TRIB
Sentenza 19 marzo 2024
Sentenza 19 marzo 2024
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Genova, sentenza 19/03/2024, n. 879 |
|---|---|
| Giurisdizione : | Trib. Genova |
| Numero : | 879 |
| Data del deposito : | 19 marzo 2024 |
Testo completo
N. R.G. 9909/2021
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di GENOVA
SESTA SEZIONE CIVILE
Il Tribunale, nella persona della Giudice dott.ssa Patrizia Cazzato ha pronunciato la seguente
SENTENZA
nella causa civile di I Grado iscritta al n. r.g. 9909/2021 promossa da:
(C.F. ), con il patrocinio dell'avv. BALDI Parte_1 P.IVA_1
MARINELLA e dell'avv. AMORETTI LUISA ( ); elettivamente domiciliato C.F._1
presso il difensore avv. BALDI MARINELLA
ATTORE/I contro
(C.F. ), con il patrocinio dell'avv. POZZI Controparte_1 P.IVA_2
PAOLO e dell'avv. GHISLETTI GIOVANNI ( PIAZZA CP_2 C.F._2
SAN BABILA 5 MILANO;
( ) V.LE PADRE SANTO, 5/11A Parte_2 C.F._3
GENOVA; ( PIAZZA ARMANDO DIAZ 7 Parte_3 C.F._4
MILANO; elettivamente domiciliato in PIAZZA ARMANDO DIAZ, 7 20123 MILANO presso il difensore avv. POZZI PAOLO
CONVENUTO/I
CONCLUSIONI
Le parti hanno concluso come da note depositate telematicamente.
pagina 1 di 14 Concisa esposizione delle ragioni di fatto e di diritto della decisione
(per brevità anche ) con atto di citazione Parte_1 Parte_4
regolarmente notificato conveniva in giudizio (per brevità anche ) Controparte_1 _1 chiedendo la nullità/inesistenza dell'annotazione a debito di € 50.000,00 avvenuta sul conto corrente
1000/31472 acceso presso l' , Filiale 00300 (doc. 1 di parte Organizzazione_1 attrice); per l'effetto accertare l'entità del saldo così ricalcolato/aumentato e condannare la ad _1 operare tale rettifica e/o ricalcolo, oltre al risarcimento per tutti i danni subiti.
Esponeva: l'odierno attore in data 21 settembre 2020 provvedeva a mettere in esecuzione bonifico bancario della somma di € 50.000,00 a nonostante la contabile di pagamento Org_2
indicasse questo soggetto come beneficiario, dopo verifiche, emergeva che il bonifico era stato, invece, accreditato a soggetto diverso, tal GA (doc. 6 di parte attrice); a seguito di diffida, la Persona_1
in data 15.06.2021, restituiva al la predetta somma con sottoscrizione del modulo per _1 Parte_1 il “disconoscimento operazioni di pagamento non autorizzate” (doc. 8 di parte attrice). Tuttavia, il
28.06.2021 la revocava illegittimamente l'accreditamento (doc. 9 di parte attrice) disposto a _1
Part favore di .
Evidenziava come fosse già accaduto in precedenza, in data 30.10.2019, che un bonifico bancario in favore, in tal caso di consorziato G.P.S. di , venisse eseguito da parte di Persona_2 _1
ad un soggetto diverso, in tal caso la sig.ra ; adito il tribunale, in questa occasione, Controparte_3
accettava però di restituire la somma oggetto di bonifico in via conciliativa. _1
La banca doveva, in tesi attorea, rispondere per violazione del dovere di diligenza ex artt. 1856,
1710 c.c. a causa dell'erronea esecuzione del bonifico, come prevede anche la disciplina dell'art. 25
d.lgs. n. 218 del 2017.
si costituiva chiedendo il rigetto delle domande, l'accertamento dell'esclusiva _1 responsabilità dell'attore per i fatti contestati;
in subordine, di accertare e dichiarare ex art. 1227 comma 2 c.c. il concorso del nella causazione del danno e conseguentemente rigettare ogni Parte_1
richiesta risarcitoria avanzata nei confronti della in ulteriore subordine accertare e dichiarare ex _1
art. 1227, comma 1 c.c. il concorso del nella causazione del danno, con conseguente rigetto Parte_1 della domanda risarcitoria nella misura che emergerà all'esito del giudizio.
L'odierno attore era titolare del rapporto di conto corrente n. 1000/31472, che gestiva in via Org_ telematica attraverso il portale di home banking denominato “ ” realizzato da Organizzazione_4
professionali (doc. 2 di parte convenuta). Il 21 settembre 2020, quando il
[...] Parte_1 procedeva all'operazione oggetto di doglianza, in tesi di parte convenuta, il sistema registrava pagina 2 di 14 immediatamente dopo l'inserimento un ordine di bonifico di € 50.000,00 in favore non di Org_2
ma di ” (IBAN [...]) (doc. 3 di parte
[...] Organizzazione_5 convenuta, foglio Tracciatura, riga 39 “Presentazione Bonifico Multiplo - inserimento”). Il bonifico così inserito non veniva revocato entro il termine utile delle 17:30 della medesima giornata da parte di
Part
e quindi veniva contabilizzato il giorno successivo. La difesa dalla banca evidenziava che la contabile di pagamento prodotta dal per denunciare il fatto aveva come data di estrazione il Parte_1
25 settembre 2020 e non era prodotta dal sistema informatico di , ma molto Controparte_1
probabilmente da un software malevolo installato sugli apparecchi informatici del . Ciò si Parte_1 evinceva dal codice in esso indicato con sequenza numerica “861”, che non identificava Org_6
alcun conto o istituto di credito. Ancora, la stessa presentazione di bonifico allegata alla pec del 25 settembre 2020 da parte attrice con la richiesta di revoca del bonifico (doc. 6 di parte convenuta) era diversa rispetto a quella presentata nell'odierno giudizio, di cui al doc. 5 ed aveva con beneficiario
; era evidente, pertanto, che nella medesima giornata il era stato in Organizzazione_5 Parte_1
grado di estrarre due differenti documenti per la stessa operazione.
Alla luce di ciò, si deduceva, in tesi di parte convenuta, che l'operatività degli apparecchi Part informatici di non era sicura e che, comunque, il , avendo avuto la conferma della non Parte_1
genuinità del documento 5 ex adverso, poteva revocare la disposizione di pagamento. Per queste ragioni il riaddebito della somma oggetto dell'odierno giudizio da parte della era legittimo. _1
Contestava, infine, la narrazione di controparte circa i fatti relativi al bonifico precedente del
30.10.2019 dal momento che la restituzione della somma oggetto di quel giudizio era stata operata da parte di a cui era stato esteso il contraddittorio e non da . CP_4 Controparte_1
In corso di giudizio venivano rigettati tutti i capitoli di prova dedotti dalle parti e veniva disposta
CTU. Dopo il deposito della perizia, il consulente veniva sentito a chiarimenti all'udienza del
27.01.2023. la causa veniva poi trattenuta in decisione con la concessione degli ordinari termini di legge ex art. 190 c.p.c.
***
La domanda di parte attrice deve essere accolta per i motivi di seguito esposti
1. I fatti
Come ricostruito dal CTU a pag. 36 e 37 della sua relazione, sulla base di quanto indicato dalle parti, dai loro consulenti e sulla base della lettura doc. 3 foglio tracciatura, il 21.09.202020, ore
Part 10:17:41 tentava di disporre un bonifico tramite il sistema di home banking. L'accesso era preceduto da controlli dei codici statici e dinamici e l'utente loggato risultava essere “03164957 -
pagina 3 di 14 ( Parte_5 Org_7
A0593200”.
Il sistema della banca registrava quindi l'inserimento di un bonifico per € 50.000,00 in Pt_6 favore di ” diretto all'IBAN [...] alle ore Organizzazione_5
10.18.42 e 056 centesimi (ovvero circa 1 minuto dopo il login). Subito dopo l'inserimento della disposizione di bonifico vi era la chiamata al sistema “Smash”, ossia del sistema antifrode della _1
alle ore 10.18.42 e 073 centesimi 5. Secondo quanto indicato dal CTP l'operazione veniva autorizzata tramite validazione della credenziale autorizzativa (OTP) “salvo il fatto che non è presente agli atti specifica evidenza di ciò non essendo possibile desumerlo dalla sola lettura del record 41.
L'operazione avviene alle ore 10.18.54 e 000 centesimi;
8. Secondo quanto indicato dal CTP vi è il passaggio della presentazione n. 301 dallo stato di “AUTORIZZATA” a quello di “SPEDITA” (i.e. spedita al circuito interbancario) (11). Ciò avviene alle ore 10.15.59 e 732 centesimi”.
“La catena degli eventi così come sopra descritta è stata desunta esclusivamente dalla lettura del
DOC.03 Foglio “Tracciatura dal quale emerge che l'intera operazione disconosciuta è avvenuta nell'arco temporale di circa 1 minuto - precisamente dalle ore 10:17:41 - momento nel quale è stato effettuato il login – e le ore 10:18:59 – momento nel quale il bonifico disconosciuto è stato inviato al circuito interbancario. Posto che risultano essere assenti informazioni circa i sistemi di protezione
“INDIRETTA” della banca finalizzati alla verifica ex post della coerenza dell'operazione inserita nel sistema informatico ed al suo eventuale blocco in caso di incoerenza rispetto alla normale operatività, emerge che il sistema denominato “SMASH - KLEISDIS-M” ha impiegato circa 0.5 secondi12 per valutare se l'operazione presentasse un Risks-core ritenuto accettabile. Al netto, comunque, dell'assenza di informazioni circa la determinazione del Risk-score si può comunque osservare come la richiesta di bonifico sia arrivata sui sistemi della banca già con i dati del Sig. Org_5
ovvero risultano assenti riferimenti alla Il fatto che Parte Attrice riferisca
[...] Org_2
di aver inserito quale destinatario del bonifico il soggetto con codice IBAN Org_2
[...] quando invece lo stesso risulta essere stato registrato nei sistemi della banca quale avente codice IBAN [...] è Organizzazione_5
attribuibile, con ottima probabilità, alla presenza di un Malware Software annidato a livello del
Browser Web utilizzato per effettuare il bonifico sviato. Tale tipo di truffa che prende colloquialmente il nome di (variante del classico Man in the Middle) si concretizza interponendo Organizzazione_8 un Layer malevolo tra l'interfaccia utente utilizzata dal cliente che dispone il bonifico ed i sistemi della banca che prendono in carico l'operazione.
pagina 4 di 14 Il fatto che la manipolazione sia avvenuta all'interno del sistema informatico del CIQ risulta dalla stessa denuncia truffa dell'11.4.2022 (All. 12) presentata dall'attrice: “nel caso di specie, infatti, il soggetto attivo ha presumibilmente – come potrà essere accertato dalla SV nell'ambito delle indagini – manipolato il sistema informatico interno del CIQ allo scopo di modificare il destinatario del bonifico, ottenendo un ingiusto vantaggio economico”
L'attrice è quindi stata vittima di una particolare frode informatica, denominata “man in the browser”.
Trattasi di frode appartenente al più ampio fenomeno del c.d. “man in the middle”, ossia una minaccia informatica che permette al malintenzionato di intercettare e manipolare il traffico internet che l'utente crede privato e protetto. Nello specifico, l'hacker si intromette tra due entità: l'utente ed un server o un router, riuscendo ad intercettare i messaggi inviati e ricevuti e a modificarli. L'origine del man in the browser è da ascriversi ad un malware (c.d. trojan) dotato di “sofisticate capacità di elusione dei migliori antivirus – si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema tali da attrarre l'attenzione dell'utente. Il malware resta completamente “in sonno” attivandosi solo nel momento in cui l'utente si colleghi ad un sito finanziario compreso fra quelli che il programma abbia posto nel mirino (targeted banks)” (Collegio di coordinamento dell'ABF n. 3498/2012). L'unica differenza, obiettivamente impercettibile a qualsiasi scrupoloso utente, è “la stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso (c.d. protocollo di trasferimento ipertestuale, Hyper Text Transfer Protocol)
“http” e non già “https” (dove la “s” finale sta per secured, protetto). Ignaro dell'intervenuta sostituzione della pagina, l'utente è indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera” (Collegio di coordinamento ABF sopra citato).
Nel caso di operazioni di pagamento mediante il servizio home banking, tale minaccia risulta particolarmente insidiosa, poiché si crea un'interposizione tra la schermata autentica della banca su cui l'utente opera e quella creata dal truffatore;
il che non consente all'utilizzatore di avvedersi della sostituzione e dell'alterazione del sistema in cui viene effettuata l'operazione di pagamento.
Successivamente, il malware attiva una finestra che sembra provenire dal sito della banca in cui l'utente è convinto di operare, ove è richiesta una conferma di sicurezza, normalmente attuata dalle banche per effettuare ulteriori verifiche, tramite l'inserimento delle credenziali e del codice OTP (one time password), come avvenuto nel caso di specie. In seguito alla compilazione del modulo fittizio da parte dell'utilizzatore, il malware carpisce i codici di autenticazione e li utilizza in danno dell'utente, disponendo operazioni di pagamento a terzi soggetti dal conto corrente del soggetto truffato. Nel caso di specie, inoltre, il CIQ era stato già oggetto di un precedente sviamento avvenuto il 17.02.2000 e di pagina 5 di 14 un ulteriore e precedente avvenuto a novembre 2010: entrambi avvenuti con le medesime modalità: Part
“Occorre premettere che prima dell'effettuazione del bonifico di cui si tratta la società era già stata vittima di precedenti n.3 (in realtà sono due ndr) sviamenti informatici che, dalla lettura degli atti di causa, risultavano avere medesime modalità di svolgimento rispetto a quello di cui si discute nella presente relazione” (pag. 29 ctu).
2. La domanda dell'attrice
Ciò che il richiede è l'accertamento dell'illegittimità del comportamento della Banca Parte_1 che ha disposto un'annotazione a debito sul suo conto di € 50.000,00 non autorizzata dal Parte_1 medesimo, sulla base di una sua qualificazione dell'operazione errata. La dal canto suo ritiene _1
di avere seguito un comportamento corretto per il fatto che, secondo suoi accertamenti, l'operazione di bonifico di € 50.000,00 era stata debitamente autorizzata dal , tanto che lo stesso Parte_1 Parte_1
aveva prodotto nell'allegato al documento di richiamo (doc. 6) contabile in cui il beneficiario era e non . Inoltre, a parere della erano state adottate tutte le misure di Pt_7 Org_2 _1
sicurezza, come attestato dalla certificazione ISO, e dalla consegna del dispositivo OTR. Era stato invece il , che già in passato era stato oggetto di episodi similari, a non dimostrare Parte_1 particolare attenzione. In particolare, la si riferiva all'episodio del 30.09.2019, poi conclusosi _1
con una transazione, ed ancora il 17.2.2020 in cui l'operatività del conto era stata bloccata dalla _1 che aveva riscontrato un'operatività sospetta. Pur avendo subito tali episodi il non aveva Parte_1
approntato sistemi di sicurezza adeguati. E, secondo la a riprova del fatto che il _1 Parte_1 avrebbe potuto scoprire l'operazione “malevola” vi è il fatto che, come successo, stampando la contabile dell'operazione da computer diverso da quello da cui era stato impartito l'ordine di bonifico, era emerso che lo stesso non era stato effettuato a favore di , ma in favore di Tale Org_2 Pt_7
particolare modalità è confermata dalla stessa denuncia avvenuta per il precedente episodio del 17 febbraio (v. Doc. 11): “il documento è altresì interessante poiché viene descritta la struttura informatica dei computer che erano nella disponibilità del e dal quale erano stati originati i Parte_1
bonifici sviati nonché una circostanza significativa relativamente al fatto che in relazione ad uno dei due bonifici sviati (nello specifico quello del 17.02.2020) a seguito della stampa della distinta effettuata contestualmente all'inserimento, lo stesso era differente rispetto ai dati inseriti salvo il fatto che, ritentando la medesima operazione (stampa della distinta) da un altro PC i dati inseriti erano ulteriormente differenti”. A parere della sarebbe quindi bastato questo accorgimento. Non solo. _1
Dopo il primo episodio del 30 ottobre 2019 aveva sospeso il funzionamento del servizio _1
Part di home banking e, a fronte delle rimostranze di , aveva chiesto se i terminali erano stati messi in sicurezza, il legale rappresentante rispondeva “Gentile dottoressa, siamo nuovamente in empasse: noi pagina 6 di 14 NON ABBIAMO messo in sicurezza nulla. Il disviamento informatico è avvenuto all'interno di _1
e non presso le strutture di Non posso proprio dichiarare altro” (v.
[...] Parte_1
Doc. 8), e la banca nuovamente sollecitava la messa in sicurezza dei sistemi informatici “riguardo all'internet banking, capirà che è nell'interesse di tutti avere conferma che i suoi sistemi informatici sono sicuri, se ci dà un riscontro procediamo” (doc. 9). A fronte dell'ulteriore episodio del 17 febbraio, la banca di nuovo sollecitava l'utente ad un controllo dei propri sistemi
In una tale situazione di vulnerabilità non risulta che nè l'utente, dopo i diversi episodi, nè la banca abbiano adottato le misure necessarie o comunque quanto possibile per scongiurare il più possibile indebite intromissioni a quanto pare oramai già avvenute e presenti su uno dei computer del
Part CIQ. Non si tratta infatti del primo episodio, ma del terzo. Non risulta infatti che abbia provveduto a formattare i propri computer o comunque a chiamare un tecnico informatico al fine di rinvenire il virus ed eliminarlo e così riportare in sicurezza la sua rete informatica. D'altro canto, occorre anche considerare che neppure la banca ha mostrato di avere adottato tutte le dovute precauzioni, come per esempio, la procedura di retroazione di cui si parlerà meglio nel prosieguo o sistemi tali da individuare le operazioni sospette e neppure ha individuato una concreta e grave colpa del nel non custodire i codici di sicurezza o nel permettere a terzi l'utilizzo dell'home Parte_1
banking. Non è neppure chiaro se il virus fosse già presente e riconducibile al precedente episodio di men in the browser o fosse uno nuovo ed ulteriore. Bisogna altresì ricordare come all'epoca in cui è avvenuto il fatto non esistessero sistemi antivirus idonei a impedire il cd man in the browser. Il ctu, sentito a chiarimenti all'udienza del 27 gennaio 2023, ha dichiarato “Per quanto so nel periodo in cui è avvenuta la truffa informatica per cui è causa non so se esistessero antivirus tali da individuare ed annullare l'effetto del cd men in the browser, infatti confrontandomi con un collega che ha avuto un caso similare a questo (ossia sempre sistema inbiz e similare modalità di verificazione della truffa) e che in quel caso aveva la disponibilità della copia forense del pc, identificato ed estratto il virus è stato testato sull'applicazione virus total rilevando che buona parte degli antivirus ai tempi disponibili non aveva rilevato minacce”.
Bisogna inoltre considerare che il , come affermato dallo stesso nella denuncia Parte_1
querela (all. 7 e 12) e comunque evidente dalla sua natura giuridica, è un soggetto che raggruppa pagina 7 di 14 diversi soggetti consorziati e ha quindi un'operatività bancaria sostenuta, con numerose operazioni
(come visibile anche dagli estratti conto prodotti v. All 10 per un solo mese). L'utilizzo dell'home banking permette una celere ed efficace gestione della propria operatività bancaria. Come affermato in ambito europeo: “è nell'interesse, infatti, non soltanto del prestatore di servizi di pagamento, ma anche del suo cliente, disporre, purché quest'ultimo lo desideri e sia sufficientemente tutelato, di mezzi di pagamento innovativi, rapidi e di facile utilizzo” (Corte giustizia Unione Europea, Sez. I, Sent.,
11/11/2020, n. 287/19)”. Non può quindi richiedersi, quale parametro di diligenza, ad un operatore commerciale di dovere per ogni operazione di bonifico procedere a doppia stampa su computer diversi: il numero delle operazioni consuete annullerebbe il beneficio dell'home banking.
Deve considerarsi come la disciplina normativa attribuisca la responsabilità alla banca. Ex art. 10 dlvo 11/2020 infatti “È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”. L'eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo;
e ciò anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema.
La misura di diligenza richiesta agli istituti di credito è valutata alla stregua dell'accorto banchiere, secondo il canone di diligenza professionale di cui all'art. 1176, comma 2, c.c., avuto riguardo alla natura dell'attività esercitata. Proprio per il fatto che la professionalità e la diligenza del banchiere si riflette su tutta la gamma delle attività da lui svolte nell'esercizio dell'impresa bancaria e, quindi, sui rapporti, per lo più asimmetrici, che in quelle attività sono radicati, egli dispone di strumenti e di competenze per la corretta attuazione delle predette attività che normalmente altri soggetti interessati non possiedono.
Vicende analoghe a quelle per cui si procede sono state ricondotte dalla giurisprudenza di legittimità all'ambito del rischio di impresa dell'attività bancaria. L'evoluzione dei sistemi telematici per l'esecuzione di operazioni bancarie risponde anche a un interesse della banca e la responsabilità dell'intermediario - con riguardo alla verifica della riconducibilità delle operazioni alla volontà del cliente - ha natura contrattuale.
Nello specifico caso di servizi di pagamento informatici, la responsabilità degli intermediari, quali prestatori di servizi di pagamento, è espressamente disciplinata dal d.lgs. 11/2010, normativa richiamata da entrambe le parti in causa. Tale decreto legislativo ha inteso rendere l'ambiente pagina 8 di 14 informatico-finanziario improntato a criteri di maggior sicurezza e affidabilità e ciò in ragione del crescente impiego dello strumento di pagamento elettronico da parte del pubblico degli utilizzatori, nonché del prevedibile espandersi delle minacce attuate dalla nuova criminalità in tale ambiente di operatività finanziaria. In tal senso, la normativa richiamata prevede che, in caso di disconoscimento di un'operazione di pagamento da parte dell'utente, è onere del prestatore di servizi provare che
“l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti” (art. 10, comma 1, d.lgs. 11/2010). In particolare, è onere del prestatore di servizi di pagamento fornire la prova della frode, del dolo o della colpa grave dell'utente, in quanto “l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, […] non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7” (art. 10, comma 2, d.lgs. 11/2010). Sul punto, si evidenzia che, al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori bancari), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo (Cass. 9158/2018; Cass. 32075/2021 e, da ultimo, Cass. 16417/2022).
Il prestatore di servizi di pagamento ha, dunque, l'obbligo di garantire la sicurezza dei sistemi informatici attraverso i quali vengono erogati tali servizi, nonché di assicurare che la fruizione dei medesimi da parte degli utenti sia immune da malfunzionamenti o attacchi informatici. Assolto tale obbligo, il prestatore ha in ogni caso l'onere di dimostrare la condotta dolosa o gravemente colposa dell'utente, posto che il mero utilizzo di uno strumento di pagamento non implica la riconducibilità dell'operazione all'autorizzazione dell'utente, né ad un utilizzo negligente o fraudolento dello strumento di pagamento da parte del medesimo. Ciò in ragione del fatto che, come nel caso di specie, il sistema informatico nel quale opera l'utente può essere attaccato da un virus che altera la capacità operativa del sistema e realizza così una frode informatica, senza che l'utente possa avvedersene. In tale quadro, l'onere probatorio posto a carico della banca si modella diversamente a seconda del tipo di tecnica, più o meno insidiosa, utilizzata per realizzare la truffa informatica, tale da conferire un diverso rilievo giuridico al comportamento del cliente.
pagina 9 di 14 Nel caso di specie, in considerazione della minaccia informatica in esame, la banca non ha assolto all'onere probatorio imposto dalla normativa sopra citata per escludere completamente la propria responsabilità, non offrendo prova del comportamento gravemente colposo dell'attrice/utilizzatrice dei servizi di pagamento, ma solo di una negligenza dell'utente priva però di quei caratteri di gravità necessari per escludere la responsabilità.
La convenuta ha ritenuto che il non si sia attivato per tempo per riscontrare Parte_1
l'avvenuta truffa ai suoi danni. A tal fine ha citato giurisprudenza di legittimità che però non si adatta al caso di specie: la sentenza della Sez. 3 n. 18045/2019 individua la colpa grave nel fatto che il cliente aveva atteso due anni prima di comunicare l'uso non autorizzato dello strumento di pagamento, mentre nel caso di specie si è trattato di pochi giorni (pagamento eseguito il 21.09.2020 e richiesta di revoca del bonifico il 28.6.2020) o ancora altra sentenza in nulla pertinente con il caso di specie (Cass. N.
7214/2023 in cui però era stato il correntista ad avere dato con negligenza i propri codici in una e-mail inviatagli dal truffatore).
Pretendere, inoltre, come richiesto dalla banca che l'utilizzatore dei servizi di pagamento verifichi ogni singola operazione, facendo una doppia stampa in computer diversi per controllare l'effettiva e corretta esecuzione del suo ordine, vuol dire far venire meno l'efficienza dell'home banking basata per l'appunto su una velocità di esecuzione, accompagnata però anche dalla relativa sicurezza, di cui è onerata la banca.
Si consideri, in proposito, che l'assunto difensivo della banca per cui se l'attrice avesse controllato l'estratto conto subito dopo le disposizioni di pagamento, i bonifici avrebbero potuto essere revocati entro le ore 17.30 del medesimo giorno dell'operazione non tiene conto dell'impercettibilità, da parte dell'utilizzatore, dell'interposizione della schermata del software malevolo con quella autentica del sistema di home banking, per cui non sarebbe stato possibile per l'attrice avvedersi del dirottamento dei bonifici sino al momento in cui tali somme non sono confluite nel conto corrente del beneficiario originario. L'interposizione fittizia della schermata del malware nel sistema di home banking ha generato una schermata di buon esito dell'operazione di pagamento;
il che non induce e non ha indotto, nel caso di specie, il disponente a controllare l'estratto conto per verificare la correttezza del pagamento. Inoltre, dal momento che non si tratta di bonifici istantanei, e dunque con accredito immediato della somma di denaro, i bonifici ordinari (come quelli di specie) richiedono un periodo di elaborazione da parte della banca normalmente di due giorni, pari al tempo trascorso tra la disposizione dei bonifici.
Spetta, quindi, al prestatore di servizi di pagamento, nell'ambito della sua diligenza e delle sue competenze, valutate alla stregua dell'accorto banchiere, attuare tutte le misure idonee a prevenire e pagina 10 di 14 bloccare tali tipi di intromissioni nel sistema operativo. Tale obbligo non può dirsi assolto da parte della banca per il solo fatto di aver adottato un sistema di autenticazione c.d. forte (ad es. a due fattori, come codice PIN, QR code o codice OTP). La predisposizione di un sistema di sicurezza di tipo forte da parte della banca, infatti, non è sufficiente di per sè a dimostrare la colpa grave del cliente, che deve invece essere desunta da specifici e concreti elementi di prova indicativi della negligenza del cliente nella custodia delle proprie credenziali. La tesi contraria, sostenuta dalla banca, non può ritenersi fondata, in quanto finisce per porre nel nulla la previsione dell'art. 10 d.lgs. 11/2010, stabilendo una presunzione di colpa grave del cliente ogniqualvolta l'intermediario dimostri di aver adottato un sistema di autenticazione forte, in netto contrasto con quanto previsto dalla predetta disposizione, che pone a carico della banca una responsabilità semi-oggettiva in caso di operazioni di pagamento elettronico disconosciute dal cliente e le impone di dimostrare la frode, il dolo o la colpa grave dello stesso.
In tal senso vi è la chiara ctu ed i successivi chiarimenti resi all'udienza del 27.1.2023 secondo i quali ciò che risulta essere un valido strumento di ulteriore sicurezza è il cd metodo di retroazione.
“Per fare comprendere al Giudice in termini colloquiali a cosa ci si riferisce quando viene citato il termine “retroazione” si può fare riferimento, ad esempio, ad un messaggio proveniente dalla banca, che richiede al correntista autenticare lo specifico bonifico di € xxx alla specifica persona “yyy”. Tale sistema, peraltro, come indicato dal ctu all'udienza del 27 gennaio 2023, era in uso presso altre banche.
E tale sistema, come sostenuto condivisibilmente dal ctu, avrebbe permesso al di venire a Parte_1
conoscenza che il bonifico ricevuto nei sistemi della era intestato al Sig. e non a _1 Org_5
nfatti il flusso logico ricostruito dal ctu sarebbe il seguente: Org_2
1.il cliente autentica la sessione di collegamento sul sito della banca (vedasi sicurezza diretta);
2. il cliente procede alla creazione di una distinta di pagamento, la quale viene autenticata localmente ed inviata ai sistemi della banca (vedasi sicurezza diretta);
3. ricevuto il flusso informativo della distinta predisposta (ed autorizzata) dal cliente, la banca assegna uno score risk (i cui parametri abbiamo già avuto modo di vedere risultano ignoti) ed invia al cliente una retroazione ovvero la richiesta di autenticare la specifica distinta così come ricevuta dal cliente;
3.bis il cliente ricevuta dalla banca la retroazione procede ad autenticare la specifica transazione;
4. il cliente riceve conferma circa l'effettuazione del bonifico potendo scaricare dal sito della banca la contabile bancaria del bonifico effettuato.
pagina 11 di 14 Non risulta che la avesse tale sistema e quello che la banca definisce quale _1
“presentazione” nulla ha a che fare con la retroazione come descritta (ed esclusa nella sua operatività nel caso di specie) dal ctu.
Inoltre, altro elemento in grado contrastare il fenomeno della truffa è, oltre Organizzazione_8
ovviamente a quello lato utente di non essere stato infettato quello - lato banca - disporre di un sistema antifrode in grado comprendere nell'immediato se l'operazione presenta connotati che possano fare ricondurre a tale fattispecie di truffa. Si tratta di un terreno di “frontiera” nel quale la mera analisi ad opera dei sistemi antifrode dei parametri quali username, codici OTP, ip collegamento, etc. non è più sufficiente in quanto la compromissione - che avviene a livello locale del browser del cliente - accade dopo l'instaurazione di una relazione fiduciaria tra i sistemi cliente/banca.
Inoltre, pur nell'incertezza dei sistemi di sicurezza informatica adottati dall'attrice per la protezione del computer attraverso cui le operazioni di pagamento venivano effettuate, il consulente tecnico d'ufficio non ha evidenziato particolari omissioni nella protezione del sistema operativo della società, tali da agevolare l'intrusione del malware, indicando anzi come all'epoca il avesse i Parte_1
sistemi antivirus aggiornati e in ogni modo “per quanto so nel periodo in cui è avvenuta la truffa informatica per cui è causa non so se esistessero antivirus tali da individuare ed annullare l'effetto del cd men in the browser, infatti confrontandomi con un collega che ha avuto un caso similare a questo
(ossia sempre sistema inbiz e similare modalità di verificazione della truffa) e che in quel caso aveva la disponibilità della copia forense del pc, identificato ed estratto il virus è stato testato sull'applicazione virus total rilevando che buona parte degli antivirus ai tempi disponibili non aveva rilevato minacce. A quanto so per il mio lavoro nel 2020/2021 ebbe diversi problemi _1
simili a questo oggetto di causa, ad oggi a quanto so utilizza dei sistemi di sicurezza _1
indiretta e non solo tanto che ad oggi questo tipo di truffa informatica con non si verifica _1 più”.
Nel caso di specie, pertanto, non può ravvisarsi la colpa grave del , atteso che la banca Parte_1 non ha allegato né provato l'esistenza di concreti elementi indicativi della negligenza nella custodia delle credenziali, né altri profili di inadempimento del cliente agli obblighi di cui all'art. 7 del d.lgs.
11/2010. Non può infatti ritenersi che il solo fatto che il avesse subito altre due Parte_1
intromissioni nel suo sistema (una delle due peraltro prontamente rilevata proprio dalla banca, che quindi in quel caso aveva un sistema idoneo di sicurezza che aveva segnalato l'operazione sospetta) abbia dato luogo ad una colpa grave.
Nel caso di specie, pertanto, non è ravvisabile un concorso di colpa ex art. 1227 c.c. come richiesto dalla anche perchè la norma di cui all'art. 10 dlvo 11/2020 richiede un grado di colpa _1
pagina 12 di 14 grave, non permettendo quindi la graduazione indicata dall'art. 1227 c.c., norma generale, atteso che la banca come visto non ha allegato né provato l'esistenza di concreti elementi indicativi della negligenza nella custodia delle credenziali, né altri profili di inadempimento del cliente agi obblighi di cui all'art. 7 del d.lgs. 11/2010.
In definitiva, la convenuta è responsabile per avere omesso di adottare, con la diligenza dell'accorto banchiere, tutte le misure tecniche idonee a garantire un adeguato standard di sicurezza nell'effettuazione dei pagamenti elettronici a distanza, in modo tale da impedire l'accesso di soggetti non abilitati al sistema ed evitare danni al cliente.
L'addebito operato dalla banca sul conto del per l'importo oggetto di bonifico e in un Parte_1
primo tempo riaccreditato non appare essere legittimo, in quanto privo di autorizzazione da parte del correntista e non rientrante neppure nei casi del cd “modulo di disconoscimento operazioni di pagamento non autorizzate” perchè l'operazione di bonifico, come sopra esaurientemente esposto, non era stata autorizzata, ma frutto di un cd man in the browser.
Per tali motivi, dichiarata l'illegittimità dell'annotazione operata dalla Banca convenuta sul conto
1000/31472 acceso presso , filiale 00300 Imprese Organizzazione_9 [...]
deve essere disposto il ricalcolo del saldo del conto corrente depurato dalla illegittima Org_10 annotazione, in seguito a rettifica e riaccredito della somma di € 50.000,00.
Deve essere invece rigettata la domanda di risarcimento dei danni avanzata dall'attrice perchè non sono neppure stati allegati i danni.
Le spese di lite seguono la soccombenza e sono liquidate come da dispositivo e da seguente tabella.
Nel caso di specie in difetto di prova di pattuizioni intercorse tra la parte vittoriosa ed il suo difensore;
tenuto conto del valore determinabile del decisum e degli effetti della decisione;
della complessità della controversia, del numero e dell'importanza delle questioni trattate, nonché del pregio dell'opera prestata e dei complessivi risultati dei giudizi, le spese del giudizio vengono liquidate in applicazione dei parametri medi.
Tabelle: 2022 (D.M. n. 147 del 13/08/2022)
Competenza: giudizi di cognizione innanzi al tribunale
Valore della causa: da € 26.001 a € 52.000
Fase Compenso
Fase di studio della controversia, valore medio: € 1.701,00
Fase introduttiva del giudizio, valore medio: € 1.204,00
Fase istruttoria e/o di trattazione, valore medio: € 1.806,00
pagina 13 di 14 Fase decisionale, valore medio: € 2.905,00
Compenso tabellare (valori medi) € 7.616,00
Anche le spese di CTU, già liquidate in corso di causa, seguono la soccombenza.
PQM
il Tribunale di Genova, in composizione monocratica, in persona del dott.ssa Patrizia Cazzato, ogni contraria istanza, eccezione e deduzione reietta, definitivamente pronunciando, così provvede:
1. in accoglimento della domanda formulata da dichiara Parte_1
l'illegittimità dell'annotazione operata dalla convenuta sul conto 1000/31472 acceso presso _1
, filiale 00300 Imprese Genova Centro e per l'effetto Organizzazione_9 Pt_4
dispone la rettifica e il riaccredito della somma di € 50.000,00 con conseguente ricalcolo del saldo del conto corrente;
2. condanna la convenuta a rifondere all'attrice le spese del presente giudizio che liquida in €
7.616,00 per compensi, oltre 15% per spese generali, IVA, CPA;
3. pone le spese di CTU, come già liquidate, a carico di parte convenuta.
Genova, 15 marzo 2024
La Giudice
dott.ssa Patrizia Cazzato
pagina 14 di 14
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di GENOVA
SESTA SEZIONE CIVILE
Il Tribunale, nella persona della Giudice dott.ssa Patrizia Cazzato ha pronunciato la seguente
SENTENZA
nella causa civile di I Grado iscritta al n. r.g. 9909/2021 promossa da:
(C.F. ), con il patrocinio dell'avv. BALDI Parte_1 P.IVA_1
MARINELLA e dell'avv. AMORETTI LUISA ( ); elettivamente domiciliato C.F._1
presso il difensore avv. BALDI MARINELLA
ATTORE/I contro
(C.F. ), con il patrocinio dell'avv. POZZI Controparte_1 P.IVA_2
PAOLO e dell'avv. GHISLETTI GIOVANNI ( PIAZZA CP_2 C.F._2
SAN BABILA 5 MILANO;
( ) V.LE PADRE SANTO, 5/11A Parte_2 C.F._3
GENOVA; ( PIAZZA ARMANDO DIAZ 7 Parte_3 C.F._4
MILANO; elettivamente domiciliato in PIAZZA ARMANDO DIAZ, 7 20123 MILANO presso il difensore avv. POZZI PAOLO
CONVENUTO/I
CONCLUSIONI
Le parti hanno concluso come da note depositate telematicamente.
pagina 1 di 14 Concisa esposizione delle ragioni di fatto e di diritto della decisione
(per brevità anche ) con atto di citazione Parte_1 Parte_4
regolarmente notificato conveniva in giudizio (per brevità anche ) Controparte_1 _1 chiedendo la nullità/inesistenza dell'annotazione a debito di € 50.000,00 avvenuta sul conto corrente
1000/31472 acceso presso l' , Filiale 00300 (doc. 1 di parte Organizzazione_1 attrice); per l'effetto accertare l'entità del saldo così ricalcolato/aumentato e condannare la ad _1 operare tale rettifica e/o ricalcolo, oltre al risarcimento per tutti i danni subiti.
Esponeva: l'odierno attore in data 21 settembre 2020 provvedeva a mettere in esecuzione bonifico bancario della somma di € 50.000,00 a nonostante la contabile di pagamento Org_2
indicasse questo soggetto come beneficiario, dopo verifiche, emergeva che il bonifico era stato, invece, accreditato a soggetto diverso, tal GA (doc. 6 di parte attrice); a seguito di diffida, la Persona_1
in data 15.06.2021, restituiva al la predetta somma con sottoscrizione del modulo per _1 Parte_1 il “disconoscimento operazioni di pagamento non autorizzate” (doc. 8 di parte attrice). Tuttavia, il
28.06.2021 la revocava illegittimamente l'accreditamento (doc. 9 di parte attrice) disposto a _1
Part favore di .
Evidenziava come fosse già accaduto in precedenza, in data 30.10.2019, che un bonifico bancario in favore, in tal caso di consorziato G.P.S. di , venisse eseguito da parte di Persona_2 _1
ad un soggetto diverso, in tal caso la sig.ra ; adito il tribunale, in questa occasione, Controparte_3
accettava però di restituire la somma oggetto di bonifico in via conciliativa. _1
La banca doveva, in tesi attorea, rispondere per violazione del dovere di diligenza ex artt. 1856,
1710 c.c. a causa dell'erronea esecuzione del bonifico, come prevede anche la disciplina dell'art. 25
d.lgs. n. 218 del 2017.
si costituiva chiedendo il rigetto delle domande, l'accertamento dell'esclusiva _1 responsabilità dell'attore per i fatti contestati;
in subordine, di accertare e dichiarare ex art. 1227 comma 2 c.c. il concorso del nella causazione del danno e conseguentemente rigettare ogni Parte_1
richiesta risarcitoria avanzata nei confronti della in ulteriore subordine accertare e dichiarare ex _1
art. 1227, comma 1 c.c. il concorso del nella causazione del danno, con conseguente rigetto Parte_1 della domanda risarcitoria nella misura che emergerà all'esito del giudizio.
L'odierno attore era titolare del rapporto di conto corrente n. 1000/31472, che gestiva in via Org_ telematica attraverso il portale di home banking denominato “ ” realizzato da Organizzazione_4
professionali (doc. 2 di parte convenuta). Il 21 settembre 2020, quando il
[...] Parte_1 procedeva all'operazione oggetto di doglianza, in tesi di parte convenuta, il sistema registrava pagina 2 di 14 immediatamente dopo l'inserimento un ordine di bonifico di € 50.000,00 in favore non di Org_2
ma di ” (IBAN [...]) (doc. 3 di parte
[...] Organizzazione_5 convenuta, foglio Tracciatura, riga 39 “Presentazione Bonifico Multiplo - inserimento”). Il bonifico così inserito non veniva revocato entro il termine utile delle 17:30 della medesima giornata da parte di
Part
e quindi veniva contabilizzato il giorno successivo. La difesa dalla banca evidenziava che la contabile di pagamento prodotta dal per denunciare il fatto aveva come data di estrazione il Parte_1
25 settembre 2020 e non era prodotta dal sistema informatico di , ma molto Controparte_1
probabilmente da un software malevolo installato sugli apparecchi informatici del . Ciò si Parte_1 evinceva dal codice in esso indicato con sequenza numerica “861”, che non identificava Org_6
alcun conto o istituto di credito. Ancora, la stessa presentazione di bonifico allegata alla pec del 25 settembre 2020 da parte attrice con la richiesta di revoca del bonifico (doc. 6 di parte convenuta) era diversa rispetto a quella presentata nell'odierno giudizio, di cui al doc. 5 ed aveva con beneficiario
; era evidente, pertanto, che nella medesima giornata il era stato in Organizzazione_5 Parte_1
grado di estrarre due differenti documenti per la stessa operazione.
Alla luce di ciò, si deduceva, in tesi di parte convenuta, che l'operatività degli apparecchi Part informatici di non era sicura e che, comunque, il , avendo avuto la conferma della non Parte_1
genuinità del documento 5 ex adverso, poteva revocare la disposizione di pagamento. Per queste ragioni il riaddebito della somma oggetto dell'odierno giudizio da parte della era legittimo. _1
Contestava, infine, la narrazione di controparte circa i fatti relativi al bonifico precedente del
30.10.2019 dal momento che la restituzione della somma oggetto di quel giudizio era stata operata da parte di a cui era stato esteso il contraddittorio e non da . CP_4 Controparte_1
In corso di giudizio venivano rigettati tutti i capitoli di prova dedotti dalle parti e veniva disposta
CTU. Dopo il deposito della perizia, il consulente veniva sentito a chiarimenti all'udienza del
27.01.2023. la causa veniva poi trattenuta in decisione con la concessione degli ordinari termini di legge ex art. 190 c.p.c.
***
La domanda di parte attrice deve essere accolta per i motivi di seguito esposti
1. I fatti
Come ricostruito dal CTU a pag. 36 e 37 della sua relazione, sulla base di quanto indicato dalle parti, dai loro consulenti e sulla base della lettura doc. 3 foglio tracciatura, il 21.09.202020, ore
Part 10:17:41 tentava di disporre un bonifico tramite il sistema di home banking. L'accesso era preceduto da controlli dei codici statici e dinamici e l'utente loggato risultava essere “03164957 -
pagina 3 di 14 ( Parte_5 Org_7
A0593200”.
Il sistema della banca registrava quindi l'inserimento di un bonifico per € 50.000,00 in Pt_6 favore di ” diretto all'IBAN [...] alle ore Organizzazione_5
10.18.42 e 056 centesimi (ovvero circa 1 minuto dopo il login). Subito dopo l'inserimento della disposizione di bonifico vi era la chiamata al sistema “Smash”, ossia del sistema antifrode della _1
alle ore 10.18.42 e 073 centesimi 5. Secondo quanto indicato dal CTP l'operazione veniva autorizzata tramite validazione della credenziale autorizzativa (OTP) “salvo il fatto che non è presente agli atti specifica evidenza di ciò non essendo possibile desumerlo dalla sola lettura del record 41.
L'operazione avviene alle ore 10.18.54 e 000 centesimi;
8. Secondo quanto indicato dal CTP vi è il passaggio della presentazione n. 301 dallo stato di “AUTORIZZATA” a quello di “SPEDITA” (i.e. spedita al circuito interbancario) (11). Ciò avviene alle ore 10.15.59 e 732 centesimi”.
“La catena degli eventi così come sopra descritta è stata desunta esclusivamente dalla lettura del
DOC.03 Foglio “Tracciatura dal quale emerge che l'intera operazione disconosciuta è avvenuta nell'arco temporale di circa 1 minuto - precisamente dalle ore 10:17:41 - momento nel quale è stato effettuato il login – e le ore 10:18:59 – momento nel quale il bonifico disconosciuto è stato inviato al circuito interbancario. Posto che risultano essere assenti informazioni circa i sistemi di protezione
“INDIRETTA” della banca finalizzati alla verifica ex post della coerenza dell'operazione inserita nel sistema informatico ed al suo eventuale blocco in caso di incoerenza rispetto alla normale operatività, emerge che il sistema denominato “SMASH - KLEISDIS-M” ha impiegato circa 0.5 secondi12 per valutare se l'operazione presentasse un Risks-core ritenuto accettabile. Al netto, comunque, dell'assenza di informazioni circa la determinazione del Risk-score si può comunque osservare come la richiesta di bonifico sia arrivata sui sistemi della banca già con i dati del Sig. Org_5
ovvero risultano assenti riferimenti alla Il fatto che Parte Attrice riferisca
[...] Org_2
di aver inserito quale destinatario del bonifico il soggetto con codice IBAN Org_2
[...] quando invece lo stesso risulta essere stato registrato nei sistemi della banca quale avente codice IBAN [...] è Organizzazione_5
attribuibile, con ottima probabilità, alla presenza di un Malware Software annidato a livello del
Browser Web utilizzato per effettuare il bonifico sviato. Tale tipo di truffa che prende colloquialmente il nome di (variante del classico Man in the Middle) si concretizza interponendo Organizzazione_8 un Layer malevolo tra l'interfaccia utente utilizzata dal cliente che dispone il bonifico ed i sistemi della banca che prendono in carico l'operazione.
pagina 4 di 14 Il fatto che la manipolazione sia avvenuta all'interno del sistema informatico del CIQ risulta dalla stessa denuncia truffa dell'11.4.2022 (All. 12) presentata dall'attrice: “nel caso di specie, infatti, il soggetto attivo ha presumibilmente – come potrà essere accertato dalla SV nell'ambito delle indagini – manipolato il sistema informatico interno del CIQ allo scopo di modificare il destinatario del bonifico, ottenendo un ingiusto vantaggio economico”
L'attrice è quindi stata vittima di una particolare frode informatica, denominata “man in the browser”.
Trattasi di frode appartenente al più ampio fenomeno del c.d. “man in the middle”, ossia una minaccia informatica che permette al malintenzionato di intercettare e manipolare il traffico internet che l'utente crede privato e protetto. Nello specifico, l'hacker si intromette tra due entità: l'utente ed un server o un router, riuscendo ad intercettare i messaggi inviati e ricevuti e a modificarli. L'origine del man in the browser è da ascriversi ad un malware (c.d. trojan) dotato di “sofisticate capacità di elusione dei migliori antivirus – si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema tali da attrarre l'attenzione dell'utente. Il malware resta completamente “in sonno” attivandosi solo nel momento in cui l'utente si colleghi ad un sito finanziario compreso fra quelli che il programma abbia posto nel mirino (targeted banks)” (Collegio di coordinamento dell'ABF n. 3498/2012). L'unica differenza, obiettivamente impercettibile a qualsiasi scrupoloso utente, è “la stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso (c.d. protocollo di trasferimento ipertestuale, Hyper Text Transfer Protocol)
“http” e non già “https” (dove la “s” finale sta per secured, protetto). Ignaro dell'intervenuta sostituzione della pagina, l'utente è indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera” (Collegio di coordinamento ABF sopra citato).
Nel caso di operazioni di pagamento mediante il servizio home banking, tale minaccia risulta particolarmente insidiosa, poiché si crea un'interposizione tra la schermata autentica della banca su cui l'utente opera e quella creata dal truffatore;
il che non consente all'utilizzatore di avvedersi della sostituzione e dell'alterazione del sistema in cui viene effettuata l'operazione di pagamento.
Successivamente, il malware attiva una finestra che sembra provenire dal sito della banca in cui l'utente è convinto di operare, ove è richiesta una conferma di sicurezza, normalmente attuata dalle banche per effettuare ulteriori verifiche, tramite l'inserimento delle credenziali e del codice OTP (one time password), come avvenuto nel caso di specie. In seguito alla compilazione del modulo fittizio da parte dell'utilizzatore, il malware carpisce i codici di autenticazione e li utilizza in danno dell'utente, disponendo operazioni di pagamento a terzi soggetti dal conto corrente del soggetto truffato. Nel caso di specie, inoltre, il CIQ era stato già oggetto di un precedente sviamento avvenuto il 17.02.2000 e di pagina 5 di 14 un ulteriore e precedente avvenuto a novembre 2010: entrambi avvenuti con le medesime modalità: Part
“Occorre premettere che prima dell'effettuazione del bonifico di cui si tratta la società era già stata vittima di precedenti n.3 (in realtà sono due ndr) sviamenti informatici che, dalla lettura degli atti di causa, risultavano avere medesime modalità di svolgimento rispetto a quello di cui si discute nella presente relazione” (pag. 29 ctu).
2. La domanda dell'attrice
Ciò che il richiede è l'accertamento dell'illegittimità del comportamento della Banca Parte_1 che ha disposto un'annotazione a debito sul suo conto di € 50.000,00 non autorizzata dal Parte_1 medesimo, sulla base di una sua qualificazione dell'operazione errata. La dal canto suo ritiene _1
di avere seguito un comportamento corretto per il fatto che, secondo suoi accertamenti, l'operazione di bonifico di € 50.000,00 era stata debitamente autorizzata dal , tanto che lo stesso Parte_1 Parte_1
aveva prodotto nell'allegato al documento di richiamo (doc. 6) contabile in cui il beneficiario era e non . Inoltre, a parere della erano state adottate tutte le misure di Pt_7 Org_2 _1
sicurezza, come attestato dalla certificazione ISO, e dalla consegna del dispositivo OTR. Era stato invece il , che già in passato era stato oggetto di episodi similari, a non dimostrare Parte_1 particolare attenzione. In particolare, la si riferiva all'episodio del 30.09.2019, poi conclusosi _1
con una transazione, ed ancora il 17.2.2020 in cui l'operatività del conto era stata bloccata dalla _1 che aveva riscontrato un'operatività sospetta. Pur avendo subito tali episodi il non aveva Parte_1
approntato sistemi di sicurezza adeguati. E, secondo la a riprova del fatto che il _1 Parte_1 avrebbe potuto scoprire l'operazione “malevola” vi è il fatto che, come successo, stampando la contabile dell'operazione da computer diverso da quello da cui era stato impartito l'ordine di bonifico, era emerso che lo stesso non era stato effettuato a favore di , ma in favore di Tale Org_2 Pt_7
particolare modalità è confermata dalla stessa denuncia avvenuta per il precedente episodio del 17 febbraio (v. Doc. 11): “il documento è altresì interessante poiché viene descritta la struttura informatica dei computer che erano nella disponibilità del e dal quale erano stati originati i Parte_1
bonifici sviati nonché una circostanza significativa relativamente al fatto che in relazione ad uno dei due bonifici sviati (nello specifico quello del 17.02.2020) a seguito della stampa della distinta effettuata contestualmente all'inserimento, lo stesso era differente rispetto ai dati inseriti salvo il fatto che, ritentando la medesima operazione (stampa della distinta) da un altro PC i dati inseriti erano ulteriormente differenti”. A parere della sarebbe quindi bastato questo accorgimento. Non solo. _1
Dopo il primo episodio del 30 ottobre 2019 aveva sospeso il funzionamento del servizio _1
Part di home banking e, a fronte delle rimostranze di , aveva chiesto se i terminali erano stati messi in sicurezza, il legale rappresentante rispondeva “Gentile dottoressa, siamo nuovamente in empasse: noi pagina 6 di 14 NON ABBIAMO messo in sicurezza nulla. Il disviamento informatico è avvenuto all'interno di _1
e non presso le strutture di Non posso proprio dichiarare altro” (v.
[...] Parte_1
Doc. 8), e la banca nuovamente sollecitava la messa in sicurezza dei sistemi informatici “riguardo all'internet banking, capirà che è nell'interesse di tutti avere conferma che i suoi sistemi informatici sono sicuri, se ci dà un riscontro procediamo” (doc. 9). A fronte dell'ulteriore episodio del 17 febbraio, la banca di nuovo sollecitava l'utente ad un controllo dei propri sistemi
In una tale situazione di vulnerabilità non risulta che nè l'utente, dopo i diversi episodi, nè la banca abbiano adottato le misure necessarie o comunque quanto possibile per scongiurare il più possibile indebite intromissioni a quanto pare oramai già avvenute e presenti su uno dei computer del
Part CIQ. Non si tratta infatti del primo episodio, ma del terzo. Non risulta infatti che abbia provveduto a formattare i propri computer o comunque a chiamare un tecnico informatico al fine di rinvenire il virus ed eliminarlo e così riportare in sicurezza la sua rete informatica. D'altro canto, occorre anche considerare che neppure la banca ha mostrato di avere adottato tutte le dovute precauzioni, come per esempio, la procedura di retroazione di cui si parlerà meglio nel prosieguo o sistemi tali da individuare le operazioni sospette e neppure ha individuato una concreta e grave colpa del nel non custodire i codici di sicurezza o nel permettere a terzi l'utilizzo dell'home Parte_1
banking. Non è neppure chiaro se il virus fosse già presente e riconducibile al precedente episodio di men in the browser o fosse uno nuovo ed ulteriore. Bisogna altresì ricordare come all'epoca in cui è avvenuto il fatto non esistessero sistemi antivirus idonei a impedire il cd man in the browser. Il ctu, sentito a chiarimenti all'udienza del 27 gennaio 2023, ha dichiarato “Per quanto so nel periodo in cui è avvenuta la truffa informatica per cui è causa non so se esistessero antivirus tali da individuare ed annullare l'effetto del cd men in the browser, infatti confrontandomi con un collega che ha avuto un caso similare a questo (ossia sempre sistema inbiz e similare modalità di verificazione della truffa) e che in quel caso aveva la disponibilità della copia forense del pc, identificato ed estratto il virus è stato testato sull'applicazione virus total rilevando che buona parte degli antivirus ai tempi disponibili non aveva rilevato minacce”.
Bisogna inoltre considerare che il , come affermato dallo stesso nella denuncia Parte_1
querela (all. 7 e 12) e comunque evidente dalla sua natura giuridica, è un soggetto che raggruppa pagina 7 di 14 diversi soggetti consorziati e ha quindi un'operatività bancaria sostenuta, con numerose operazioni
(come visibile anche dagli estratti conto prodotti v. All 10 per un solo mese). L'utilizzo dell'home banking permette una celere ed efficace gestione della propria operatività bancaria. Come affermato in ambito europeo: “è nell'interesse, infatti, non soltanto del prestatore di servizi di pagamento, ma anche del suo cliente, disporre, purché quest'ultimo lo desideri e sia sufficientemente tutelato, di mezzi di pagamento innovativi, rapidi e di facile utilizzo” (Corte giustizia Unione Europea, Sez. I, Sent.,
11/11/2020, n. 287/19)”. Non può quindi richiedersi, quale parametro di diligenza, ad un operatore commerciale di dovere per ogni operazione di bonifico procedere a doppia stampa su computer diversi: il numero delle operazioni consuete annullerebbe il beneficio dell'home banking.
Deve considerarsi come la disciplina normativa attribuisca la responsabilità alla banca. Ex art. 10 dlvo 11/2020 infatti “È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”. L'eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo;
e ciò anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema.
La misura di diligenza richiesta agli istituti di credito è valutata alla stregua dell'accorto banchiere, secondo il canone di diligenza professionale di cui all'art. 1176, comma 2, c.c., avuto riguardo alla natura dell'attività esercitata. Proprio per il fatto che la professionalità e la diligenza del banchiere si riflette su tutta la gamma delle attività da lui svolte nell'esercizio dell'impresa bancaria e, quindi, sui rapporti, per lo più asimmetrici, che in quelle attività sono radicati, egli dispone di strumenti e di competenze per la corretta attuazione delle predette attività che normalmente altri soggetti interessati non possiedono.
Vicende analoghe a quelle per cui si procede sono state ricondotte dalla giurisprudenza di legittimità all'ambito del rischio di impresa dell'attività bancaria. L'evoluzione dei sistemi telematici per l'esecuzione di operazioni bancarie risponde anche a un interesse della banca e la responsabilità dell'intermediario - con riguardo alla verifica della riconducibilità delle operazioni alla volontà del cliente - ha natura contrattuale.
Nello specifico caso di servizi di pagamento informatici, la responsabilità degli intermediari, quali prestatori di servizi di pagamento, è espressamente disciplinata dal d.lgs. 11/2010, normativa richiamata da entrambe le parti in causa. Tale decreto legislativo ha inteso rendere l'ambiente pagina 8 di 14 informatico-finanziario improntato a criteri di maggior sicurezza e affidabilità e ciò in ragione del crescente impiego dello strumento di pagamento elettronico da parte del pubblico degli utilizzatori, nonché del prevedibile espandersi delle minacce attuate dalla nuova criminalità in tale ambiente di operatività finanziaria. In tal senso, la normativa richiamata prevede che, in caso di disconoscimento di un'operazione di pagamento da parte dell'utente, è onere del prestatore di servizi provare che
“l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti” (art. 10, comma 1, d.lgs. 11/2010). In particolare, è onere del prestatore di servizi di pagamento fornire la prova della frode, del dolo o della colpa grave dell'utente, in quanto “l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, […] non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7” (art. 10, comma 2, d.lgs. 11/2010). Sul punto, si evidenzia che, al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori bancari), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo (Cass. 9158/2018; Cass. 32075/2021 e, da ultimo, Cass. 16417/2022).
Il prestatore di servizi di pagamento ha, dunque, l'obbligo di garantire la sicurezza dei sistemi informatici attraverso i quali vengono erogati tali servizi, nonché di assicurare che la fruizione dei medesimi da parte degli utenti sia immune da malfunzionamenti o attacchi informatici. Assolto tale obbligo, il prestatore ha in ogni caso l'onere di dimostrare la condotta dolosa o gravemente colposa dell'utente, posto che il mero utilizzo di uno strumento di pagamento non implica la riconducibilità dell'operazione all'autorizzazione dell'utente, né ad un utilizzo negligente o fraudolento dello strumento di pagamento da parte del medesimo. Ciò in ragione del fatto che, come nel caso di specie, il sistema informatico nel quale opera l'utente può essere attaccato da un virus che altera la capacità operativa del sistema e realizza così una frode informatica, senza che l'utente possa avvedersene. In tale quadro, l'onere probatorio posto a carico della banca si modella diversamente a seconda del tipo di tecnica, più o meno insidiosa, utilizzata per realizzare la truffa informatica, tale da conferire un diverso rilievo giuridico al comportamento del cliente.
pagina 9 di 14 Nel caso di specie, in considerazione della minaccia informatica in esame, la banca non ha assolto all'onere probatorio imposto dalla normativa sopra citata per escludere completamente la propria responsabilità, non offrendo prova del comportamento gravemente colposo dell'attrice/utilizzatrice dei servizi di pagamento, ma solo di una negligenza dell'utente priva però di quei caratteri di gravità necessari per escludere la responsabilità.
La convenuta ha ritenuto che il non si sia attivato per tempo per riscontrare Parte_1
l'avvenuta truffa ai suoi danni. A tal fine ha citato giurisprudenza di legittimità che però non si adatta al caso di specie: la sentenza della Sez. 3 n. 18045/2019 individua la colpa grave nel fatto che il cliente aveva atteso due anni prima di comunicare l'uso non autorizzato dello strumento di pagamento, mentre nel caso di specie si è trattato di pochi giorni (pagamento eseguito il 21.09.2020 e richiesta di revoca del bonifico il 28.6.2020) o ancora altra sentenza in nulla pertinente con il caso di specie (Cass. N.
7214/2023 in cui però era stato il correntista ad avere dato con negligenza i propri codici in una e-mail inviatagli dal truffatore).
Pretendere, inoltre, come richiesto dalla banca che l'utilizzatore dei servizi di pagamento verifichi ogni singola operazione, facendo una doppia stampa in computer diversi per controllare l'effettiva e corretta esecuzione del suo ordine, vuol dire far venire meno l'efficienza dell'home banking basata per l'appunto su una velocità di esecuzione, accompagnata però anche dalla relativa sicurezza, di cui è onerata la banca.
Si consideri, in proposito, che l'assunto difensivo della banca per cui se l'attrice avesse controllato l'estratto conto subito dopo le disposizioni di pagamento, i bonifici avrebbero potuto essere revocati entro le ore 17.30 del medesimo giorno dell'operazione non tiene conto dell'impercettibilità, da parte dell'utilizzatore, dell'interposizione della schermata del software malevolo con quella autentica del sistema di home banking, per cui non sarebbe stato possibile per l'attrice avvedersi del dirottamento dei bonifici sino al momento in cui tali somme non sono confluite nel conto corrente del beneficiario originario. L'interposizione fittizia della schermata del malware nel sistema di home banking ha generato una schermata di buon esito dell'operazione di pagamento;
il che non induce e non ha indotto, nel caso di specie, il disponente a controllare l'estratto conto per verificare la correttezza del pagamento. Inoltre, dal momento che non si tratta di bonifici istantanei, e dunque con accredito immediato della somma di denaro, i bonifici ordinari (come quelli di specie) richiedono un periodo di elaborazione da parte della banca normalmente di due giorni, pari al tempo trascorso tra la disposizione dei bonifici.
Spetta, quindi, al prestatore di servizi di pagamento, nell'ambito della sua diligenza e delle sue competenze, valutate alla stregua dell'accorto banchiere, attuare tutte le misure idonee a prevenire e pagina 10 di 14 bloccare tali tipi di intromissioni nel sistema operativo. Tale obbligo non può dirsi assolto da parte della banca per il solo fatto di aver adottato un sistema di autenticazione c.d. forte (ad es. a due fattori, come codice PIN, QR code o codice OTP). La predisposizione di un sistema di sicurezza di tipo forte da parte della banca, infatti, non è sufficiente di per sè a dimostrare la colpa grave del cliente, che deve invece essere desunta da specifici e concreti elementi di prova indicativi della negligenza del cliente nella custodia delle proprie credenziali. La tesi contraria, sostenuta dalla banca, non può ritenersi fondata, in quanto finisce per porre nel nulla la previsione dell'art. 10 d.lgs. 11/2010, stabilendo una presunzione di colpa grave del cliente ogniqualvolta l'intermediario dimostri di aver adottato un sistema di autenticazione forte, in netto contrasto con quanto previsto dalla predetta disposizione, che pone a carico della banca una responsabilità semi-oggettiva in caso di operazioni di pagamento elettronico disconosciute dal cliente e le impone di dimostrare la frode, il dolo o la colpa grave dello stesso.
In tal senso vi è la chiara ctu ed i successivi chiarimenti resi all'udienza del 27.1.2023 secondo i quali ciò che risulta essere un valido strumento di ulteriore sicurezza è il cd metodo di retroazione.
“Per fare comprendere al Giudice in termini colloquiali a cosa ci si riferisce quando viene citato il termine “retroazione” si può fare riferimento, ad esempio, ad un messaggio proveniente dalla banca, che richiede al correntista autenticare lo specifico bonifico di € xxx alla specifica persona “yyy”. Tale sistema, peraltro, come indicato dal ctu all'udienza del 27 gennaio 2023, era in uso presso altre banche.
E tale sistema, come sostenuto condivisibilmente dal ctu, avrebbe permesso al di venire a Parte_1
conoscenza che il bonifico ricevuto nei sistemi della era intestato al Sig. e non a _1 Org_5
nfatti il flusso logico ricostruito dal ctu sarebbe il seguente: Org_2
1.il cliente autentica la sessione di collegamento sul sito della banca (vedasi sicurezza diretta);
2. il cliente procede alla creazione di una distinta di pagamento, la quale viene autenticata localmente ed inviata ai sistemi della banca (vedasi sicurezza diretta);
3. ricevuto il flusso informativo della distinta predisposta (ed autorizzata) dal cliente, la banca assegna uno score risk (i cui parametri abbiamo già avuto modo di vedere risultano ignoti) ed invia al cliente una retroazione ovvero la richiesta di autenticare la specifica distinta così come ricevuta dal cliente;
3.bis il cliente ricevuta dalla banca la retroazione procede ad autenticare la specifica transazione;
4. il cliente riceve conferma circa l'effettuazione del bonifico potendo scaricare dal sito della banca la contabile bancaria del bonifico effettuato.
pagina 11 di 14 Non risulta che la avesse tale sistema e quello che la banca definisce quale _1
“presentazione” nulla ha a che fare con la retroazione come descritta (ed esclusa nella sua operatività nel caso di specie) dal ctu.
Inoltre, altro elemento in grado contrastare il fenomeno della truffa è, oltre Organizzazione_8
ovviamente a quello lato utente di non essere stato infettato quello - lato banca - disporre di un sistema antifrode in grado comprendere nell'immediato se l'operazione presenta connotati che possano fare ricondurre a tale fattispecie di truffa. Si tratta di un terreno di “frontiera” nel quale la mera analisi ad opera dei sistemi antifrode dei parametri quali username, codici OTP, ip collegamento, etc. non è più sufficiente in quanto la compromissione - che avviene a livello locale del browser del cliente - accade dopo l'instaurazione di una relazione fiduciaria tra i sistemi cliente/banca.
Inoltre, pur nell'incertezza dei sistemi di sicurezza informatica adottati dall'attrice per la protezione del computer attraverso cui le operazioni di pagamento venivano effettuate, il consulente tecnico d'ufficio non ha evidenziato particolari omissioni nella protezione del sistema operativo della società, tali da agevolare l'intrusione del malware, indicando anzi come all'epoca il avesse i Parte_1
sistemi antivirus aggiornati e in ogni modo “per quanto so nel periodo in cui è avvenuta la truffa informatica per cui è causa non so se esistessero antivirus tali da individuare ed annullare l'effetto del cd men in the browser, infatti confrontandomi con un collega che ha avuto un caso similare a questo
(ossia sempre sistema inbiz e similare modalità di verificazione della truffa) e che in quel caso aveva la disponibilità della copia forense del pc, identificato ed estratto il virus è stato testato sull'applicazione virus total rilevando che buona parte degli antivirus ai tempi disponibili non aveva rilevato minacce. A quanto so per il mio lavoro nel 2020/2021 ebbe diversi problemi _1
simili a questo oggetto di causa, ad oggi a quanto so utilizza dei sistemi di sicurezza _1
indiretta e non solo tanto che ad oggi questo tipo di truffa informatica con non si verifica _1 più”.
Nel caso di specie, pertanto, non può ravvisarsi la colpa grave del , atteso che la banca Parte_1 non ha allegato né provato l'esistenza di concreti elementi indicativi della negligenza nella custodia delle credenziali, né altri profili di inadempimento del cliente agli obblighi di cui all'art. 7 del d.lgs.
11/2010. Non può infatti ritenersi che il solo fatto che il avesse subito altre due Parte_1
intromissioni nel suo sistema (una delle due peraltro prontamente rilevata proprio dalla banca, che quindi in quel caso aveva un sistema idoneo di sicurezza che aveva segnalato l'operazione sospetta) abbia dato luogo ad una colpa grave.
Nel caso di specie, pertanto, non è ravvisabile un concorso di colpa ex art. 1227 c.c. come richiesto dalla anche perchè la norma di cui all'art. 10 dlvo 11/2020 richiede un grado di colpa _1
pagina 12 di 14 grave, non permettendo quindi la graduazione indicata dall'art. 1227 c.c., norma generale, atteso che la banca come visto non ha allegato né provato l'esistenza di concreti elementi indicativi della negligenza nella custodia delle credenziali, né altri profili di inadempimento del cliente agi obblighi di cui all'art. 7 del d.lgs. 11/2010.
In definitiva, la convenuta è responsabile per avere omesso di adottare, con la diligenza dell'accorto banchiere, tutte le misure tecniche idonee a garantire un adeguato standard di sicurezza nell'effettuazione dei pagamenti elettronici a distanza, in modo tale da impedire l'accesso di soggetti non abilitati al sistema ed evitare danni al cliente.
L'addebito operato dalla banca sul conto del per l'importo oggetto di bonifico e in un Parte_1
primo tempo riaccreditato non appare essere legittimo, in quanto privo di autorizzazione da parte del correntista e non rientrante neppure nei casi del cd “modulo di disconoscimento operazioni di pagamento non autorizzate” perchè l'operazione di bonifico, come sopra esaurientemente esposto, non era stata autorizzata, ma frutto di un cd man in the browser.
Per tali motivi, dichiarata l'illegittimità dell'annotazione operata dalla Banca convenuta sul conto
1000/31472 acceso presso , filiale 00300 Imprese Organizzazione_9 [...]
deve essere disposto il ricalcolo del saldo del conto corrente depurato dalla illegittima Org_10 annotazione, in seguito a rettifica e riaccredito della somma di € 50.000,00.
Deve essere invece rigettata la domanda di risarcimento dei danni avanzata dall'attrice perchè non sono neppure stati allegati i danni.
Le spese di lite seguono la soccombenza e sono liquidate come da dispositivo e da seguente tabella.
Nel caso di specie in difetto di prova di pattuizioni intercorse tra la parte vittoriosa ed il suo difensore;
tenuto conto del valore determinabile del decisum e degli effetti della decisione;
della complessità della controversia, del numero e dell'importanza delle questioni trattate, nonché del pregio dell'opera prestata e dei complessivi risultati dei giudizi, le spese del giudizio vengono liquidate in applicazione dei parametri medi.
Tabelle: 2022 (D.M. n. 147 del 13/08/2022)
Competenza: giudizi di cognizione innanzi al tribunale
Valore della causa: da € 26.001 a € 52.000
Fase Compenso
Fase di studio della controversia, valore medio: € 1.701,00
Fase introduttiva del giudizio, valore medio: € 1.204,00
Fase istruttoria e/o di trattazione, valore medio: € 1.806,00
pagina 13 di 14 Fase decisionale, valore medio: € 2.905,00
Compenso tabellare (valori medi) € 7.616,00
Anche le spese di CTU, già liquidate in corso di causa, seguono la soccombenza.
PQM
il Tribunale di Genova, in composizione monocratica, in persona del dott.ssa Patrizia Cazzato, ogni contraria istanza, eccezione e deduzione reietta, definitivamente pronunciando, così provvede:
1. in accoglimento della domanda formulata da dichiara Parte_1
l'illegittimità dell'annotazione operata dalla convenuta sul conto 1000/31472 acceso presso _1
, filiale 00300 Imprese Genova Centro e per l'effetto Organizzazione_9 Pt_4
dispone la rettifica e il riaccredito della somma di € 50.000,00 con conseguente ricalcolo del saldo del conto corrente;
2. condanna la convenuta a rifondere all'attrice le spese del presente giudizio che liquida in €
7.616,00 per compensi, oltre 15% per spese generali, IVA, CPA;
3. pone le spese di CTU, come già liquidate, a carico di parte convenuta.
Genova, 15 marzo 2024
La Giudice
dott.ssa Patrizia Cazzato
pagina 14 di 14