TRIB
Sentenza 1 luglio 2025
Sentenza 1 luglio 2025
Commentario • 1
- 1. L’inganno nel cyberspazio: riflessioni sulla responsabilità civile della banca in caso di frode informatica – dalla dottrina alla più recente giurisprudenza di…Di Dirittodelrisparmio · https://www.dirittodelrisparmio.it/ · 7 novembre 2025
Sul provvedimento
| Citazione : | Trib. Venezia, sentenza 01/07/2025, n. 3383 |
|---|---|
| Giurisdizione : | Trib. Venezia |
| Numero : | 3383 |
| Data del deposito : | 1 luglio 2025 |
Testo completo
N. R.G. 132/2022
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO
TRIBUNALE DI VENEZIA
I SEZIONE CIVILE Il Tribunale, nella persona del Giudice dott. Ivana Morandin ha pronunciato la seguente
SENTENZA nella causa civile promossa da
(C.F. ), con l'avv. VOLPATO LAURA Parte_1 P.IVA_1
Contro
(C.F. ), con l'avv. TICOZZI MARCO Controparte_1 P.IVA_2
OGGETTO: Bancari (deposito bancario, cassetta di sicurezza, apertura di credito bancario)
CONCLUSIONI DELLE PARTI: come da verbale d'udienza del 11.12.2025
MOTIVI DI FATTO E DI DIRITTO DELLA DECISIONE
Con atto di citazione notificato in data 11.01.2022, ha agito in giudizio Parte_1
nei confronti di deducendo: di essere operativa nel settore delle Controparte_2
telecomunicazioni e di fornire servizi integrati di ingegneria prevalentemente, se non unicamente, tramite le proprie consorziate Studio 5 SR, Fibermind SR, Tesi Ingegneria SR,
1 RE SR, Sinpro SR e Tirolproject SR;
di effettuare usualmente pagamenti nei confronti delle consorziate mediante l'utilizzo da parte della sig. , custode del Controparte_3
dispositivo di lettura QRCode e del PIN personale, del servizio di internet banking collegato al conto corrente aziendale n. 6852, acceso il 7.08.2018 presso la banca convenuta;
di avvalersi di un elenco di fornitori e consorziate già predisposto a monte per trascrivere le coordinate bancarie e tutti i dati richiesti nel modulo bonifici;
di aver effettuato in data 5.08.2020 alcuni bonifici, due dei quali rispettivamente ad CP_4
(per € 33.614,17) ed a Studio 5 SR di Padova (per € 58.546,60) e di aver
[...]
confermato le operazioni mediante lettura di QR Code tramite dispositivo elettronico,
digitazione di un PIN personale e poi di un ulteriore codice univoco di autenticazione
(OTP); di aver riscontrato in data 13.08.2020 delle anomalie nei bonifici in questione,
poiché entrambe le disposizioni di pagamento risultavano effettuate in favore di RE SR
mentre a video i bonifici facevano riferimento solo a Studio 5 SR;
di aver in seguito verificato che i pagamenti in questione non erano stati concretamente accreditati nel conto di RE SR o di Studio 5 SR;
di aver appreso solo in data 17.08.2020 che la somma complessiva di euro 92.160,47 era stata integralmente deviata sul conto corrente di tal
, persona sconosciuta e non beneficiaria delle transazioni economiche;
di aver Persona_1
in pari data sporto denuncia querela contro ignoti per frode informatica, escludendo di aver errato nella digitazione della sequenza alfanumerica delle coordinate bancarie;
di aver in un primo momento ottenuto dalla banca il rimborso delle somme bonificate al terzo, ma di aver successivamente visto stornate le somme in questione in assenza di violazione dei
2 sistemi di sicurezza della banca;
di aver promosso senza esito positivo un ricorso avanti all'ABF.
Invocando la responsabilità contrattuale per violazione delle regole del mandato da parte della convenuta o quella extracontrattuale per esercizio di attività pericolosa da parte del medesimo soggetto, l'attrice ha concluso chiedendo la condanna di sia Controparte_2
al rimborso delle somme indebitamente percepite dal terzo sia al risarcimento dei danni subiti, quantificati in via equitativa in euro 10.000,00.
Nel costituirsi in giudizio, la banca convenuta ha chiesto invece il rigetto delle pretese di controparte o, in subordine, la riduzione delle somme dovute in ragione del concorso di colpa ascrivibile a parte attrice, eccependo anzitutto la non applicabilità al caso di specie degli artt. 10 e 11 del d.lgs. 11/2010 e, in particolare, della disciplina sulla ripartizione dell'onere probatorio ivi prevista, in quanto relativa unicamente a rapporti tra i prestatori dei servizi di pagamento e i consumatori e le microimprese;
escludendo la configurabilità in capo a sé di una condotta illecita atta a generare responsabilità contrattuale o extracontrattuale;
deducendo il corretto adempimento degli obblighi su di sé gravanti, come confermato dall'immediato recall delle disposizioni di bonifico, non andato a buon fine per il grave e negligente ritardo con cui il ha effettuato la richiesta;
invocando Parte_1
l'esclusiva responsabilità del cliente per quanto avvenuto, in assenza di intrusioni subite dal sistema bancario.
La causa, istruita per il tramite di prova orale per testi, è stata trattenuta in decisione all'udienza dell'11.12.2024 dal nuovo Giudice Istruttore medio tempore designato, con concessione alle parti dei termini ex art. 190 cpc.
3 La domanda di parte attrice è fondata e va accolta nei limiti di cui si dirà.
Nella fattispecie in esame, è stato vittima di un'attività fraudolenta da Parte_1
parte di terzi che hanno manomesso, dirottandoli a favore di un altro destinatario, i bonifici che la stessa aveva inteso effettuare.
La truffa realizzata rientra nello schema del man in the middle o del man in the browser,
secondo cui il cliente effettua una richiesta al server tramite il proprio browser;
il browser del cliente, infettato da malware, riporta la richiesta in modo alterato al server della banca
(nel caso specifico, con il nome del destinatario dell'operazione di bonifico ed il relativo
IBAN differenti rispetto a quelli digitati dall'utente); il browser del cliente, sempre soggetto all'infezione del malware, ottiene la risposta dal server della Banca, ma in modo che il cliente non possa percepire tale alterazione nella comunicazione.
Il cliente, dunque, che intendeva effettuare i bonifici in questione nei confronti di determinati soggetti, ha subito l'intervento di una truffa di terzi nella modificazione del destinatario finale del pagamento.
ha escluso la propria responsabilità per l'illecita distrazione di denaro Controparte_2
subita da parte attrice, invocando la previsione di cui all'art.
6.1 del contratto INBIZ
sottoscritto da in data 18.12.2018, il quale dispone che “l'Utente Parte_1
assegnatario delle Credenziali deve immediatamente segnalare l'evento alla Banca con le
modalità descritte nel Manuale Operativo chiedendone il blocco delle Credenziali;
la
segnalazione è opponibile alla Banca dal momento in cui essa comunica l'apposizione del
blocco all'Utente” e soprattutto, quella di cui all'art. 6.2, ossia “Prima del momento in cui
4 la segnalazione è opponibile alla Banca, le conseguenze derivanti dall'utilizzo indebito
delle Credenziali sono integralmente a carico della Società”.
Tale ultima disposizione, che integra una vera e propria esenzione di responsabilità per la
Banca, deve tuttavia ritenersi in concreto nulla ai sensi degli artt. 1341 e 1342 c.c., poiché
chiaramente contenuta in un contratto concluso mediante la sottoscrizione di moduli e formulari e non specificamente approvata per iscritto dall'utente (si ritiene, infatti, che la specifica sottoscrizione dell'art. 6.1, che riguarda il profilo della opponibilità della segnalazione alla banca, non ricomprenda anche il punto 2 della disposizione in esame).
L'accertamento della responsabilità della banca, come invocata dall'attrice, deve dunque passare per l'esame della normativa vigente in materia, così come interpretata dalla più
recente giurisprudenza di legittimità.
La responsabilità dedotta da parte attrice - che vede l'istituto bancario chiamato al risarcimento del danno derivante dalla illegittima sottrazione di somme - rientra nella responsabilità contrattuale.
Se tale inquadramento giuridico non pare dubbio, più complicato è invece stabilire il concreto onere probatorio gravante sul contraente che si assume inadempiente.
Secondo i noti principi del riparto dell'onere della prova, sull'attore grava infatti il solo onere di dimostrare il titolo contrattuale e allegare l'altrui inadempimento, gravando invece sull'altro contraente la prova di aver correttamente adempiuto la propria prestazione.
E poiché l'obbligazione contrattuale assunta dalla banca con la fornitura del servizio di strumento di pagamento elettronico ha ad oggetto la messa a disposizione di un sistema di pagamento sicuro con strumenti di autenticazione idonei a scongiurare il rischio di utilizzi
5 non autorizzati o fraudolenti da parte di terzi, l'onere probatorio gravante sulla banca deve avere anzitutto ad oggetto la corretta esecuzione di detta prestazione.
Occorre quindi verificare se l'istituto erogatore del servizio abbia realizzato una rete di autenticazione protetta e sicura secondo le conoscenze tecnologiche disponibili e attuabili,
tale da scongiurare il rischio dedotto.
Così ricostruita in termini generale la responsabilità dedotta in giudizio, va osservato come la materia risulti oggi disciplinata dal D.Lgs. n. 11 del 2010, attuativo della Dir. n.
2007/64/CE relativa ai servizi di pagamento nel mercato interno, come modificato a seguito dell'entrata in vigore del d.lgs. 15 dicembre 2017, n. 218 (di recepimento della direttiva
(UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno).
L'art. 10 del citato d.lgs. stabilisce al comma 1 che “Qualora l'utente di servizi di
pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga
che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di
pagamento provare che l'operazione di pagamento è stata autenticata, correttamente
registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle
procedure necessarie per la sua esecuzione o di altri inconvenienti”.
Il comma 2 dell'art. 10 d.lgs. 11/2010 prevede, inoltre, che “Quando l'utente di servizi di
pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di
uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso,
se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé
necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente
medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo
6 o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di
servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di
ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
La giurisprudenza della Corte di Cassazione ha poi cristallizzato il principio secondo cui, in caso di truffa informatica (sia essa avvenuta attraverso la clonazione di carte di credito o attraverso fenomeni online come il MITB), incombe sul prestatore di servizi di pagamento,
e dunque, sull'istituto di credito, il duplice onere di provare di aver adottato tutte le misure di sicurezza necessarie per la protezione del cliente e l'inadempimento doloso e/o gravemente colposo del cliente medesimo (così, di recente, Cass. n. 13204/2023).
Invero, in ordine a ciò, già con la sentenza n. 2950/2017 la Suprema Corte aveva stabilito che: “In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di
strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del
sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole
ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento,
prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità
delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di
accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti
talmente incauti da non poter essere fronteggiati in anticipo”.
Sul punto, per altro, viene aggiunto che “anche prima dell'entrata in vigore del d.lgs. n. 11
del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel
mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con
7 il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità
dell'operazione al cliente.”
Orbene, è opportuno ora verificare se nel caso di specie l'odierna convenuta abbia soddisfatto il doppio onere che grava sulla stessa.
Con riguardo al primo profilo, il Tribunale ritiene che parte convenuta abbia soddisfatto l'onere probatorio sulla stessa gravante, avendo dimostrato che il bonifico è stato effettuato a mezzo sistemi di sicurezza forti quali OTP, Codice Utente, PIN e QRCode, ed adempiendo quindi al proprio onere probatorio di cui all'art. 10 co. 1 del d.lgs. 11/2010
Diversamente, per quanto concerne il secondo profilo, il Tribunale ritiene che tale onere non sia stato sufficientemente assolto dalla banca.
Le risultanze processuali portano a ritenere che la volontà del non fosse Parte_1
quella di effettuare i bonifici nei confronti di tal , tanto che parte attrice, Persona_1
subito dopo aver scoperto la effettiva destinazione dei pagamenti al predetto sconosciuto in data 17.08.2020, ha provveduto a sporgere formale denuncia querela presso i Carabinieri di
VO (cfr. doc. 5 fasc. attoreo).
D'altro canto, come evincibile dall'estratto conto prodotto dall'attrice sub doc. 4 e come confermato, altresì, dalla teste all'udienza del 23.06.2021, l'intento di parte CP_3
attrice era quello di effettuare dei bonifici alle Consorziate RE SR e/o a Studio 5 SR.
Al fine di andare esente da responsabilità, dunque, avrebbe dovuto Controparte_2
dimostrare il dolo o la colpa grave del . Parte_1
8 Se, da un lato, l'ipotesi del dolo – peraltro neppure specificamente allegata da parte convenuta- non è in concreto emersa, dall'altro, il Tribunale ritiene altresì di escludere che la condotta dell'attrice sia stata connotata da colpa grave.
Non vi è prova del fatto che il cliente dell'istituto bancario, pur inconsapevolmente, abbia cooperato con i cyber – truffatori, fornendo agli stessi tutti i dati “personali” (credenziali di accesso, codici OTP, PIN etc.).
Neppure può ritenersi che la presenza di un malware nei sistemi informatici di parte attrice,
come peraltro genericamente dedotta da parte convenuta, sia sufficiente sic et simpliciter
per ritenere configurabile la colpa grave dell'utente, anche tenuto conto dei sistemi di protezione concretamente adottati dall'utente (cfr. doc. 14 fasc. attoreo) e del grado altamente sofisticato delle frodi informatiche degli ultimi tempi.
In proposito, basti considerare che gli estratti conto prodotti da parte attrice sub doc. 4
mostrano quale formale beneficiario del bonifico di euro 33.614,17 RE SR, ossia proprio quello originariamente voluto dal , e sempre RE SR (quindi, un soggetto Parte_1
comunque noto all'Utente e destinatario di frequenti pagamenti da parte dello stesso) in luogo di Studio 5 SR, per il bonifico di euro 58.546,60.
Ciò porta, peraltro, ragionevolmente a ritenere in via presuntiva che neppure vi sia stata un'errata digitazione dell'IBAN di riferimento da parte del soggetto incaricato di inserire i pagamenti con il sistema home banking, circostanza oltretutto esclusa da parte attrice già in sede di denuncia querela e non smentita da controparte.
Va, poi, ancora considerato: che come confermato dalla teste , dipendente del CP_3
sulla cui attendibilità non vi è ragione di dubitare, i bonifici in questione sono Parte_1
9 stati immediatamente controllati dalla stessa a video;
gli estratti conto sono stati esaminati in data 13.08.2020, ossia soli sei giorni lavorativi dopo i pagamenti disposti dal Parte_1
che, immediatamente, riscontrando un'anomalia, si è attivato con la per effettuare le CP_2
verifiche del caso;
e che, una volta emerso il reale beneficiario dei bonifici solo in data
17.08.2020 (la banca era stata, infatti, chiusa nel pomeriggio del 13 e nei giorni 14 e 15
agosto), il ha immediatamente sporto denuncia querela per l'accaduto. Parte_1
Da ultimo, neppure è emerso che nelle immediatezze dei bonifici parte attrice sia stata avvisata, ad esempio con un sistema di SMS Alert, della reale destinazione delle somme bonificate.
In assenza di prova di dolo o colpa grave imputabili a parte attrice, la responsabilità per la distrazione di denaro subita da tale ultimo soggetto non può che ricadere sull'istituto bancario convenuto.
Né è possibile riscontrare un concorso di colpa di parte attrice ai sensi dell'art. 1227 c.c.,
dal momento che, come già anticipato, non sono emersi elementi di giudizio che portino a ritenere che la stessa abbia, in effetti, cooperato o posto in essere condotte che abbiano potuto agevolare l'autore della truffa informatica ai danni del . Parte_1
Conseguentemente, va condannata al risarcimento del danno per la Controparte_2
perdita patrimoniale subita da , pari ad euro 92.160,47, oltre Parte_1
rivalutazione monetaria e interessi legali calcolati conformemente ai principi dettati da
Cass. SSUU n. 1712/1995 dalla data dell'illecito (5.08.2020) all'attualità ed oltre ulteriori interessi legali dalla data della presente decisione al saldo.
10 Non ricorrono, invece, i presupposti per il riconoscimento della ulteriore somma richiesta di euro 10.000,00, a fronte dell'insufficienza delle allegazioni a sostegno della domanda stessa.
La prevalente soccombenza di parte convenuta giustifica la condanna della medesima al pagamento delle spese di lite, liquidate come in dispositivo tenuto conto del valore della causa e dell'attività processuale effettivamente posta in essere dalle parti.
PQM
Il Tribunale di Venezia in composizione monocratica, definitivamente pronunciando nella presente controversia, ogni diversa domanda o eccezione disattesa:
- accerta e dichiara l'esclusiva responsabilità civile di per i fatti Controparte_2
occorsi in danno di parte attrice il 5.08.2020;
- condanna, per l'effetto, al pagamento in favore di Controparte_2 Parte_1
della somma di euro 119.253,33, oltre interessi legali dalla data della
[...]
presente decisione al saldo;
- condanna al pagamento in favore di delle Controparte_2 Parte_1
spese di lite, che liquida in euro 14.103,00 per compensi, oltre spese generali, iva e cpa.
Così deciso in Venezia, in data 25 giugno 2025
IL GIUDICE dott. Ivana Morandin
11
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO
TRIBUNALE DI VENEZIA
I SEZIONE CIVILE Il Tribunale, nella persona del Giudice dott. Ivana Morandin ha pronunciato la seguente
SENTENZA nella causa civile promossa da
(C.F. ), con l'avv. VOLPATO LAURA Parte_1 P.IVA_1
Contro
(C.F. ), con l'avv. TICOZZI MARCO Controparte_1 P.IVA_2
OGGETTO: Bancari (deposito bancario, cassetta di sicurezza, apertura di credito bancario)
CONCLUSIONI DELLE PARTI: come da verbale d'udienza del 11.12.2025
MOTIVI DI FATTO E DI DIRITTO DELLA DECISIONE
Con atto di citazione notificato in data 11.01.2022, ha agito in giudizio Parte_1
nei confronti di deducendo: di essere operativa nel settore delle Controparte_2
telecomunicazioni e di fornire servizi integrati di ingegneria prevalentemente, se non unicamente, tramite le proprie consorziate Studio 5 SR, Fibermind SR, Tesi Ingegneria SR,
1 RE SR, Sinpro SR e Tirolproject SR;
di effettuare usualmente pagamenti nei confronti delle consorziate mediante l'utilizzo da parte della sig. , custode del Controparte_3
dispositivo di lettura QRCode e del PIN personale, del servizio di internet banking collegato al conto corrente aziendale n. 6852, acceso il 7.08.2018 presso la banca convenuta;
di avvalersi di un elenco di fornitori e consorziate già predisposto a monte per trascrivere le coordinate bancarie e tutti i dati richiesti nel modulo bonifici;
di aver effettuato in data 5.08.2020 alcuni bonifici, due dei quali rispettivamente ad CP_4
(per € 33.614,17) ed a Studio 5 SR di Padova (per € 58.546,60) e di aver
[...]
confermato le operazioni mediante lettura di QR Code tramite dispositivo elettronico,
digitazione di un PIN personale e poi di un ulteriore codice univoco di autenticazione
(OTP); di aver riscontrato in data 13.08.2020 delle anomalie nei bonifici in questione,
poiché entrambe le disposizioni di pagamento risultavano effettuate in favore di RE SR
mentre a video i bonifici facevano riferimento solo a Studio 5 SR;
di aver in seguito verificato che i pagamenti in questione non erano stati concretamente accreditati nel conto di RE SR o di Studio 5 SR;
di aver appreso solo in data 17.08.2020 che la somma complessiva di euro 92.160,47 era stata integralmente deviata sul conto corrente di tal
, persona sconosciuta e non beneficiaria delle transazioni economiche;
di aver Persona_1
in pari data sporto denuncia querela contro ignoti per frode informatica, escludendo di aver errato nella digitazione della sequenza alfanumerica delle coordinate bancarie;
di aver in un primo momento ottenuto dalla banca il rimborso delle somme bonificate al terzo, ma di aver successivamente visto stornate le somme in questione in assenza di violazione dei
2 sistemi di sicurezza della banca;
di aver promosso senza esito positivo un ricorso avanti all'ABF.
Invocando la responsabilità contrattuale per violazione delle regole del mandato da parte della convenuta o quella extracontrattuale per esercizio di attività pericolosa da parte del medesimo soggetto, l'attrice ha concluso chiedendo la condanna di sia Controparte_2
al rimborso delle somme indebitamente percepite dal terzo sia al risarcimento dei danni subiti, quantificati in via equitativa in euro 10.000,00.
Nel costituirsi in giudizio, la banca convenuta ha chiesto invece il rigetto delle pretese di controparte o, in subordine, la riduzione delle somme dovute in ragione del concorso di colpa ascrivibile a parte attrice, eccependo anzitutto la non applicabilità al caso di specie degli artt. 10 e 11 del d.lgs. 11/2010 e, in particolare, della disciplina sulla ripartizione dell'onere probatorio ivi prevista, in quanto relativa unicamente a rapporti tra i prestatori dei servizi di pagamento e i consumatori e le microimprese;
escludendo la configurabilità in capo a sé di una condotta illecita atta a generare responsabilità contrattuale o extracontrattuale;
deducendo il corretto adempimento degli obblighi su di sé gravanti, come confermato dall'immediato recall delle disposizioni di bonifico, non andato a buon fine per il grave e negligente ritardo con cui il ha effettuato la richiesta;
invocando Parte_1
l'esclusiva responsabilità del cliente per quanto avvenuto, in assenza di intrusioni subite dal sistema bancario.
La causa, istruita per il tramite di prova orale per testi, è stata trattenuta in decisione all'udienza dell'11.12.2024 dal nuovo Giudice Istruttore medio tempore designato, con concessione alle parti dei termini ex art. 190 cpc.
3 La domanda di parte attrice è fondata e va accolta nei limiti di cui si dirà.
Nella fattispecie in esame, è stato vittima di un'attività fraudolenta da Parte_1
parte di terzi che hanno manomesso, dirottandoli a favore di un altro destinatario, i bonifici che la stessa aveva inteso effettuare.
La truffa realizzata rientra nello schema del man in the middle o del man in the browser,
secondo cui il cliente effettua una richiesta al server tramite il proprio browser;
il browser del cliente, infettato da malware, riporta la richiesta in modo alterato al server della banca
(nel caso specifico, con il nome del destinatario dell'operazione di bonifico ed il relativo
IBAN differenti rispetto a quelli digitati dall'utente); il browser del cliente, sempre soggetto all'infezione del malware, ottiene la risposta dal server della Banca, ma in modo che il cliente non possa percepire tale alterazione nella comunicazione.
Il cliente, dunque, che intendeva effettuare i bonifici in questione nei confronti di determinati soggetti, ha subito l'intervento di una truffa di terzi nella modificazione del destinatario finale del pagamento.
ha escluso la propria responsabilità per l'illecita distrazione di denaro Controparte_2
subita da parte attrice, invocando la previsione di cui all'art.
6.1 del contratto INBIZ
sottoscritto da in data 18.12.2018, il quale dispone che “l'Utente Parte_1
assegnatario delle Credenziali deve immediatamente segnalare l'evento alla Banca con le
modalità descritte nel Manuale Operativo chiedendone il blocco delle Credenziali;
la
segnalazione è opponibile alla Banca dal momento in cui essa comunica l'apposizione del
blocco all'Utente” e soprattutto, quella di cui all'art. 6.2, ossia “Prima del momento in cui
4 la segnalazione è opponibile alla Banca, le conseguenze derivanti dall'utilizzo indebito
delle Credenziali sono integralmente a carico della Società”.
Tale ultima disposizione, che integra una vera e propria esenzione di responsabilità per la
Banca, deve tuttavia ritenersi in concreto nulla ai sensi degli artt. 1341 e 1342 c.c., poiché
chiaramente contenuta in un contratto concluso mediante la sottoscrizione di moduli e formulari e non specificamente approvata per iscritto dall'utente (si ritiene, infatti, che la specifica sottoscrizione dell'art. 6.1, che riguarda il profilo della opponibilità della segnalazione alla banca, non ricomprenda anche il punto 2 della disposizione in esame).
L'accertamento della responsabilità della banca, come invocata dall'attrice, deve dunque passare per l'esame della normativa vigente in materia, così come interpretata dalla più
recente giurisprudenza di legittimità.
La responsabilità dedotta da parte attrice - che vede l'istituto bancario chiamato al risarcimento del danno derivante dalla illegittima sottrazione di somme - rientra nella responsabilità contrattuale.
Se tale inquadramento giuridico non pare dubbio, più complicato è invece stabilire il concreto onere probatorio gravante sul contraente che si assume inadempiente.
Secondo i noti principi del riparto dell'onere della prova, sull'attore grava infatti il solo onere di dimostrare il titolo contrattuale e allegare l'altrui inadempimento, gravando invece sull'altro contraente la prova di aver correttamente adempiuto la propria prestazione.
E poiché l'obbligazione contrattuale assunta dalla banca con la fornitura del servizio di strumento di pagamento elettronico ha ad oggetto la messa a disposizione di un sistema di pagamento sicuro con strumenti di autenticazione idonei a scongiurare il rischio di utilizzi
5 non autorizzati o fraudolenti da parte di terzi, l'onere probatorio gravante sulla banca deve avere anzitutto ad oggetto la corretta esecuzione di detta prestazione.
Occorre quindi verificare se l'istituto erogatore del servizio abbia realizzato una rete di autenticazione protetta e sicura secondo le conoscenze tecnologiche disponibili e attuabili,
tale da scongiurare il rischio dedotto.
Così ricostruita in termini generale la responsabilità dedotta in giudizio, va osservato come la materia risulti oggi disciplinata dal D.Lgs. n. 11 del 2010, attuativo della Dir. n.
2007/64/CE relativa ai servizi di pagamento nel mercato interno, come modificato a seguito dell'entrata in vigore del d.lgs. 15 dicembre 2017, n. 218 (di recepimento della direttiva
(UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno).
L'art. 10 del citato d.lgs. stabilisce al comma 1 che “Qualora l'utente di servizi di
pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga
che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di
pagamento provare che l'operazione di pagamento è stata autenticata, correttamente
registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle
procedure necessarie per la sua esecuzione o di altri inconvenienti”.
Il comma 2 dell'art. 10 d.lgs. 11/2010 prevede, inoltre, che “Quando l'utente di servizi di
pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di
uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso,
se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé
necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente
medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo
6 o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di
servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di
ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
La giurisprudenza della Corte di Cassazione ha poi cristallizzato il principio secondo cui, in caso di truffa informatica (sia essa avvenuta attraverso la clonazione di carte di credito o attraverso fenomeni online come il MITB), incombe sul prestatore di servizi di pagamento,
e dunque, sull'istituto di credito, il duplice onere di provare di aver adottato tutte le misure di sicurezza necessarie per la protezione del cliente e l'inadempimento doloso e/o gravemente colposo del cliente medesimo (così, di recente, Cass. n. 13204/2023).
Invero, in ordine a ciò, già con la sentenza n. 2950/2017 la Suprema Corte aveva stabilito che: “In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di
strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del
sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole
ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento,
prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità
delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di
accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti
talmente incauti da non poter essere fronteggiati in anticipo”.
Sul punto, per altro, viene aggiunto che “anche prima dell'entrata in vigore del d.lgs. n. 11
del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel
mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con
7 il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità
dell'operazione al cliente.”
Orbene, è opportuno ora verificare se nel caso di specie l'odierna convenuta abbia soddisfatto il doppio onere che grava sulla stessa.
Con riguardo al primo profilo, il Tribunale ritiene che parte convenuta abbia soddisfatto l'onere probatorio sulla stessa gravante, avendo dimostrato che il bonifico è stato effettuato a mezzo sistemi di sicurezza forti quali OTP, Codice Utente, PIN e QRCode, ed adempiendo quindi al proprio onere probatorio di cui all'art. 10 co. 1 del d.lgs. 11/2010
Diversamente, per quanto concerne il secondo profilo, il Tribunale ritiene che tale onere non sia stato sufficientemente assolto dalla banca.
Le risultanze processuali portano a ritenere che la volontà del non fosse Parte_1
quella di effettuare i bonifici nei confronti di tal , tanto che parte attrice, Persona_1
subito dopo aver scoperto la effettiva destinazione dei pagamenti al predetto sconosciuto in data 17.08.2020, ha provveduto a sporgere formale denuncia querela presso i Carabinieri di
VO (cfr. doc. 5 fasc. attoreo).
D'altro canto, come evincibile dall'estratto conto prodotto dall'attrice sub doc. 4 e come confermato, altresì, dalla teste all'udienza del 23.06.2021, l'intento di parte CP_3
attrice era quello di effettuare dei bonifici alle Consorziate RE SR e/o a Studio 5 SR.
Al fine di andare esente da responsabilità, dunque, avrebbe dovuto Controparte_2
dimostrare il dolo o la colpa grave del . Parte_1
8 Se, da un lato, l'ipotesi del dolo – peraltro neppure specificamente allegata da parte convenuta- non è in concreto emersa, dall'altro, il Tribunale ritiene altresì di escludere che la condotta dell'attrice sia stata connotata da colpa grave.
Non vi è prova del fatto che il cliente dell'istituto bancario, pur inconsapevolmente, abbia cooperato con i cyber – truffatori, fornendo agli stessi tutti i dati “personali” (credenziali di accesso, codici OTP, PIN etc.).
Neppure può ritenersi che la presenza di un malware nei sistemi informatici di parte attrice,
come peraltro genericamente dedotta da parte convenuta, sia sufficiente sic et simpliciter
per ritenere configurabile la colpa grave dell'utente, anche tenuto conto dei sistemi di protezione concretamente adottati dall'utente (cfr. doc. 14 fasc. attoreo) e del grado altamente sofisticato delle frodi informatiche degli ultimi tempi.
In proposito, basti considerare che gli estratti conto prodotti da parte attrice sub doc. 4
mostrano quale formale beneficiario del bonifico di euro 33.614,17 RE SR, ossia proprio quello originariamente voluto dal , e sempre RE SR (quindi, un soggetto Parte_1
comunque noto all'Utente e destinatario di frequenti pagamenti da parte dello stesso) in luogo di Studio 5 SR, per il bonifico di euro 58.546,60.
Ciò porta, peraltro, ragionevolmente a ritenere in via presuntiva che neppure vi sia stata un'errata digitazione dell'IBAN di riferimento da parte del soggetto incaricato di inserire i pagamenti con il sistema home banking, circostanza oltretutto esclusa da parte attrice già in sede di denuncia querela e non smentita da controparte.
Va, poi, ancora considerato: che come confermato dalla teste , dipendente del CP_3
sulla cui attendibilità non vi è ragione di dubitare, i bonifici in questione sono Parte_1
9 stati immediatamente controllati dalla stessa a video;
gli estratti conto sono stati esaminati in data 13.08.2020, ossia soli sei giorni lavorativi dopo i pagamenti disposti dal Parte_1
che, immediatamente, riscontrando un'anomalia, si è attivato con la per effettuare le CP_2
verifiche del caso;
e che, una volta emerso il reale beneficiario dei bonifici solo in data
17.08.2020 (la banca era stata, infatti, chiusa nel pomeriggio del 13 e nei giorni 14 e 15
agosto), il ha immediatamente sporto denuncia querela per l'accaduto. Parte_1
Da ultimo, neppure è emerso che nelle immediatezze dei bonifici parte attrice sia stata avvisata, ad esempio con un sistema di SMS Alert, della reale destinazione delle somme bonificate.
In assenza di prova di dolo o colpa grave imputabili a parte attrice, la responsabilità per la distrazione di denaro subita da tale ultimo soggetto non può che ricadere sull'istituto bancario convenuto.
Né è possibile riscontrare un concorso di colpa di parte attrice ai sensi dell'art. 1227 c.c.,
dal momento che, come già anticipato, non sono emersi elementi di giudizio che portino a ritenere che la stessa abbia, in effetti, cooperato o posto in essere condotte che abbiano potuto agevolare l'autore della truffa informatica ai danni del . Parte_1
Conseguentemente, va condannata al risarcimento del danno per la Controparte_2
perdita patrimoniale subita da , pari ad euro 92.160,47, oltre Parte_1
rivalutazione monetaria e interessi legali calcolati conformemente ai principi dettati da
Cass. SSUU n. 1712/1995 dalla data dell'illecito (5.08.2020) all'attualità ed oltre ulteriori interessi legali dalla data della presente decisione al saldo.
10 Non ricorrono, invece, i presupposti per il riconoscimento della ulteriore somma richiesta di euro 10.000,00, a fronte dell'insufficienza delle allegazioni a sostegno della domanda stessa.
La prevalente soccombenza di parte convenuta giustifica la condanna della medesima al pagamento delle spese di lite, liquidate come in dispositivo tenuto conto del valore della causa e dell'attività processuale effettivamente posta in essere dalle parti.
PQM
Il Tribunale di Venezia in composizione monocratica, definitivamente pronunciando nella presente controversia, ogni diversa domanda o eccezione disattesa:
- accerta e dichiara l'esclusiva responsabilità civile di per i fatti Controparte_2
occorsi in danno di parte attrice il 5.08.2020;
- condanna, per l'effetto, al pagamento in favore di Controparte_2 Parte_1
della somma di euro 119.253,33, oltre interessi legali dalla data della
[...]
presente decisione al saldo;
- condanna al pagamento in favore di delle Controparte_2 Parte_1
spese di lite, che liquida in euro 14.103,00 per compensi, oltre spese generali, iva e cpa.
Così deciso in Venezia, in data 25 giugno 2025
IL GIUDICE dott. Ivana Morandin
11