TRIB
Sentenza 20 novembre 2025
Sentenza 20 novembre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Venezia, sentenza 20/11/2025, n. 5581 |
|---|---|
| Giurisdizione : | Trib. Venezia |
| Numero : | 5581 |
| Data del deposito : | 20 novembre 2025 |
Testo completo
Viste le note ex art. 127 ter c.p.c. depositate nel termine assegnato nella causa RGC n. 23531 /2024 da:
L'avv. Pizzo e l'avv. CRESCENTE GIULIANO per parte attrice, le cui deduzioni depositate telematicamente si intendono qui integralmente trascritte;
L'avv. Cortese e l'avv. TRAMAROLLO FEDERICA per parte convenuta, le cui deduzioni depositate telematicamente si intendono qui integralmente trascritte;
IL GIUDICE
Ha emesso la seguente sentenza
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE DI VENEZIA
PRIMA SEZIONE CIVILE in persona del giudice monocratico Dott. AN OL, ha pronunciato la seguente
S E N T E N Z A
Nella causa civile iscritta al n. 23531 del RGAC dell'anno 2024, avente a d oggetto domanda di rimborso, vertente
TRA
(C.F. ), in qualità di titolare dell'omonima ditta Parte_1 C.F._1 individuale, rappresentato e difeso dagli avv.ti Giuliano Crescente e Lisa Pizzo
ATTORE
E
(C.F. ), in persona del l.r.p.t., Controparte_1 P.IVA_1 rappresentata e difesa dall'avv. Federica Tramarollo e Davide Cortese
CONVENUTA
CONCLUSIONI
Come in atti
FATTO E DIRITTO Contr 1.1. ha convenuto la deducendo: a) che, all'epoca dei fatti, era Parte_1 titolare del conto corrente n. 36190000000000847, aperto il 14 febbraio 2013 presso la filiale Contr di Mirano, accessibile anche on line tramite l'app HelloBank di e sul quale non era attivo fido né addebito diretto b) che l'8 gennaio 2020, alle ore 13.24, ha ricevuto sul Pt_2 proprio telefono cellulare, utenza nr. +393407926373, sulla qual era abituato a ricevere messaggi dalla banca, un messaggio proveniente dall'utenza nr. +393341606291, c on il quale gli veniva chiesto di convalidare il proprio recapito telefonico al link indicato nel messaggio
(https://bit.ly/Bnl -HelloBank-Logins); c) di essere entrato, tramite il link indicato, in una pagina identica a quella dell'home banking di in cui ha trovato già inserite CP_3 le proprie credenziali di accesso come al solito, provvedendo semplicemente a confermare
1 con l'apposizione dell'impronta digitale e venendo, quindi, rinviato ad altro URL ove compariva la dicitura “Page not found”, fat to già verificatosi, negli stessi termini, con successiva ricezione di sms di conferma;
d) di aver ricevuto, alle ore 15.24 dello stesso giorno un messaggio telefonico da parte di HelloBank BNL, con il quale veniva informato di aver attivato l'opzione mobile-token, con richiesta di inserire il codice riservato 79846003, che non andava comunicato a nessuno, nemmeno al personale della Banca;
e) di non aver inserito detto codice;
f) che il giorno successivo, alle ore 08.59, ha letto sul proprio telefono Contr due messaggi pervenuti nel corso della notte da e relativi ad operazioni da lui mai effettuate e mai autorizzate;
g) di essersi recato subito in filiale, anche a cause dell'impossibilità di contattare la banca via telefono, e di aver segnalato l'anomalia, scoprendo che, nel corso della notte, erano state effettuate varie operazioni di bonifico istantaneo, le quali addirittura avevano prodotto un saldo negativo di euro 9.894,69, nonostante l'assenza di fido sul conto;
h) che il personale della banca ha bloccat o il conto, ma non l'operatività on line, tant'è che nel corso della giornata del 9 gennaio 2020 sono state eseguite operazioni non autorizzate che hanno portato il saldo negativo ad euro 14.994,69; i) che la banca ha regolarizzato lo scoperto, riconoscend o che lo sconfinamento era stato causato da una cd '“anomalia tecnica”, ma non ha inteso rimborsare la somma di euro
11.339,31, addebitando l'accaduto a colpa grave del correntista.
Ha chiesto, pertanto, il risarcimento del danno. Contr 1.2. Si è costituita deducendo: a) di non aver inviato l'sms con la richiesta di conferma delle credenziali, mentre è proveniente dai propri sistemi l'sms con il codice OTP per l'attivazione del mobile-token, inviato in virtù di una richiesta pervenuta ne l sistema in tal senso;
b) che, in sostanza, i truffatori, dopo aver ottenuto le credenziali dell'attore, le quali, per come dallo stesso dichiarato in sede di denuncia ai Carabinieri, non sarebbero state già presenti sulla schermata aperta tramite il link contenuto nel primo sms ricevuto dal , Pt_1 essendo state inserite dallo stesso, avrebbero richiesto l'attivazione del mobile -token; c) a tal fine, essendo necessario inserire l'OTP, comunicato via sms all'attore, verosimilmente lo avrebbero contattato per telefono e il avrebbe comunicato incautamente il codice;
Pt_1
d) di non aver pertanto alcuna responsabilità per l'accaduto, avendo provveduto ad azzerare il saldo negativo su un conto senza fido, creatosi per una anomalia tecnica che nulla ha a ch e vedere con i prelievi abusivi.
Ha chiesto, pertanto, il rigetto della domanda attorea.
2. Nel merito, si osserva quanto segue.
La vicenda per cui è causa va chiaramente esaminata sulla base delle norme contenute nel d. lgs. 11/10.
In particolare, l'art. 7, prevede che : “1. L'utente abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di:
2 a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso e che devon o essere obiettivi, non discriminatori e proporzionati;
b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto,
l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
2. Ai fini di cui al comma 1, lettera a), l'utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sic urezza personalizzate”.
L'art. 8, dispone, poi, che: “1. Il prestatore di servizi di pagamento che emette uno strumento di pagamento ha l'obbligo di:
a) assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest'ultimo ai sensi dell'articolo 7;
b) astenersi dall'inviare strumenti di pagamento non richiesti, a meno che lo strumento di pagamento già consegnato a ll'utente debba essere sostituito;
c) assicurare che siano sempre disponibili strumenti adeguati affinché l'utente dei servizi di pagamento possa eseguire la comunicazione di cui all'articolo 7, comma 1, lettera b), nonché, nel caso di cui all'articolo 6 , comma 4, di chiedere lo sblocco dello strumento di pagamento o l'emissione di uno nuovo, ove il prestatore di servizi di pagamento non vi abbia già provveduto. Ove richiesto dall'utente, il prestatore di servizi di pagamento gli fornisce i mezzi per dimostrare di aver effettuato la comunicazione di cui all'articolo 7, comma 1, lettera b), entro i 18 mesi successivi alla comunicazione medesima;
c-bis) fornire all'utente la possibilità di procedere alla comunicazione di cui all'articolo 7, comma 1, lettera b), a titolo gratuito, addebitandogli eventualmente solo i costi di sostituzione dello strumento di pagamento;
d) impedire qualsiasi utilizzo dello strumento di pagamento successivo alla comunicazione di cui all'articolo 7, comma 1, lettera b).
2. I rischi derivanti dalla spedizione di uno strumento di pagamento o delle relative credenziali di sicurezza personalizzate sono a carico del prestatore di servizi di pagamento”.
Ancora l'art. 10 prevede che: “1. Qualora l'utente di servizi di pagamento n eghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
3 1-bis. Se l'operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze, l'operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato.
2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento reg istrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Infine, l'art. 12 stabilisce che: “1. Salvo il caso in cui abbia agito in modo fraudolento,
l'utente non sopporta alcuna perdita derivante dall'utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente intervenuto dopo la comunicazione eseguita ai sensi dell'articolo 7, comma 1, lettera b).
2. Salvo il caso in cui abbia agito in modo fraudolento, l'utente non è responsabile delle perdite derivanti dall'utilizzo dello strumento di pagamento smarrito, sottratto o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto all'obbligo di cui all'articolo 8, comma 1, lettera c).
2-bis. Salvo il caso in cu i abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un'autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l'autenticazione forte del cliente.
2-ter. Il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento, salvo il caso in cui abbia agito in modo fraudolento, o se la perdita è stata causata da atti o omissioni di dipendenti, agenti o succursali del prestatore di servizi di pagamento o d ell'ente cui sono state esternalizzate le attività.
3. Negli altri casi, salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all'articolo 7, con dolo o colpa grave, il pagatore può sopportare, per un importo comunque non superiore a euro 50, la perdita relativ a a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita.
4 4. Qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obb lighi di cui all'articolo 7, con dolo o colpa grave, l'utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 50 euro di cui al comma
3”.
2.1. La giurisprudenza di legittimità ha, poi, chiarito c he “la giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnic a e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere
(Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.
La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla vo lontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale.
Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazio ne dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligent e richiesto al debitore (Cass., 1, del
3/2/2017; Cass., 3, del 5/7/2019; ).
Era pertanto onere di , come correttamente ritenuto dalla impugnata sentenza, CP_4
a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolent o dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova è corret ta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente” (Cass. civ., Sez. III, 12 febbraio 2024, n. 3780; cfr. anche
Tribunale Parma sez. I, 6 settembre 2018, n. 1268, secondo cui “in caso di bonifici illecitamente effettuati su conti correnti online, per mezzo di condotte fraudolente volte a
5 carpire codici di protezione e a sottrarre somme di denaro (c.d. phishing), spetta alla Banca fornire la prova del corretto funzionamento del proprio sistema e, quindi, della riconducibilità dell'operazione al correntista che l'abbia disconosciuta, in applicazione del principio consolidato sulla ripartizione dell'onere della prova in materia di responsabilità contrattuale. L'Istituto di credito è tenuto ad una diligenza valutabile tenendo conto del modello dell'operatore professionale, qual è l'accorto banchiere (bonus nummarius); peraltro, la corretta operatività del servizio bancario mediante collegamento telematico - che corrisponde ad un interesse della banca stessa - rientra a pieno titolo nel rischio d'impresa, con la conseguenza che grava sulla Banca una responsabilità di tipo oggettivo o semioggettivo, da cui la stessa va esente solo provando quantomeno in via presuntiva che le operazioni contestate dal cliente sono allo stesso riconducibili, Tribunale Roma, Sez. XVI, 9 aprile 2023, secondo cui “la banca è tenuta a provare non solo di aver adottato tutte le misure idonee ad evitare il danno, ma anche di aver osservato la d iligenza qualificata propria dell'accorto banchiere, fornendo la prova positiva della riconducibilità delle operazioni disconosciute alla volontà – o, in subordine, alla grave negligenza – del cliente e
Tribunale Ascoli Piceno, Sez. I, 25 ottobre 2022, n. 679, secondo cui “in materia di frodi bancarie, è da escludersi la responsabilità della banca per le disposizioni di pagamento disconosciute dal cliente qualora la prima offra la prova di aver adottato adeguati sistemi informatici atti a prevenire le frodi . (Nel caso di specie, l'istituto di credito ha assolto al proprio onere probatorio dal momento che ha posto a disposizione del cliente le password one time generate dai dispositivi OTP o TOKEN)”).
2.2. In buona sostanza, dal quadro normativo e giurisprude nziale sopra delineato risulta che la banca è responsabile in via contrattuale nel caso di operazioni di pagamento elettronico non autorizzate dal cliente, a meno che non dimostri che le operazioni medesime siano state causate da dolo o colpa grave del cli ente stesso.
La banca, poi, ai sensi dell'art. 10 bis d. lgs. 11/10, deve predisporre un sistema di autenticazione c.d. “forte” (per tale intendendosi ai sensi dell'art. 1 d. lgs. 10/11
“un'autenticazione basata sull'uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l'utente conosce), del possesso (qualcosa che solo l'utente possiede) e dell'inerenza (qualcosa che caratterizza l'utente), che sono indipendenti, in quanto la violazione di uno non compromette l'affidab ilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”, vale a dire, normalmente,
l'autenticazione con credenziali in possesso del cliente, oltre ad un codice temporaneo, OTP, specificamente inviato all'utenza del cliente per l'autorizzazione della singola operazione) nel caso di pagamento elettronico.
3. Passando, quindi, all'esame della vicenda sottoposta all'attenzione del Tribunale, è pacifico che il primo messaggio ricevuto dall'attore non provenisse d alla banca, costituendo
6 un tentativo di phishing, attraverso il quale un soggetto tenta di carpire le credenziali riservate del titolare del rapporto bancario.
Tale tentativo, nel caso di specie andato a buon fine in considerazione dell'accesso da parte dell'attore al link indicato nel messaggio ricevuto, ha consentito soggetto non autorizzato di entrare nella pagina dell'attore, ma non già di operare sul conto del Muffatto, essendo necessario a tal fine l'attivazione del servizio mobile -token.
Pertanto, il soggetto non autorizzato ha richiesto tale attivazione, per la quale era, però, necessario l'inserimento dell'OTP che la banca ha inviato al cliente con l'sms delle ore
15.24.
A questo punto, la versione fornita dalle parti diverge, in quanto l'attore ha dichiarato di non aver inserito l'OTP, mentre la banca sostiene che, verosimilmente, il ha ricevuto Pt_1 una telefonata dal soggetto non autorizzato, nel corso della quale è stato richiesto detto codice che l'attore avrebbe fornito, contribuendo, così, in modo determinante e con colpa grave, a consentire i prelievi indebiti, con conseguente esclusione della responsabilità della banca.
Tuttavia, secondo le coordinate normative e giurisprudenziali sopra riportate, gravava sulla banca l'onere di dimostrare la colpa grave del correntista, consistente, nel caso di specie, non soltanto nell'aver cliccato sul link presente nel primo sms ricevuto, il quale, come detto, di per sé, non poteva consentire al soggetto non autorizzato di disporre operazioni sul conto dell'attore, ma anche nell'aver comunicato l'OTP ricevuto con l'sms della banca delle 15.24, con il quale è stato attivato il servizio di mobile token, garantendo al soggetto non autorizzato la completa operatività sul conto.
Una simile prova non è stata f ornita dalla banca, la quale non ha nemmeno richiesto al correntista di fornire l'elenco delle telefonate ricevute l'8 gennaio 2020, non potendosi ritenere con certezza che l'unico sistema per avere conoscenza di detto codice fosse la incauta comunicazione per telefono da parte dell'attore, essendo ben possibile che il soggetto non autorizzato abbia utilizzato altro sistema per hackerare il telefono del e Pt_1 visualizzare gli sms ricevuti, senza alcuna responsabilità del medesimo.
In una simile ipotesi , in assenza di dolo o colpa grave del correntista, unico caso in cui, ai sensi dell'art. 12 d. lgs. 11/10, lo stesso sopporta la perdita, il peso economico dell'attività illecita non può che essere posto a carico della banca, facendo parte, secondo quanto sopra esposto, del rischio di impresa.
3.1. Pertanto, parte convenuta deve essere condannata al pagamento di euro 11.339,31 in favore dell'attore, oltre interessi al tasso legale (non anche rivalutazione monetaria, trattandosi di debito di valuta per come affermato anche dal ABF) dal 9 gennaio 2020 al saldo.
4. Le spese di lite sostenute da parte attrice vengono poste a carico di parte convenuta e liquidate in euro 264,00 per esborsi ed euro 3.000,00 (di cui 500,00 per la fase di studio, 500,00
7 per la fase introduttiva, 1.000,00 per la fase istruttoria e 1.000,00 per fase di decisione) per compensi professionali, oltre spese generali al 15%, CPA e IVA come per legge.
P.Q.M.
Il Tribunale di Venezia, Prima Sezione Civile, in persona del giudice monocratico Dott.
AN OL, definitivamente pronunciando sulla causa in oggetto, disattesa ogni contraria istanza, eccezione e difesa, così provvede:
1. Condanna parte convenuta alla restituzione in favore di parte attrice della somma di euro 11.339,31, oltre interessi al tasso legale dal 9 gennaio 2020 al saldo;
2. Condanna parte convenuta al pagamento delle spese di lite sostenute da parte attrice, che liquida in euro 264,00 per esborsi ed euro 3.000,00 per compensi professionali, oltre spese generali al 15%, CPA e IVA come per legge.
Così deciso in Venezia, 19 novembre 2025
IL GIUDICE
Dott. AN OL
8
L'avv. Pizzo e l'avv. CRESCENTE GIULIANO per parte attrice, le cui deduzioni depositate telematicamente si intendono qui integralmente trascritte;
L'avv. Cortese e l'avv. TRAMAROLLO FEDERICA per parte convenuta, le cui deduzioni depositate telematicamente si intendono qui integralmente trascritte;
IL GIUDICE
Ha emesso la seguente sentenza
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE DI VENEZIA
PRIMA SEZIONE CIVILE in persona del giudice monocratico Dott. AN OL, ha pronunciato la seguente
S E N T E N Z A
Nella causa civile iscritta al n. 23531 del RGAC dell'anno 2024, avente a d oggetto domanda di rimborso, vertente
TRA
(C.F. ), in qualità di titolare dell'omonima ditta Parte_1 C.F._1 individuale, rappresentato e difeso dagli avv.ti Giuliano Crescente e Lisa Pizzo
ATTORE
E
(C.F. ), in persona del l.r.p.t., Controparte_1 P.IVA_1 rappresentata e difesa dall'avv. Federica Tramarollo e Davide Cortese
CONVENUTA
CONCLUSIONI
Come in atti
FATTO E DIRITTO Contr 1.1. ha convenuto la deducendo: a) che, all'epoca dei fatti, era Parte_1 titolare del conto corrente n. 36190000000000847, aperto il 14 febbraio 2013 presso la filiale Contr di Mirano, accessibile anche on line tramite l'app HelloBank di e sul quale non era attivo fido né addebito diretto b) che l'8 gennaio 2020, alle ore 13.24, ha ricevuto sul Pt_2 proprio telefono cellulare, utenza nr. +393407926373, sulla qual era abituato a ricevere messaggi dalla banca, un messaggio proveniente dall'utenza nr. +393341606291, c on il quale gli veniva chiesto di convalidare il proprio recapito telefonico al link indicato nel messaggio
(https://bit.ly/Bnl -HelloBank-Logins); c) di essere entrato, tramite il link indicato, in una pagina identica a quella dell'home banking di in cui ha trovato già inserite CP_3 le proprie credenziali di accesso come al solito, provvedendo semplicemente a confermare
1 con l'apposizione dell'impronta digitale e venendo, quindi, rinviato ad altro URL ove compariva la dicitura “Page not found”, fat to già verificatosi, negli stessi termini, con successiva ricezione di sms di conferma;
d) di aver ricevuto, alle ore 15.24 dello stesso giorno un messaggio telefonico da parte di HelloBank BNL, con il quale veniva informato di aver attivato l'opzione mobile-token, con richiesta di inserire il codice riservato 79846003, che non andava comunicato a nessuno, nemmeno al personale della Banca;
e) di non aver inserito detto codice;
f) che il giorno successivo, alle ore 08.59, ha letto sul proprio telefono Contr due messaggi pervenuti nel corso della notte da e relativi ad operazioni da lui mai effettuate e mai autorizzate;
g) di essersi recato subito in filiale, anche a cause dell'impossibilità di contattare la banca via telefono, e di aver segnalato l'anomalia, scoprendo che, nel corso della notte, erano state effettuate varie operazioni di bonifico istantaneo, le quali addirittura avevano prodotto un saldo negativo di euro 9.894,69, nonostante l'assenza di fido sul conto;
h) che il personale della banca ha bloccat o il conto, ma non l'operatività on line, tant'è che nel corso della giornata del 9 gennaio 2020 sono state eseguite operazioni non autorizzate che hanno portato il saldo negativo ad euro 14.994,69; i) che la banca ha regolarizzato lo scoperto, riconoscend o che lo sconfinamento era stato causato da una cd '“anomalia tecnica”, ma non ha inteso rimborsare la somma di euro
11.339,31, addebitando l'accaduto a colpa grave del correntista.
Ha chiesto, pertanto, il risarcimento del danno. Contr 1.2. Si è costituita deducendo: a) di non aver inviato l'sms con la richiesta di conferma delle credenziali, mentre è proveniente dai propri sistemi l'sms con il codice OTP per l'attivazione del mobile-token, inviato in virtù di una richiesta pervenuta ne l sistema in tal senso;
b) che, in sostanza, i truffatori, dopo aver ottenuto le credenziali dell'attore, le quali, per come dallo stesso dichiarato in sede di denuncia ai Carabinieri, non sarebbero state già presenti sulla schermata aperta tramite il link contenuto nel primo sms ricevuto dal , Pt_1 essendo state inserite dallo stesso, avrebbero richiesto l'attivazione del mobile -token; c) a tal fine, essendo necessario inserire l'OTP, comunicato via sms all'attore, verosimilmente lo avrebbero contattato per telefono e il avrebbe comunicato incautamente il codice;
Pt_1
d) di non aver pertanto alcuna responsabilità per l'accaduto, avendo provveduto ad azzerare il saldo negativo su un conto senza fido, creatosi per una anomalia tecnica che nulla ha a ch e vedere con i prelievi abusivi.
Ha chiesto, pertanto, il rigetto della domanda attorea.
2. Nel merito, si osserva quanto segue.
La vicenda per cui è causa va chiaramente esaminata sulla base delle norme contenute nel d. lgs. 11/10.
In particolare, l'art. 7, prevede che : “1. L'utente abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di:
2 a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso e che devon o essere obiettivi, non discriminatori e proporzionati;
b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto,
l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
2. Ai fini di cui al comma 1, lettera a), l'utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sic urezza personalizzate”.
L'art. 8, dispone, poi, che: “1. Il prestatore di servizi di pagamento che emette uno strumento di pagamento ha l'obbligo di:
a) assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest'ultimo ai sensi dell'articolo 7;
b) astenersi dall'inviare strumenti di pagamento non richiesti, a meno che lo strumento di pagamento già consegnato a ll'utente debba essere sostituito;
c) assicurare che siano sempre disponibili strumenti adeguati affinché l'utente dei servizi di pagamento possa eseguire la comunicazione di cui all'articolo 7, comma 1, lettera b), nonché, nel caso di cui all'articolo 6 , comma 4, di chiedere lo sblocco dello strumento di pagamento o l'emissione di uno nuovo, ove il prestatore di servizi di pagamento non vi abbia già provveduto. Ove richiesto dall'utente, il prestatore di servizi di pagamento gli fornisce i mezzi per dimostrare di aver effettuato la comunicazione di cui all'articolo 7, comma 1, lettera b), entro i 18 mesi successivi alla comunicazione medesima;
c-bis) fornire all'utente la possibilità di procedere alla comunicazione di cui all'articolo 7, comma 1, lettera b), a titolo gratuito, addebitandogli eventualmente solo i costi di sostituzione dello strumento di pagamento;
d) impedire qualsiasi utilizzo dello strumento di pagamento successivo alla comunicazione di cui all'articolo 7, comma 1, lettera b).
2. I rischi derivanti dalla spedizione di uno strumento di pagamento o delle relative credenziali di sicurezza personalizzate sono a carico del prestatore di servizi di pagamento”.
Ancora l'art. 10 prevede che: “1. Qualora l'utente di servizi di pagamento n eghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
3 1-bis. Se l'operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze, l'operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato.
2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento reg istrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Infine, l'art. 12 stabilisce che: “1. Salvo il caso in cui abbia agito in modo fraudolento,
l'utente non sopporta alcuna perdita derivante dall'utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente intervenuto dopo la comunicazione eseguita ai sensi dell'articolo 7, comma 1, lettera b).
2. Salvo il caso in cui abbia agito in modo fraudolento, l'utente non è responsabile delle perdite derivanti dall'utilizzo dello strumento di pagamento smarrito, sottratto o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto all'obbligo di cui all'articolo 8, comma 1, lettera c).
2-bis. Salvo il caso in cu i abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un'autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l'autenticazione forte del cliente.
2-ter. Il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento, salvo il caso in cui abbia agito in modo fraudolento, o se la perdita è stata causata da atti o omissioni di dipendenti, agenti o succursali del prestatore di servizi di pagamento o d ell'ente cui sono state esternalizzate le attività.
3. Negli altri casi, salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all'articolo 7, con dolo o colpa grave, il pagatore può sopportare, per un importo comunque non superiore a euro 50, la perdita relativ a a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita.
4 4. Qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obb lighi di cui all'articolo 7, con dolo o colpa grave, l'utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 50 euro di cui al comma
3”.
2.1. La giurisprudenza di legittimità ha, poi, chiarito c he “la giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnic a e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere
(Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.
La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla vo lontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale.
Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazio ne dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligent e richiesto al debitore (Cass., 1, del
3/2/2017; Cass., 3, del 5/7/2019; ).
Era pertanto onere di , come correttamente ritenuto dalla impugnata sentenza, CP_4
a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolent o dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova è corret ta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente” (Cass. civ., Sez. III, 12 febbraio 2024, n. 3780; cfr. anche
Tribunale Parma sez. I, 6 settembre 2018, n. 1268, secondo cui “in caso di bonifici illecitamente effettuati su conti correnti online, per mezzo di condotte fraudolente volte a
5 carpire codici di protezione e a sottrarre somme di denaro (c.d. phishing), spetta alla Banca fornire la prova del corretto funzionamento del proprio sistema e, quindi, della riconducibilità dell'operazione al correntista che l'abbia disconosciuta, in applicazione del principio consolidato sulla ripartizione dell'onere della prova in materia di responsabilità contrattuale. L'Istituto di credito è tenuto ad una diligenza valutabile tenendo conto del modello dell'operatore professionale, qual è l'accorto banchiere (bonus nummarius); peraltro, la corretta operatività del servizio bancario mediante collegamento telematico - che corrisponde ad un interesse della banca stessa - rientra a pieno titolo nel rischio d'impresa, con la conseguenza che grava sulla Banca una responsabilità di tipo oggettivo o semioggettivo, da cui la stessa va esente solo provando quantomeno in via presuntiva che le operazioni contestate dal cliente sono allo stesso riconducibili, Tribunale Roma, Sez. XVI, 9 aprile 2023, secondo cui “la banca è tenuta a provare non solo di aver adottato tutte le misure idonee ad evitare il danno, ma anche di aver osservato la d iligenza qualificata propria dell'accorto banchiere, fornendo la prova positiva della riconducibilità delle operazioni disconosciute alla volontà – o, in subordine, alla grave negligenza – del cliente e
Tribunale Ascoli Piceno, Sez. I, 25 ottobre 2022, n. 679, secondo cui “in materia di frodi bancarie, è da escludersi la responsabilità della banca per le disposizioni di pagamento disconosciute dal cliente qualora la prima offra la prova di aver adottato adeguati sistemi informatici atti a prevenire le frodi . (Nel caso di specie, l'istituto di credito ha assolto al proprio onere probatorio dal momento che ha posto a disposizione del cliente le password one time generate dai dispositivi OTP o TOKEN)”).
2.2. In buona sostanza, dal quadro normativo e giurisprude nziale sopra delineato risulta che la banca è responsabile in via contrattuale nel caso di operazioni di pagamento elettronico non autorizzate dal cliente, a meno che non dimostri che le operazioni medesime siano state causate da dolo o colpa grave del cli ente stesso.
La banca, poi, ai sensi dell'art. 10 bis d. lgs. 11/10, deve predisporre un sistema di autenticazione c.d. “forte” (per tale intendendosi ai sensi dell'art. 1 d. lgs. 10/11
“un'autenticazione basata sull'uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l'utente conosce), del possesso (qualcosa che solo l'utente possiede) e dell'inerenza (qualcosa che caratterizza l'utente), che sono indipendenti, in quanto la violazione di uno non compromette l'affidab ilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”, vale a dire, normalmente,
l'autenticazione con credenziali in possesso del cliente, oltre ad un codice temporaneo, OTP, specificamente inviato all'utenza del cliente per l'autorizzazione della singola operazione) nel caso di pagamento elettronico.
3. Passando, quindi, all'esame della vicenda sottoposta all'attenzione del Tribunale, è pacifico che il primo messaggio ricevuto dall'attore non provenisse d alla banca, costituendo
6 un tentativo di phishing, attraverso il quale un soggetto tenta di carpire le credenziali riservate del titolare del rapporto bancario.
Tale tentativo, nel caso di specie andato a buon fine in considerazione dell'accesso da parte dell'attore al link indicato nel messaggio ricevuto, ha consentito soggetto non autorizzato di entrare nella pagina dell'attore, ma non già di operare sul conto del Muffatto, essendo necessario a tal fine l'attivazione del servizio mobile -token.
Pertanto, il soggetto non autorizzato ha richiesto tale attivazione, per la quale era, però, necessario l'inserimento dell'OTP che la banca ha inviato al cliente con l'sms delle ore
15.24.
A questo punto, la versione fornita dalle parti diverge, in quanto l'attore ha dichiarato di non aver inserito l'OTP, mentre la banca sostiene che, verosimilmente, il ha ricevuto Pt_1 una telefonata dal soggetto non autorizzato, nel corso della quale è stato richiesto detto codice che l'attore avrebbe fornito, contribuendo, così, in modo determinante e con colpa grave, a consentire i prelievi indebiti, con conseguente esclusione della responsabilità della banca.
Tuttavia, secondo le coordinate normative e giurisprudenziali sopra riportate, gravava sulla banca l'onere di dimostrare la colpa grave del correntista, consistente, nel caso di specie, non soltanto nell'aver cliccato sul link presente nel primo sms ricevuto, il quale, come detto, di per sé, non poteva consentire al soggetto non autorizzato di disporre operazioni sul conto dell'attore, ma anche nell'aver comunicato l'OTP ricevuto con l'sms della banca delle 15.24, con il quale è stato attivato il servizio di mobile token, garantendo al soggetto non autorizzato la completa operatività sul conto.
Una simile prova non è stata f ornita dalla banca, la quale non ha nemmeno richiesto al correntista di fornire l'elenco delle telefonate ricevute l'8 gennaio 2020, non potendosi ritenere con certezza che l'unico sistema per avere conoscenza di detto codice fosse la incauta comunicazione per telefono da parte dell'attore, essendo ben possibile che il soggetto non autorizzato abbia utilizzato altro sistema per hackerare il telefono del e Pt_1 visualizzare gli sms ricevuti, senza alcuna responsabilità del medesimo.
In una simile ipotesi , in assenza di dolo o colpa grave del correntista, unico caso in cui, ai sensi dell'art. 12 d. lgs. 11/10, lo stesso sopporta la perdita, il peso economico dell'attività illecita non può che essere posto a carico della banca, facendo parte, secondo quanto sopra esposto, del rischio di impresa.
3.1. Pertanto, parte convenuta deve essere condannata al pagamento di euro 11.339,31 in favore dell'attore, oltre interessi al tasso legale (non anche rivalutazione monetaria, trattandosi di debito di valuta per come affermato anche dal ABF) dal 9 gennaio 2020 al saldo.
4. Le spese di lite sostenute da parte attrice vengono poste a carico di parte convenuta e liquidate in euro 264,00 per esborsi ed euro 3.000,00 (di cui 500,00 per la fase di studio, 500,00
7 per la fase introduttiva, 1.000,00 per la fase istruttoria e 1.000,00 per fase di decisione) per compensi professionali, oltre spese generali al 15%, CPA e IVA come per legge.
P.Q.M.
Il Tribunale di Venezia, Prima Sezione Civile, in persona del giudice monocratico Dott.
AN OL, definitivamente pronunciando sulla causa in oggetto, disattesa ogni contraria istanza, eccezione e difesa, così provvede:
1. Condanna parte convenuta alla restituzione in favore di parte attrice della somma di euro 11.339,31, oltre interessi al tasso legale dal 9 gennaio 2020 al saldo;
2. Condanna parte convenuta al pagamento delle spese di lite sostenute da parte attrice, che liquida in euro 264,00 per esborsi ed euro 3.000,00 per compensi professionali, oltre spese generali al 15%, CPA e IVA come per legge.
Così deciso in Venezia, 19 novembre 2025
IL GIUDICE
Dott. AN OL
8