TRIB
Sentenza 12 febbraio 2025
Sentenza 12 febbraio 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Firenze, sentenza 12/02/2025, n. 501 |
|---|---|
| Giurisdizione : | Trib. Firenze |
| Numero : | 501 |
| Data del deposito : | 12 febbraio 2025 |
Testo completo
N. R.G. 3619/2023
TRIBUNALE ORDINARIO di FIRENZE
03 Terza sezione CIVILE
VERBALE da remoto DELLA CAUSA n. r.g. 3619/2023 tra
Parte_1
[...]
PARTE ATTRICE
e
Controparte_1
PARTE CONVENUTA
Oggi 12 febbraio 2025 innanzi al dott. Giovanna Colzi, sono comparsi:
Per 'avv.to DE GAETANO DAVIDE Parte_1 Parte_1 Per , l'avv.to Gessica Facchini in sostituzione avv.ti MOCCI Controparte_1
FRANCESCO ;
Il giudice prende atto della dichiarazione di identità dei procuratori delle parti presenti. I procuratori delle parti collegate da remoto dichiarano che non sono in atto collegamenti con soggetti non legittimati e che non sono presenti soggetti non legittimati nei luoghi da cui sono in collegamento con la stanza virtuale d'udienza. Su invito del giudice, i difensori si impegnano a mantenere attivata la funzione video per tutta la durata dell'udienza ed a prendere la parola nel rispetto delle indicazioni del giudice, in modo da garantire l'ordinato svolgimento dell'udienza. Il giudice avverte che la registrazione dell'udienza è vietata. Su invito del giudice, i difensori dichiarano di aver partecipato effettivamente all'udienza nel rispetto del contraddittorio e che lo svolgimento dell'udienza stessa mediante l'applicativo è avvenuto regolarmente. L'Avv. De Gaetano si riporta alle note conclusive e conclusioni ivi precisate, evidenzia che non vi è colpa grave del ricorrente in quanto la banca non ha provato di avere usato la massima cautela dovuta relativamente al proprio sistema informatico, come riscontrato dal CTU. L'Avv. Facchini si riporta alla memoria depositata e alle conclusioni ivi contenute, evidenzia che la CTU non ha concluso come riferisce controparte, ma ha rilevato che la banca ha implementato il proprio sistema di sca, mentre il bonifico si è verificato in quanto il terzo era in possesso delle credenziali dell'utente, mentre in difetto non sarebbe stato possibile disporre alcun pagamento.
I difensori rinunciano a presenziare alla lettura della sentenza.
Il Giudice preso atto di quanto sopra, successivamente pronuncia sentenza ex art. 281 sexies c.p.c..
Il Giudice onor.
dott. Giovanna Colzi pagina 1 di 8 REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di FIRENZE
03 Terza sezione CIVILE
Il Tribunale, nella persona del Giudice dott. Giovanna Colzi ha pronunciato ex art. 281 sexies c.p.c. la seguente
SENTENZA
nella causa civile di I Grado iscritta al n. r.g. 3619/2023 promossa da:
(C.F. , con il patrocinio dell'avv. DE GAETANO Parte_1 C.F._1 DAVIDE e dell'avv. CASELLI GIULIO ( Indirizzo Telematico;
, elettivamente C.F._2 domiciliato in Indirizzo Telematicopresso il difensore avv. DE GAETANO DAVIDE (C.F. ), con il patrocinio dell'avv. DE GAETANO Parte_1 C.F._3 DAVIDE e dell'avv. CASELLI GIULIO ( Indirizzo Telematico;
, elettivamente C.F._2 domiciliato in Indirizzo Telematicopresso il difensore avv. DE GAETANO DAVIDE
PARTE ATTRICE contro
(C.F. ), con il patrocinio dell'avv. MOCCI Controparte_1 P.IVA_1 FRANCESCO e dell'avv. UCCISI ELENA ( ) VIA FRUSA 41 50131 C.F._4
FIRENZE; , elettivamente domiciliato in VIA GIOVANNI XXIII 8 08100 NUOROpresso il difensore avv. MOCCI FRANCESCO
PARTE CONVENUTA
CONCLUSIONI
PER GLI ATTORI
IN VIA PRINCIPALE E NEL MERITO
Accertata e dichiarata la illegittimità dell'operazione di bonifico per cui è causa e la conseguente responsabilità anche ai sensi degli artt. 8 e ss. D.Lgs.11/2010 della Controparte_2
con riferimento alla operazione non autorizzata e disconosciuta da parte attrice per tutte le causali esposte in narrativa, e per l'effetto condannare l'Istituto di credito convenuto al rimborso/risarcimento pagina 2 di 8 danno dell'importo pari ad euro 13.000,00 oltre al pagamento della somma di euro 341,60 sostenute dagli attori per la mediazione, oltre ad interessi e rivalutazione dalla data dell'operazione fino al suo effettivo rimborso, nonché di ogni onere collegato e salva l'eventuale imputazione a carico dell'attrice dell'importo ex art. 12,3 D. Lgs. 10/2011 nella misura che sarà ritenuta di giustizia anche in via equitativa;
IN VIA SUBORDINATA
Accertata e dichiarata la responsabilità contrattuale di per non aver Controparte_2
osservato i canoni di diligenza professionale e di sicurezza relativi all'attività prestata ex art. 1176, secondo comma, c.c. e per tutte le causali esposte, condannare parte convenuta all'integrale risarcimento del danno subito dagli attori pari ad euro 13.000,00 o quella diversa somma maggiore o minore che sarà ritenuta di giustizia, anche in via equitativa, oltre al pagamento della somma di euro 341,60 sostenute dai ricorrenti per la mediazione, oltre ad interessi e rivalutazione.
IN VIA ULTERIORMENTE SUBORDINATA ED IN OGNI CASO
Accertata e dichiarata la responsabilità extracontrattuale ex art. 2050 c.c. della per tutte le causali esposte in Controparte_2
premessa con particolare riguardo alla violazione dei dati personali dei signori condannarla all'integrale risarcimento del danno subito dai Pt_1 Pt_1
ricorrenti pari ad euro 13.000,00 o quella diversa somma maggiore o minore che sarà ritenuta di giustizia, anche in via equitativa, oltre al pagamento della somma di euro 341,60 sostenute dagli attori per la mediazione, oltre ad interessi e rivalutazione.
Il tutto, con vittoria di spese e competenze di lite.
PER LA CONVENUTA
In via principale:
- rigettare tutte le domande proposte da parte attrice in quanto infondate, in fatto e in diritto, per le ragioni esposte in narrativa;
In via subordinata:
- accertare e dichiarare la sussistenza del concorso di colpa grave in capo agli attori nella causazione dei pretesi danni subiti e, conseguentemente, escludere ovvero ridurre l'entità del pagamento in favore dei medesimi nella misura che sarà ritenuta di giustizia in considerazione dell'entità̀ del concorso colposo di controparte;
pagina 3 di 8 In via istruttoria:
- rigettare le istanze istruttorie avversarie;
In ogni caso: con vittoria di spese
SINTETICA ESPOSIZIONE DI FATTO E PROCESSO
e in qualità di correntisti convenivano la Pt_1 Pt_1 Controparte_2
esponendo di avere disconosciuto il bonifico del 19/11/2021 eseguito in loro danno ad opera di sconosciuti dal proprio conto corrente per € 13.000,00 in favore di terzi , di avere sporto denuncia- querela in data 22/11/2021 e di avere contestualmente segnalato l'anomalia alla chiedendo il CP_2
rimborso della somma, che veniva negato. Affermano di non avere mai consegnato i codici di accesso personali a terzi . Chiedono quindi la condanna della banca al pagamento della somma di cui sopra a titolo di responsabilità contrattuale o extracontrattuale.
Si costituiva la eccependo che il servizio homebanking era stato attivato fin CP_2 Parte_2
dall'inizio del rapporto e che a novembre 2021 il cliente si era recato in banca per associare altro telefono mobile a sistema di riconoscimento, tramite OTP che veniva attivato presso la filiale con successo. Successivamente i due bonifici di € 1 ed € 13.000 risultavano autorizzati tramite codice OTP inviato sullo stesso telefono, ossia come operazioni autorizzate dal cliente tramite dispositivi a lui pienamente riconducibili e con dati biometrici , nel rispetto della procedura di strong authentication predisposta dalla Banca. Lamentava quindi la colpa grave del correntista nell'operazione per “avere per sua stessa ammissione, cliccato, nel corso della settimana in cui ha disposto i bonifici per cui è causa, su un link contenuto in un sms ricevuto (apparentemente) dalla convenuta” come si legge nella denuncia sporta dal medesimo. Eccepiva inoltre l'esperienza informatica degli attori che erano soliti avvalersi dell'operatività online messa a disposizione della Banca, come dichiarato nella stessa denuncia in occasione della quale il ffermava che nel caso di specie non gli sarebbe arrivato Pt_1 alcun messaggio da parte dell'applicazione sul voler confermare o meno la transazione..
Assegnati i termini per memorie ex art. 183 c.p.c., la causa veniva istruita mediante CTU e di seguito passava alla precisazione delle conclusioni e discussione orale.
MOTIVI DELLA DECISIONE
La domanda attrice verte su un caso di c.d. smishing, tecnica che si avvale di messaggi di testo per indurre in errore i clienti di una banca , invitandoli ad aprire link dannosi con lo scopo di sottrare loro i dati personali o indurli a comunicare le proprie credenziali/informazioni personali.
La circostanza, benchè non allegata in atto di citazione, risulta dalla denuncia sporta ai Carabinieri in data 22/11/2021 dove l'attore riferisce “ricordo che il link aveva l'intestazione della banca”. Quindi è pur vero che fu la banca al momento della segnalazione a suggerire all'utente l'ipotesi di invio di un pagina 4 di 8 messaggio sms fraudolento, come riferito in denuncia-querela, ma poi il medesimo “ricorda” e ammette di avere effettivamente ricevuto quel messaggio , quindi fa propria l'ipotesi della banca.
Ciò premesso, occorre richiamare la disciplina applicabile al caso concreto, d.lgs. n. 11/2010, che in recepimento della Direttiva europea 2007/64/CE, si pone l'obiettivo di innalzare i livelli di sicurezza onde favorire l'uso di pagamenti con strumenti informatici e sfavorire i pagamenti in contanti.
In particolare l'art. 7 descrive gli obblighi a carico dell'utente (l'utilizzo in conformità al contratto degli strumenti di pagamento, la tempestiva comunicazione alla banca in caso di smarrimento, furto, appropriazione indebita o uso non autorizzato dello strumento, l'adozione di misure idonee a garantire la sicurezza e l'adeguata custodia dei dispositivi in dotazione).
L'art. 8 impone degli obblighi a carico del prestatore del servizio quali la necessità di assicurare che i dispositivi “non siano accessibili a soggetti diversi dall'utilizzatore legittimato ad usare lo strumento”.
Successivamente il d.lgs 218/2017 ha introdotto la cd. autenticazione forte del cliente (Strong
Customer Authentication - SCA), che , come correttamente enunciato dalla banca in comparsa , richiede la contemporanea sussistenza di almeno due dei seguenti requisiti:
(i) conoscenza (qualcosa che solo l'utente conosce, quali le credenziali di sicurezza);
(ii) possesso (qualcosa che solo l'utente possiede, quali i dispositivi);
(iii) inerenza (qualcosa che caratterizza l'utente, quali i dati biometrici).
L'art. 10 D.lgs. 11/2010 individua infine i criteri di ripartizione dell'onere probatorio e dei rischi. (1.
Qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
1-bis. Se l'operazione di pagamento e' disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze, l'operazione di pagamento e' stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato.
2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non e' di per se' necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, pagina 5 di 8 ne' che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o piu' degli obblighi di cui all'articolo 7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.)
Pertanto la banca, secondo i principi generali in tema di responsabilità contrattuale, dovrà dimostrare di avere esattamente adempiuto alla propria obbligazione con la diligenza qualificata ex art. 1176 comma 2 c.c. ; inoltre ed in aggiunta, alla luce della disciplina speciale sopra richiamata, dovrà provare non solo la corretta registrazione e autenticazione dell'operazione secondo le specifiche tecniche in uso, ma anche il dolo o la colpa grave dell'utente.
Ebbene, nel caso di specie la non ha provato il dolo o la colpa grave dell'utente ed anzi sono CP_2
state accertate le mancanze del sistema informatico adottato dalla in ragione di alcune criticità CP_2
ben evidenziate dal CTU nella disposizione di bonifico on line di cui si discute avvenuta il
19/11/2021.
Così il CTU dott nella risposta al quesito “Il soggetto terzo che ha condotto le operazioni Per_1
disconosciute dal signor disponeva delle credenziali di accesso al sistema di home banking Pt_1 del signor …La ricostruzione dei fatti e analisi condotta nella sezione precedente mostra Pt_1
come il signor sia stato indotto, con astuzia e artifici, a consentire la registrazione di un Pt_1
nuovo dispositivo cellulare. Questo perché la procedura di completamento della registrazione di un nuovo dispositivo cellulare mediante secure call al numero cellulare indicato dal cliente, prevede che il nuovo dispositivo sia identificato con il suo “DeviceName” e non con il suo “ModelName”. Il
“DeviceName” è il nome del dispositivo, può coincidere con il modello ma può essere cambiato dall'utente in modo arbitrario in qualsiasi momento, il “DeviceModel” invece identifica il modello e non può essere cambiato dall'utente. l'IVR della Banca ha chiamato il signor usando il Pt_1
DeviceName impostato sul dispositivo del truffatore con il valore “Questo Telefono”, il signor ha ricevuto la secure call con questo messaggio“ Registra il tuo dispositivo: Questo Telefono Pt_1 per l'accesso all'ap e all'home benking. Inserisci il pin dispositivo seguito dal tasto cancelletto”. E' chiaro che il truffatore fa leva sull'equivoco che si può creare pensando che la banca si stia riferendo
a “Questo telefono” come al dispositivo che il signor aveva in mano su cui riceveva la Pt_1
telefonata e non certo ad un altro cellulare. Un primo problema deriva dal fatto che la Banca usa un messaggio breve e poco chiaro, il secondo deriva dalla scelta della Banca di utilizzare il
“DeviceName”, se la avesse usato il “ModelName” del dispositivo del truffatore il messaggio CP_2 sarebbe stato il seguente “Registra il tuo dispositivo: iPhone 6S Plus per l'accesso all'ap e all'home
pagina 6 di 8 benking. Inserisci il pin dispositivo seguito dal tasto cancelletto”, che avrebbe messo certamente in allerta il signor come chiunque altro all'idea di abilitare un telefono di cui non si ha Pt_1 contezza. In ogni caso il messaggio con cui la banca chiede l'autorizzazione all'enrollement del nuovo dispositivo dovrebbe essere più chiaro ed esplicativo perché l'utente abbia ben chiaro ciò che sta facendo, ad esempio in questo senso è il seguente “E' stato chiesto l'attivazione dell'App su un nuovo dispositivo, modello iPhone 6S Plus , se sei tu che l'hai richiesta, conferma l'attivazione inserendo il
PIN dispositivo seguito da tasto Cancelletto”. A fronte dell'autorizzazione carpita con astuzia ed inganno il signor ha ricevuto il seguente messaggio SMS dalla banca: “**ATTENZIONE** Pt_1
HAI AUTORIZZATO UN NUOVO DISPOSITIVO AD OPERARE SUI TUOI SERVIZI APP E HOME
BANKING, L'IDENTIFICATIVO DEL DISPOSITIVO E': QUESTO TELEFONO” . con la parte conclusiva che dice l'identificativo del nuovo dispositivo è “Questo telefono”, chiunque si sentirebbe sereno di non aver commesso errori, se il messaggio si fosse chiuso con il sarebbe stato CP_3
“L'IDENTIFICATIVO DEL DISPOSITIVO E': IPHONE 6S PLUS” e chiaramente avrebbe messo in allarme il signor In conclusione possiamo dire che nel processo di enrollement di un nuovo Pt_1
dispositivo la procedura di secure call è vulnerabile ad attacchi di tipo social engineering in quanto non usa informazioni del dispositivo cablate dal produttore che non possono essere cambiate come il
ModeName o il numero cellulare ma usa il valore del DeviceName del dispositivo che può essere cambiata in “Questo telefono” in modo da indurre in errore chi riceve la secure call per la conferma dell'abilitazione, inoltre il messaggio che la ha predisposto per la secure call dovrebbe essere CP_2 più chiaro ed esplicativo affinché l'utente abbia ben chiaro ciò che sta facendo”.
Le conclusioni del CTU, adeguatamente e correttamente motivate, risultano pienamente condivisibili.
Da quanto sopra emerge che la non ha messo in atto i diligenti comportamenti cui è tenuto il CP_2
c.d. “accorto banchiere” ossia ha permesso che fosse “inserito ” fraudolentemente il numero telefonico e modello telefonico altrui attraverso la dicitura generica abilitante “questo dispositivo” ed un messaggio di sicurezza assolutamente poco chiaro ed esplicativo inviato al cliente.
Deve quindi ritenersi fondata la richiesta di rimborso della somma di € 13.000,00 con conseguente integrale accoglimento della domanda .
Le spese di lite seguono la soccombenza e vengono poste a carico della convenuta, liquidate come da dispositivo secondo i parametri medi del DM 55/2014 , ad eccezione della fase decisionale liquidata la minimo per la semplificazione del rito.
Le spese di CTU e di CTP (pari ad € 1342,00 come da notula allegata), vengono poste in via definitiva a carico della convenuta soccombente. pagina 7 di 8
P.Q.M.
Il Tribunale di Firenze in composizione monocratica ogni diversa domanda ed eccezione respinta e disattesa,
- ACCOGLIE la domanda attrice e, accertata la illegittimità dell'operazione di bonifico per cui è
causa e la conseguente responsabilità anche ai sensi degli artt. 8 e ss. D.Lgs.11/2010 della convenuta condanna quest'ultima al rimborso della somma Controparte_2
di euro 13.000,00 in favore degli attori e oltre ad Parte_1 Parte_1
interessi e rivalutazione monetaria dalla data dell'operazione 19/11/2021 fino al suo effettivo rimborso;
- CONDANNA la convenuta al pagamento delle spese di lite in favore degli attori che liquida in
€ 4.227,00 per compensi, oltre 15% spese generali, Iva e CPA oltre euro 341,60 per spese di mediazione, anticipazioni € 264,00;
- PONE definitivamente le spese di CTU e di CTP a carico della convenuta
[...]
Controparte_2
Sentenza resa ex articolo 281 sexies c.p.c., pubblicata mediante lettura ad ore 18,20 in assenza delle parti rinunzianti a presenziare ed allegazione al verbale.
Firenze, 12 febbraio 2025
Il Giudice onor. dott. Giovanna Colzi
pagina 8 di 8
TRIBUNALE ORDINARIO di FIRENZE
03 Terza sezione CIVILE
VERBALE da remoto DELLA CAUSA n. r.g. 3619/2023 tra
Parte_1
[...]
PARTE ATTRICE
e
Controparte_1
PARTE CONVENUTA
Oggi 12 febbraio 2025 innanzi al dott. Giovanna Colzi, sono comparsi:
Per 'avv.to DE GAETANO DAVIDE Parte_1 Parte_1 Per , l'avv.to Gessica Facchini in sostituzione avv.ti MOCCI Controparte_1
FRANCESCO ;
Il giudice prende atto della dichiarazione di identità dei procuratori delle parti presenti. I procuratori delle parti collegate da remoto dichiarano che non sono in atto collegamenti con soggetti non legittimati e che non sono presenti soggetti non legittimati nei luoghi da cui sono in collegamento con la stanza virtuale d'udienza. Su invito del giudice, i difensori si impegnano a mantenere attivata la funzione video per tutta la durata dell'udienza ed a prendere la parola nel rispetto delle indicazioni del giudice, in modo da garantire l'ordinato svolgimento dell'udienza. Il giudice avverte che la registrazione dell'udienza è vietata. Su invito del giudice, i difensori dichiarano di aver partecipato effettivamente all'udienza nel rispetto del contraddittorio e che lo svolgimento dell'udienza stessa mediante l'applicativo è avvenuto regolarmente. L'Avv. De Gaetano si riporta alle note conclusive e conclusioni ivi precisate, evidenzia che non vi è colpa grave del ricorrente in quanto la banca non ha provato di avere usato la massima cautela dovuta relativamente al proprio sistema informatico, come riscontrato dal CTU. L'Avv. Facchini si riporta alla memoria depositata e alle conclusioni ivi contenute, evidenzia che la CTU non ha concluso come riferisce controparte, ma ha rilevato che la banca ha implementato il proprio sistema di sca, mentre il bonifico si è verificato in quanto il terzo era in possesso delle credenziali dell'utente, mentre in difetto non sarebbe stato possibile disporre alcun pagamento.
I difensori rinunciano a presenziare alla lettura della sentenza.
Il Giudice preso atto di quanto sopra, successivamente pronuncia sentenza ex art. 281 sexies c.p.c..
Il Giudice onor.
dott. Giovanna Colzi pagina 1 di 8 REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di FIRENZE
03 Terza sezione CIVILE
Il Tribunale, nella persona del Giudice dott. Giovanna Colzi ha pronunciato ex art. 281 sexies c.p.c. la seguente
SENTENZA
nella causa civile di I Grado iscritta al n. r.g. 3619/2023 promossa da:
(C.F. , con il patrocinio dell'avv. DE GAETANO Parte_1 C.F._1 DAVIDE e dell'avv. CASELLI GIULIO ( Indirizzo Telematico;
, elettivamente C.F._2 domiciliato in Indirizzo Telematicopresso il difensore avv. DE GAETANO DAVIDE (C.F. ), con il patrocinio dell'avv. DE GAETANO Parte_1 C.F._3 DAVIDE e dell'avv. CASELLI GIULIO ( Indirizzo Telematico;
, elettivamente C.F._2 domiciliato in Indirizzo Telematicopresso il difensore avv. DE GAETANO DAVIDE
PARTE ATTRICE contro
(C.F. ), con il patrocinio dell'avv. MOCCI Controparte_1 P.IVA_1 FRANCESCO e dell'avv. UCCISI ELENA ( ) VIA FRUSA 41 50131 C.F._4
FIRENZE; , elettivamente domiciliato in VIA GIOVANNI XXIII 8 08100 NUOROpresso il difensore avv. MOCCI FRANCESCO
PARTE CONVENUTA
CONCLUSIONI
PER GLI ATTORI
IN VIA PRINCIPALE E NEL MERITO
Accertata e dichiarata la illegittimità dell'operazione di bonifico per cui è causa e la conseguente responsabilità anche ai sensi degli artt. 8 e ss. D.Lgs.11/2010 della Controparte_2
con riferimento alla operazione non autorizzata e disconosciuta da parte attrice per tutte le causali esposte in narrativa, e per l'effetto condannare l'Istituto di credito convenuto al rimborso/risarcimento pagina 2 di 8 danno dell'importo pari ad euro 13.000,00 oltre al pagamento della somma di euro 341,60 sostenute dagli attori per la mediazione, oltre ad interessi e rivalutazione dalla data dell'operazione fino al suo effettivo rimborso, nonché di ogni onere collegato e salva l'eventuale imputazione a carico dell'attrice dell'importo ex art. 12,3 D. Lgs. 10/2011 nella misura che sarà ritenuta di giustizia anche in via equitativa;
IN VIA SUBORDINATA
Accertata e dichiarata la responsabilità contrattuale di per non aver Controparte_2
osservato i canoni di diligenza professionale e di sicurezza relativi all'attività prestata ex art. 1176, secondo comma, c.c. e per tutte le causali esposte, condannare parte convenuta all'integrale risarcimento del danno subito dagli attori pari ad euro 13.000,00 o quella diversa somma maggiore o minore che sarà ritenuta di giustizia, anche in via equitativa, oltre al pagamento della somma di euro 341,60 sostenute dai ricorrenti per la mediazione, oltre ad interessi e rivalutazione.
IN VIA ULTERIORMENTE SUBORDINATA ED IN OGNI CASO
Accertata e dichiarata la responsabilità extracontrattuale ex art. 2050 c.c. della per tutte le causali esposte in Controparte_2
premessa con particolare riguardo alla violazione dei dati personali dei signori condannarla all'integrale risarcimento del danno subito dai Pt_1 Pt_1
ricorrenti pari ad euro 13.000,00 o quella diversa somma maggiore o minore che sarà ritenuta di giustizia, anche in via equitativa, oltre al pagamento della somma di euro 341,60 sostenute dagli attori per la mediazione, oltre ad interessi e rivalutazione.
Il tutto, con vittoria di spese e competenze di lite.
PER LA CONVENUTA
In via principale:
- rigettare tutte le domande proposte da parte attrice in quanto infondate, in fatto e in diritto, per le ragioni esposte in narrativa;
In via subordinata:
- accertare e dichiarare la sussistenza del concorso di colpa grave in capo agli attori nella causazione dei pretesi danni subiti e, conseguentemente, escludere ovvero ridurre l'entità del pagamento in favore dei medesimi nella misura che sarà ritenuta di giustizia in considerazione dell'entità̀ del concorso colposo di controparte;
pagina 3 di 8 In via istruttoria:
- rigettare le istanze istruttorie avversarie;
In ogni caso: con vittoria di spese
SINTETICA ESPOSIZIONE DI FATTO E PROCESSO
e in qualità di correntisti convenivano la Pt_1 Pt_1 Controparte_2
esponendo di avere disconosciuto il bonifico del 19/11/2021 eseguito in loro danno ad opera di sconosciuti dal proprio conto corrente per € 13.000,00 in favore di terzi , di avere sporto denuncia- querela in data 22/11/2021 e di avere contestualmente segnalato l'anomalia alla chiedendo il CP_2
rimborso della somma, che veniva negato. Affermano di non avere mai consegnato i codici di accesso personali a terzi . Chiedono quindi la condanna della banca al pagamento della somma di cui sopra a titolo di responsabilità contrattuale o extracontrattuale.
Si costituiva la eccependo che il servizio homebanking era stato attivato fin CP_2 Parte_2
dall'inizio del rapporto e che a novembre 2021 il cliente si era recato in banca per associare altro telefono mobile a sistema di riconoscimento, tramite OTP che veniva attivato presso la filiale con successo. Successivamente i due bonifici di € 1 ed € 13.000 risultavano autorizzati tramite codice OTP inviato sullo stesso telefono, ossia come operazioni autorizzate dal cliente tramite dispositivi a lui pienamente riconducibili e con dati biometrici , nel rispetto della procedura di strong authentication predisposta dalla Banca. Lamentava quindi la colpa grave del correntista nell'operazione per “avere per sua stessa ammissione, cliccato, nel corso della settimana in cui ha disposto i bonifici per cui è causa, su un link contenuto in un sms ricevuto (apparentemente) dalla convenuta” come si legge nella denuncia sporta dal medesimo. Eccepiva inoltre l'esperienza informatica degli attori che erano soliti avvalersi dell'operatività online messa a disposizione della Banca, come dichiarato nella stessa denuncia in occasione della quale il ffermava che nel caso di specie non gli sarebbe arrivato Pt_1 alcun messaggio da parte dell'applicazione sul voler confermare o meno la transazione..
Assegnati i termini per memorie ex art. 183 c.p.c., la causa veniva istruita mediante CTU e di seguito passava alla precisazione delle conclusioni e discussione orale.
MOTIVI DELLA DECISIONE
La domanda attrice verte su un caso di c.d. smishing, tecnica che si avvale di messaggi di testo per indurre in errore i clienti di una banca , invitandoli ad aprire link dannosi con lo scopo di sottrare loro i dati personali o indurli a comunicare le proprie credenziali/informazioni personali.
La circostanza, benchè non allegata in atto di citazione, risulta dalla denuncia sporta ai Carabinieri in data 22/11/2021 dove l'attore riferisce “ricordo che il link aveva l'intestazione della banca”. Quindi è pur vero che fu la banca al momento della segnalazione a suggerire all'utente l'ipotesi di invio di un pagina 4 di 8 messaggio sms fraudolento, come riferito in denuncia-querela, ma poi il medesimo “ricorda” e ammette di avere effettivamente ricevuto quel messaggio , quindi fa propria l'ipotesi della banca.
Ciò premesso, occorre richiamare la disciplina applicabile al caso concreto, d.lgs. n. 11/2010, che in recepimento della Direttiva europea 2007/64/CE, si pone l'obiettivo di innalzare i livelli di sicurezza onde favorire l'uso di pagamenti con strumenti informatici e sfavorire i pagamenti in contanti.
In particolare l'art. 7 descrive gli obblighi a carico dell'utente (l'utilizzo in conformità al contratto degli strumenti di pagamento, la tempestiva comunicazione alla banca in caso di smarrimento, furto, appropriazione indebita o uso non autorizzato dello strumento, l'adozione di misure idonee a garantire la sicurezza e l'adeguata custodia dei dispositivi in dotazione).
L'art. 8 impone degli obblighi a carico del prestatore del servizio quali la necessità di assicurare che i dispositivi “non siano accessibili a soggetti diversi dall'utilizzatore legittimato ad usare lo strumento”.
Successivamente il d.lgs 218/2017 ha introdotto la cd. autenticazione forte del cliente (Strong
Customer Authentication - SCA), che , come correttamente enunciato dalla banca in comparsa , richiede la contemporanea sussistenza di almeno due dei seguenti requisiti:
(i) conoscenza (qualcosa che solo l'utente conosce, quali le credenziali di sicurezza);
(ii) possesso (qualcosa che solo l'utente possiede, quali i dispositivi);
(iii) inerenza (qualcosa che caratterizza l'utente, quali i dati biometrici).
L'art. 10 D.lgs. 11/2010 individua infine i criteri di ripartizione dell'onere probatorio e dei rischi. (1.
Qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
1-bis. Se l'operazione di pagamento e' disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze, l'operazione di pagamento e' stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato.
2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non e' di per se' necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, pagina 5 di 8 ne' che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o piu' degli obblighi di cui all'articolo 7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.)
Pertanto la banca, secondo i principi generali in tema di responsabilità contrattuale, dovrà dimostrare di avere esattamente adempiuto alla propria obbligazione con la diligenza qualificata ex art. 1176 comma 2 c.c. ; inoltre ed in aggiunta, alla luce della disciplina speciale sopra richiamata, dovrà provare non solo la corretta registrazione e autenticazione dell'operazione secondo le specifiche tecniche in uso, ma anche il dolo o la colpa grave dell'utente.
Ebbene, nel caso di specie la non ha provato il dolo o la colpa grave dell'utente ed anzi sono CP_2
state accertate le mancanze del sistema informatico adottato dalla in ragione di alcune criticità CP_2
ben evidenziate dal CTU nella disposizione di bonifico on line di cui si discute avvenuta il
19/11/2021.
Così il CTU dott nella risposta al quesito “Il soggetto terzo che ha condotto le operazioni Per_1
disconosciute dal signor disponeva delle credenziali di accesso al sistema di home banking Pt_1 del signor …La ricostruzione dei fatti e analisi condotta nella sezione precedente mostra Pt_1
come il signor sia stato indotto, con astuzia e artifici, a consentire la registrazione di un Pt_1
nuovo dispositivo cellulare. Questo perché la procedura di completamento della registrazione di un nuovo dispositivo cellulare mediante secure call al numero cellulare indicato dal cliente, prevede che il nuovo dispositivo sia identificato con il suo “DeviceName” e non con il suo “ModelName”. Il
“DeviceName” è il nome del dispositivo, può coincidere con il modello ma può essere cambiato dall'utente in modo arbitrario in qualsiasi momento, il “DeviceModel” invece identifica il modello e non può essere cambiato dall'utente. l'IVR della Banca ha chiamato il signor usando il Pt_1
DeviceName impostato sul dispositivo del truffatore con il valore “Questo Telefono”, il signor ha ricevuto la secure call con questo messaggio“ Registra il tuo dispositivo: Questo Telefono Pt_1 per l'accesso all'ap e all'home benking. Inserisci il pin dispositivo seguito dal tasto cancelletto”. E' chiaro che il truffatore fa leva sull'equivoco che si può creare pensando che la banca si stia riferendo
a “Questo telefono” come al dispositivo che il signor aveva in mano su cui riceveva la Pt_1
telefonata e non certo ad un altro cellulare. Un primo problema deriva dal fatto che la Banca usa un messaggio breve e poco chiaro, il secondo deriva dalla scelta della Banca di utilizzare il
“DeviceName”, se la avesse usato il “ModelName” del dispositivo del truffatore il messaggio CP_2 sarebbe stato il seguente “Registra il tuo dispositivo: iPhone 6S Plus per l'accesso all'ap e all'home
pagina 6 di 8 benking. Inserisci il pin dispositivo seguito dal tasto cancelletto”, che avrebbe messo certamente in allerta il signor come chiunque altro all'idea di abilitare un telefono di cui non si ha Pt_1 contezza. In ogni caso il messaggio con cui la banca chiede l'autorizzazione all'enrollement del nuovo dispositivo dovrebbe essere più chiaro ed esplicativo perché l'utente abbia ben chiaro ciò che sta facendo, ad esempio in questo senso è il seguente “E' stato chiesto l'attivazione dell'App su un nuovo dispositivo, modello iPhone 6S Plus , se sei tu che l'hai richiesta, conferma l'attivazione inserendo il
PIN dispositivo seguito da tasto Cancelletto”. A fronte dell'autorizzazione carpita con astuzia ed inganno il signor ha ricevuto il seguente messaggio SMS dalla banca: “**ATTENZIONE** Pt_1
HAI AUTORIZZATO UN NUOVO DISPOSITIVO AD OPERARE SUI TUOI SERVIZI APP E HOME
BANKING, L'IDENTIFICATIVO DEL DISPOSITIVO E': QUESTO TELEFONO” . con la parte conclusiva che dice l'identificativo del nuovo dispositivo è “Questo telefono”, chiunque si sentirebbe sereno di non aver commesso errori, se il messaggio si fosse chiuso con il sarebbe stato CP_3
“L'IDENTIFICATIVO DEL DISPOSITIVO E': IPHONE 6S PLUS” e chiaramente avrebbe messo in allarme il signor In conclusione possiamo dire che nel processo di enrollement di un nuovo Pt_1
dispositivo la procedura di secure call è vulnerabile ad attacchi di tipo social engineering in quanto non usa informazioni del dispositivo cablate dal produttore che non possono essere cambiate come il
ModeName o il numero cellulare ma usa il valore del DeviceName del dispositivo che può essere cambiata in “Questo telefono” in modo da indurre in errore chi riceve la secure call per la conferma dell'abilitazione, inoltre il messaggio che la ha predisposto per la secure call dovrebbe essere CP_2 più chiaro ed esplicativo affinché l'utente abbia ben chiaro ciò che sta facendo”.
Le conclusioni del CTU, adeguatamente e correttamente motivate, risultano pienamente condivisibili.
Da quanto sopra emerge che la non ha messo in atto i diligenti comportamenti cui è tenuto il CP_2
c.d. “accorto banchiere” ossia ha permesso che fosse “inserito ” fraudolentemente il numero telefonico e modello telefonico altrui attraverso la dicitura generica abilitante “questo dispositivo” ed un messaggio di sicurezza assolutamente poco chiaro ed esplicativo inviato al cliente.
Deve quindi ritenersi fondata la richiesta di rimborso della somma di € 13.000,00 con conseguente integrale accoglimento della domanda .
Le spese di lite seguono la soccombenza e vengono poste a carico della convenuta, liquidate come da dispositivo secondo i parametri medi del DM 55/2014 , ad eccezione della fase decisionale liquidata la minimo per la semplificazione del rito.
Le spese di CTU e di CTP (pari ad € 1342,00 come da notula allegata), vengono poste in via definitiva a carico della convenuta soccombente. pagina 7 di 8
P.Q.M.
Il Tribunale di Firenze in composizione monocratica ogni diversa domanda ed eccezione respinta e disattesa,
- ACCOGLIE la domanda attrice e, accertata la illegittimità dell'operazione di bonifico per cui è
causa e la conseguente responsabilità anche ai sensi degli artt. 8 e ss. D.Lgs.11/2010 della convenuta condanna quest'ultima al rimborso della somma Controparte_2
di euro 13.000,00 in favore degli attori e oltre ad Parte_1 Parte_1
interessi e rivalutazione monetaria dalla data dell'operazione 19/11/2021 fino al suo effettivo rimborso;
- CONDANNA la convenuta al pagamento delle spese di lite in favore degli attori che liquida in
€ 4.227,00 per compensi, oltre 15% spese generali, Iva e CPA oltre euro 341,60 per spese di mediazione, anticipazioni € 264,00;
- PONE definitivamente le spese di CTU e di CTP a carico della convenuta
[...]
Controparte_2
Sentenza resa ex articolo 281 sexies c.p.c., pubblicata mediante lettura ad ore 18,20 in assenza delle parti rinunzianti a presenziare ed allegazione al verbale.
Firenze, 12 febbraio 2025
Il Giudice onor. dott. Giovanna Colzi
pagina 8 di 8