

2) in subordine, dichiarare l'esclusiva responsabilità della Controparte_3
previa sua chiamata in causa;

[...]
2 3) in via ulteriormente subordinata, dichiarare il concorso di colpa del ricorrente nella produzione del danno e, conseguentemente, escludere o ridurre proporzionalmente la propria responsabilità e l'importo dovuto, tenendo conto della franchigia gravante in ogni caso sul ricorrente;

4) in via riconvenzionale, condannare il ricorrente al pagamento di € 11.239,79 quale saldo debitore del rapporto di conto corrente n. 1000/100370 alla data del
13.4.2021, oltre interessi di mora, maturati e maturandi.
A tale fine, ha dedotto che:
- il sistema adottato dall'istituto bancario – che prevede l'autenticazione del cliente tramite credenziali statiche (USERID e PIN) e codice dinamico (cd. OTP) – rappresenta uno dei più evoluti sistemi di autenticazione a livello comunitario, è conforme alla normativa dettata dal Parlamento Europeo e dal Consiglio del
25.11.2015 (cd PSDII) ed è periodicamente certificato a livello internazionale da
ACCREDIA (come risulta dal Management System Certificate n. CERT-004-
2003-AIS-MIL-SINCERT, UNI CEI ISO/IEC 27001:2017);
- il bonifico del 20.11.2019 è stato eseguito inserendo tutti i codici (statici e dinamici) identificativi del cliente;
più specificamente, alle ore 17.16.16, è stato effettuato un accesso al conto on line dell'attore da un altro indirizzo IP mai usato in precedenza (2.41.149.136); tale circostanza, nonostante il corretto inserimento dei codici statici sia statici che dinamici, ha indotto la ad inviare sul Pt_2
cellulare certificato del cliente apposito push notification di avviso;
l'accesso si è, poi, perfezionato previo inserimento del codice OTS che la ha inoltrato, alle Pt_2
ore 17.16, tramite sms sul cellulare certificato della sig.ra successivamente, Per_2
è stato richiesto il bonifico istantaneo in favore di previo corretto Persona_1
inserimento del codice dispositivo inviato dalla banca alle ore 17.18 tramite sms sul cellulare del ricorrente;
la ritenendo detta operazione sospetta, in quanto Pt_2
come detto disposta mediante un browser non abitualmente utilizzato dal
[...]
, ha subordinato il suo perfezionamento all'inserimento di un ulteriore Pt_1
codice dispositivo (cd. codice OTS), inoltrato a mezzo sms sul cellulare del ricorrente, che è stato correttamente inserito;

3 - alla data dell'addebito delle somme riferite al bonifico contestato, il conto corrente del ricorrente presentava un saldo debitore di circa € 11,24 e ciò, quindi, ha determinato uno scoperto di conto di € 7.809,48 oltre il fido di € 2.000,00;
- persistendo la situazione di scoperto di conto la comparente ha dapprima Pt_2
richiesto al ricorrente il rientro dello sconfinamento e, per il rifiuto opposto dal ricorrente di corrispondere gli importi a debito, ha revocato il fido, comunicando l'impossibilità di dare corso alla richiesta di estinzione del conto corrente sino alla sistemazione della posizione debitoria che, allo stato, ancora persiste e che ammonta, in ragione degli interessi moratori contrattuali medio tempore maturati, ad €11.239,79;
- il limite giornaliero per le operazioni di bonifico sul conto corrente dell'attore fosse pari ad € 5.000,00 tenuto conto che detto limite, a seguito dell'attivazione del servizio di era di € 25.000,00 come documentalmente comprovato dalla Pt_3
Guida ai Servizi del contratto Pt_3
- in realtà, il ricorrente ha imprudentemente comunicato ad un ignoto truffatore i suoi codici personali o comunque non ha assolto ai suo doveri di protezione dei codici personali e dei dispositivi elettronici;

- in ogni caso, deve essere applicata la franchigia di € 150,00 prevista dall'art. 12, 3° comma, d.lgs. n. 11/2010.
1.3. – Dopo il mutamento di rito, le parti si sono scambiate le memorie ex art. 183, 6° comma, cpc.
In particolare, , con la memoria ex art. 183, 6° comma, n. 1 cpc, ha Parte_1 chiesto di dichiarare la nullità del contratto nella parte in cui prevede la Pt_3
modifica del limite di disposizione di bonifico giornaliero da € 5.000,00 a € 25.000,00, condannando a risarcire tutti i danni derivanti da detta Controparte_1
condotta, posta in essere in palese violazione dei principi di buona fede contrattuale.
1.4. – L'istruttoria è consistita nell'interrogatorio formale dell'attore e l'escussione dei testi e , dipendenti di Testimone_1 Testimone_2 Controparte_2
.
[...]
2.1. - Ciò posto, la prima domanda di parte attrice deve essere riqualificata, in linea con la giurisprudenza consolidata in materia, in termini di responsabilità contrattuale.
4 Infatti, al di là del richiamo all'art. 2050 cod. civ., nell'atto introduttivo sono chiaramente indicati il titolo contrattuale, i servizi contrattualmente previsti di home banking a carico dell'istituto di credito con le connesse obbligazioni di predisposizione di adeguati sistemi di sicurezza e attivazione delle cautele necessarie a impedire accessi impropri al canale e l'inosservanza di tali obbligazioni.
Più specificamente, secondo la Suprema Corte “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs.
n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente” (Sez. 1, Sentenza n. 2950 del 3/2/2017); analogamente, “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto” (Sez. 3, Sentenza n. 18045 del
5/7/2019; conf. Sez. 6 - 3, Ordinanza n. 26916 del 26/11/2020; Sez. 3, Sentenza n. 3780 del 12/2/2024).
Nel caso di specie, come visto, il ha dedotto che non aveva autorizzato il Parte_1
bonifico bancario istantaneo di € 9.798,24 eseguito il 20.11.2019 sul suo conto corrente;
ciò era stato possibile per l'omessa predisposizione di adeguati sistemi di sicurezza e attivazione delle cautele necessarie a impedire accessi impropri al canale home banking da parte dell'istituto di credito, tenuto conto dell'operazione di SIM swapping subita.
5 La resistente – senza contestare specificamente che il bonifico non era stato autorizzato dal cliente – ha ammesso che l'operazione si presentava “sospetta” in quanto l'accesso al conto on line era stato effettuato da un indirizzo IP mai usato in precedenza dal
[...]
, ma ha affermato il corretto funzionamento dei propri sistemi di sicurezza in Pt_1
quanto il bonifico era stato eseguito dopo gli inserimenti delle credenziali statiche
(USERID e PIN), dell'ordinario codice dinamico (cd. OTP) e dell'ulteriore codice dinamico (cd. codice OTS) generato proprio per la natura sospetta dell'operazione, in aggiunta agli avvisi trasmessi sul numero cellulare del cliente.
La ricostruzione della resistente – per il vero, neppure contestata dal ricorrente – è confermata dalla deposizioni testimoniali dei suoi dipendenti ( e Testimone_1 [...]
) incaricati di compiere le verifiche del caso e dalla documentazione Tes_2
prodotta.
Tuttavia, l'invio degli avvisi sul cellulare, la generazione e l''inserimento di un ulteriore codice dinamico (OTS), dinnanzi al descritto fenomeno di clonazione della SIM, non ha impedito l'esecuzione del bonifico non autorizzato.
Il punctum pruries dell'odierno giudizio si restringe, quindi, innanzitutto all'accertamento delle modalità con le quali l'ignoto malfattore sia entrato nel possesso delle credenziali statiche e, in secondo luogo, alla valutazione dell'adeguatezza del descritto meccanismo di protezione bancaria rispetto al fenomeno di SIM swapping.
Tuttavia, nessuno elemento probatorio, neppure di tipo indiziario, illumina in ordine alle modalità di illecita appropriazione, da parte dell'ignoto malfattore, delle credenziali statiche (USERID e PIN).
La questione deve essere, quindi, risolta sul piano dell'onere prova, che, alla luce dei principi giurisprudenziali richiamati, deve essere posto a carico dell'istituto di credito.
L'illecita appropriazione dei credenziali rientra, infatti, nell'area del rischio professionale del prestatore dei servizi on line di pagamento, prevedibile ed evitabile con l'uso della dovuta diligenza professionale.
Nella vicenda in esame, però, la resistente non solo, al di là di ipotesi suggestive, non ha fornito alcun elemento utile a dimostrare un fatto doloso o colposo del cliente, ma non ha dedotto specificamente né dimostrato i propri sistemi di protezioni delle predette credenziali.
6 Si è, invece, limitata a dimostrare i meccanismi di sicurezza per fronteggiare l'eventuale sottrazione illecita delle credenziali, consistiti nell'invio di avvisi e di codici sul numero di cellulare fornito dal cliente.
Tuttavia, il fenomeno del SIM swapping, diffuso e noto nella realtà sociale, non può essere sconosciuto al banchiere accorto che deve predisporre – anche rispetto a tale pratica illecita – adeguate misure di protezione, le quali, per definizione, non possono consistere l'invio di avvisi o codici sulla SIM potenzialmente clonata.
Pertanto, individuato un accesso “sospetto” – nel caso di specie per utilizzo di indirizzo
IP mai impiegato in precedenza dal cliente –, appare tutt'altro che rassicurante la conferma resa attraverso la medesima SIM.
Occorre, quindi, affermare la responsabilità contrattuale della resistente.
Il danno conseguentemente patito dal cliente è consistito nell'annotazione a debito, nel conto corrente (per quel che si comprende già in saldo negativo), dell'importo pari al bonifico non autorizzato (€ 9.798,24)
Del resto, come detto, non è provato alcun comportamento colposo del ricorrente che possa escludere o ridurre la sua pretesa risarcitoria.
Non può neppure applicarsi la c.d. franchigia prevista dall'art. 12, 3° comma, d.lgs.
11/2010 perché la resistente non ha provato, ai sensi del comma 2 ter del medesimo articolo, che l'appropriazione indebita dello strumento di pagamento poteva essere notata dal cliente prima del bonifico.
Dinnanzi al descritto danno consistito nell'annotazione della posta negativa di €
9.798,24 in data 20.11.2019 sul conto corrente, in difetto di effettivi esborsi da parte del ricorrente, questi ha concluso, chiedendo non già la condanna di parte ricorrente al pagamento della predetta somma, ma il ripristino (ossia l'accertamento) delle effettivo dare-avere in conto corrente.
Tale richiesta, in mancanza di elementi utili alla ricostruzione del rapporto e, quindi, alla individuazione del saldo finale, può trovare accoglimento nei limiti della declaratoria dell'insussistenza dell'addebito per cui è causa.
2.2. – La domanda di responsabilità contrattuale per l'esecuzione di bonifico oltre il limite concordato, previa declaratoria di nullità della clausola contrattuale che modificava tale limite, è assorbita dall'accoglimento della prima domanda.
7 2.3. – In accoglimento dell'ulteriore domanda attorea, deve, poi, dichiararsi cessato il rapporto contrattuale di conto corrente a seguito della comunicazione del recesso in data
13.3.2020. Infatti, ai sensi dell'art. 120 bis del TUB, “il cliente ha diritto di recedere in ogni momento da un contratto a tempo indeterminato, senza penalità e senza costi”.
L'eventuale sussistenza di saldo debitorio non impedisce lo scioglimento del rapporto contrattuale, ma cristallizza il credito preteso dall'istituto bancario.
Tuttavia, in mancanza di specifica indicazione dei costi di tenuta conto dal 13.3.2020 ad oggi – oltre che della loro prova (non essendo stato allegato alcun estratto conto successivo a tale data) – non è possibile disporre alcuna condanna alla restituzione di somme.
2.4. – L'accoglimento della domanda principale formulata dal ricorrente comporta, inoltre, il rigetto della domanda riconvenzionale nella parte relativa alla condanna al pagamento della somma oggetto del bonifico, maggiorata degli interessi successivamente prodotti.
Non sono, poi, dimostrate altre somme dovute dal cliente. ha, Controparte_2 infatti, prodotto a tal fine soltanto un suo documento che contiene l'indicazione del saldo debitorio di € 11.239,79 alla data del 13.4.2021, senza spiegare come si arrivi a tale importo e, comunque, senza allegare gli estratti conto del rapporto di conto corrente. L'eventuale CTU diretta a compiere tale accertamento sarebbe stata esplorativa, in supplenza dell'onere probatorio gravante sulla parte.
Pertanto, la domanda riconvenzionale va integralmente rigettata.
3. - Segue, per la soccombenza, la condanna di al Controparte_1
pagamento delle spese di giudizio, liquidate – alla luce dei valori medi previsti dal DM
55/2014 per tutte le fasi relative ai procedimenti di cognizione davanti al Tribunale appartenenti al terzo scaglione di valore – in € 5.077,00 per compenso, oltre rimborso forfettario (pari al 15% del compenso), IVA e CPA (come per legge), in favore dell'attore.


P.Q.M.


Il Tribunale, definitivamente pronunciando, così provvede:
8 a) dichiara l'insussistenza dell'addebito di € 9.798,24 a carico di Parte_1
, annotato sul conto corrente n. 66192/1000/100370 in data 20.11.2019, in
[...]
esecuzione del bonifico per cui è causa;

b) dichiara la cessazione del rapporto di conto corrente n. 66192/1000/100370 in data
13.3.2020;
c) rigetta ogni altra domanda;

d) condanna al pagamento delle spese di giudizio, Controparte_1 liquidata in € 5.077,00, oltre rimborso forfettario (pari al 15% del compenso), IVA
e CPA (come per legge), in favore dell'attore.
Manda alla cancelleria per gli adempimenti di rito.
Paola, 4 aprile 2025
Il Giudice
Antonio SCORTECCI
9