TRIB
Sentenza 19 giugno 2025
Sentenza 19 giugno 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Catania, sentenza 19/06/2025, n. 3195 |
|---|---|
| Giurisdizione : | Trib. Catania |
| Numero : | 3195 |
| Data del deposito : | 19 giugno 2025 |
Testo completo
R.G. 16331/2021
TRIBUNALE DI CATANIA
Quarta sezione civile
IN NOME DEL POPOLO ITALIANO
Il Tribunale di Catania, nella persona del Giudice dott.ssa Chiara Salamone, ha emesso la seguente
SENTENZA
Nel procedimento civile iscritto al n. R.G. 16331/2021 promosso da
C.F. , in persona del legale rappresentante pro Parte_1 P.IVA_1 tempore, rappresentata e difesa dall'AVV. SERGIO ANTONIO CACOPARDO, C.F.
e dall'AVV. MARCO RIZZA, C.F. ed C.F._1 C.F._2
elettivamente domiciliata in via Etnea, n. 221, Catania;
attrice contro
P.IVA in persona del suo Controparte_1 P.IVA_2
legale rappresentante pro tempore, rappresentata e difesa dal PROF. AVV. GIOVANNI MARIA
RICCIO, C.F. , ed elettivamente domiciliata in via dei Barbieri, n. 6 Roma;
C.F._3
convenuta avente ad oggetto: contratto avente ad oggetto servizi di pagamento – internet banking – responsabilità contrattuale – inadempimento – risarcimento del danno – onere della prova.
Le parti hanno precisato le conclusioni all'udienza del 19.02.2025, il cui verbale si intende trascritto;
il procedimento è stato dunque posto in decisione.
MOTIVI DELLA DECISIONE
Con ricorso ex art. 702bis c.p.c. ha chiesto al Tribunale di accertare la Parte_1 responsabilità contrattuale di (d'ora in poi, per non aver Controparte_1 CP_2
impedito a terzi di introdursi nel servizio di home banking – collegato al rapporto di conto corrente n.000000004734 di cui è intestatria – disponendo un bonifico di euro 29.800,45 verso un conto corrente estero;
la società ricorrente ha dunque chiesto la condanna dell'istituto bancario al pagamento di euro 14.900,45 a titolo di risarcimento del danno, importo pari alla minor somma ancora non corrisposta, rispetto a quella complessiva di euro 29.800,45, illegittimamente sottratta dal conto con operazione disposta in data 12.04.2021, oltre interessi e rivalutazione.
In particolare, ha prospettato che in data 12.04.2021 era stato ordinato un Parte_1 bonifico online di euro 29.800,45 verso un conto estero intestato a tale “Klaudia Zylak”, bonifico non effettuato nè autorizzato da , legale rappresentante della società ricorrente ed Controparte_3
unico soggetto autorizzato ad operare sul conto con gli strumenti messi a sua disposizione dalla banca (id utente, password e token). La ricorrente, nell'immediatezza dei fatti (in data 13.04.2021), aveva comunicato telefonicamente a la truffa subita, disconoscendo le operazioni CP_2
fraudolente e chiedendo la revoca del bonifico, non avvenuta. La ricorrente, dopo aver denunciato i fatti presso il comando dei Carabinieri di Gravina di Catania, ha inoltrato reclamo a CP_2 chiedendo che venisse riaccreditata la somma, posta la riconducibilità dell'accaduto alla violazione dei sistemi di sicurezza dell'istituto bancario. con comunicazione del 16.04.2021, ha CP_4 respinto la richiesta di rimborso, precisando che l'operazione contestata risultava correttamente autenticata (attraverso la password statica e quella dinamica) ed era stata registrata e contabilizzata come previsto dall'art. 10 d. lgs. 11/2010.
pertanto, ha proposto ricorso all'Arbitrato Bancario Finanziario (ricorso Parte_1
ABF n. del 12.05.2021, all. 10 ricorso introduttivo) all'esito del quale il collegio arbitrale P.IVA_3
di Palermo ha accolto parzialmente la domanda ed ha condannato alla restituzione CP_2 dell'importo di euro 14.900,00 (pari al 50% dell'importo disconosciuto), ravvisando un concorso colposo nella misura del 50%, per aver la società ricorrente violato il proprio dovere di diligenza nella custodia dello strumento di pagamento e l'istituto resistente omesso di arrivare un sistema di controllo successivo alla disposizione sospetta (in relazione all'importo ed al conto estero di destinazione).
ritenenddo la decisione del collegio arbitrale in contrasto con la Parte_1
disciplina contenuta nel d. lgs. n. 11/2010, quantomeno in punto di onere probatorio, ha adito l'intestato Tribunale invocando la responsabilità di per l'inefficenza del sistema di CP_2 autenticazione c.d. forte dalla stessa predisposto (in violazione dell'art. 7 co. I lett. a d.lgs. 11/2010)
e per la mancata predisposizione di adeguati strumenti di controllo antifrode successivi all'autorizzazione. La società ricorrente ha altresì dedotto in ordine all'assenza di colpa o dolo, nella sua posizione di utilizzatore, ai sensi dell'art. 7 del citato decreto.
La ricorrente ha depositato, a supporto della domanda, tra gli altri documenti: copia del contratto di conto corrente, copia del contratto di home banking, estratto dell'elenco dei bonifici disposti nel periodo in contestazione (ove non risulterebbe contabilizzato il bonifico contestato). La società ricorrente ha dunque formulato le seguenti conclusioni:
“ Voglia l'Ill.mo Tribunale di Catania, in accoglimento del ricorso, rigettata ogni contraria istanza, eccezione e difesa:
- in via principale e nel merito accertare e dichiarare, per quanto premesso, l'illegittimità della condotta della per quanto infra riferito;
Controparte_1
- accertare e dichiarare, in conseguenza, il diritto dell'odierna ricorrente nei confronti della alla restituzione dell'importo di € 14.900,45, oltre rivalutazioni ed interessi compensativi CP_1 dalla domanda di restituzione fino al soddisfo, condannando l'Istituto al pagamento, nonché di ulteriori euro 3.760,90 per spese sostenute dalla società ricorrente per compensi professionali corrisposti nel procedimento promosso dinanzi l'ABF – sede di Palermo – N° DEL P.IVA_3
12/05/2021”. si è costituita in giudizio ed ha argomentato in ordine alla riconducibilità del CP_4
bonifico contestato ad , legale rappresentate della società ricorrente, unico soggetto Controparte_3
supervisore/firmatario, con ID utente n. 655728 e postazione BWAY2 n. 0000216497, in possesso delle credenziali di accesso alla postazione e del dispositivo di firma (token), secondo quanto si evince dalle registrazioni eseguite dai sistemi informatici di (all. 4 comparsa di CP_2
costituzione).
L'istituto bancario resistente ha, quindi, eccepito la responsabilità della ricorrente ai sensi dell'art. 7 d.lgs. 11/2010, per aver disposto ed autorizzato l'operazione o comunque consentito a terzi di entrare in possesso delle credenziali di utilizzo del servizio di home banking, ovvero per non aver impedito a terzi di penetrare nel sistema informatico di ha, Parte_1 CP_2 inoltre, richiamato l'esistenza di un sistema di autenticazione c.d. forte (art. 10bis d.lgs. 11/2010), nonché le condizioni generali del contratto avente ad oggetto il servizio e-banking (all. 2 comparsa di costituizione) sottoscritto dalle parti, che escludono la responsabilità della banca per ogni ipotesi di frode imputabile a terzi (disposizioni che derogano a quelle contenute nel d.lgs n. 11/2010, che peraltro, secondo la prospettazione di parte convenuta, non troverebbe applicazione, non essendo un consumatore ai sensi dell'art. 2 d.lgs n. 11/2010) Parte_1
ha, quindi, concluso chiedendo il rigetto del ricorso. CP_4
All'udienza del 21.09.2022, secondo quanto richiesto da parte resistente, è stato convertito il rito, ritenuto “che il procedimento possa necessitare di istruzione non sommaria alla luce delle comparsa di parte resistente”.
In sede di memoria ai sensi dell'art. 183 comma VI n. 2 c.p.c., parte attrice ha prodotto ulteriore documentazione e, in particolare, estratto dal sito internet di (sulla necessità di sostituire i CP_2
dispositivi token con applicazioni su cellulare) e bilancio d'esercizio 2021 di Parte_1 volto a dimostrare che trattasi di microimpresa, nei termini che si preciseranno a breve;
ha
[...]
altresì richiesto ammettersi consulenza tecnico informatica sul dispositivo utilizzato dalla ricorrente per effettuare il bonifico disconosciuto.
Con ordinanza del 06.01.2024 è stata rigettata l'istanza di ammissione di c.t.u. formulata da ritenenuta inammissibile “stante le regole sulla ripartizione dell'onere della prova CP_2 applicabile alla fattispecie in esame alla luce del d. lgs. 11/2010”.
Così ricostruite le domande, eccezioni e difese delle parti e l'iter del procedimento, le domande di parte attrice devono ritenersi fondate nei termini di seguito specificati.
Va preliminarmente accolta l'eccezione sollevata da parte attrice all'udienza del 18.10.2023, avente ad oggetto l'inammissibilità della produzione documentale operata da in allegato alla CP_2 memoria ai sensi dell'art. 183 co. VI n. 3 c.p.c., in quanto, tenuto conto della disposizione pro temporis applicabile, mediante tale memoria possono essere operate “le sole indicazioni di prova contraria”, mentre, nel caso di specie, non trattasi di prove indicate in replica, bensì di un documento (n. 7, copia dell'estratto conto) volto a contrastare fatti costitutivi del diritto azionato, prospettati sin dall'atto introduttivo. Ne consegue che detto documento, tardivamente prodotto, è inammissibile.
Passando all'esame del merito, la controversia va risolta applicando il d.lgs. 11/2010 (attuativo della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno), trattandosi di disciplina che, contrariamente a quanto eccepito da trova applicazione a tutti i servizi di CP_2
pagamento, anche erogati nei confronti di soggetti non aventi qualifica di consumatori (come la società di capitali odierna attrice), in quanto la distinta qualifica di consumatore o professionista comporta soltanto una possibilità più ampia di deroga ai sensi dell'art. 2 co. IV (con le precisazioni, per l'odierna società, operate infra).
Tanto chiarito, l'art. 10 del suddetto d.lgs. n. 11/2010, prevede, al comma II, che “Quando
l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita,
l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, nè che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Il suddetto art. 10 d. lgs n. 11/2010 prevede altresì al co. II che “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Tale disciplina non risulta validamente derogata, quanto meno in punto di onere probatorio, dalle clausole negoziali invocate da parte resistente, ovveroria gli artt. 12 e 28 contratto di e-banking all.
2 comparsa di risposta, che prevedono rispetticamente che “ resta estranea ad ogni CP_2 responsabilità derivante dall' esecuzione delle istruzioni ad essa pervenute” e che “ non CP_2
risponde di eventuali utilizzi impropri o fraudolenti degli strumenti di sicurezza forniti al
Firmatario”; infatti, trattasi di norme non derogabili nel caso in esame, in quanto trattasi di microimpresa ai sensi dell'art. 4 lett. c del decreto citato (circostanza affermata da parte attrice nella memoria ai sensi dell'art. 183 co. VI n. 1 c.p.c. e comprovata mediante la suddetta documentazione all. 2 e 3 alla memoria ai sensi dell'art. 183 co. VI n. 2 c.p.c.).
In questo quadro, la prova liberatoria richiesta dall'art. 10 citato non è stata fornita, dal momento che non ha in alcun modo dimostrato la sussistenza di frode, dolo o colpa grave dell'utente, CP_2
né si ritiene di condividere la motivazione fatta propria dal collegio arbitrale in ordine al concorso di colpa. Infatti, la suddetta carenza di prova in ordine al carattere autorizzato delle operazioni disconosciute o alla sussistenza di frode, dolo o colpa grave dell'utente risulta in sé sufficiente ad affermare la responsabilità della banca.
In particolare, il sistema di autenticazione forte utilizzato dal prestatore di servizi B.N.L. è risultato (malgrado il richiamato utilizzo del protocollo https) inidoneo a prevenire la frode, in quanto non conforme alle disposizioni di cui al d. lgs. 11/2010, quale modificato dal d.lgs.
218/2017, che ha recepito la nuova direttiva 2015/2366/UE del Parlamento europeo e del Consiglio del 25.11.2015 (c.d. direttiva PSD2). Tale discplina prevede, infatti, un innalzamento dello standard di sicurezza del meccanismo di autentificazione forte al quale le banche devono conformarsi per l'uso degli strumenti di pagamento, prevedendo che gli utenti che accedono all'area riservata del conto o effettuano disposizioni di pagamento online debbano autenticarsi attraverso due o più strumenti aventi i requisiti di “conoscenza” (la password personale o il PIN che solo l'utente conosce), “possesso” (una password valida per un solo utilizzo) e “inerenza” (qualcosa di univoco che contraddistingue inequivocabilmente e personalmente l'utente), indipendenti tra loro, livello di sicurezza non garantito nel caso in esame. Inftti, il sistema di autenticazione c.d. forte predisposto da (mediante token, superato dalla direttiva PSD2 richiamata) è risultato carente in ordine al CP_2 requisito dell'inerenza, perché non univocamente riconducibile all'utilizzatore; l'utente abusivo, infatti, ha probabilmente disposto il pagamento generando autonomamente un codice di autorizzazione, nonostante il token in uso alla società sia sempre rimasto in possesso della stessa, circostanza che non si sarebbe potuta verificare mediante l'utilizzo, in ipotesi, di un sistema di autorizzazione biometrico. Nel caso di specie il meccanismo di controllo dello strumento di pagamento è risultato carente anche sotto il profilo dell'indipendenza (art. 1 d. lgs. n. 11/2010) degli elementi di identificazione, poiché la compromissione del primo livello di sicurezza (accesso con nome utente e password) ha consentito la violazione anche del successivo e, di conseguenza, ha permesso l'illecita autenticazione e l'esecuzione della disposizione di bonifico.
Va inoltre tenuta in considerazione la mancata previsione di un sistema di prevenzione antifrode mediante messaggio di alert o autenticazione di livello superiore o di controllo successivo all'autorizzazione, metodi che avrebbero potenzialmente evitato l'operazione non autorizzata.
Non assume rilievo dirimente, ai fini della responsabilità, che tutti gli accessi – incluso quello relativo all'esecuzione del bonifico in questione – risultino dai files di log (contrariamente a quanto dedotto da parte attrice in merito alle risultanze dell'estratto conto) e siano stati effettuati dal medesimo indirizzo IP 37159237165 dal quale il legale rappresentante della società ricorrente è solito collegarsi al proprio home banking (doc. 4 allegato comparsa di costituzione), non costituendo tale circostanza prova dell'esecuzione da parte della medesima o di un'omessa custodia.
Sussistono, piuttosto, indizi in ordine all'effettivo possesso del token da parte della legittima utilizzatrice, in quanto risulta dalla documentazione in atti che sino a mezz'ora prima circa rispetto all'operazione contestata la legale rappresentante aveva svolto un'operazione Controparte_3
autorizzata, ovverosia un bonifico ad una dipendente. Inoltre, la perizia di parte prodotta (all. 13 al ricorso) costituisce ulteriore indizio nel senso dell'assenza di virus nel sistema della società ricorrente al momento della frode, della presenza di firewall e antivirus e dell'avvenuto accesso mediante IP viaggiante sotto proxy, idoneo a nascondere la localizzazione reale, IP che il sistema di autenticazione in uso non è riuscito a bloccare (circostanze rilevanti ai sensi dell'art. 7 d.lgs.
11/2010).
In altri termini, l'istituto bancario convenuto non ha provato il dolo o la colpa grave imputabile all'utilizzatore, né a tal fine vale eccepire che l'operazione fraudolenta sia stata formalmente autorizzata dalla società, in quanto ai sensi dell'art. 10 l. lgs. n. 11/2010, “nel caso di disconoscimento dell'operazione da parte dell'utilizzatore il mero utilizzo dello strumento di pagamento non è, di per sé, sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo”. Per altro verso, non assume valenza liberatoria il richiamo operato da alla responsabilità CP_2
di soggetti terzi (entrati in possesso delle credenziali), dal momento che le azioni ed omissioni di altri soggetti (ausiliari o meno rispetto al contraente convenuto) non escluderebbero comunque la responsabilità per inadempimento dell'istituto che fornisce servizi bancari in rete.
Può richiamarsi, sul tema, la consolidata giurisprudenza in tema di operazioni illecitamente effettuate su conti correnti online (in ipotesi, per mezzo di condotte fraudolente volte a carpire codici di protezione ed a sottrarre somme di denaro), che, facendo applicazione della suddetta norma (e, addirittura, anche prima dell'entrata in vigore della disposizione), afferma che spetta all'istituto bancario fornire la prova della riconducibilità dell'operazione al correntista che l'abbia disconosciuta. Tale conclusione, oggi sancita dal summenzionato articolo 10, deriva, in ogni caso, dall'applicazione dei pacifici principi sulla ripartizione dell'onere della prova in materia di responsabilità contrattuale di cui agli artt. 2697 e 1218 c.c., alla stregua dei quali il creditore che agisca per il risarcimento del danno (nell'ipotesi presente, la società correntista) deve soltanto provare la fonte (negoziale o legale) del suo diritto, limitandosi alla mera allegazione della circostanza dell'inadempimento della controparte, mentre il debitore (nel presente caso, l'istituto bancario) è gravato dell'onere della prova del fatto estintivo dell'altrui pretesa (secondo quanto affermato, per tutte, da Cass. civ., Sez. un., n. 13533/2001).
L'istituto di credito è, infatti, tenuto ad una diligenza valutabile tenendo conto del modello dell'operatore professionale, qual è l'accorto banchiere, ai sensi dell'art. 1176 co. II c.p.c. In altri termini, anche al fine di garantire la fiducia che gli utenti ripongono nei sistemi che consentono le operazioni online (profilo che corrisponde ad un interesse degli stessi operatori), la banca è tenuta a dotarsi di sistemi che permettano di verificare la riconducibilità delle operazioni alla volontà del cliente, evitando i rischi prevedibili, come la possibilità che estranei possano fare uso dei codici di accesso. Di conseguenza, va ricondotta nell'area del rischio professionale del prestatore dei servizi di pagamento la possibilità di un'utilizzazione dei codici di accesso al sistema di pagamento elettronico da parte dei terzi, non attribuibile al dolo del titolare, ed è solo e soltanto l'istituto bancario il soggetto tenuto fornire la prova della riconducibilità dell'operazione al cliente.
Tale principio, sancito espressamente dall'art. 10 del d. lgs. 11/2010 sopra citato, è unanimemente applicato dalla giurisprudenza di legittimità e di merito con riguardo a fattispecie analoghe a quella odierna. Si citano, tra le moltissime pronunce sul tema, Cassazione civile, Sez.
VI, 26 novembre 2020, n. 26916; Cassazione civile, Sez. VI, 12 aprile 2018 n. 9158; Cassazione civile, Sez. I, 3 febbraio 2017, n. 2950; Cassazione civile, Sez. I, 23 maggio 2016, n. 10638;
Tribunale Roma, Sez. X, 31 agosto 2016, n. 16221; Tribunale Siracusa, Sez. II civ., 15 marzo 2012;
Tribunale Palermo, 12 gennaio 2010; Tribunale Torino, Sez. IV, 28 marzo 2007; Tribunale Milano, 4 dicembre 2014; Tribunale Verona, Sez. IV, 2 ottobre 2012; Tribunale Parma, Sez. I, 6 settembre
2018, n. 1268; Tribunale Frosinone, Sez. I, 5.8.2022 n. 721, alle quali possono essere affiancate numerose pronunce dell'Arbitro bancario e finanziario di segno conforme, tra cui Collegio CP_5
Napoli, n. 1879 di giorno 8 aprile 2013.
Alla luce di tali principi, in accoglimento della domanda attorea, va accertata la responsabilità di e la medesima deve essere condannata al pagamento a favore di CP_2 Parte_1 dell'importo di euro 14.900,45, pari alla residua metà del danno subito dalla correntista in ragione dell'inadempimento, oltre interessi al tasso legale dalla data della domanda (22.12.2021 data di deposito del ricorso ex art. 702 bis c.p.c.). Non può invece trovare accoglimento la richiesta di rivalutazione monetaria, trattandosi di debito di valuta.
Quanto alla domanda di condanna dell' al pagamento dell'ulteriore importo di Controparte_6
euro 3.760,90 quali spese per compensi professionali corrisposti nel giudizio arbitrale, la stessa può trovare parziale accoglimento, posto che tale spesa, per quanto non indispensabile, è causalmente connessa alla responsabilità contrattuale dell'istituto bancario;
per altro verso, l'importo richiesto va considerato eccessivo ai sensi dell'art. 92 c.p.c., potendosi liquidare solo un importo di euro
1.017,80, pari all'importo previsto dal D.M. 55/2014 per il procedimento arbitrale con riferimento all'intervallo di valore considerato, incluso accessori, tenuto conto dell'applicazione del parametro minimo (euro 851,00), alla luce del carattere documentale del giudizio.
Le spese di lite del presente giudizio vengono infine poste a carico della convenuta soccombente e liquidate nel dispositivo in misura pari ai parametri medi per le prime due fasi ed ai parametri minimi per le ultime due, ai sensi del D.M. 55/2014, tenuto conto del carattere documentale del procedimento, del carattere limitato delle questioni giuridiche esaminate e della modalità di definizione del procedimento.
P.Q.M.
Il Giudice, definitivamente pronunciando sul procedimento iscritto al n. R.G. 16331/2021, così decide:
- condanna a corrispondere a euro Controparte_1 Parte_1
14.900,45 ed euro 1.017,80 per le voci indicate in motivazione, oltre interessi legali a decorrere dal
22.12.2021;
- condanna a corrispondere a euro Controparte_1 Parte_1
3.387,00 per spese di lite, oltre il 15% per spese generali, IVA e CPA se dovute per legge.
Catania, 17/06/2025
Il Giudice
dott.ssa Chiara Salamone
TRIBUNALE DI CATANIA
Quarta sezione civile
IN NOME DEL POPOLO ITALIANO
Il Tribunale di Catania, nella persona del Giudice dott.ssa Chiara Salamone, ha emesso la seguente
SENTENZA
Nel procedimento civile iscritto al n. R.G. 16331/2021 promosso da
C.F. , in persona del legale rappresentante pro Parte_1 P.IVA_1 tempore, rappresentata e difesa dall'AVV. SERGIO ANTONIO CACOPARDO, C.F.
e dall'AVV. MARCO RIZZA, C.F. ed C.F._1 C.F._2
elettivamente domiciliata in via Etnea, n. 221, Catania;
attrice contro
P.IVA in persona del suo Controparte_1 P.IVA_2
legale rappresentante pro tempore, rappresentata e difesa dal PROF. AVV. GIOVANNI MARIA
RICCIO, C.F. , ed elettivamente domiciliata in via dei Barbieri, n. 6 Roma;
C.F._3
convenuta avente ad oggetto: contratto avente ad oggetto servizi di pagamento – internet banking – responsabilità contrattuale – inadempimento – risarcimento del danno – onere della prova.
Le parti hanno precisato le conclusioni all'udienza del 19.02.2025, il cui verbale si intende trascritto;
il procedimento è stato dunque posto in decisione.
MOTIVI DELLA DECISIONE
Con ricorso ex art. 702bis c.p.c. ha chiesto al Tribunale di accertare la Parte_1 responsabilità contrattuale di (d'ora in poi, per non aver Controparte_1 CP_2
impedito a terzi di introdursi nel servizio di home banking – collegato al rapporto di conto corrente n.000000004734 di cui è intestatria – disponendo un bonifico di euro 29.800,45 verso un conto corrente estero;
la società ricorrente ha dunque chiesto la condanna dell'istituto bancario al pagamento di euro 14.900,45 a titolo di risarcimento del danno, importo pari alla minor somma ancora non corrisposta, rispetto a quella complessiva di euro 29.800,45, illegittimamente sottratta dal conto con operazione disposta in data 12.04.2021, oltre interessi e rivalutazione.
In particolare, ha prospettato che in data 12.04.2021 era stato ordinato un Parte_1 bonifico online di euro 29.800,45 verso un conto estero intestato a tale “Klaudia Zylak”, bonifico non effettuato nè autorizzato da , legale rappresentante della società ricorrente ed Controparte_3
unico soggetto autorizzato ad operare sul conto con gli strumenti messi a sua disposizione dalla banca (id utente, password e token). La ricorrente, nell'immediatezza dei fatti (in data 13.04.2021), aveva comunicato telefonicamente a la truffa subita, disconoscendo le operazioni CP_2
fraudolente e chiedendo la revoca del bonifico, non avvenuta. La ricorrente, dopo aver denunciato i fatti presso il comando dei Carabinieri di Gravina di Catania, ha inoltrato reclamo a CP_2 chiedendo che venisse riaccreditata la somma, posta la riconducibilità dell'accaduto alla violazione dei sistemi di sicurezza dell'istituto bancario. con comunicazione del 16.04.2021, ha CP_4 respinto la richiesta di rimborso, precisando che l'operazione contestata risultava correttamente autenticata (attraverso la password statica e quella dinamica) ed era stata registrata e contabilizzata come previsto dall'art. 10 d. lgs. 11/2010.
pertanto, ha proposto ricorso all'Arbitrato Bancario Finanziario (ricorso Parte_1
ABF n. del 12.05.2021, all. 10 ricorso introduttivo) all'esito del quale il collegio arbitrale P.IVA_3
di Palermo ha accolto parzialmente la domanda ed ha condannato alla restituzione CP_2 dell'importo di euro 14.900,00 (pari al 50% dell'importo disconosciuto), ravvisando un concorso colposo nella misura del 50%, per aver la società ricorrente violato il proprio dovere di diligenza nella custodia dello strumento di pagamento e l'istituto resistente omesso di arrivare un sistema di controllo successivo alla disposizione sospetta (in relazione all'importo ed al conto estero di destinazione).
ritenenddo la decisione del collegio arbitrale in contrasto con la Parte_1
disciplina contenuta nel d. lgs. n. 11/2010, quantomeno in punto di onere probatorio, ha adito l'intestato Tribunale invocando la responsabilità di per l'inefficenza del sistema di CP_2 autenticazione c.d. forte dalla stessa predisposto (in violazione dell'art. 7 co. I lett. a d.lgs. 11/2010)
e per la mancata predisposizione di adeguati strumenti di controllo antifrode successivi all'autorizzazione. La società ricorrente ha altresì dedotto in ordine all'assenza di colpa o dolo, nella sua posizione di utilizzatore, ai sensi dell'art. 7 del citato decreto.
La ricorrente ha depositato, a supporto della domanda, tra gli altri documenti: copia del contratto di conto corrente, copia del contratto di home banking, estratto dell'elenco dei bonifici disposti nel periodo in contestazione (ove non risulterebbe contabilizzato il bonifico contestato). La società ricorrente ha dunque formulato le seguenti conclusioni:
“ Voglia l'Ill.mo Tribunale di Catania, in accoglimento del ricorso, rigettata ogni contraria istanza, eccezione e difesa:
- in via principale e nel merito accertare e dichiarare, per quanto premesso, l'illegittimità della condotta della per quanto infra riferito;
Controparte_1
- accertare e dichiarare, in conseguenza, il diritto dell'odierna ricorrente nei confronti della alla restituzione dell'importo di € 14.900,45, oltre rivalutazioni ed interessi compensativi CP_1 dalla domanda di restituzione fino al soddisfo, condannando l'Istituto al pagamento, nonché di ulteriori euro 3.760,90 per spese sostenute dalla società ricorrente per compensi professionali corrisposti nel procedimento promosso dinanzi l'ABF – sede di Palermo – N° DEL P.IVA_3
12/05/2021”. si è costituita in giudizio ed ha argomentato in ordine alla riconducibilità del CP_4
bonifico contestato ad , legale rappresentate della società ricorrente, unico soggetto Controparte_3
supervisore/firmatario, con ID utente n. 655728 e postazione BWAY2 n. 0000216497, in possesso delle credenziali di accesso alla postazione e del dispositivo di firma (token), secondo quanto si evince dalle registrazioni eseguite dai sistemi informatici di (all. 4 comparsa di CP_2
costituzione).
L'istituto bancario resistente ha, quindi, eccepito la responsabilità della ricorrente ai sensi dell'art. 7 d.lgs. 11/2010, per aver disposto ed autorizzato l'operazione o comunque consentito a terzi di entrare in possesso delle credenziali di utilizzo del servizio di home banking, ovvero per non aver impedito a terzi di penetrare nel sistema informatico di ha, Parte_1 CP_2 inoltre, richiamato l'esistenza di un sistema di autenticazione c.d. forte (art. 10bis d.lgs. 11/2010), nonché le condizioni generali del contratto avente ad oggetto il servizio e-banking (all. 2 comparsa di costituizione) sottoscritto dalle parti, che escludono la responsabilità della banca per ogni ipotesi di frode imputabile a terzi (disposizioni che derogano a quelle contenute nel d.lgs n. 11/2010, che peraltro, secondo la prospettazione di parte convenuta, non troverebbe applicazione, non essendo un consumatore ai sensi dell'art. 2 d.lgs n. 11/2010) Parte_1
ha, quindi, concluso chiedendo il rigetto del ricorso. CP_4
All'udienza del 21.09.2022, secondo quanto richiesto da parte resistente, è stato convertito il rito, ritenuto “che il procedimento possa necessitare di istruzione non sommaria alla luce delle comparsa di parte resistente”.
In sede di memoria ai sensi dell'art. 183 comma VI n. 2 c.p.c., parte attrice ha prodotto ulteriore documentazione e, in particolare, estratto dal sito internet di (sulla necessità di sostituire i CP_2
dispositivi token con applicazioni su cellulare) e bilancio d'esercizio 2021 di Parte_1 volto a dimostrare che trattasi di microimpresa, nei termini che si preciseranno a breve;
ha
[...]
altresì richiesto ammettersi consulenza tecnico informatica sul dispositivo utilizzato dalla ricorrente per effettuare il bonifico disconosciuto.
Con ordinanza del 06.01.2024 è stata rigettata l'istanza di ammissione di c.t.u. formulata da ritenenuta inammissibile “stante le regole sulla ripartizione dell'onere della prova CP_2 applicabile alla fattispecie in esame alla luce del d. lgs. 11/2010”.
Così ricostruite le domande, eccezioni e difese delle parti e l'iter del procedimento, le domande di parte attrice devono ritenersi fondate nei termini di seguito specificati.
Va preliminarmente accolta l'eccezione sollevata da parte attrice all'udienza del 18.10.2023, avente ad oggetto l'inammissibilità della produzione documentale operata da in allegato alla CP_2 memoria ai sensi dell'art. 183 co. VI n. 3 c.p.c., in quanto, tenuto conto della disposizione pro temporis applicabile, mediante tale memoria possono essere operate “le sole indicazioni di prova contraria”, mentre, nel caso di specie, non trattasi di prove indicate in replica, bensì di un documento (n. 7, copia dell'estratto conto) volto a contrastare fatti costitutivi del diritto azionato, prospettati sin dall'atto introduttivo. Ne consegue che detto documento, tardivamente prodotto, è inammissibile.
Passando all'esame del merito, la controversia va risolta applicando il d.lgs. 11/2010 (attuativo della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno), trattandosi di disciplina che, contrariamente a quanto eccepito da trova applicazione a tutti i servizi di CP_2
pagamento, anche erogati nei confronti di soggetti non aventi qualifica di consumatori (come la società di capitali odierna attrice), in quanto la distinta qualifica di consumatore o professionista comporta soltanto una possibilità più ampia di deroga ai sensi dell'art. 2 co. IV (con le precisazioni, per l'odierna società, operate infra).
Tanto chiarito, l'art. 10 del suddetto d.lgs. n. 11/2010, prevede, al comma II, che “Quando
l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita,
l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, nè che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Il suddetto art. 10 d. lgs n. 11/2010 prevede altresì al co. II che “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Tale disciplina non risulta validamente derogata, quanto meno in punto di onere probatorio, dalle clausole negoziali invocate da parte resistente, ovveroria gli artt. 12 e 28 contratto di e-banking all.
2 comparsa di risposta, che prevedono rispetticamente che “ resta estranea ad ogni CP_2 responsabilità derivante dall' esecuzione delle istruzioni ad essa pervenute” e che “ non CP_2
risponde di eventuali utilizzi impropri o fraudolenti degli strumenti di sicurezza forniti al
Firmatario”; infatti, trattasi di norme non derogabili nel caso in esame, in quanto trattasi di microimpresa ai sensi dell'art. 4 lett. c del decreto citato (circostanza affermata da parte attrice nella memoria ai sensi dell'art. 183 co. VI n. 1 c.p.c. e comprovata mediante la suddetta documentazione all. 2 e 3 alla memoria ai sensi dell'art. 183 co. VI n. 2 c.p.c.).
In questo quadro, la prova liberatoria richiesta dall'art. 10 citato non è stata fornita, dal momento che non ha in alcun modo dimostrato la sussistenza di frode, dolo o colpa grave dell'utente, CP_2
né si ritiene di condividere la motivazione fatta propria dal collegio arbitrale in ordine al concorso di colpa. Infatti, la suddetta carenza di prova in ordine al carattere autorizzato delle operazioni disconosciute o alla sussistenza di frode, dolo o colpa grave dell'utente risulta in sé sufficiente ad affermare la responsabilità della banca.
In particolare, il sistema di autenticazione forte utilizzato dal prestatore di servizi B.N.L. è risultato (malgrado il richiamato utilizzo del protocollo https) inidoneo a prevenire la frode, in quanto non conforme alle disposizioni di cui al d. lgs. 11/2010, quale modificato dal d.lgs.
218/2017, che ha recepito la nuova direttiva 2015/2366/UE del Parlamento europeo e del Consiglio del 25.11.2015 (c.d. direttiva PSD2). Tale discplina prevede, infatti, un innalzamento dello standard di sicurezza del meccanismo di autentificazione forte al quale le banche devono conformarsi per l'uso degli strumenti di pagamento, prevedendo che gli utenti che accedono all'area riservata del conto o effettuano disposizioni di pagamento online debbano autenticarsi attraverso due o più strumenti aventi i requisiti di “conoscenza” (la password personale o il PIN che solo l'utente conosce), “possesso” (una password valida per un solo utilizzo) e “inerenza” (qualcosa di univoco che contraddistingue inequivocabilmente e personalmente l'utente), indipendenti tra loro, livello di sicurezza non garantito nel caso in esame. Inftti, il sistema di autenticazione c.d. forte predisposto da (mediante token, superato dalla direttiva PSD2 richiamata) è risultato carente in ordine al CP_2 requisito dell'inerenza, perché non univocamente riconducibile all'utilizzatore; l'utente abusivo, infatti, ha probabilmente disposto il pagamento generando autonomamente un codice di autorizzazione, nonostante il token in uso alla società sia sempre rimasto in possesso della stessa, circostanza che non si sarebbe potuta verificare mediante l'utilizzo, in ipotesi, di un sistema di autorizzazione biometrico. Nel caso di specie il meccanismo di controllo dello strumento di pagamento è risultato carente anche sotto il profilo dell'indipendenza (art. 1 d. lgs. n. 11/2010) degli elementi di identificazione, poiché la compromissione del primo livello di sicurezza (accesso con nome utente e password) ha consentito la violazione anche del successivo e, di conseguenza, ha permesso l'illecita autenticazione e l'esecuzione della disposizione di bonifico.
Va inoltre tenuta in considerazione la mancata previsione di un sistema di prevenzione antifrode mediante messaggio di alert o autenticazione di livello superiore o di controllo successivo all'autorizzazione, metodi che avrebbero potenzialmente evitato l'operazione non autorizzata.
Non assume rilievo dirimente, ai fini della responsabilità, che tutti gli accessi – incluso quello relativo all'esecuzione del bonifico in questione – risultino dai files di log (contrariamente a quanto dedotto da parte attrice in merito alle risultanze dell'estratto conto) e siano stati effettuati dal medesimo indirizzo IP 37159237165 dal quale il legale rappresentante della società ricorrente è solito collegarsi al proprio home banking (doc. 4 allegato comparsa di costituzione), non costituendo tale circostanza prova dell'esecuzione da parte della medesima o di un'omessa custodia.
Sussistono, piuttosto, indizi in ordine all'effettivo possesso del token da parte della legittima utilizzatrice, in quanto risulta dalla documentazione in atti che sino a mezz'ora prima circa rispetto all'operazione contestata la legale rappresentante aveva svolto un'operazione Controparte_3
autorizzata, ovverosia un bonifico ad una dipendente. Inoltre, la perizia di parte prodotta (all. 13 al ricorso) costituisce ulteriore indizio nel senso dell'assenza di virus nel sistema della società ricorrente al momento della frode, della presenza di firewall e antivirus e dell'avvenuto accesso mediante IP viaggiante sotto proxy, idoneo a nascondere la localizzazione reale, IP che il sistema di autenticazione in uso non è riuscito a bloccare (circostanze rilevanti ai sensi dell'art. 7 d.lgs.
11/2010).
In altri termini, l'istituto bancario convenuto non ha provato il dolo o la colpa grave imputabile all'utilizzatore, né a tal fine vale eccepire che l'operazione fraudolenta sia stata formalmente autorizzata dalla società, in quanto ai sensi dell'art. 10 l. lgs. n. 11/2010, “nel caso di disconoscimento dell'operazione da parte dell'utilizzatore il mero utilizzo dello strumento di pagamento non è, di per sé, sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo”. Per altro verso, non assume valenza liberatoria il richiamo operato da alla responsabilità CP_2
di soggetti terzi (entrati in possesso delle credenziali), dal momento che le azioni ed omissioni di altri soggetti (ausiliari o meno rispetto al contraente convenuto) non escluderebbero comunque la responsabilità per inadempimento dell'istituto che fornisce servizi bancari in rete.
Può richiamarsi, sul tema, la consolidata giurisprudenza in tema di operazioni illecitamente effettuate su conti correnti online (in ipotesi, per mezzo di condotte fraudolente volte a carpire codici di protezione ed a sottrarre somme di denaro), che, facendo applicazione della suddetta norma (e, addirittura, anche prima dell'entrata in vigore della disposizione), afferma che spetta all'istituto bancario fornire la prova della riconducibilità dell'operazione al correntista che l'abbia disconosciuta. Tale conclusione, oggi sancita dal summenzionato articolo 10, deriva, in ogni caso, dall'applicazione dei pacifici principi sulla ripartizione dell'onere della prova in materia di responsabilità contrattuale di cui agli artt. 2697 e 1218 c.c., alla stregua dei quali il creditore che agisca per il risarcimento del danno (nell'ipotesi presente, la società correntista) deve soltanto provare la fonte (negoziale o legale) del suo diritto, limitandosi alla mera allegazione della circostanza dell'inadempimento della controparte, mentre il debitore (nel presente caso, l'istituto bancario) è gravato dell'onere della prova del fatto estintivo dell'altrui pretesa (secondo quanto affermato, per tutte, da Cass. civ., Sez. un., n. 13533/2001).
L'istituto di credito è, infatti, tenuto ad una diligenza valutabile tenendo conto del modello dell'operatore professionale, qual è l'accorto banchiere, ai sensi dell'art. 1176 co. II c.p.c. In altri termini, anche al fine di garantire la fiducia che gli utenti ripongono nei sistemi che consentono le operazioni online (profilo che corrisponde ad un interesse degli stessi operatori), la banca è tenuta a dotarsi di sistemi che permettano di verificare la riconducibilità delle operazioni alla volontà del cliente, evitando i rischi prevedibili, come la possibilità che estranei possano fare uso dei codici di accesso. Di conseguenza, va ricondotta nell'area del rischio professionale del prestatore dei servizi di pagamento la possibilità di un'utilizzazione dei codici di accesso al sistema di pagamento elettronico da parte dei terzi, non attribuibile al dolo del titolare, ed è solo e soltanto l'istituto bancario il soggetto tenuto fornire la prova della riconducibilità dell'operazione al cliente.
Tale principio, sancito espressamente dall'art. 10 del d. lgs. 11/2010 sopra citato, è unanimemente applicato dalla giurisprudenza di legittimità e di merito con riguardo a fattispecie analoghe a quella odierna. Si citano, tra le moltissime pronunce sul tema, Cassazione civile, Sez.
VI, 26 novembre 2020, n. 26916; Cassazione civile, Sez. VI, 12 aprile 2018 n. 9158; Cassazione civile, Sez. I, 3 febbraio 2017, n. 2950; Cassazione civile, Sez. I, 23 maggio 2016, n. 10638;
Tribunale Roma, Sez. X, 31 agosto 2016, n. 16221; Tribunale Siracusa, Sez. II civ., 15 marzo 2012;
Tribunale Palermo, 12 gennaio 2010; Tribunale Torino, Sez. IV, 28 marzo 2007; Tribunale Milano, 4 dicembre 2014; Tribunale Verona, Sez. IV, 2 ottobre 2012; Tribunale Parma, Sez. I, 6 settembre
2018, n. 1268; Tribunale Frosinone, Sez. I, 5.8.2022 n. 721, alle quali possono essere affiancate numerose pronunce dell'Arbitro bancario e finanziario di segno conforme, tra cui Collegio CP_5
Napoli, n. 1879 di giorno 8 aprile 2013.
Alla luce di tali principi, in accoglimento della domanda attorea, va accertata la responsabilità di e la medesima deve essere condannata al pagamento a favore di CP_2 Parte_1 dell'importo di euro 14.900,45, pari alla residua metà del danno subito dalla correntista in ragione dell'inadempimento, oltre interessi al tasso legale dalla data della domanda (22.12.2021 data di deposito del ricorso ex art. 702 bis c.p.c.). Non può invece trovare accoglimento la richiesta di rivalutazione monetaria, trattandosi di debito di valuta.
Quanto alla domanda di condanna dell' al pagamento dell'ulteriore importo di Controparte_6
euro 3.760,90 quali spese per compensi professionali corrisposti nel giudizio arbitrale, la stessa può trovare parziale accoglimento, posto che tale spesa, per quanto non indispensabile, è causalmente connessa alla responsabilità contrattuale dell'istituto bancario;
per altro verso, l'importo richiesto va considerato eccessivo ai sensi dell'art. 92 c.p.c., potendosi liquidare solo un importo di euro
1.017,80, pari all'importo previsto dal D.M. 55/2014 per il procedimento arbitrale con riferimento all'intervallo di valore considerato, incluso accessori, tenuto conto dell'applicazione del parametro minimo (euro 851,00), alla luce del carattere documentale del giudizio.
Le spese di lite del presente giudizio vengono infine poste a carico della convenuta soccombente e liquidate nel dispositivo in misura pari ai parametri medi per le prime due fasi ed ai parametri minimi per le ultime due, ai sensi del D.M. 55/2014, tenuto conto del carattere documentale del procedimento, del carattere limitato delle questioni giuridiche esaminate e della modalità di definizione del procedimento.
P.Q.M.
Il Giudice, definitivamente pronunciando sul procedimento iscritto al n. R.G. 16331/2021, così decide:
- condanna a corrispondere a euro Controparte_1 Parte_1
14.900,45 ed euro 1.017,80 per le voci indicate in motivazione, oltre interessi legali a decorrere dal
22.12.2021;
- condanna a corrispondere a euro Controparte_1 Parte_1
3.387,00 per spese di lite, oltre il 15% per spese generali, IVA e CPA se dovute per legge.
Catania, 17/06/2025
Il Giudice
dott.ssa Chiara Salamone