TRIB
Sentenza 24 aprile 2024
Sentenza 24 aprile 2024
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Lanciano, sentenza 24/04/2024, n. 171 |
|---|---|
| Giurisdizione : | Trib. Lanciano |
| Numero : | 171 |
| Data del deposito : | 24 aprile 2024 |
Testo completo
N. R.G. 1071/2021
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE di LANCIANO nella persona del giudice Maria Rosaria Boncompagni, ha emesso la seguente
SENTENZA nella causa civile di I grado iscritta al n. 1071 del ruolo generale degli affari contenziosi dell'anno
2021, vertente tra
(C.F. e (C.F. Parte_1 C.F._1 Parte_2
), entrambe con il patrocinio dell'avv. Luigi Toppeta, elettivamente C.F._2
domiciliate in CI, alla via Piave n. 23, presso lo studio del difensore,
- Attrici
e
(C.F. ), in persona del procuratore speciale p.t., con il patrocinio Controparte_1 P.IVA_1 dell'avv. David Giuseppe Apolloni, elettivamente domiciliata in Roma, alla via Conca D'Oro n. 285, presso lo studio del difensore,
- Convenuta
Oggetto: responsabilità banca
Conclusioni: all'udienza del 28 settembre 2023 parte convenuta ha precisato le conclusioni come da note di trattazione scritta depositate in data 27 settembre 2023.
RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
1. Con atto di citazione ritualmente notificato, e hanno Parte_1 Parte_2 convenuto in giudizio la (di seguito anche “ ”), in persona del legale Controparte_1 CP_1
rappresentante p.t., al fine di accertarne la responsabilità contrattuale da inadempimento ex art. 1218
pagina 1 di 8 c.c. per violazione della diligenza professionale propria del banchiere ex art. 1176, comma 2, c.c., con particolare riferimento alle disposizioni di cui al d.lgs. n. 11/2010 (tra esse, segnatamente, gli artt. da 7
a 12), e per l'effetto condannare la convenuta alla restituzione dell'importo di 6.650,00 euro oltre interessi e risarcimento del danno. In via subordinata le attrici chiedevano la condanna dell'istituto di credito convenuto al pagamento di diversa somma ritenuta comunque dovuta e accertata a titolo di restituzioni e di risarcimento del danno.
A supporto della proposta domanda si è rappresentato che era titolare del conto Parte_1
corrente n. 2415122 presso la , filiale di CI, nonché contitolare, unitamente a sua madre, CP_1
del conto corrente n. 125721, acceso presso la medesima filiale. Parte_2
Ciò premesso, parte attrice ha esposto che la mattina del 14 aprile 2021, intorno alle ore 9:00, Pt_1 aveva ricevuto una notifica sull'app “smart home banking” della , con la quale veniva
[...] CP_1
avvisata di un nuovo dispositivo in connessione sulla medesima applicazione, seguita da due chiamate in successione alle quali la non rispondeva. La predetta aveva poi risposto ad una terza Pt_1
chiamata, nella quale una persona dalla voce maschile, presentatasi come “pubblico ufficiale dell'ufficio antitruffa della con sede in Milano”, le aveva chiesto se avesse ricevuto sul CP_1
proprio dispositivo una notifica di un nuovo dispositivo da connettere e perché non avesse inserito il codice OTP (“One Time Password”) da loro inviato. La aveva risposto di non aver visionato Pt_1
la notifica e, nel giro di pochi secondi, nel corso della conversazione, sulla predetta app giungeva il codice OTP che la provvedeva ad inserire nell'apposito spazio, in quanto sollecitata in tal Pt_1 senso dall'interlocutore, il quale insisteva sul fatto che fosse l'unico modo per scongiurare la connessione sul dispositivo anomalo. Successivamente, comparivano sulla app “smart home banking” alcune notifiche che segnalavano l'avvenuta emissione di tre bonifici istantanei dai predetti conti: il primo di importo pari a 1.900,00 euro, addebitato sul C/C 125721, il secondo di 4.750,00 euro, addebitato sul C/C 2415122, ed un terzo bonifico che la avvedutasi della truffa, provvedeva a Pt_1
bloccare, contattando l'istituto bancario e interloquendo con una dipendente della filiale di CI
). Le attrici rappresentavano che nei giorni precedenti alla truffa non avevano in alcun Org_1 modo fornito a terzi le credenziali di accesso allo “smart home banking” in modo diretto o indiretto.
Successivamente, all'esito di interlocuzioni con la banca, la stessa rendeva edotta parte attrice CP_1
che non avrebbe provveduto al rimborso delle somme oggetto dei bonifici in discorso, sostenendo la piena funzionalità dei propri sistemi di sicurezza e imputando l'accaduto ad una condotta incauta della concludendo, quindi, di essere esente da qualsivoglia responsabilità. Pt_1
pagina 2 di 8 Tanto premesso, le parti attrici, esperita con esito negativo la procedura di mediazione obbligatoria ex art. 5, comma 1bis, d.lgs n. 28/2010, incardinavano il presente giudizio, deducendo la violazione, da parte della conventa, dell'art. 8 del d.lgs. n. 11/2010, che impone al prestatore dei servizi di pagamento
l'obbligo di assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento, e dell'art. 12 del medesimo decreto, secondo cui il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o
l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento;
sul punto, la ha rappresentato di non aver avuto alcuna possibilità di Pt_1
comprendere in anticipo che si stava verificando una truffa ai suoi danni, posto che la notifica veniva inviata direttamente dall'app “smart home banking”, delineando una responsabilità ai sensi dell'art. 1176, comma 2, c.c. della banca.
2. Si è costituita in giudizio la , contestando tutte le circostanze di fatto ex adverso dedotte. In CP_1
particolare, in merito alle modalità con cui sono stati disposti i bonifici, la banca convenuta ha rilevato la negligenza della correntista, anche in considerazione del suo livello di istruzione, della illogica richiesta di effettuare due bonifici, nonché della natura sospetta della chiamata. Inoltre, la banca ha evidenziato che i frodatori avevano avuto modo di entrare nella disponibilità della piattaforma a causa del comportamento negligente della correntista, che inseriva le OTP necessarie a perfezionare la registrazione di un nuovo dispositivo dalla stessa non richiesta e autorizzava l'operazione con riconoscimento facciale, in violazione, peraltro, del contratto di servizio di internet banking sottoscritto con . CP_1
In secondo luogo, parte convenuta ha dedotto il perfetto funzionamento del sistema di autenticazione “forte” c.d. a due fattori (c.d. SCA ovvero “Strong Customer Authentication”), verificato anche a seguito di istruttoria interna, e, dunque, l'esclusione di ogni responsabilità. Più nel dettaglio, detto sistema contempla il previo accesso sull'applicazione, mediante inserimento del cosiddetto smart pin ovvero autenticazione con impronta digitale o riconoscimento facciale (Touch ID
e Face ID) – quest'ultimo usualmente utilizzato dalla come da lei stessa dedotto – e, di Pt_1
seguito, l'inserimento nell'apposita app del codice di verifica OTP, inviato al correntista.
Infine, parte convenuta ha allegato la violazione, da parte della correntista, dell'art. 7 del d.lgs. n.
11/2020, relativo alla diligente custodia dei dispositivi personalizzati che consentono l'utilizzo dello strumento di pagamento, quali tessere materiali ed OTP, nonché agli obblighi di custodia dei codici di accesso al servizio di multicanalità, a cui la era tenuta in forza del contratto avente oggetto il Pt_1
servizio di internet banking di . CP_1
pagina 3 di 8 In subordine, parte convenuta ha chiesto riconoscersi il concorso di colpa, nell'ipotesi di accoglimento della domanda attorea.
3. Assegnati i termini ex art. 183, comma 6, c.p.c., questo giudice, con ordinanza del 7 gennaio
2023, ha disposto l'interrogatorio formale di e, di seguito, con ordinanza del 27 Parte_1
febbraio 2023, ritenuta la causa matura per la decisione, ha fissato l'udienza di precisazione delle conclusioni, poi svoltasi nelle forme di cui all'art. 127ter c.p.c., ovvero mediante il deposito in telematico, da parte dei difensori delle parti, di sintetiche note scritte, contenenti le sole istanze e conclusioni relative agli adempimenti processuali previsti.
Rilevata la comparizione della parte convenuta a mezzo di deposito telematico delle predette note e preso atto delle conclusioni ivi rassegnate, con ordinanza del 2 ottobre 2023 questo giudice ha assegnato i termini di cui all'art. 190 c.p.c. e trattenuto la causa in decisione.
4. La domanda di parte attrice deve essere rigettata.
Preliminarmente, è opportuno evidenziare che, secondo costante giurisprudenza di legittimità, nel nostro ordinamento, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno o per l'adempimento deve provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi ad allegare la circostanza dell'inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo dell'altrui pretesa, costituito dall'avvenuto adempimento (v., ad es., Cass. 20 gennaio 2015, n. 826) ovvero dall'impossibilità della prestazione derivante da causa a lui non imputabile. Tale principio generale ha trovato una specificazione, con riguardo all'utilizzazione di servizi e strumenti con funzione di pagamento, che si avvalgono di mezzi meccanici o elettronici in quanto la responsabilità contrattuale ascrivibile all'istituto bancario ha natura tecnica (Cass., sez. I, 12 giugno 2007, n. 13777; cfr. anche Cass., sez. I,
19 gennaio 2016, n. 806). Più nello specifico, si è ritenuto che non può essere omessa (...) la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire la sicurezza del servizio
(...); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere (Cass., sez. I, 3 febbraio 2017, n. 2950). Ciò posto, i giudici di legittimità hanno ulteriormente precisato che nell'ambito del rapporto di conto corrente, con modalità telematiche, tale regula juris declina la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente (Cass.,
pagina 4 di 8 sez. I, 20 maggio 2022, n. 16417). Sicché, oltre all'adozione di tutti i sistemi di sicurezza ragionevolmente esigibili, posti a carico dell'Istituto di credito, occorre altresì la dimostrazione, da parte della banca, di una colpa grave dell'utente per non aver utilizzato correttamente lo strumento di pagamento elettronico o per non aver protetto le credenziali di accesso al sistema. Per vero, è lo stesso art. 10 del d.lgs. n. 11/2010 a prevedere che, qualora l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che la stessa non ha subito le conseguenze di un malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. In caso di disconoscimento della transazione da parte del cliente, inoltre, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi non sarebbe di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di utilizzo conforme alle regole o di segnalazione di anomalia.
Ciò premesso, quanto all'autenticazione delle operazioni in contestazione, occorre avere riguardo, anzitutto, alla documentazione prodotta dall'istituto di credito convenuto, oltre che alle allegazioni delle stesse parti, da cui si desume la natura multifattoriale del sistema di autenticazione delle operazioni di pagamento adottato dall'intermediario convenuto nei termini già sopra descritti, in conformità a quanto richiesto dall'art. 10bis del d.lgs. n. 11/2010, in forza del quale “i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente”. Trattasi, per vero, di sistema ritenuto particolarmente sicuro anche dall'ABF (Arbitro Bancario e Finanziario), sostenendo la “pressoché invulnerabilità del sistema “a due fattori” tale da fondare la presunzione di una colpa grave in capo al cliente, consistente nel non aver custodito con la dovuta diligenza i dispositivi personali necessari per
l'utilizzo del sistema di pagamento” (ex multis, ABF, Collegio di Milano, 12 gennaio 2017, n. 142).
In ogni caso, a supporto dell'allegata circostanza di corretta autenticazione delle operazioni contestate, la banca convenuta ha prodotto evidenza del log, ossia della relativa tracciatura informatica, unitamente ad una relazione tecnica illustrativa, in cui si dà anche atto del mancato riscontro di attacchi informatici ovvero di frodi massive a danno degli utenti dell'home banking nell'arco temporale in cui si collocano i fatti per cui è processo;
documentazione rispetto alla quale parte attrice ha peraltro formulato contestazioni del tutto generiche.
Quanto all'ulteriore profilo della condotta tenuta dalla correntista in occasione dell'esecuzione delle Par operazioni contestate, il Tribunale ritiene che la stessa sia segnata da colpa grave ascrivibile alla pagina 5 di 8 sulla scorta delle allegazioni fornite dalla medesima, come desumibili dagli atti di causa, nonché Pt_1 dalla querela sporta dall'odierna attrice (prodotta dalla convenuta) in data coeva ai fatti per cui è causa e dagli esiti dell'espletato interrogatorio formale della predetta (cfr. verbale in atti del 23 febbraio
2023).
Invero, deve ritenersi accertato che, in data 14 aprile 2021, la mentre si trovava sul posto Pt_1
di lavoro ovvero in ospedale - dove svolge la professione di medico anestesista - intorno alle ore 9:00 riceveva una notifica sull'applicazione della sua banca, recante il testo “ dispositivo anomalo CP_1 connesso”. La si limitava a leggere il testo del messaggio comparso sul display, non ritenendo, Pt_1
quindi, di dover tempestivamente contattare la sua filiale (dove peraltro lavorava la sorella, cfr. querela in atti) per segnalare la circostanza o di attivarsi in alcun modo, adducendo generici impegni sul posto di lavoro, nonostante le fossero poi arrivate ulteriori notifiche dello stesso messaggio e benché non avesse mai ricevuto prima di allora analoghe comunicazioni da parte della banca. Come già sopra riportato, nel corso della stessa mattinata, intorno alle 12:00, la riceveva più chiamate da un Pt_1
numero sconosciuto e, al terzo tentativo, si determinava a rispondere, quando una persona dalla voce maschile, presentatasi come “pubblico ufficiale dell'ufficio antitruffa della con sede in CP_1
Milano”, le aveva chiesto se avesse ricevuto sul proprio dispositivo una notifica di un nuovo dispositivo da connettere e perché non avesse inserito il codice OTP inviatole. Così, durante la conversazione, nel giro di pochi secondi, perveniva il codice OTP, seguito dall'invio di un banner in cui la provvedeva ad inserire detto codice, in quanto sollecitata in tal senso dall'interlocutore, Pt_1
il quale insisteva sul fatto che fosse l'unico modo per scongiurare la connessione del dispositivo anomalo. Seguiva poi l'emissione dei tre bonifici nei termini già sopra esposti.
In considerazione di tale ricostruzione dei fatti, si reputa che la condotta dell'odierna attrice appaia connotata da colpa grave, per aver confidato in comunicazioni e modalità segnate da apprezzabili profili di anomalia – nella specie, essere stata contattata da una persona che, senza declinare le proprie generalità, si è presentato come “pubblico ufficiale dell'ufficio antitruffa della con sede in CP_1
Milano” unitamente alla sollecitazione di inserire il codice OTP all'interno di un banner (così materializzandosi la pratica truffaldina di c.d. vishing ovvero di “phishing vocale”), posto il consueto utilizzo del riconoscimento facciale per accedere all'app della banca, come dichiarato dalla stessa attrice – e per aver quindi comunicato lei stessa a terzi le credenziali di sicurezza volte a comporre il sistema multifattoriale di autenticazione delle operazioni di pagamento adottato dall'intermediario e sopra descritto, sì da consentire di procedere all'esecuzione delle operazioni di pagamento disconosciute dall'odierna parte attrice. Al riguardo, è anche documentata l'avvenuta sottoscrizione, da pagina 6 di 8 parte della in data 12 settembre 2013, dell'impegno “a mantenere segreti e a custodire i Pt_1
predetti codici con la massima cura a riservatezza, con tutte le cautele indicate nella Guida e/o nel
Manuale e/o informazioni online, assumendosi le responsabilità previste dall'art. 4, comma 10, delle
“norme disciplinanti il contratto relativo al Servizio Multicanalità” ovvero relativo all'accesso all'home banking (cfr. doc. 4 allegato alla memoria ex art. 183, comma 6, n. 2, c.p.c. prodotta dalla convenuta).
Sul punto, anche i giudici di legittimità hanno precisato che non può dubitarsi del comportamento decisamente imprudente e negligente del danneggiato, il quale aveva digitato i propri codici personali, in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto del danneggiato (esclusa, nella specie, la restituzione delle somme prelevate da un conto corrente mediante bonifico online, atteso che la responsabilità era da addossarsi al danneggiato che aveva incautamente fornito i propri codici personali verosimilmente a causa di un'attività di phishing) (così, Cass., sez. I, 13 marzo 2023, n. 7214). Analoghe posizioni sono state espresse dall'ABF, avendo precisato che una volta che il sistema OTP sia stato chiaramente offerto al cliente e questi se ne sia avvalso, l'eventuale intrusione fraudolenta di un terzo soggetto debba ricadere nella pur ristretta area di rischio che la legge pone a carico dell'utente (ABF, Collegio di
Coordinamento, decisione n. 3498/2012).
Peraltro, la condotta negligente della correntista appare vieppiù apprezzabile in ragione dell'elevato grado di istruzione della predetta, in considerazione della professione dalla stessa svolta, unitamente alla circostanza che può ritenersi fatto notorio agli utilizzatori del servizio di home banking che l'istituto di credito non richiede all'utente le credenziali di accesso al servizio, stante anche la diffusione di campagne di informazione volte a mettere in guardia i correntisti dall'inserire le proprie credenziali bancarie in siti internet o dal rispondere a e-mail o telefonate apparentemente provenienti dalle banche. Sicché, si reputa che debba ritenersi gravemente negligente la condotta del correntista che inserisca le proprie credenziali (nel caso di specie in un banner) seguendo le istruzioni fornite a mezzo di e-mail, SMS o telefonate (come nel caso de quo), a meno che non ricorra una condotta fraudolenta attuata con tecniche particolarmente persuasive e insidiose;
modalità che, tuttavia, non appaiono sussistenti nel caso di specie, stante quanto sopra osservato in ordine all'anomalia delle comunicazioni e delle modalità intraprese da terzi nei confronti dell'odierna attrice.
Sulla scorta delle argomentazioni che precedono la domanda attorea deve essere conclusivamente rigettata, le medesime argomentazioni giustificando altresì il mancato accoglimento delle ulteriori articolate richieste istruttorie, irrilevanti ai fini della definizione del giudizio, nonché il mancato pagina 7 di 8 espletamento di CTU in ordine all'operatività del sistema di sicurezza predisposto dalla banca convenuta, in ragione di quanto già osservato sul punto.
5. In ordine alle spese di lite si reputa che la peculiarità delle questioni trattate, anche oggetto di diversificati orientamenti giurisprudenziali, giustifichi l'integrale compensazione delle spese di lite tra le parti.
P.Q.M.
Il Tribunale di CI, definitivamente pronunciando nella causa iscritta al n. 1071 del ruolo generale degli affari contenziosi dell'anno 2021, ogni diversa istanza ed eccezione disattesa o assorbita, così provvede:
- rigetta la domanda delle attrici e Parte_1 Parte_2
- spese compensate.
CI, 19 aprile 2024
Il giudice
Maria Rosaria Boncompagni
* Quanto alla data di deposito della presente sentenza si rappresenta la circostanza del malfunzionamento del servizio informatico “Consolle del Magistrato” determinato dal sopravvenuto fermo dei servizi informatici del settore civile dal 19 al 22 aprile 2024, come da comunicazione del
del 18 aprile 2024. Org_2
pagina 8 di 8
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE di LANCIANO nella persona del giudice Maria Rosaria Boncompagni, ha emesso la seguente
SENTENZA nella causa civile di I grado iscritta al n. 1071 del ruolo generale degli affari contenziosi dell'anno
2021, vertente tra
(C.F. e (C.F. Parte_1 C.F._1 Parte_2
), entrambe con il patrocinio dell'avv. Luigi Toppeta, elettivamente C.F._2
domiciliate in CI, alla via Piave n. 23, presso lo studio del difensore,
- Attrici
e
(C.F. ), in persona del procuratore speciale p.t., con il patrocinio Controparte_1 P.IVA_1 dell'avv. David Giuseppe Apolloni, elettivamente domiciliata in Roma, alla via Conca D'Oro n. 285, presso lo studio del difensore,
- Convenuta
Oggetto: responsabilità banca
Conclusioni: all'udienza del 28 settembre 2023 parte convenuta ha precisato le conclusioni come da note di trattazione scritta depositate in data 27 settembre 2023.
RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
1. Con atto di citazione ritualmente notificato, e hanno Parte_1 Parte_2 convenuto in giudizio la (di seguito anche “ ”), in persona del legale Controparte_1 CP_1
rappresentante p.t., al fine di accertarne la responsabilità contrattuale da inadempimento ex art. 1218
pagina 1 di 8 c.c. per violazione della diligenza professionale propria del banchiere ex art. 1176, comma 2, c.c., con particolare riferimento alle disposizioni di cui al d.lgs. n. 11/2010 (tra esse, segnatamente, gli artt. da 7
a 12), e per l'effetto condannare la convenuta alla restituzione dell'importo di 6.650,00 euro oltre interessi e risarcimento del danno. In via subordinata le attrici chiedevano la condanna dell'istituto di credito convenuto al pagamento di diversa somma ritenuta comunque dovuta e accertata a titolo di restituzioni e di risarcimento del danno.
A supporto della proposta domanda si è rappresentato che era titolare del conto Parte_1
corrente n. 2415122 presso la , filiale di CI, nonché contitolare, unitamente a sua madre, CP_1
del conto corrente n. 125721, acceso presso la medesima filiale. Parte_2
Ciò premesso, parte attrice ha esposto che la mattina del 14 aprile 2021, intorno alle ore 9:00, Pt_1 aveva ricevuto una notifica sull'app “smart home banking” della , con la quale veniva
[...] CP_1
avvisata di un nuovo dispositivo in connessione sulla medesima applicazione, seguita da due chiamate in successione alle quali la non rispondeva. La predetta aveva poi risposto ad una terza Pt_1
chiamata, nella quale una persona dalla voce maschile, presentatasi come “pubblico ufficiale dell'ufficio antitruffa della con sede in Milano”, le aveva chiesto se avesse ricevuto sul CP_1
proprio dispositivo una notifica di un nuovo dispositivo da connettere e perché non avesse inserito il codice OTP (“One Time Password”) da loro inviato. La aveva risposto di non aver visionato Pt_1
la notifica e, nel giro di pochi secondi, nel corso della conversazione, sulla predetta app giungeva il codice OTP che la provvedeva ad inserire nell'apposito spazio, in quanto sollecitata in tal Pt_1 senso dall'interlocutore, il quale insisteva sul fatto che fosse l'unico modo per scongiurare la connessione sul dispositivo anomalo. Successivamente, comparivano sulla app “smart home banking” alcune notifiche che segnalavano l'avvenuta emissione di tre bonifici istantanei dai predetti conti: il primo di importo pari a 1.900,00 euro, addebitato sul C/C 125721, il secondo di 4.750,00 euro, addebitato sul C/C 2415122, ed un terzo bonifico che la avvedutasi della truffa, provvedeva a Pt_1
bloccare, contattando l'istituto bancario e interloquendo con una dipendente della filiale di CI
). Le attrici rappresentavano che nei giorni precedenti alla truffa non avevano in alcun Org_1 modo fornito a terzi le credenziali di accesso allo “smart home banking” in modo diretto o indiretto.
Successivamente, all'esito di interlocuzioni con la banca, la stessa rendeva edotta parte attrice CP_1
che non avrebbe provveduto al rimborso delle somme oggetto dei bonifici in discorso, sostenendo la piena funzionalità dei propri sistemi di sicurezza e imputando l'accaduto ad una condotta incauta della concludendo, quindi, di essere esente da qualsivoglia responsabilità. Pt_1
pagina 2 di 8 Tanto premesso, le parti attrici, esperita con esito negativo la procedura di mediazione obbligatoria ex art. 5, comma 1bis, d.lgs n. 28/2010, incardinavano il presente giudizio, deducendo la violazione, da parte della conventa, dell'art. 8 del d.lgs. n. 11/2010, che impone al prestatore dei servizi di pagamento
l'obbligo di assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento, e dell'art. 12 del medesimo decreto, secondo cui il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o
l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento;
sul punto, la ha rappresentato di non aver avuto alcuna possibilità di Pt_1
comprendere in anticipo che si stava verificando una truffa ai suoi danni, posto che la notifica veniva inviata direttamente dall'app “smart home banking”, delineando una responsabilità ai sensi dell'art. 1176, comma 2, c.c. della banca.
2. Si è costituita in giudizio la , contestando tutte le circostanze di fatto ex adverso dedotte. In CP_1
particolare, in merito alle modalità con cui sono stati disposti i bonifici, la banca convenuta ha rilevato la negligenza della correntista, anche in considerazione del suo livello di istruzione, della illogica richiesta di effettuare due bonifici, nonché della natura sospetta della chiamata. Inoltre, la banca ha evidenziato che i frodatori avevano avuto modo di entrare nella disponibilità della piattaforma a causa del comportamento negligente della correntista, che inseriva le OTP necessarie a perfezionare la registrazione di un nuovo dispositivo dalla stessa non richiesta e autorizzava l'operazione con riconoscimento facciale, in violazione, peraltro, del contratto di servizio di internet banking sottoscritto con . CP_1
In secondo luogo, parte convenuta ha dedotto il perfetto funzionamento del sistema di autenticazione “forte” c.d. a due fattori (c.d. SCA ovvero “Strong Customer Authentication”), verificato anche a seguito di istruttoria interna, e, dunque, l'esclusione di ogni responsabilità. Più nel dettaglio, detto sistema contempla il previo accesso sull'applicazione, mediante inserimento del cosiddetto smart pin ovvero autenticazione con impronta digitale o riconoscimento facciale (Touch ID
e Face ID) – quest'ultimo usualmente utilizzato dalla come da lei stessa dedotto – e, di Pt_1
seguito, l'inserimento nell'apposita app del codice di verifica OTP, inviato al correntista.
Infine, parte convenuta ha allegato la violazione, da parte della correntista, dell'art. 7 del d.lgs. n.
11/2020, relativo alla diligente custodia dei dispositivi personalizzati che consentono l'utilizzo dello strumento di pagamento, quali tessere materiali ed OTP, nonché agli obblighi di custodia dei codici di accesso al servizio di multicanalità, a cui la era tenuta in forza del contratto avente oggetto il Pt_1
servizio di internet banking di . CP_1
pagina 3 di 8 In subordine, parte convenuta ha chiesto riconoscersi il concorso di colpa, nell'ipotesi di accoglimento della domanda attorea.
3. Assegnati i termini ex art. 183, comma 6, c.p.c., questo giudice, con ordinanza del 7 gennaio
2023, ha disposto l'interrogatorio formale di e, di seguito, con ordinanza del 27 Parte_1
febbraio 2023, ritenuta la causa matura per la decisione, ha fissato l'udienza di precisazione delle conclusioni, poi svoltasi nelle forme di cui all'art. 127ter c.p.c., ovvero mediante il deposito in telematico, da parte dei difensori delle parti, di sintetiche note scritte, contenenti le sole istanze e conclusioni relative agli adempimenti processuali previsti.
Rilevata la comparizione della parte convenuta a mezzo di deposito telematico delle predette note e preso atto delle conclusioni ivi rassegnate, con ordinanza del 2 ottobre 2023 questo giudice ha assegnato i termini di cui all'art. 190 c.p.c. e trattenuto la causa in decisione.
4. La domanda di parte attrice deve essere rigettata.
Preliminarmente, è opportuno evidenziare che, secondo costante giurisprudenza di legittimità, nel nostro ordinamento, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno o per l'adempimento deve provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi ad allegare la circostanza dell'inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo dell'altrui pretesa, costituito dall'avvenuto adempimento (v., ad es., Cass. 20 gennaio 2015, n. 826) ovvero dall'impossibilità della prestazione derivante da causa a lui non imputabile. Tale principio generale ha trovato una specificazione, con riguardo all'utilizzazione di servizi e strumenti con funzione di pagamento, che si avvalgono di mezzi meccanici o elettronici in quanto la responsabilità contrattuale ascrivibile all'istituto bancario ha natura tecnica (Cass., sez. I, 12 giugno 2007, n. 13777; cfr. anche Cass., sez. I,
19 gennaio 2016, n. 806). Più nello specifico, si è ritenuto che non può essere omessa (...) la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire la sicurezza del servizio
(...); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere (Cass., sez. I, 3 febbraio 2017, n. 2950). Ciò posto, i giudici di legittimità hanno ulteriormente precisato che nell'ambito del rapporto di conto corrente, con modalità telematiche, tale regula juris declina la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente (Cass.,
pagina 4 di 8 sez. I, 20 maggio 2022, n. 16417). Sicché, oltre all'adozione di tutti i sistemi di sicurezza ragionevolmente esigibili, posti a carico dell'Istituto di credito, occorre altresì la dimostrazione, da parte della banca, di una colpa grave dell'utente per non aver utilizzato correttamente lo strumento di pagamento elettronico o per non aver protetto le credenziali di accesso al sistema. Per vero, è lo stesso art. 10 del d.lgs. n. 11/2010 a prevedere che, qualora l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che la stessa non ha subito le conseguenze di un malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. In caso di disconoscimento della transazione da parte del cliente, inoltre, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi non sarebbe di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di utilizzo conforme alle regole o di segnalazione di anomalia.
Ciò premesso, quanto all'autenticazione delle operazioni in contestazione, occorre avere riguardo, anzitutto, alla documentazione prodotta dall'istituto di credito convenuto, oltre che alle allegazioni delle stesse parti, da cui si desume la natura multifattoriale del sistema di autenticazione delle operazioni di pagamento adottato dall'intermediario convenuto nei termini già sopra descritti, in conformità a quanto richiesto dall'art. 10bis del d.lgs. n. 11/2010, in forza del quale “i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente”. Trattasi, per vero, di sistema ritenuto particolarmente sicuro anche dall'ABF (Arbitro Bancario e Finanziario), sostenendo la “pressoché invulnerabilità del sistema “a due fattori” tale da fondare la presunzione di una colpa grave in capo al cliente, consistente nel non aver custodito con la dovuta diligenza i dispositivi personali necessari per
l'utilizzo del sistema di pagamento” (ex multis, ABF, Collegio di Milano, 12 gennaio 2017, n. 142).
In ogni caso, a supporto dell'allegata circostanza di corretta autenticazione delle operazioni contestate, la banca convenuta ha prodotto evidenza del log, ossia della relativa tracciatura informatica, unitamente ad una relazione tecnica illustrativa, in cui si dà anche atto del mancato riscontro di attacchi informatici ovvero di frodi massive a danno degli utenti dell'home banking nell'arco temporale in cui si collocano i fatti per cui è processo;
documentazione rispetto alla quale parte attrice ha peraltro formulato contestazioni del tutto generiche.
Quanto all'ulteriore profilo della condotta tenuta dalla correntista in occasione dell'esecuzione delle Par operazioni contestate, il Tribunale ritiene che la stessa sia segnata da colpa grave ascrivibile alla pagina 5 di 8 sulla scorta delle allegazioni fornite dalla medesima, come desumibili dagli atti di causa, nonché Pt_1 dalla querela sporta dall'odierna attrice (prodotta dalla convenuta) in data coeva ai fatti per cui è causa e dagli esiti dell'espletato interrogatorio formale della predetta (cfr. verbale in atti del 23 febbraio
2023).
Invero, deve ritenersi accertato che, in data 14 aprile 2021, la mentre si trovava sul posto Pt_1
di lavoro ovvero in ospedale - dove svolge la professione di medico anestesista - intorno alle ore 9:00 riceveva una notifica sull'applicazione della sua banca, recante il testo “ dispositivo anomalo CP_1 connesso”. La si limitava a leggere il testo del messaggio comparso sul display, non ritenendo, Pt_1
quindi, di dover tempestivamente contattare la sua filiale (dove peraltro lavorava la sorella, cfr. querela in atti) per segnalare la circostanza o di attivarsi in alcun modo, adducendo generici impegni sul posto di lavoro, nonostante le fossero poi arrivate ulteriori notifiche dello stesso messaggio e benché non avesse mai ricevuto prima di allora analoghe comunicazioni da parte della banca. Come già sopra riportato, nel corso della stessa mattinata, intorno alle 12:00, la riceveva più chiamate da un Pt_1
numero sconosciuto e, al terzo tentativo, si determinava a rispondere, quando una persona dalla voce maschile, presentatasi come “pubblico ufficiale dell'ufficio antitruffa della con sede in CP_1
Milano”, le aveva chiesto se avesse ricevuto sul proprio dispositivo una notifica di un nuovo dispositivo da connettere e perché non avesse inserito il codice OTP inviatole. Così, durante la conversazione, nel giro di pochi secondi, perveniva il codice OTP, seguito dall'invio di un banner in cui la provvedeva ad inserire detto codice, in quanto sollecitata in tal senso dall'interlocutore, Pt_1
il quale insisteva sul fatto che fosse l'unico modo per scongiurare la connessione del dispositivo anomalo. Seguiva poi l'emissione dei tre bonifici nei termini già sopra esposti.
In considerazione di tale ricostruzione dei fatti, si reputa che la condotta dell'odierna attrice appaia connotata da colpa grave, per aver confidato in comunicazioni e modalità segnate da apprezzabili profili di anomalia – nella specie, essere stata contattata da una persona che, senza declinare le proprie generalità, si è presentato come “pubblico ufficiale dell'ufficio antitruffa della con sede in CP_1
Milano” unitamente alla sollecitazione di inserire il codice OTP all'interno di un banner (così materializzandosi la pratica truffaldina di c.d. vishing ovvero di “phishing vocale”), posto il consueto utilizzo del riconoscimento facciale per accedere all'app della banca, come dichiarato dalla stessa attrice – e per aver quindi comunicato lei stessa a terzi le credenziali di sicurezza volte a comporre il sistema multifattoriale di autenticazione delle operazioni di pagamento adottato dall'intermediario e sopra descritto, sì da consentire di procedere all'esecuzione delle operazioni di pagamento disconosciute dall'odierna parte attrice. Al riguardo, è anche documentata l'avvenuta sottoscrizione, da pagina 6 di 8 parte della in data 12 settembre 2013, dell'impegno “a mantenere segreti e a custodire i Pt_1
predetti codici con la massima cura a riservatezza, con tutte le cautele indicate nella Guida e/o nel
Manuale e/o informazioni online, assumendosi le responsabilità previste dall'art. 4, comma 10, delle
“norme disciplinanti il contratto relativo al Servizio Multicanalità” ovvero relativo all'accesso all'home banking (cfr. doc. 4 allegato alla memoria ex art. 183, comma 6, n. 2, c.p.c. prodotta dalla convenuta).
Sul punto, anche i giudici di legittimità hanno precisato che non può dubitarsi del comportamento decisamente imprudente e negligente del danneggiato, il quale aveva digitato i propri codici personali, in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto del danneggiato (esclusa, nella specie, la restituzione delle somme prelevate da un conto corrente mediante bonifico online, atteso che la responsabilità era da addossarsi al danneggiato che aveva incautamente fornito i propri codici personali verosimilmente a causa di un'attività di phishing) (così, Cass., sez. I, 13 marzo 2023, n. 7214). Analoghe posizioni sono state espresse dall'ABF, avendo precisato che una volta che il sistema OTP sia stato chiaramente offerto al cliente e questi se ne sia avvalso, l'eventuale intrusione fraudolenta di un terzo soggetto debba ricadere nella pur ristretta area di rischio che la legge pone a carico dell'utente (ABF, Collegio di
Coordinamento, decisione n. 3498/2012).
Peraltro, la condotta negligente della correntista appare vieppiù apprezzabile in ragione dell'elevato grado di istruzione della predetta, in considerazione della professione dalla stessa svolta, unitamente alla circostanza che può ritenersi fatto notorio agli utilizzatori del servizio di home banking che l'istituto di credito non richiede all'utente le credenziali di accesso al servizio, stante anche la diffusione di campagne di informazione volte a mettere in guardia i correntisti dall'inserire le proprie credenziali bancarie in siti internet o dal rispondere a e-mail o telefonate apparentemente provenienti dalle banche. Sicché, si reputa che debba ritenersi gravemente negligente la condotta del correntista che inserisca le proprie credenziali (nel caso di specie in un banner) seguendo le istruzioni fornite a mezzo di e-mail, SMS o telefonate (come nel caso de quo), a meno che non ricorra una condotta fraudolenta attuata con tecniche particolarmente persuasive e insidiose;
modalità che, tuttavia, non appaiono sussistenti nel caso di specie, stante quanto sopra osservato in ordine all'anomalia delle comunicazioni e delle modalità intraprese da terzi nei confronti dell'odierna attrice.
Sulla scorta delle argomentazioni che precedono la domanda attorea deve essere conclusivamente rigettata, le medesime argomentazioni giustificando altresì il mancato accoglimento delle ulteriori articolate richieste istruttorie, irrilevanti ai fini della definizione del giudizio, nonché il mancato pagina 7 di 8 espletamento di CTU in ordine all'operatività del sistema di sicurezza predisposto dalla banca convenuta, in ragione di quanto già osservato sul punto.
5. In ordine alle spese di lite si reputa che la peculiarità delle questioni trattate, anche oggetto di diversificati orientamenti giurisprudenziali, giustifichi l'integrale compensazione delle spese di lite tra le parti.
P.Q.M.
Il Tribunale di CI, definitivamente pronunciando nella causa iscritta al n. 1071 del ruolo generale degli affari contenziosi dell'anno 2021, ogni diversa istanza ed eccezione disattesa o assorbita, così provvede:
- rigetta la domanda delle attrici e Parte_1 Parte_2
- spese compensate.
CI, 19 aprile 2024
Il giudice
Maria Rosaria Boncompagni
* Quanto alla data di deposito della presente sentenza si rappresenta la circostanza del malfunzionamento del servizio informatico “Consolle del Magistrato” determinato dal sopravvenuto fermo dei servizi informatici del settore civile dal 19 al 22 aprile 2024, come da comunicazione del
del 18 aprile 2024. Org_2
pagina 8 di 8