REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
T R I B U N A L E D I B E N E V E N T O
II Sezione Civile
Il Giudice del Tribunale di Benevento, dott.ssa Ida Moretti, in funzione di giudice monocratico, ha pronunciato la seguente
S E N T E N Z A nella causa civile di secondo grado iscritta al numero 4180 del ruolo generale degli affari contenziosi dell'anno 2021 (alla quale è stata riunita la causa n. 4337/2021), avente ad oggetto appello avverso sentenza del Giudice di Pace, trattenuta in decisione all'udienza del 18.6.2024 e vertente
TRA
, nata il [...] a [...], rappresentata e difesa Parte_1
dall'Avv. SCHICCHI GIUSEPPE, in virtù di mandato a margine dell'atto di citazione depositato nel primo grado di giudizio ed elettivamente domiciliata presso il suo studio;

Appellante nel proc. 4180/2021 e appellata nel proc. 4337/2021
E in persona del suo legale rappresentante p.t, elettivamente Controparte_1
domiciliata presso lo studio degli Avv. ti PISANZIO ALFONSO e CESARE
MASSIMILIANO, che la rappresentano e difendono congiuntamente e disgiuntamente in virtù di procure speciali in atti;

Appellata nel proc. 4180/2021 e appellante nel proc. 4337/2021
FATTO
Con atto di citazione regolarmente notificato ed iscritto a ruolo il 7.10.2021,
chiedeva la riforma della sentenza n. 389/2021 con la quale il Parte_1
Giudice di Pace di Benevento, pur accogliendo la sua domanda di inadempimento contrattuale della e condannandola alla restituzione di € 500,00 (che le CP_1
erano stati indebitamente prelevati dalla Carta Postepay Evolution ricaricabile n.
), compensava integralmente le spese di lite in violazione degli NumeroDiCartaIde_1
1 artt. 91 e 92 c.p.c.
Con ordinanza del 1.2.2022 il precedente G.I. dichiarava la contumacia della parte appellata e rinviava direttamente all'udienza del 18.6.2024 per la precisazione delle conclusioni.
Alla predetta udienza la sottoscritta (nelle more subentrata nel ruolo) preliminarmente riuniva al presente il proc. 4337/2021.
Con atto di citazione in appello, pur regolarmente notificato ed iscritto a ruolo il
14.10.2021, infatti, aveva impugnato la medesima sentenza, Controparte_1
chiedendone l'integrale riforma nel merito, ritenendo che nessun inadempimento contrattuale le fosse imputabile alla luce della colpa grave in cui era incorsa la controparte nel cedere le proprie credenziali, per come era dato evincere dalla denuncia stragiudiziale sottoscritta dalla e dalla stessa allegata al proprio atto Pt_1
introduttivo.
regolarmente costituita anche nel proc. 4337/2021, eccepiva preliminarmente Pt_1
l'inammissibilità dell'avverso appello spiegato in un diverso giudizio in violazione dell'art. 333 c.p.c., quindi lo contestava anche nel merito chiedendo la conferma della decisione assunta nella sentenza impugnata, previa riforma della sola parte relativa al governo delle spese di lite.
Alla citata udienza del 18.6.2024, quindi, la causa veniva riservata in decisione, previa precisazione delle conclusioni delle parti, che si riportavano ai propri scritti e previa assegnazione dei termini di cui all'art. 190 c.p.c.
DIRITTO
Preliminarmente occorre rigettare l'eccezione di decadenza sollevata dalla nel Pt_1
proc. 4337/2021 e ribadita anche in sede di comparsa conclusionale.
Per giurisprudenza di legittimità consolidata che si condivide, infatti, l'art. 333 c.p.c. – nel prevedere la proposizione dell'appello incidentale nel medesimo giudizio di appello già proposto dalla controparte – non ne disciplina le forme essenziali da rispettarsi, di talchè anche la presentazione di un secondo ricorso – nel rispetto dei termini di legge – può ritenersi idoneo a raggiungere lo scopo (cfr. in tal senso Cassa. N. 33809 del
19.12.2019¹ e Cass. n. 13104 del 13.5.2024², ex multis).
2 Nel caso in esame l'atto di appello della risultava consegnato via PEC Pt_1
all'Avvocato domiciliatario della controparte il 7.10.2021 (cfr. PEC allegata all'atto di appello nel presente giudizio), l'atto di appello della risultava notificato Controparte_1
via PEC dal medesimo Avvocato domiciliatario l'8.10.2021 (cfr. PEC allegata all'atto di appello nel proc. 4337/2021) ed i due giudizi venivano riuniti, di talchè l'appello incidentale può ritenersi tempestivo.
Sempre in via preliminare, occorre evidenziare che – sebbene in calce all'atto di appello di era dato leggere che allo stesso veniva allegata anche la CP_1
produzione relativa al primo grado di giudizio – non è dato rinvenire in atti detta produzione ed i link contenuti nelle comparse non sono più attivi, ma ciononostante non appare necessario rimettere sul ruolo la presente alla luce delle schermate contenute direttamente negli atti e soprattutto alla luce della normativa vigente, della consolidata interpretazione giurisprudenziale della stessa e della documentazione acquisita, per la quale deve trovare accoglimento l'appello incidentale della con CP_1
consequenziale rigetto dell'appello proposto dalla solo relativamente al Pt_1
governo delle spese.
Ai sensi dell'art. 10, comma 2 (“Prova di autenticazione ed esecuzione delle operazioni di pagamento”) del Decreto legislativo n.11 del 27 gennaio 2010 di
“Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno (recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE,
2006/48/CE, e che abroga la direttiva 97/5/CE”), infatti: “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di
di decadenza, i loro eventuali ricorsi avverso la medesima sentenza nello stesso procedimento e, perciò, nella forma del ricorso incidentale, ai sensi dell'art. 371 c.p.c., in relazione all'art. 333 dello stesso codice, salva la possibilità della conversione del ricorso comunque presentato in ricorso incidentale - e conseguente riunione ai sensi dell'art. 335 c.p.c. - qualora risulti proposto entro i quaranta giorni dalla notificazione del primo ricorso principale, posto che in tale ipotesi, in assenza di una espressa indicazione di essenzialità dell'osservanza delle forme del ricorso incidentale, si ravvisa l'idoneità del secondo ricorso a raggiungere lo scopo. ² In tema processo litisconsortile, in virtù del principio di unità dell'impugnazione, il ricorso proposto irritualmente in forma autonoma da chi, ai sensi degli artt. 333 e 371 c.p.c., avrebbe potuto proporre soltanto impugnazione incidentale, per convertirsi in quest'ultima deve averne i requisiti temporali, onde la conversione risulta ammissibile solo se la notificazione del relativo atto non ecceda il termine di quaranta giorni da quello dell'impugnazione principale;
né la decadenza conseguente all'inosservanza di detto termine può ritenersi superata dall'eventuale rispetto del termine "esterno" di cui agli artt. 325 o 327 c.p.c., giacché la tardività o la tempestività, in relazione a quest'ultimo, assume rilievo ai soli fini della determinazione della sorte dell'impugnazione stessa in caso di inammissibilità di quella principale, ex art. 334 c.p.c.
3 uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per se' necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, ne' che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7.
È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.”
Dunque, se il cliente nega di aver dato la disposizione di pagamento (che potrebbe derivare da un episodio di phishing, smishing -truffa via s.m.s. - o vishing - truffa a mezzo utenza telefonica), la relativa perdita è a carico del cliente stesso solo se viene provato il dolo o la colpa grave dello stesso, il cui onere della prova ricade sull'intermediario.
Come correttamente argomentato dalla “Il legislatore, difatti, ha così Pt_1 disponendo inteso favorire, salvi i casi in cui la condotta dell'utilizzatore appaia dolosa
o gravemente colposa, la diffusione degli strumenti elettronici di pagamento, anche al fine di garantire la tracciabilità del medesimo, ponendo a carico dell'intermediario i rischi connessi al loro indebito uso e l'onere della prova circa la sussistenza degli elementi impeditivi del diritto dell'utilizzatore al rimborso e ciò a prescindere dal fatto che l'utilizzo abusivo sia stato o meno cagionato da condotta colposa dell'utilizzatore” giacchè “…essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente un'eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore” (cfr., ex plurimis, Cass.
Civ., Sez. I, 04/09/2024 n. 23683, pure opportunamente indicata dalla Pt_1
Nel caso in esame, però, sin dalla propria costituzione nel giudizio dinanzi al Giudice di Pace, evidenziava la sussistenza della colpa grave documentata dalla CP_1
medesima giacchè nel modulo di contestazione dell'addebito (compilato Pt_1
stragiudizialmente dalla medesima) era dato leggere che la stessa, dopo aver ricevuto un sms (che sarebbe pervenuto da ) in cui le veniva richiesto di aggiornare si suoi CP_2
dati, cliccava sul link indicato nel sms aggiornando i propri dati, ricevendo al termine una telefonata dell'operatore che l'avvisava dell'avvenuto furto, come evincesi
4 chiaramente dalla schermata sottostante, rinvenibile alla pag. 15 della produzione attorea relativa al primo grado di giudizio:
Come è noto l'art. 8 del D.Lgs. n. 11/2010 (nella formulazione ratione temporis applicabile, in vigore dal 13/01/2018) pone a carico del prestatore di servizi di pagamento, tra l'altro, l'obbligo di assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest'ultimo ai sensi dell'articolo 7 (id est: adottare tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate e comunicare senza indugio, secondo le
5 modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza).
Sul punto ha avuto modo di esprimersi più volte la Corte di Cassazione che – in particolare – con l'ordinanza n. 26916 del 26/11/2020 ha chiarito: “La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente. (Nella specie, la S.C. ha cassato con rinvio la decisione di merito che, disattendendo il principio di cui in massima, aveva ritenuto che, essendo stata raggiunta la prova presuntiva dell'idoneità delle protezioni adottate dal prestatore dei servizi di pagamento contro l'uso non autorizzato della carta cd. prepagata "postepay", gravasse sul cliente l'onere di dimostrare di avere tenuto un comportamento esente da colpa nella custodia della carta e dei codici, in modo da evitare furti o smarrimenti)”.
Già prima dell'entrata in vigore della citata normativa, in verità, la Cassazione aveva compiutamente ripartito l'onere probatorio in casi simili a quello in esame. In particolare, nella parte motiva della sentenza n. 32075 del 2021 era stato così argomentato: “Questa Corte ha già più volte ripetuto che, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE (normativa inapplicabile ratione temporis al caso di specie) relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della
6 riconducibilità dell'operazione al cliente (Cass. 3 febbraio 2017, n. 29503, tra le molte).
Palese è dunque l'errore commesso dal Tribunale nel governare l'applicazione dell'articolo 2697 c.c….”.
Nel caso in esame, quindi, in base ai criteri di riparto dell'onere della prova sopra visti, spettava alla provare che le operazioni illecite eseguite ai danni della CP_1
controparte risultassero ascrivibili a dolo o colpa grave della stessa.
A tal fine deduceva di aver depositato come allegato 3 alla comparsa di CP_1
costituzione le certificazioni di conformità e sicurezza rilasciate da NA PA (ente certificatore accreditato dal SINCERT), dalle quali risultava che i sistemi informatici di
BancoPosta on line (oggi in uso anche a ) sono certificati secondo i più rigorosi CP_1
e affidabili standard internazionali (ISO/27001.205 ISO 9001:2000) consultabili sul sito www.rina.org. (allegato che, però, non veniva depositato nel presente grado di giudizio), depositava – inoltre - le schermate del sistema “PROF” utilizzato che dettagliava l'operazione, con particolare riferimento alla stringa “Canale” che dimostrava come l'operazione fosse stata eseguita sul canale I3D, ovvero un sito aderente al sistema di sicurezza 3DS, e come – a seguito del corretto inserimento dei dati richiesti - il sistema aveva provveduto ad autorizzare l'operazione (vedasi la stringa
“Operazione Autorizzata -> Approved”) e – naturalmente – disconosceva fermamente che l'SMS a cui aveva fatto riferimento l'attrice fosse riconducibile a CP_1
come anche il link ivi indicato (nel quale la aveva inserito le proprie Pt_1
credenziali).
Cedendo le proprie credenziali a seguito del SMS ricevuto, invece, non Pt_1
poneva in essere quello “sforzo diligente richiesto al debitore” e violava il comma 2 dell'art. 4 delle Condizioni Generali di Contratto, che recita “il PIN, il Codice Poste ID ed il Dispositivo Mobile costituiscono, ai sensi del successivo art. 10 le Credenziali di sicurezza personalizzate del Titolare. Il Titolare, non appena riceve la Carta, adotta
7 tutte le ragionevoli misure idonee a proteggere le Credenziali di sicurezza personalizzate, custodendo le stesse e la Carta con ogni cura e assicurando che il PIN ed il Codice Poste ID rimangano segreti, non siano comunicati a soggetti terzi, non siano riportati sulla Carta né conservati unitamente alla stessa ovvero ai propri documenti e dispositivi mobili (telefoni cellulari, Smartphone e Tablet)”, ponendo in essere – così - un comportamento sussumibile nella citata “colpa grave” che interrompe il nesso causale tra l'azione di ed il danno subito (pur necessario ai sensi CP_1
dell'art. 2050 c.c.), di talchè dovrà sopportane le perdite derivanti da prelievi fraudolenti ai sensi del comma 4 dell'art. 4 avendo “agito con colpa grave”, non avendo “adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati” e non avendo in alcun modo provato la riconducibilità alla controparte sia del SMS che del link sul quale inseriva le proprie credenziali.
L'appello spiegato da quindi, merita accoglimento con integralmente CP_1
riforma della sentenza di primo grado e consequenziale rigetto dell'appello spiegato dalla che andrà condannata al rimborso delle spese di lite come liquidate Pt_1
direttamente in sentenza alla luce del D.M. 147/22, per il presente grado, e del D.M.
55/14 per il precedente, oltre che al pagamento un ulteriore importo a titolo di contributo unificato pari a quello dovuto per la stessa impugnazione a norma dell'art. 13, co. 1 quater, D.P.R. 115/2002.


P.Q.M.

il Tribunale di Benevento, definitivamente pronunciando, ogni altra domanda o eccezione disattesa, così provvede:
1) Rigetta l'appello spiegato da Parte_1
2) In accoglimento dell'appello spiegato da riforma Controparte_1
integralmente la sentenza n. 389/2021 emessa dal Giudice di Pace di Benevento
e – per l'effetto – rigetta la domanda spiegata da Parte_1
3) CONDANNA a rimborsare in favore della Parte_1
le spese relative al doppio grado di giudizio, che si Controparte_1 liquidano in complessivi € 818,50 (di cui € 65,00 per la fase di studio nel primo grado di giudizio, € 65,00 per la fase introduttiva nel primo grado di giudizio, €
135,00 per la fase decisoria nel primo grado di giudizio, € 91,50 per C.U. e
dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente
8 diritti dell'appello, € 131,00 per la fase di studio nel presente grado, € 131,00 per la fase introduttiva nel presente grado ed € 200,00 per la fase decisoria), oltre
IVA, CPA e rimborso spese forfettario come per legge, dando atto che
è parte tenuta a versare un ulteriore importo a titolo di Parte_1
contributo unificato pari a quello dovuto per la stessa impugnazione, principale o incidentale, a norma dell'art. 13, co. 1 bis, D.P.R. 115/2002, mandando alla
Cancelleria per l'esatta riscossione.
Benevento, 05/02/2025
Il Giudice
(dott.ssa Ida Moretti)
9 1. DA COMPARE FOOTNOTE PAGES ¹ Nei procedimenti con pluralità di parti, una volta avvenuta ad istanza di una di esse la notificazione del ricorso per cassazione, le altre parti, alle quali il ricorso sia stato notificato, debbono proporre, a pena ³ In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro