TRIB
Sentenza 3 giugno 2025
Sentenza 3 giugno 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Monza, sentenza 03/06/2025, n. 1110 |
|---|---|
| Giurisdizione : | Trib. Monza |
| Numero : | 1110 |
| Data del deposito : | 3 giugno 2025 |
Testo completo
N. R.G. 864/2022
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Il Tribunale di Monza, Sezione Prima Civile, in composizione monocratica, nella persona del Giudice dott.ssa Cinzia Fallo, ha pronunciato la seguente
SENTENZA nella causa iscritta al numero 864/2022 Registro Generale affari contenziosi civili promossa da
, nato a [...] il [...] e residente in [...]
Pavoni, 10, (C.F.: ), rappresentato e difeso dagli Avv. ti CodiceFiscale_1
Ernesto Petti e Monica Cirillo ed elettivamente domiciliato preso l'Avv. Monica Cirillo, con studio in Torre Annunziata (NA) Corso Umberto, I n.47/E, come da giusta procura in atti
-attore nei confronti di
(codice fiscale, partita IVA e numero di iscrizione Controparte_1
nel Registro delle Imprese di Roma ), con Sede Legale e Direzione P.IVA_1
Generale in Roma, Viale Altiero Spinelli n. 30, in persona del Direttore della Direzione
Legale, Avv. , rappresentata e difesa dal Prof. Avv. Giovanni Maria CP_2
Riccio ed elettivamente domiciliata presso il suo studio in Roma, Via dei Barbieri, 6 come da giusta procura in atti;
-convenuta
Oggetto: contratti bancari- restituzione somme e risarcimento danni.
CONCLUSIONI DELLE PARTI
pagina 1 di 14 Per parte attrice (come da atto di citazione)
“Piaccia all'On.le Tribunale adito, reietta ogni contraria istanza, azione o pretesa, così provvedere:
- accertare e dichiarare che il convenuto è responsabile in virtù della normativa CP_3
sopra richiamata per le operazioni su descritte e mai effettuate e/o autorizzate dall'attore così come sopra specificato;
- per l'effetto condannare la banca convenuta, per i motivi su esposti, alla restituzione della somma di €. 8.000,00 oltre interessi e rivalutazione dal fatto al soddisfo, o in quelle somma che risulterà provata in corso di causa;
- in ogni caso accertare e dichiarare che la è responsabile ex. art. 15 e 31 CP_4
codice della privacy in relazione all'art. 2050 c.c. per le operazioni su descritte e mai effettuate e/o autorizzate dall'attore così come sopra specificato;
- per l'effetto condannare la convenuta alla restituzione della somma di euro €.
8.000,00, oltre interessi e rivalutazione dal fatto al soddisfo il tutto nei limiti di competenza dell'adito giudice.
- In via subordinata, dichiarare la responsabilità della per non avere adottato CP_1
tutte le cautele idonee atte ad evitare il danno subito dall'attore;
- In via ulteriormente gradata accertare e dichiarare che il convenuto è stato gravemente inadempiente agli obblighi contrattuali assunti e per l'effetto condannare lo stesso al pagamento della somma di euro €. 8.000,00 così come sopra specificata oltre interessi e rivalutazione dal fatto al.
- vittoria nelle spese e negli onorari di giudizio, con attribuzione ai sottoscritti difensori anticipatari.
Per parte convenuta (come da separato foglio di precisazione delle conclusioni depositato in data 20 gennaio 2025):
“Voglia il Tribunale adito, disattesa ogni istanza contraria o diversa, così giudicare:
pagina 2 di 14 - in via principale, respingere, perché infondate in fatto e in diritto, tutte le domande formulate da parte attrice per le ragioni dedotte nei precedenti scritti difensivi;
- in ogni caso, con vittoria di spese e competenze di causa.”
MOTIVI DELLA DECISIONE
Con atto di citazione depositato in data 4 febbraio 2022 l'attore premesso di essere titolare di un conto corrente n. 3843002125 acceso presso la Controparte_5
filiale di Pisa ha esposto:
[...]
Contro
- di aver ricevuto in data 29/6/2020 una e-mail proveniente apparentemente dalla con l'invito ad effettuare un collegamento ad un link ivi riportato per “necessarie verifiche”, intimandogli di confermare/fornire una serie di dati personali, quali il nome e cognome, la data di nascita, il codice fiscale, il telefono cellulare ed il proprio numero Contro cliente homebanking e che il medesimo, nella convinzione che fosse la a richiedere tali dati, procedeva nel senso richiesto, accedendo al suddetto link;
- il giorno successivo (30/6/2020), nell'effettuare un acquisto on-line si accorgeva che il codice OTP ricevuto dal mobile-token, necessario per effettuare l'acquisto, risultava
Contro errato e pertanto contattava il numero verde dai cui addetti apprendeva che erano stati disposti dal proprio conto corrente n.5 bonifici di 8.000,00 euro ciascuno verso un conto spagnolo, intestato a tal Per_1
- di avere disconosciuto le operazioni ed avere inoltrato denuncia querela nei confronti di ignoti;
- dei cinque bonifici solo uno solo andava a buon a buon fine e ciò per indisponibilità di fondi;
Contro
- a fronte della richiesta di riaccreditamento del bonifico di cui sopra, rigettava il reclamo dell'attore, con missiva del 13/8/2020, sostenendo che il link proveniva da un mittente diverso da quello della Banca e che “l'autenticazione del titolare e
l'autorizzazione dell'operazione dispositiva sono avvenute tramite l'inserimento delle credenziali di sicurezza, compreso OTP, one time password, generata dal token in possesso al solo titolare, che è responsabile della sua custodia. Infatti, senza la corretta
pagina 3 di 14 digitazione del codice riservato non è possibile l'attivazione del Token, né tantomeno il perfezionamento della operazione dispositiva”; la Banca dichiarava inoltre che, in data
29/6/2020 e 30/6/2020, risultavano inviati al numero di telefono dello stesso Duca n.3 messaggi, due di attivazione di Mobile Token e uno di abbinamento della carta di debito a BNLPAY e negando, quindi, la richiesta di rimborso;
- di non avere mai ricevuto tali comunicazioni, prospettando che l'app che genera l'OTP normalmente associata allo smartphone dell'attore sia stata modificata e associata ad altro smartphone, senza che ciò fosse stato rilevato dall'attore né dalla Banca.
Ha pertanto affermato che la ricezione della mail apparentemente proveniente dalla Contro Banca ha ingenerato la convinzione che istituto informatizzato e che utilizza mezzi telematici di comunicazione dei dati, richiedesse i dati poi forniti dal medesimo.
Inoltre, ha sottolineato di non aver fornito alcun OTP durante l'operazione in narrativa, e di essere stato vittima del particolare tipo di truffa online denominato phishing, lamentando altresì il grave inadempimento dell'istituto di credito in forza dell'evidente carattere di anomalia delle operazioni contestate rispetto alla ordinaria operatività di conto corrente dell'attore, le quali non sono state rilevate e non sono intervenuti i c.d. sistemi automatici di blocco dell'operazione non in linea con l'operatività di conto corrente.
Ha evidenziato, altresì, che l'aver fornito sul sito fittizio della banca i propri dati personali non rileva essendo gli stessi reperibili facilmente in internet e che lo stesso numero cliente da solo non può bastare per accedere al conto, essendo necessario per le banche utilizzare il c.d. sistema di autenticazione forte, con almeno due fattori di autenticazione indipendenti tra loro.
Ha concluso, dunque, per l'affermazione di responsabilità contrattuale della banca, in quanto nel caso di operazioni effettuate con strumenti elettronici (home banking) spetta all'istituto verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell'accorto banchiere e nella fattispecie la stessa non ha utilizzato i sistemi di identificazione delle truffe offerti dalla tecnologia.
pagina 4 di 14 Afferma altresì che la responsabilità della banca è una forma di responsabilità oggettiva aggravata, in cui il prestatore del servizio, per andare esente da responsabilità deve non solo dimostrare di avere adottato tutte le misure idonee ad evitare il danno, ma è tenuto a fornire la prova positiva di una causa esterna.
Infine, ha affermato anche la sussistenza di una responsabilità extracontrattuale della banca, stante la permanenza in capo all'istituto della dimostrazione di aver adottato tutte le misure idonee ad evitare il danno, dovendo altresì garantire uno standard di sicurezza adeguato nell'effettuazione dei pagamenti, al fine di precludere l'accesso a soggetti non abilitati al sistema e qualificando altresì la responsabilità della banca per la captazione dei dati o codici dei correntisti come responsabilità civile per attività pericolose, ex art. 2050 c.c..
Ha chiesto, dunque, accertarsi la responsabilità della banca convenuta per le operazioni suindicate e mai effettuate/autorizzate dall'attore con conseguente condanna della stessa alla restituzione dell'importo di Euro 8000,00, oltre interessi e rivalutazione dal fatto al soddisfo.
Contro Con comparsa di costituzione e risposta si è costituita in giudizio in data
18/5/2022, rappresentando che, diversamente da quanto affermato dall'attore, i sistemi Contro di sicurezza di sono assolutamente sicuri ed inviolabili da parte di soggetti estranei al cliente, titolare del rapporto bancario, ma ciò a condizione che il cliente stesso non fornisca le proprie credenziali ai terzi, - in violazione degli obblighi di custodia e segretezza di credenziali e degli strumenti di sicurezza affidatigli con la conclusione del contratto di utilizzo dei servizi di home banking - consentendo così a questi ultimi di operare liberamente sui conti della clientela. dovendo nell'eventualità sopportare le perdite derivanti dalle operazioni di pagamento non autorizzate. Contro Ha affermato, altresì, che non è tenuta ad un generico ed incondizionato dovere di rimborso in favore del cliente che lamenti una sottrazione indebita delle somme dal proprio conto corrente, non gravando nessun obbligo di restituzione sulla banca in pagina 5 di 14 ordine alle operazioni di pagamento disconosciute, ma poste in essere utilizzando gli strumenti e le credenziali di sicurezza in possesso del correntista.
Contro ha evidenziato, infatti, di avere inviato, in data 29/6/2020, prima dell'esecuzione dei bonifici oggetto di contestazione, all'utenza telefonica intestata all'odierno attore i Contr seguenti messaggi: “Stai attivando il Mobile Token. Ricordati che il personale non te lo chiederà mai,quindi NON COMUNICARE A NESSUNO il codice riservato:******** info ****** ” e ““La tua carta di debito ******* è stata abbinata a
BNLPAY. Da ora puoi pagare quando vuoi dove vedi il simbolo contactless o il logo
BNLPAY.”.
Tale circostanza induce a ravvisare, per parte convenuta, il comportamento incauto dell'attore, il quale avrebbe consentito a soggetti terzi di entrare in possesso delle sue credenziali e di richiedere l'attivazione del mobile token.
Inoltre, la ricezione dei messaggi di attivazione del mobile token da parte del correntista ed il fatto che quest'ultimo abbia ritenuto di non dovere allertare la nonostante la CP_1
consapevolezza che qualcuno stava operando con il proprio home banking confermerebbe l'inadempimento da parte del cliente.
La precisa di aver implementato un sistema di autenticazione forte, che permette CP_1
l'accesso al servizio di home banking solo attraverso tecnologia multifattoriale, con inserimento simultaneo di password statiche già conosciute e dinamiche, generate al momento della richiesta dell'operazione bancaria.
Nel caso di specie non sarebbero emersi malfunzionamenti o compromissioni dei sistemi di banca, senza che alcun elemento idoneo a rilevare l'esistenza di condotte fraudolente Contro ad opera di terzi sia stato intercettato dai sistemi antifrode di visto anche lo storico delle operazioni registrate sul conto in data 29/6/2020 (doc.2 convenuto) e, pertanto, la convenuta non ritiene provato un utilizzo fraudolento degli strumenti di sicurezza messi a disposizione per l'esecuzione dei bonifici.
Al contempo ravvisa che sia stato lo stesso ad aver consegnato agli autori della Pt_1
frode i propri dati personali, seguendo istruzioni fornite via email da soggetti sconosciuti pagina 6 di 14 Contro e riconoscibili come estranei a utilizzando l'ordinaria diligenza, mentre la CP_1
non avrebbe violato alcuno degli obblighi a cui è tenuta in merito ai servizi di pagamento, anche in considerazione dell'avviso presente nel proprio sito internet relativo ai rischi delle frodi informatiche, né sarebbe provato il nesso eziologico tra il Contro nocumento patito dall'attore ed il comportamento di
Infine, ha osservato che parte attrice non ha prodotto la fonte negoziale o legale del diritto azionato, non avendo versato in atti alcuno dei contratti intercorsi tra le parti, né Contro ha dedotto quale sarebbe l'obbligo rispetto alla quale si è resa inadempiente.
Ha chiesto, pertanto, il rigetto delle domande attoree in quanto infondate in fatto e in diritto.
Alla prima udienza fissata per la data del 19 maggio 2022 le parti chiedevano un rinvio ed all'udienza successiva venivano concessi i termini di cui all'art. 183, VI comma,
c.p.c..
All'udienza fissata per gli incombenti di cui all'art. 184 c.p.c., in data 23 maggio 2023, il Giudice, nelle more mutato nella persona fisica, si riservava e con ordinanza datata
05.07.2023, rigettate le istanze istruttorie e ritenuta la causa matura per la decisione fissava udienza di precisazione delle conclusioni per la data del 27 febbraio 2024.
In tale data il legale di parte attrice chiedeva la revoca dell'ordinanza suindicata, insistendo nell'istanza ex art. 210 c.p.c., anche al fine di consentire la produzione in giudizio di apporti giurisprudenziali sopravvenuti all'instaurazione della causa e, come richiesto dai legali, venivano concessi termini per il deposito di memorie autorizzate sul punto e per consentire la corretta instaurazione del contraddittorio.
Con successiva ordinanza motivata, l'istanza è stata rigettata ed è stata fissata nuovamente udienza di precisazione delle conclusioni per la data del 23 gennaio 2025, all'esito della quale, sulle conclusioni delle parti, come precisate in epigrafe, la causa è stata trattenuta in decisione con concessione dei termini ex art. 190 c.p.c..
*****
pagina 7 di 14 In via preliminare deve rilevarsi che il rapporto di conto corrente intercorso tra le parti in causa e l'accessorio servizio di home banking devono essere inquadrati nei termini di un rapporto contrattuale;
la giurisprudenza di legittimità (ex multis Cass. 13204/2023) è granitica nel ritenere che “in tema di responsabilità della banca, ovvero dell'erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema
(il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento - prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente - la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo: ne consegue che, anche prima dell'entrata in vigore del D .Lgs. n. 11 del 2010, attuativo della Dir. n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno,
l'erogatore di servizi, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuto a fornire la prova della riconducibilità dell'operazione al cliente”.
Da questo assunto deve affermarsi la necessità che permanga in capo al prestatore del servizio di pagamento l'onere di provare la riconducibilità dell'operazione al cliente;
la stessa Corte di Cassazione, con sentenza a Sezioni Unite n. 3780/2024 ha stabilito che
“la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo”.
Allo stesso modo la Suprema Corte con sentenza n.18045/19 ha statuito che “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente
pagina 8 di 14 mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente”.
Parte attrice ha affermato la responsabilità della per non aver adottato misure di CP_1
sicurezza adeguate ad impedire l'evento e per non avere tempestivamente bloccato le operazioni dispositive, oltre a non aver provveduto al rimborso della somma in contestazione.
Parte convenuta ha affermato che il servizio di home banking collegato al conto corrente di cui è titolare consente al cliente di operare sul conto corrente personale Parte_1
a lui riferibile, utilizzando il telefono cellulare o la rete internet. Contro L'accesso all'home banking di è possibile tramite apposita app o dal sito BNL.it, tramite l'utilizzo di una combinazione di fattori statici quali il PIN noto al solo cliente e dinamici, quali il codice OTP (One Time Password), ossia una password a tempo, valida per un solo utilizzo che viene generata in modo silente dal mobile token integrato Contro nell'app che il cliente ha attivato sullo strumento che intende utilizzare.
L'attivazione del mobile token è possibile esclusivamente attraverso la digitazione delle credenziali di sicurezza (numero cliente e PIN) e del codice OTP inviato via sms al telefono cellulare collegato all'home banking, indipendentemente dall'adesione al servizio di sms alert. Contro Ha precisato che l'accesso all'home banking tramite app è possibile attraverso un sistema di autenticazione che prevede:
- l'inserimento delle credenziali di sicurezza (numero cliente e codice PIN) e del codice
OTP, generato da mobile token integrato nell'app, per effettuare login e operazioni di inquiry;
- l'inserimento del PIN e del codice OTP generato dal mobile token, per effettuare le operazioni dispositive dopo aver eseguito il login. Contro
E che l'accesso all'home banking tramite il sito internet prevede:
pagina 9 di 14 - - l'inserimento delle credenziali di sicurezza (numero cliente e codice PIN) e del codice OTP, per effettuare log-in e operazioni di inquiry; anche in questo caso, il codice
Contro OTP è generato da mobile token integrato nell'app che il cliente deve aver attivato sul proprio smartphone o tablet. Nell'operatività da sito BNL.it il codice OTP deve essere autorizzato dal cliente tramite la notifica push che riceve sul proprio dispositivo, notifica su cui dovrà cliccare e autorizzare tramite l'inserimento del codice PIN o tramite touchID o faceID;
- per disporre le operazioni, eseguito il log-in come al punto che precede, è necessario inserire l'operazione di pagamento e confermarla tramite il sistema della notifica push pervenuta sul dispositivo del cliente. Anche in questo caso, ricevuta la notifica push, questa dovrà essere cliccata e autorizzata attraverso l'inserimento del codice PIN o tramite touchID o faceID del cliente, da cui la generazione da mobile token integrato Contro nell'app del codice OTP.
Ha prodotto in giudizio ed ha descritto le procedure utilizzate per autenticare il proprio cliente e i requisiti necessari per accedere ai servizi messi a disposizione, compresi quelli per effettuare le operazioni in narrativa, nonché i c.d. log relativi alle operazioni contestate, disconosciute dall'attore e la registrazione degli invii di sms all'utenza telefonica intestata al per l'attivazione del mobile token. Pt_1
Con riguardo all'attività registrata dalla banca in data 29/6/2020, si riscontra l'accesso Contro alle tramite Pin per mezzo dell'app con un device (smartphone) che Pt_2
l'odierno attore non disconosce come proprio, benché lamenti di essere stato vittima oltre che di phishing, della c.d. truffa “sim swap”. Di tale procedura, peraltro, non si ha alcuna evidenza concreta, né risulta dalle denunce allegate il sospetto da parte dell'attore di questa ulteriore ipotesi.
L'articolo 10 bis D.lgs 11/2010 prevede, in tema di autenticazione e di misure di sicurezza, che i prestatori di servizi di pagamento applichino l'autenticazione forte del cliente quando l'utente accede al suo conto di pagamento online, dispone un'operazione di pagamento elettronico, effettua qualsiasi azione, tramite un canale a distanza, che può
pagina 10 di 14 comportare un rischio di frode nei pagamenti o altri abusi, prescrivendo, altresì, al secondo comma del medesimo articolo, che nel caso di avvio di un'operazione di pagamento di cui al par.1 lett. B), l'autenticazione forte del cliente comprende elementi che colleghino in maniera dinamica l'operazione a uno specifico importo e a un beneficiario specifico.
Il concetto di “autenticazione forte” trova la propria definizione all'art. 1, comma 1, lett.
Q bis) d.lgs. n. 11/2010 (lettera introdotta dal d.lgs. n. 218/2017): “un'autenticazione basata sull'uso di due o più elementi, classificati nelle categorie della conoscenza
(qualcosa che solo l'utente conosce), del possesso (qualcosa che solo l'utente possiede) e dell'inerenza (qualcosa che caratterizza l'utente), che sono indipendenti, in quanto la violazione di uno non compromette l'affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.
Da ciò si evince che la banca ha effettuato, per l'attivazione del mobile token e da un punto di vista tecnico, l'autenticazione a due fattori c.d. forte grazie alla comunicazione tempestiva al numero di telefono prestabilito, di una password temporanea (OTP) e perciò con sistema dinamico, come richiesto dalla normativa nazionale ed europea, in particolare dall'art. 10 bis del D. lgs 11/2010 in attuazione della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno;
lo stesso vale per le operazioni di bonifico successive, laddove risulta eseguita la verifica due fattori con OTP da mobile token e l'utilizzo dell'impronta digitale secondo i parametri della “Strong Customer
Authentication” o SCA.
Con riguardo alla fase prodromica rispetto alle operazioni descritte, ossia l'accesso con Contro il PIN all'app deve rilevarsi che tale codice dovrebbe essere custodito con la dovuta diligenza dal suo possessore, ossia il cliente dell'istituto finanziario.
Invero, le condizioni generali previste dalla banca, in merito alle norme e caratteristiche del servizio che regola i rapporti a distanza tra banca e cliente, statuiscono ex art. 3
(rubricato “strumenti di sicurezza, cautele nell'utilizzo degli stessi e riconoscimento del
Cliente”) che la Banca consegna al Cliente gli strumenti di sicurezza necessari per pagina 11 di 14 accedere ai Servizi, attraverso la cui esclusiva verifica il Cliente viene identificato, precisando che questi devono rimanere di uso strettamente personale del Cliente che non può cederli a terzi. Il contratto recita altresì che “in ogni caso il Cliente sopporta tutte le perdite derivanti dalle operazioni di pagamento non autorizzate, senza il limite dei 150 euro, se ha agito in modo fraudolento o, con dolo o colpa grave, non ha utilizzato gli strumenti di sicurezza in conformità a questo contratto…”.
Va inoltre rilevato che l'autenticazione del cliente per l'accesso al servizio di home banking tramite app soddisfa il requisito di autenticazione a due fattori, essendo necessario non solo l'inserimento di credenziali quali il corretto PIN (fattore di c.d. conoscenza), ma anche l'uso del proprio smartphone (c.d. possesso) abbinato all'app, di talché può dirsi anche in questo caso rispettato lo standard a due fattori forte, composto cioè da due elementi indipendenti tra loro.
Come emerge dalla lettura degli atti di causa, la stessa parte attrice ammette di aver comunicato alcuni dati che lo riguardavano, compreso il proprio codice identificativo
Contro
Contro relativo all'utenza ed ha depositato e-mail di apparente provenienza la denuncia presentata e la successiva integrazione a seguito della ricezione di un seconda e-mail, dello stesso tenore della prima, ma proveniente da un diverso indirizzo telematico;
deve altresì rilevarsi che asserisce di aver comunicato il solo Parte_1
codice cliente, e non il PIN o altri elementi necessari per effettuare l'accesso al servizio di cui trattasi, mentre il log della banca relativo alle operazioni del 29/6/2020 rileva, come da prassi, l'accesso con Pin tramite BNL App.
Dall'esame della documentazione prodotta dalla stessa parte attrice emerge che se, da un lato, effettivamente il contenuto della e-mail in questione potesse rassomigliare ad un contenuto “autentico” di provenienza dell'istituto di credito, è altresì evidente che l'indirizzo da cui proveniva la stessa e-mail in nessun modo poteva essere riconducibile all'istituto, dovendo in tal senso riconoscersi un profilo di colpa in capo al cliente che ha fornito i propri dati a terzi estranei alla Banca con la quale intratteneva un rapporto. Ciò rileva anche con riguardo a profili di violazione degli obblighi sul cliente/correntista, il pagina 12 di 14 quale attivamente deve vigilare sulla custodia dei fattori in autenticazione in suo possesso.
Pertanto, anche con riferimento all'orientamento espresso dalla Suprema Corte e sopra Contro esposto, risulta avere assolto al proprio onere probatorio in merito all'identificazione del Cliente, nel rispetto degli standard di sicurezza prescritti.
I bonifici ordinati dall'utente, benché di importo elevato e a distanza ravvicinata, non potevano che risultare, per la come riconducibili alla volontà del cliente per CP_1
come predisposti, non essendo pertanto rinvenibili elementi a supporto della tesi di carenza degli standard di sicurezza o riconducibili a responsabilità della convenuta ex art. 2050 c.c. come prospettati da parte attrice. Contro Pertanto, dato l'assolvimento dell'onere della prova in capo a il comportamento di parte attrice deve qualificarsi, stante il disconoscimento dell'operazione contestata, in virtù dei fatti dedotti e sulla base di quanto allegato, in termini di colpa grave per omessa custodia dei propri codici di sicurezza, non potendo pertanto esigere che sia sopportato dall'istituto di credito il riaccredito dell'importo richiesto.
Ne consegue, alla stregua delle suesposte considerazioni il rigetto della domanda formulata da parte attrice.
Le spese di lite seguono la soccombenza e si liquidano nella misura direttamente determinata in dispositivo, tenuto conto, quanto agli onorari, del valore della causa e dell'attività difensiva effettivamente prestata.
P.Q.M.
Il Tribunale, definitivamente pronunciando, sulla domanda proposta da , Parte_1
con atto di citazione avverso , ogni diversa istanza ed CP_1 Controparte_1
eccezione disattesa o assorbita, così dispone:
1. rigetta la domanda formulata dall' attore;
pagina 13 di 14 2. condanna a rifondere a le spese di Parte_1 Controparte_1
lite, liquidate in Euro 2.500, oltre 15% per rimborso forfettario spese generali, oneri e accessori di legge se dovuti.
Monza, 29 maggio 2025
Il Giudice
Dott.ssa Cinzia Fallo
pagina 14 di 14
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Il Tribunale di Monza, Sezione Prima Civile, in composizione monocratica, nella persona del Giudice dott.ssa Cinzia Fallo, ha pronunciato la seguente
SENTENZA nella causa iscritta al numero 864/2022 Registro Generale affari contenziosi civili promossa da
, nato a [...] il [...] e residente in [...]
Pavoni, 10, (C.F.: ), rappresentato e difeso dagli Avv. ti CodiceFiscale_1
Ernesto Petti e Monica Cirillo ed elettivamente domiciliato preso l'Avv. Monica Cirillo, con studio in Torre Annunziata (NA) Corso Umberto, I n.47/E, come da giusta procura in atti
-attore nei confronti di
(codice fiscale, partita IVA e numero di iscrizione Controparte_1
nel Registro delle Imprese di Roma ), con Sede Legale e Direzione P.IVA_1
Generale in Roma, Viale Altiero Spinelli n. 30, in persona del Direttore della Direzione
Legale, Avv. , rappresentata e difesa dal Prof. Avv. Giovanni Maria CP_2
Riccio ed elettivamente domiciliata presso il suo studio in Roma, Via dei Barbieri, 6 come da giusta procura in atti;
-convenuta
Oggetto: contratti bancari- restituzione somme e risarcimento danni.
CONCLUSIONI DELLE PARTI
pagina 1 di 14 Per parte attrice (come da atto di citazione)
“Piaccia all'On.le Tribunale adito, reietta ogni contraria istanza, azione o pretesa, così provvedere:
- accertare e dichiarare che il convenuto è responsabile in virtù della normativa CP_3
sopra richiamata per le operazioni su descritte e mai effettuate e/o autorizzate dall'attore così come sopra specificato;
- per l'effetto condannare la banca convenuta, per i motivi su esposti, alla restituzione della somma di €. 8.000,00 oltre interessi e rivalutazione dal fatto al soddisfo, o in quelle somma che risulterà provata in corso di causa;
- in ogni caso accertare e dichiarare che la è responsabile ex. art. 15 e 31 CP_4
codice della privacy in relazione all'art. 2050 c.c. per le operazioni su descritte e mai effettuate e/o autorizzate dall'attore così come sopra specificato;
- per l'effetto condannare la convenuta alla restituzione della somma di euro €.
8.000,00, oltre interessi e rivalutazione dal fatto al soddisfo il tutto nei limiti di competenza dell'adito giudice.
- In via subordinata, dichiarare la responsabilità della per non avere adottato CP_1
tutte le cautele idonee atte ad evitare il danno subito dall'attore;
- In via ulteriormente gradata accertare e dichiarare che il convenuto è stato gravemente inadempiente agli obblighi contrattuali assunti e per l'effetto condannare lo stesso al pagamento della somma di euro €. 8.000,00 così come sopra specificata oltre interessi e rivalutazione dal fatto al.
- vittoria nelle spese e negli onorari di giudizio, con attribuzione ai sottoscritti difensori anticipatari.
Per parte convenuta (come da separato foglio di precisazione delle conclusioni depositato in data 20 gennaio 2025):
“Voglia il Tribunale adito, disattesa ogni istanza contraria o diversa, così giudicare:
pagina 2 di 14 - in via principale, respingere, perché infondate in fatto e in diritto, tutte le domande formulate da parte attrice per le ragioni dedotte nei precedenti scritti difensivi;
- in ogni caso, con vittoria di spese e competenze di causa.”
MOTIVI DELLA DECISIONE
Con atto di citazione depositato in data 4 febbraio 2022 l'attore premesso di essere titolare di un conto corrente n. 3843002125 acceso presso la Controparte_5
filiale di Pisa ha esposto:
[...]
Contro
- di aver ricevuto in data 29/6/2020 una e-mail proveniente apparentemente dalla con l'invito ad effettuare un collegamento ad un link ivi riportato per “necessarie verifiche”, intimandogli di confermare/fornire una serie di dati personali, quali il nome e cognome, la data di nascita, il codice fiscale, il telefono cellulare ed il proprio numero Contro cliente homebanking e che il medesimo, nella convinzione che fosse la a richiedere tali dati, procedeva nel senso richiesto, accedendo al suddetto link;
- il giorno successivo (30/6/2020), nell'effettuare un acquisto on-line si accorgeva che il codice OTP ricevuto dal mobile-token, necessario per effettuare l'acquisto, risultava
Contro errato e pertanto contattava il numero verde dai cui addetti apprendeva che erano stati disposti dal proprio conto corrente n.5 bonifici di 8.000,00 euro ciascuno verso un conto spagnolo, intestato a tal Per_1
- di avere disconosciuto le operazioni ed avere inoltrato denuncia querela nei confronti di ignoti;
- dei cinque bonifici solo uno solo andava a buon a buon fine e ciò per indisponibilità di fondi;
Contro
- a fronte della richiesta di riaccreditamento del bonifico di cui sopra, rigettava il reclamo dell'attore, con missiva del 13/8/2020, sostenendo che il link proveniva da un mittente diverso da quello della Banca e che “l'autenticazione del titolare e
l'autorizzazione dell'operazione dispositiva sono avvenute tramite l'inserimento delle credenziali di sicurezza, compreso OTP, one time password, generata dal token in possesso al solo titolare, che è responsabile della sua custodia. Infatti, senza la corretta
pagina 3 di 14 digitazione del codice riservato non è possibile l'attivazione del Token, né tantomeno il perfezionamento della operazione dispositiva”; la Banca dichiarava inoltre che, in data
29/6/2020 e 30/6/2020, risultavano inviati al numero di telefono dello stesso Duca n.3 messaggi, due di attivazione di Mobile Token e uno di abbinamento della carta di debito a BNLPAY e negando, quindi, la richiesta di rimborso;
- di non avere mai ricevuto tali comunicazioni, prospettando che l'app che genera l'OTP normalmente associata allo smartphone dell'attore sia stata modificata e associata ad altro smartphone, senza che ciò fosse stato rilevato dall'attore né dalla Banca.
Ha pertanto affermato che la ricezione della mail apparentemente proveniente dalla Contro Banca ha ingenerato la convinzione che istituto informatizzato e che utilizza mezzi telematici di comunicazione dei dati, richiedesse i dati poi forniti dal medesimo.
Inoltre, ha sottolineato di non aver fornito alcun OTP durante l'operazione in narrativa, e di essere stato vittima del particolare tipo di truffa online denominato phishing, lamentando altresì il grave inadempimento dell'istituto di credito in forza dell'evidente carattere di anomalia delle operazioni contestate rispetto alla ordinaria operatività di conto corrente dell'attore, le quali non sono state rilevate e non sono intervenuti i c.d. sistemi automatici di blocco dell'operazione non in linea con l'operatività di conto corrente.
Ha evidenziato, altresì, che l'aver fornito sul sito fittizio della banca i propri dati personali non rileva essendo gli stessi reperibili facilmente in internet e che lo stesso numero cliente da solo non può bastare per accedere al conto, essendo necessario per le banche utilizzare il c.d. sistema di autenticazione forte, con almeno due fattori di autenticazione indipendenti tra loro.
Ha concluso, dunque, per l'affermazione di responsabilità contrattuale della banca, in quanto nel caso di operazioni effettuate con strumenti elettronici (home banking) spetta all'istituto verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell'accorto banchiere e nella fattispecie la stessa non ha utilizzato i sistemi di identificazione delle truffe offerti dalla tecnologia.
pagina 4 di 14 Afferma altresì che la responsabilità della banca è una forma di responsabilità oggettiva aggravata, in cui il prestatore del servizio, per andare esente da responsabilità deve non solo dimostrare di avere adottato tutte le misure idonee ad evitare il danno, ma è tenuto a fornire la prova positiva di una causa esterna.
Infine, ha affermato anche la sussistenza di una responsabilità extracontrattuale della banca, stante la permanenza in capo all'istituto della dimostrazione di aver adottato tutte le misure idonee ad evitare il danno, dovendo altresì garantire uno standard di sicurezza adeguato nell'effettuazione dei pagamenti, al fine di precludere l'accesso a soggetti non abilitati al sistema e qualificando altresì la responsabilità della banca per la captazione dei dati o codici dei correntisti come responsabilità civile per attività pericolose, ex art. 2050 c.c..
Ha chiesto, dunque, accertarsi la responsabilità della banca convenuta per le operazioni suindicate e mai effettuate/autorizzate dall'attore con conseguente condanna della stessa alla restituzione dell'importo di Euro 8000,00, oltre interessi e rivalutazione dal fatto al soddisfo.
Contro Con comparsa di costituzione e risposta si è costituita in giudizio in data
18/5/2022, rappresentando che, diversamente da quanto affermato dall'attore, i sistemi Contro di sicurezza di sono assolutamente sicuri ed inviolabili da parte di soggetti estranei al cliente, titolare del rapporto bancario, ma ciò a condizione che il cliente stesso non fornisca le proprie credenziali ai terzi, - in violazione degli obblighi di custodia e segretezza di credenziali e degli strumenti di sicurezza affidatigli con la conclusione del contratto di utilizzo dei servizi di home banking - consentendo così a questi ultimi di operare liberamente sui conti della clientela. dovendo nell'eventualità sopportare le perdite derivanti dalle operazioni di pagamento non autorizzate. Contro Ha affermato, altresì, che non è tenuta ad un generico ed incondizionato dovere di rimborso in favore del cliente che lamenti una sottrazione indebita delle somme dal proprio conto corrente, non gravando nessun obbligo di restituzione sulla banca in pagina 5 di 14 ordine alle operazioni di pagamento disconosciute, ma poste in essere utilizzando gli strumenti e le credenziali di sicurezza in possesso del correntista.
Contro ha evidenziato, infatti, di avere inviato, in data 29/6/2020, prima dell'esecuzione dei bonifici oggetto di contestazione, all'utenza telefonica intestata all'odierno attore i Contr seguenti messaggi: “Stai attivando il Mobile Token. Ricordati che il personale non te lo chiederà mai,quindi NON COMUNICARE A NESSUNO il codice riservato:******** info ****** ” e ““La tua carta di debito ******* è stata abbinata a
BNLPAY. Da ora puoi pagare quando vuoi dove vedi il simbolo contactless o il logo
BNLPAY.”.
Tale circostanza induce a ravvisare, per parte convenuta, il comportamento incauto dell'attore, il quale avrebbe consentito a soggetti terzi di entrare in possesso delle sue credenziali e di richiedere l'attivazione del mobile token.
Inoltre, la ricezione dei messaggi di attivazione del mobile token da parte del correntista ed il fatto che quest'ultimo abbia ritenuto di non dovere allertare la nonostante la CP_1
consapevolezza che qualcuno stava operando con il proprio home banking confermerebbe l'inadempimento da parte del cliente.
La precisa di aver implementato un sistema di autenticazione forte, che permette CP_1
l'accesso al servizio di home banking solo attraverso tecnologia multifattoriale, con inserimento simultaneo di password statiche già conosciute e dinamiche, generate al momento della richiesta dell'operazione bancaria.
Nel caso di specie non sarebbero emersi malfunzionamenti o compromissioni dei sistemi di banca, senza che alcun elemento idoneo a rilevare l'esistenza di condotte fraudolente Contro ad opera di terzi sia stato intercettato dai sistemi antifrode di visto anche lo storico delle operazioni registrate sul conto in data 29/6/2020 (doc.2 convenuto) e, pertanto, la convenuta non ritiene provato un utilizzo fraudolento degli strumenti di sicurezza messi a disposizione per l'esecuzione dei bonifici.
Al contempo ravvisa che sia stato lo stesso ad aver consegnato agli autori della Pt_1
frode i propri dati personali, seguendo istruzioni fornite via email da soggetti sconosciuti pagina 6 di 14 Contro e riconoscibili come estranei a utilizzando l'ordinaria diligenza, mentre la CP_1
non avrebbe violato alcuno degli obblighi a cui è tenuta in merito ai servizi di pagamento, anche in considerazione dell'avviso presente nel proprio sito internet relativo ai rischi delle frodi informatiche, né sarebbe provato il nesso eziologico tra il Contro nocumento patito dall'attore ed il comportamento di
Infine, ha osservato che parte attrice non ha prodotto la fonte negoziale o legale del diritto azionato, non avendo versato in atti alcuno dei contratti intercorsi tra le parti, né Contro ha dedotto quale sarebbe l'obbligo rispetto alla quale si è resa inadempiente.
Ha chiesto, pertanto, il rigetto delle domande attoree in quanto infondate in fatto e in diritto.
Alla prima udienza fissata per la data del 19 maggio 2022 le parti chiedevano un rinvio ed all'udienza successiva venivano concessi i termini di cui all'art. 183, VI comma,
c.p.c..
All'udienza fissata per gli incombenti di cui all'art. 184 c.p.c., in data 23 maggio 2023, il Giudice, nelle more mutato nella persona fisica, si riservava e con ordinanza datata
05.07.2023, rigettate le istanze istruttorie e ritenuta la causa matura per la decisione fissava udienza di precisazione delle conclusioni per la data del 27 febbraio 2024.
In tale data il legale di parte attrice chiedeva la revoca dell'ordinanza suindicata, insistendo nell'istanza ex art. 210 c.p.c., anche al fine di consentire la produzione in giudizio di apporti giurisprudenziali sopravvenuti all'instaurazione della causa e, come richiesto dai legali, venivano concessi termini per il deposito di memorie autorizzate sul punto e per consentire la corretta instaurazione del contraddittorio.
Con successiva ordinanza motivata, l'istanza è stata rigettata ed è stata fissata nuovamente udienza di precisazione delle conclusioni per la data del 23 gennaio 2025, all'esito della quale, sulle conclusioni delle parti, come precisate in epigrafe, la causa è stata trattenuta in decisione con concessione dei termini ex art. 190 c.p.c..
*****
pagina 7 di 14 In via preliminare deve rilevarsi che il rapporto di conto corrente intercorso tra le parti in causa e l'accessorio servizio di home banking devono essere inquadrati nei termini di un rapporto contrattuale;
la giurisprudenza di legittimità (ex multis Cass. 13204/2023) è granitica nel ritenere che “in tema di responsabilità della banca, ovvero dell'erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema
(il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento - prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente - la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo: ne consegue che, anche prima dell'entrata in vigore del D .Lgs. n. 11 del 2010, attuativo della Dir. n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno,
l'erogatore di servizi, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuto a fornire la prova della riconducibilità dell'operazione al cliente”.
Da questo assunto deve affermarsi la necessità che permanga in capo al prestatore del servizio di pagamento l'onere di provare la riconducibilità dell'operazione al cliente;
la stessa Corte di Cassazione, con sentenza a Sezioni Unite n. 3780/2024 ha stabilito che
“la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo”.
Allo stesso modo la Suprema Corte con sentenza n.18045/19 ha statuito che “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente
pagina 8 di 14 mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente”.
Parte attrice ha affermato la responsabilità della per non aver adottato misure di CP_1
sicurezza adeguate ad impedire l'evento e per non avere tempestivamente bloccato le operazioni dispositive, oltre a non aver provveduto al rimborso della somma in contestazione.
Parte convenuta ha affermato che il servizio di home banking collegato al conto corrente di cui è titolare consente al cliente di operare sul conto corrente personale Parte_1
a lui riferibile, utilizzando il telefono cellulare o la rete internet. Contro L'accesso all'home banking di è possibile tramite apposita app o dal sito BNL.it, tramite l'utilizzo di una combinazione di fattori statici quali il PIN noto al solo cliente e dinamici, quali il codice OTP (One Time Password), ossia una password a tempo, valida per un solo utilizzo che viene generata in modo silente dal mobile token integrato Contro nell'app che il cliente ha attivato sullo strumento che intende utilizzare.
L'attivazione del mobile token è possibile esclusivamente attraverso la digitazione delle credenziali di sicurezza (numero cliente e PIN) e del codice OTP inviato via sms al telefono cellulare collegato all'home banking, indipendentemente dall'adesione al servizio di sms alert. Contro Ha precisato che l'accesso all'home banking tramite app è possibile attraverso un sistema di autenticazione che prevede:
- l'inserimento delle credenziali di sicurezza (numero cliente e codice PIN) e del codice
OTP, generato da mobile token integrato nell'app, per effettuare login e operazioni di inquiry;
- l'inserimento del PIN e del codice OTP generato dal mobile token, per effettuare le operazioni dispositive dopo aver eseguito il login. Contro
E che l'accesso all'home banking tramite il sito internet prevede:
pagina 9 di 14 - - l'inserimento delle credenziali di sicurezza (numero cliente e codice PIN) e del codice OTP, per effettuare log-in e operazioni di inquiry; anche in questo caso, il codice
Contro OTP è generato da mobile token integrato nell'app che il cliente deve aver attivato sul proprio smartphone o tablet. Nell'operatività da sito BNL.it il codice OTP deve essere autorizzato dal cliente tramite la notifica push che riceve sul proprio dispositivo, notifica su cui dovrà cliccare e autorizzare tramite l'inserimento del codice PIN o tramite touchID o faceID;
- per disporre le operazioni, eseguito il log-in come al punto che precede, è necessario inserire l'operazione di pagamento e confermarla tramite il sistema della notifica push pervenuta sul dispositivo del cliente. Anche in questo caso, ricevuta la notifica push, questa dovrà essere cliccata e autorizzata attraverso l'inserimento del codice PIN o tramite touchID o faceID del cliente, da cui la generazione da mobile token integrato Contro nell'app del codice OTP.
Ha prodotto in giudizio ed ha descritto le procedure utilizzate per autenticare il proprio cliente e i requisiti necessari per accedere ai servizi messi a disposizione, compresi quelli per effettuare le operazioni in narrativa, nonché i c.d. log relativi alle operazioni contestate, disconosciute dall'attore e la registrazione degli invii di sms all'utenza telefonica intestata al per l'attivazione del mobile token. Pt_1
Con riguardo all'attività registrata dalla banca in data 29/6/2020, si riscontra l'accesso Contro alle tramite Pin per mezzo dell'app con un device (smartphone) che Pt_2
l'odierno attore non disconosce come proprio, benché lamenti di essere stato vittima oltre che di phishing, della c.d. truffa “sim swap”. Di tale procedura, peraltro, non si ha alcuna evidenza concreta, né risulta dalle denunce allegate il sospetto da parte dell'attore di questa ulteriore ipotesi.
L'articolo 10 bis D.lgs 11/2010 prevede, in tema di autenticazione e di misure di sicurezza, che i prestatori di servizi di pagamento applichino l'autenticazione forte del cliente quando l'utente accede al suo conto di pagamento online, dispone un'operazione di pagamento elettronico, effettua qualsiasi azione, tramite un canale a distanza, che può
pagina 10 di 14 comportare un rischio di frode nei pagamenti o altri abusi, prescrivendo, altresì, al secondo comma del medesimo articolo, che nel caso di avvio di un'operazione di pagamento di cui al par.1 lett. B), l'autenticazione forte del cliente comprende elementi che colleghino in maniera dinamica l'operazione a uno specifico importo e a un beneficiario specifico.
Il concetto di “autenticazione forte” trova la propria definizione all'art. 1, comma 1, lett.
Q bis) d.lgs. n. 11/2010 (lettera introdotta dal d.lgs. n. 218/2017): “un'autenticazione basata sull'uso di due o più elementi, classificati nelle categorie della conoscenza
(qualcosa che solo l'utente conosce), del possesso (qualcosa che solo l'utente possiede) e dell'inerenza (qualcosa che caratterizza l'utente), che sono indipendenti, in quanto la violazione di uno non compromette l'affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.
Da ciò si evince che la banca ha effettuato, per l'attivazione del mobile token e da un punto di vista tecnico, l'autenticazione a due fattori c.d. forte grazie alla comunicazione tempestiva al numero di telefono prestabilito, di una password temporanea (OTP) e perciò con sistema dinamico, come richiesto dalla normativa nazionale ed europea, in particolare dall'art. 10 bis del D. lgs 11/2010 in attuazione della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno;
lo stesso vale per le operazioni di bonifico successive, laddove risulta eseguita la verifica due fattori con OTP da mobile token e l'utilizzo dell'impronta digitale secondo i parametri della “Strong Customer
Authentication” o SCA.
Con riguardo alla fase prodromica rispetto alle operazioni descritte, ossia l'accesso con Contro il PIN all'app deve rilevarsi che tale codice dovrebbe essere custodito con la dovuta diligenza dal suo possessore, ossia il cliente dell'istituto finanziario.
Invero, le condizioni generali previste dalla banca, in merito alle norme e caratteristiche del servizio che regola i rapporti a distanza tra banca e cliente, statuiscono ex art. 3
(rubricato “strumenti di sicurezza, cautele nell'utilizzo degli stessi e riconoscimento del
Cliente”) che la Banca consegna al Cliente gli strumenti di sicurezza necessari per pagina 11 di 14 accedere ai Servizi, attraverso la cui esclusiva verifica il Cliente viene identificato, precisando che questi devono rimanere di uso strettamente personale del Cliente che non può cederli a terzi. Il contratto recita altresì che “in ogni caso il Cliente sopporta tutte le perdite derivanti dalle operazioni di pagamento non autorizzate, senza il limite dei 150 euro, se ha agito in modo fraudolento o, con dolo o colpa grave, non ha utilizzato gli strumenti di sicurezza in conformità a questo contratto…”.
Va inoltre rilevato che l'autenticazione del cliente per l'accesso al servizio di home banking tramite app soddisfa il requisito di autenticazione a due fattori, essendo necessario non solo l'inserimento di credenziali quali il corretto PIN (fattore di c.d. conoscenza), ma anche l'uso del proprio smartphone (c.d. possesso) abbinato all'app, di talché può dirsi anche in questo caso rispettato lo standard a due fattori forte, composto cioè da due elementi indipendenti tra loro.
Come emerge dalla lettura degli atti di causa, la stessa parte attrice ammette di aver comunicato alcuni dati che lo riguardavano, compreso il proprio codice identificativo
Contro
Contro relativo all'utenza ed ha depositato e-mail di apparente provenienza la denuncia presentata e la successiva integrazione a seguito della ricezione di un seconda e-mail, dello stesso tenore della prima, ma proveniente da un diverso indirizzo telematico;
deve altresì rilevarsi che asserisce di aver comunicato il solo Parte_1
codice cliente, e non il PIN o altri elementi necessari per effettuare l'accesso al servizio di cui trattasi, mentre il log della banca relativo alle operazioni del 29/6/2020 rileva, come da prassi, l'accesso con Pin tramite BNL App.
Dall'esame della documentazione prodotta dalla stessa parte attrice emerge che se, da un lato, effettivamente il contenuto della e-mail in questione potesse rassomigliare ad un contenuto “autentico” di provenienza dell'istituto di credito, è altresì evidente che l'indirizzo da cui proveniva la stessa e-mail in nessun modo poteva essere riconducibile all'istituto, dovendo in tal senso riconoscersi un profilo di colpa in capo al cliente che ha fornito i propri dati a terzi estranei alla Banca con la quale intratteneva un rapporto. Ciò rileva anche con riguardo a profili di violazione degli obblighi sul cliente/correntista, il pagina 12 di 14 quale attivamente deve vigilare sulla custodia dei fattori in autenticazione in suo possesso.
Pertanto, anche con riferimento all'orientamento espresso dalla Suprema Corte e sopra Contro esposto, risulta avere assolto al proprio onere probatorio in merito all'identificazione del Cliente, nel rispetto degli standard di sicurezza prescritti.
I bonifici ordinati dall'utente, benché di importo elevato e a distanza ravvicinata, non potevano che risultare, per la come riconducibili alla volontà del cliente per CP_1
come predisposti, non essendo pertanto rinvenibili elementi a supporto della tesi di carenza degli standard di sicurezza o riconducibili a responsabilità della convenuta ex art. 2050 c.c. come prospettati da parte attrice. Contro Pertanto, dato l'assolvimento dell'onere della prova in capo a il comportamento di parte attrice deve qualificarsi, stante il disconoscimento dell'operazione contestata, in virtù dei fatti dedotti e sulla base di quanto allegato, in termini di colpa grave per omessa custodia dei propri codici di sicurezza, non potendo pertanto esigere che sia sopportato dall'istituto di credito il riaccredito dell'importo richiesto.
Ne consegue, alla stregua delle suesposte considerazioni il rigetto della domanda formulata da parte attrice.
Le spese di lite seguono la soccombenza e si liquidano nella misura direttamente determinata in dispositivo, tenuto conto, quanto agli onorari, del valore della causa e dell'attività difensiva effettivamente prestata.
P.Q.M.
Il Tribunale, definitivamente pronunciando, sulla domanda proposta da , Parte_1
con atto di citazione avverso , ogni diversa istanza ed CP_1 Controparte_1
eccezione disattesa o assorbita, così dispone:
1. rigetta la domanda formulata dall' attore;
pagina 13 di 14 2. condanna a rifondere a le spese di Parte_1 Controparte_1
lite, liquidate in Euro 2.500, oltre 15% per rimborso forfettario spese generali, oneri e accessori di legge se dovuti.
Monza, 29 maggio 2025
Il Giudice
Dott.ssa Cinzia Fallo
pagina 14 di 14