TRIB
Sentenza 16 giugno 2025
Sentenza 16 giugno 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Napoli, sentenza 16/06/2025, n. 5993 |
|---|---|
| Giurisdizione : | Trib. Napoli |
| Numero : | 5993 |
| Data del deposito : | 16 giugno 2025 |
Testo completo
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Il giudice, dott. Maria Carolina De Falco, pronunzia la seguente
S E N T E N Z A nella causa iscritta al n. 14012/2024 r.g.a.c.
TRA
(c.f.: ), elett.te dom.to presso lo studio dell'Avv. Parte_1 C.F._1
SICILIANO GIUSEPPE (c.f.: ) sito in Via S. Maria della Libera n. 34/42, C.F._2
Napoli, dal quale è rappr.to e difeso in virtù di procura in calce all'atto di citazione
- ATTORE
E
(c.f.: ), con sede a Parma, Via Università, n. Controparte_1 P.IVA_1
1, in persona del procuratore speciale, munita dei necessari poteri in forza di procura speciale del 28 aprile 2021 a rogito del Notaio Dott.ssa Rep. n. 48.122, Racc. n. 17.242 (cfr. doc. Persona_1
n. 1) rappresentata e difesa, giusta procura in calce al presente atto, dall'Avv. Francesco Mocci (C.F.
) del Foro di Nuoro, il quale, in forza dei poteri a lui conferiti, elegge C.F._3
domicilio presso lo studio dell'Avv. Giustina Ifrigerio sito a Napoli, Piazzetta M. Serao, 7 80132
- CONVENUTA
OGGETTO: responsabilità dell'Istituto di credito in materia di truffa informatica
CONCLUSIONI: all'udienza del 27.05.25 le parti concludevano come da note autorizzate riportandosi alle loro domande, eccezioni e prove in atti ed all'esito il GU assegnava la causa in decisione.
RAGIONI DI FATTO E DI DIRITTO
La domanda è infondata.
ha convenuto in giudizio l fine di Parte_1 Controparte_1 ottenere la condanna di quest'ultimo alla restituzione della complessiva somma di € 108.850,00 (di
1 cui € 9.970,00 oltre € 29.453,00 successivamente riaccreditati sul suo conto personale) indebitamente sottrattagli da terzi malfattori introdottisi all'interno della propria home banking mediante precedente impossessamento dei codici di accesso.
A tal fine, premetteva di essere titolare del conto corrente n. 57897751 acceso presso la
Agenzia Credit Agricole n. 10 di Napoli – Filiale 00527 – ivi sita alla Piazza Medaglie d'Oro n. 17/18
e che nel mese di giugno 2023, tra i giorni 6 e 13, veniva improvvisamente a conoscenza di numerosi addebiti disposti sul proprio c/c personale da lui mai autorizzati e ne chiedeva immediatamente lo storno. L'istituto di credito disponeva la restituzione solo di una minima parte delle somme sottratte, rendendo perciò necessaria da parte dell'asserito creditore la presente azione per il recupero delle somme residue. L'attore deduceva inoltre di non aver mai ceduto i propri codici di accesso ad alcuno e che probabilmente quanto accaduto sarebbe dipeso dall'apertura di un link ricevuto tramite sms
(sms fissatosi in calce a tutti gli altri messaggi ricevuti in precedenza da ), con il quale Controparte_1 si richiedeva all'utente di accedere alla propria pagina per conservarne il livello di sicurezza. Tuttavia, successivamente all'apertura del link veniva, al contrario, confermata l'abilitazione ad operare sul conto mediante altro diverso dispositivo di telefonia mobile.
L'attore sporta, poi, prontamente denuncia presso la Questura di Napoli, ravvisando la responsabilità contrattuale e/o extracontrattuale della banca per omessa predisposizione dei sistemi di sicurezza e attivazione delle cautele necessarie ad impedire accessi impropri al sistema informatico e considerato il rifiuto della stessa a ripristinare il saldo preesistente, ne chiedeva la condanna al pagamento delle somme di cui non era stata autorizzata la disposizione in uscita e dunque l'accoglimento integrale della domanda con vittoria di spese.
Si è costituito il quale impugnava e contestava ogni Controparte_1
assunto avversario ponendo in evidenza la gravità della condotta attorea nel dare seguito, con eccessiva imprudenza, all'apertura del link ricevuto tramite sms che gli chiedeva di accedere alla propria home banking per garantirne il livello di sicurezza e che solo a tale sprovveduto comportamento (perciò connotato da colpa grave) aveva dato corso alla truffa patrimoniale consumata in suo danno. Pertanto, nulla avrebbe potuto essere addebitato a tale titolo alla CP_2
In particolare, evidenziava l'intervenuta autorizzazione, tramite la corretta digitazione delle credenziali di accesso, di un secondo device all'utilizzo del servizio home banking del ricorrente, sottolineando l'assenza di anomalie o irregolarità al momento della sua esecuzione ed eccepiva che il ricorrente aveva ricevuto un sms informativo con cui la banca confermava il completamento dell'operazione richiesta. Chiedeva dunque, rigettarsi integralmente la domanda con vittoria di spese di lite.
2 La causa veniva rinviata all'udienza del 27/05/25 e trattenuta per la decisione ex art. 281 quinquies c.p.c.
Ai fini del corretto inquadramento della vicenda oggetto di giudizio, serve premettere alcune coordinate in tema di responsabilità della banca per le ipotesi di operazioni eseguite con il sistema
“home banking”. Invero, come chiarito di recente dalla giurisprudenza di legittimità, l'utilizzazione dei servizi telematici da parte dei correntisti (home banking) rientra nell'area del rischio professionale della banca e richiede una diligenza di natura tecnica specifica (Cassazione civile sez. VI, 12/04/2018,
n.9158). In forza di ciò, in caso di contestazione, è onere della banca fornire la prova della riconducibilità dell'operazione al cliente correntista. Dunque, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del
2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (Cass. 3 febbraio
2017, n. 2950). Al fine di dare fiducia agli utenti nei sistemi che consentono le operazioni on line, poi, la banca è tenuta a dotarsi di sistemi che permettano di verificare la riconducibilità delle operazioni alla volontà del cliente, evitando i rischi prevedibili, come la possibilità che estranei possano fare uso dei codici di accesso. Pertanto, in caso di operazione contestata dal cliente, la banca
è tenuta a fornire la prova della sua diligenza, da valutarsi con il criterio dell'accorto banchiere. Ne consegue che, secondo la corretta interpretazione del d.lgs. n. 11/2010, qualora l'utente neghi di aver autorizzato un'operazione di pagamento già effettuata, l'onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio.
Nel contempo obbliga quest'ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l'operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall'utilizzatore, la restituzione dell'importo rimborsato. Agli istituti bancari, da considerare debitori qualificati ex art. 1176, comma 2, c.c., si richiede un elevatissimo livello di
3 diligenza (c.d. «diligenza del buon banchiere»: Tribunale Roma sez. X, 31/08/2016, n.16221). Come ben sintetizzato dalla giurisprudenza di merito di recente “Nel caso di operazioni effettuate con strumenti elettronici (home banking), spetta all'istituto di credito verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell'accorto banchiere. L'eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Di conseguenza, qualora si verifichi un accesso non autorizzato o l'impiego dei dati raccolti per finalità non conformi alla legge, il gestore risponde ex art. 2050 c.c.. Si tratta di una forma di responsabilità oggettiva
"aggravata", in cui il prestatore del servizio, per andare esente da responsabilità, non deve solo dimostrare di aver adottato tutte le misure idonee ad evitare il danno (cosiddetta "prova liberatoria"), ma è tenuto a fornire la prova positiva di una causa esterna. Può trattarsi di fatto naturale, di fatto del terzo o di fatto dello stesso danneggiato che, per imprevedibilità ed inevitabilità, sfugge alla sfera di controllo dell'esercente l'attività pericolosa” (Tribunale Parma sez. I, 06/09/2018, n.1268;
Tribunale Siracusa sez. II, 04/02/2019, n.200).
Nel caso di specie, va preliminarmente rilevato che il sistema di autenticazione messo a disposizione dall'intermediario risulta conforme ai requisiti della Strong Customer Authentication nel rispetto della normativa comunitaria – art. 98 Direttiva (UE) 2015/2366 e relative norme tecniche di regolamentazione – che prevede una procedura di autenticazione “forte” idonea a consentire, al prestatore dei servizi di pagamento, la verificazione dell'identità di un utente del relativo servizio e/o della validità dell'uso del relativo strumento di pagamento. Conformemente, l'art. 10 bis, comma 1, lett. b, D. Lgs. n. 11/2010 stabilisce che “i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente quando l'utente: a) accede al suo conto di pagamento on-line; b) dispone un'operazione di pagamento elettronico;
c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi” ed il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un'autenticazione forte, salvo il caso in cui abbia agito in modo fraudolento (art. 12, comma 2-bis, D. Lgs. n. 11/2010).
Nel caso in esame emerge che l'accesso all'home banking dell' da un secondo Pt_1 cellulare, “identificato come CELLULARE”, da cui sono state poi disposte le operazioni contestate, sia stato autorizzato alle ore 15.32,55 del giorno 20 MARZO 2023 (dunque ben oltre tre mesi prima delle indebite sottrazioni), come evidenziato dallo screen shot di conferma, successivamente al quale
4 l'attore in realtà non ha mai allarmato l'Istituto di credito . Dalle allegazioni della convenuta, infatti, risulta che nel successivo mese di giugno 2023 veniva effettuata una richiesta di accesso all'home banking dell'attore, cui seguiva il corretto inserimento del codice di autenticazione e l'enrollment dello stesso dispositivo, autorizzato tramite secure call sul numero di cellulare abilitato e riferibile con certezza all'attore perché indicato dallo stesso in precedenza (all. 2 e 3 convenuta).
Contrariamente a quanto eccepito dall'attore in atti, proprio dal log depositato dalla banca (all.
5 e 6 convenuta) risulta che, nel mese di giugno 2023, veniva autorizzato l'accesso del nuovo dispositivo “CELLULARE” tramite secure call inviata sul numero di cellulare indicato dal cliente, cui è seguito l'inserimento corretto del codice identificativo. L'inserimento del pin è confermato, altresì, dal tracciato in atti (all. 5 e 6 convenuta) da cui si evince l'avvenuto login, l'inserimento del pin al primo tentativo e la secure call indirizzata al cellulare del cliente che perfezionava l'enrollment del secondo dispositivo. È provato per tabulas, quindi, l'adeguatezza dei sistemi di sicurezza della banca con l'adozione della cd. autenticazione forte. A tal riguardo ritiene l'ABF che “Secondo
l'orientamento interpretativo costante di questo Arbitro, la modifica dell'utenza telefonica associata
a uno strumento di pagamento rientra tra le azioni che, ai sensi della suddetta disposizione legislativa, possono «comportare un rischio di frode nei pagamenti o altri abusi»: essa esige dunque che i prestatori di servizi di pagamento applichino a tal fine l'autenticazione forte del cliente (in tal senso, v., ad es., Collegio di Milano, decisione n. 9222 del 2022; Collegio di Roma, decisione n.
11435 del 2022; Collegio di Bari, n. 11219 del 2022)” (cfr. ABF, Collegio di Coordinamento n. 13398 del 18 ottobre 2022).
Va ribadito, che nel mese di marzo 2023 veniva inviato al numero di cellulare indicato dall'attore un sms informativo, di cui la resistente produce lo screenshot (all. 7 e 8 convenuta), con il quale si specificava che un nuovo smartphone veniva accreditato ad operare sui servizi app e home banking dell'attore.
È evidente, quindi, che il cliente sia stato allertato a proposito di un accesso al conto avvenuto con un diverso cellulare. Tuttavia, l'attore ignorava tale messaggio, senza intraprendere alcuna azione a propria tutela e senza tentare alcun contatto con la filiale della banca.
Né vale la doglianza dell'attore che ne suoi confronti si sia consumata una truffa, perché se è inconfutabile che sia stata compiuta una frode informatica di cui l'attore è rimasto vittima, è anche vero che lo stesso avrebbe potuto evitare di incorrervi se avesse tenuto una condotta più accorta.
Invero, la banca ha provato, come era suo onere in base alla normativa di settore, di aver adottato sistemi adeguati ad evitare episodi di cd. phishing, cui è assimilabile la fattispecie in esame, dimostrando l'invio e la ricezione di comunicazioni tese ad allertare il cliente circa un accesso al 5 proprio home banking, ma negligentemente ignorate dallo stesso. Ne deriva che “Gli illeciti prelievi erano il prodotto di “tutte le operazioni prodromiche poste in essere dall'odierno istante che, nonostante la ricezione di molteplici avvisi, ammonimenti e comunicazioni idonei a consentire
l'individuazione di anomalie già di per sé allarmanti, non risulta aver posto in essere alcuna delle cautele ripetutamente richiesti dalla banca alla propria clientela, così incorrendo negli effetti dannosi dei quali oggi chiede il risarcimento. Invero, posto che la corretta autenticazione delle operazioni de quibus emerge dall'estratto delle registrazioni elettroniche effettuate in occasione di ciascun accesso del cliente al portale Internet della banca, questa ha potuto validamente fornire la prova delle disposizioni eseguite, nonché di ogni comunicazione e conversazione effettuata tramite il servizio a distanza, così dimostrando la successione cronologica dei fatti dai quali discende l'incauta attività posta in essere dall'odierno istante” (cfr. Trib. Como, 7 Marzo 2022).
Come riconosciuto nella recente pronuncia del Tribunale di Napoli n.10743/22, il D.lgs. n.
11/2010, aggravando l'onere probatorio in capo all'istituto di credito in ossequio ad un favor probatorio verso il cliente, fa sì che, affinché la banca possa liberarsi dalla responsabilità, è necessario che la stessa dimostri (i) l'adozione per parte propria di “tutti i sistemi di sicurezza ragionevolmente esigibili” e (ii) la sussistenza di una colpa grave in capo al correntista per non avere protetto le credenziali di accesso al sistema o per non avere utilizzato in modo corretto lo strumento elettronico sulla scorta dell'art. 7 del decreto. Pertanto, qualora la banca fornisca adeguata prova di tali aspetti, le perdite conseguenti a operazioni di pagamento non autorizzate, correlate a fenomeni di phishing graveranno sul correntista. Avendo, quindi, la banca assolto entrambi gli oneri di prova a proprio carico, dimostrando l'adozione di adeguati sistemi informatici atti a prevenire le frodi e l'inosservanza da parte del cliente dello standard di diligenza richiesto dalla situazione concreta e con riferimento alle sue qualità soggettive, è da escludersi la responsabilità della convenuta per le disposizioni di pagamento disconosciute dal ricorrente. Tale principio è stato ribadito anche dall'ordinanza n.7214/2023 della Corte di Cassazione, la quale ha sancito l'impossibilità di ascrivere alla banca la responsabilità di una truffa avvenuta tramite phishing quando quest'ultima sia stata perpetrata sfruttando un comportamento gravemente negligente dell'utente ed in presenza di tutte le procedure di autenticazione richieste dalla normativa per garantire la sicurezza dell'operazione bancaria. “Né sussistono risultanze giudizialmente fornite di altra possibile spiegazione della sottrazione delle suddette credenziali, presuntivamente imputabili all'odierno attore, i cui comportamenti, nell'occorso, vista anche la frequenza in notorietà degli episodi di frode informatica, nonché la qualificazione professionale dello stesso attore, si profilano come incauti….e nell'aver ignorato l'ulteriore SMS, il cui tenore viene riportato come inequivocabilmente collegato ad una nuova operazione di enrollment effettuata da un estraneo e all'attivazione su un iPhone 6, dispositivo
6 nuovo e diverso da quello in uso al cliente stesso” (cfr. Trib. Como, cit). Per completezza, in merito all'asserita violazione del diritto alla protezione dei dati personali da parte della banca va evidenziato che “In tema di ripartizione dell'onere della prova, al correntista abilitato a svolgere operazioni on line che, alla stregua degli artt. 15 del d.lgs. n. 196 del 2003 e 2050 c.c., agisca per l'abusiva utilizzazione (nella specie, mediante illegittime disposizioni di bonifico) delle sue credenziali informatiche, spetta soltanto la prova del danno siccome riferibile al trattamento del suo dato personale, mentre l'istituto creditizio risponde, quale titolare del trattamento di dato, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d'accesso del correntista, ove non dimostri che l'evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore” (cfr. Cass. n. 10638/2016), come nel caso di specie.
Alla luce di quanto detto, la domanda deve essere rigettata. La particolarità della materia e l'indubbio verificarsi di una frode informatica ai danni del ricorrente giustificano l'integrale compensazione delle spese tra le parti.
P.Q.M.
Il Tribunale, in composizione monocratica, definitivamente pronunciando, ogni contraria istanza ed eccezione disattesa, così provvede:
- Rigetta integralmente la domanda;
- Compensa tra le parti le spese.
Il Giudice
(dott. Maria Carolina De Falco )
7
IN NOME DEL POPOLO ITALIANO
Il giudice, dott. Maria Carolina De Falco, pronunzia la seguente
S E N T E N Z A nella causa iscritta al n. 14012/2024 r.g.a.c.
TRA
(c.f.: ), elett.te dom.to presso lo studio dell'Avv. Parte_1 C.F._1
SICILIANO GIUSEPPE (c.f.: ) sito in Via S. Maria della Libera n. 34/42, C.F._2
Napoli, dal quale è rappr.to e difeso in virtù di procura in calce all'atto di citazione
- ATTORE
E
(c.f.: ), con sede a Parma, Via Università, n. Controparte_1 P.IVA_1
1, in persona del procuratore speciale, munita dei necessari poteri in forza di procura speciale del 28 aprile 2021 a rogito del Notaio Dott.ssa Rep. n. 48.122, Racc. n. 17.242 (cfr. doc. Persona_1
n. 1) rappresentata e difesa, giusta procura in calce al presente atto, dall'Avv. Francesco Mocci (C.F.
) del Foro di Nuoro, il quale, in forza dei poteri a lui conferiti, elegge C.F._3
domicilio presso lo studio dell'Avv. Giustina Ifrigerio sito a Napoli, Piazzetta M. Serao, 7 80132
- CONVENUTA
OGGETTO: responsabilità dell'Istituto di credito in materia di truffa informatica
CONCLUSIONI: all'udienza del 27.05.25 le parti concludevano come da note autorizzate riportandosi alle loro domande, eccezioni e prove in atti ed all'esito il GU assegnava la causa in decisione.
RAGIONI DI FATTO E DI DIRITTO
La domanda è infondata.
ha convenuto in giudizio l fine di Parte_1 Controparte_1 ottenere la condanna di quest'ultimo alla restituzione della complessiva somma di € 108.850,00 (di
1 cui € 9.970,00 oltre € 29.453,00 successivamente riaccreditati sul suo conto personale) indebitamente sottrattagli da terzi malfattori introdottisi all'interno della propria home banking mediante precedente impossessamento dei codici di accesso.
A tal fine, premetteva di essere titolare del conto corrente n. 57897751 acceso presso la
Agenzia Credit Agricole n. 10 di Napoli – Filiale 00527 – ivi sita alla Piazza Medaglie d'Oro n. 17/18
e che nel mese di giugno 2023, tra i giorni 6 e 13, veniva improvvisamente a conoscenza di numerosi addebiti disposti sul proprio c/c personale da lui mai autorizzati e ne chiedeva immediatamente lo storno. L'istituto di credito disponeva la restituzione solo di una minima parte delle somme sottratte, rendendo perciò necessaria da parte dell'asserito creditore la presente azione per il recupero delle somme residue. L'attore deduceva inoltre di non aver mai ceduto i propri codici di accesso ad alcuno e che probabilmente quanto accaduto sarebbe dipeso dall'apertura di un link ricevuto tramite sms
(sms fissatosi in calce a tutti gli altri messaggi ricevuti in precedenza da ), con il quale Controparte_1 si richiedeva all'utente di accedere alla propria pagina per conservarne il livello di sicurezza. Tuttavia, successivamente all'apertura del link veniva, al contrario, confermata l'abilitazione ad operare sul conto mediante altro diverso dispositivo di telefonia mobile.
L'attore sporta, poi, prontamente denuncia presso la Questura di Napoli, ravvisando la responsabilità contrattuale e/o extracontrattuale della banca per omessa predisposizione dei sistemi di sicurezza e attivazione delle cautele necessarie ad impedire accessi impropri al sistema informatico e considerato il rifiuto della stessa a ripristinare il saldo preesistente, ne chiedeva la condanna al pagamento delle somme di cui non era stata autorizzata la disposizione in uscita e dunque l'accoglimento integrale della domanda con vittoria di spese.
Si è costituito il quale impugnava e contestava ogni Controparte_1
assunto avversario ponendo in evidenza la gravità della condotta attorea nel dare seguito, con eccessiva imprudenza, all'apertura del link ricevuto tramite sms che gli chiedeva di accedere alla propria home banking per garantirne il livello di sicurezza e che solo a tale sprovveduto comportamento (perciò connotato da colpa grave) aveva dato corso alla truffa patrimoniale consumata in suo danno. Pertanto, nulla avrebbe potuto essere addebitato a tale titolo alla CP_2
In particolare, evidenziava l'intervenuta autorizzazione, tramite la corretta digitazione delle credenziali di accesso, di un secondo device all'utilizzo del servizio home banking del ricorrente, sottolineando l'assenza di anomalie o irregolarità al momento della sua esecuzione ed eccepiva che il ricorrente aveva ricevuto un sms informativo con cui la banca confermava il completamento dell'operazione richiesta. Chiedeva dunque, rigettarsi integralmente la domanda con vittoria di spese di lite.
2 La causa veniva rinviata all'udienza del 27/05/25 e trattenuta per la decisione ex art. 281 quinquies c.p.c.
Ai fini del corretto inquadramento della vicenda oggetto di giudizio, serve premettere alcune coordinate in tema di responsabilità della banca per le ipotesi di operazioni eseguite con il sistema
“home banking”. Invero, come chiarito di recente dalla giurisprudenza di legittimità, l'utilizzazione dei servizi telematici da parte dei correntisti (home banking) rientra nell'area del rischio professionale della banca e richiede una diligenza di natura tecnica specifica (Cassazione civile sez. VI, 12/04/2018,
n.9158). In forza di ciò, in caso di contestazione, è onere della banca fornire la prova della riconducibilità dell'operazione al cliente correntista. Dunque, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del
2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (Cass. 3 febbraio
2017, n. 2950). Al fine di dare fiducia agli utenti nei sistemi che consentono le operazioni on line, poi, la banca è tenuta a dotarsi di sistemi che permettano di verificare la riconducibilità delle operazioni alla volontà del cliente, evitando i rischi prevedibili, come la possibilità che estranei possano fare uso dei codici di accesso. Pertanto, in caso di operazione contestata dal cliente, la banca
è tenuta a fornire la prova della sua diligenza, da valutarsi con il criterio dell'accorto banchiere. Ne consegue che, secondo la corretta interpretazione del d.lgs. n. 11/2010, qualora l'utente neghi di aver autorizzato un'operazione di pagamento già effettuata, l'onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio.
Nel contempo obbliga quest'ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l'operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall'utilizzatore, la restituzione dell'importo rimborsato. Agli istituti bancari, da considerare debitori qualificati ex art. 1176, comma 2, c.c., si richiede un elevatissimo livello di
3 diligenza (c.d. «diligenza del buon banchiere»: Tribunale Roma sez. X, 31/08/2016, n.16221). Come ben sintetizzato dalla giurisprudenza di merito di recente “Nel caso di operazioni effettuate con strumenti elettronici (home banking), spetta all'istituto di credito verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell'accorto banchiere. L'eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Di conseguenza, qualora si verifichi un accesso non autorizzato o l'impiego dei dati raccolti per finalità non conformi alla legge, il gestore risponde ex art. 2050 c.c.. Si tratta di una forma di responsabilità oggettiva
"aggravata", in cui il prestatore del servizio, per andare esente da responsabilità, non deve solo dimostrare di aver adottato tutte le misure idonee ad evitare il danno (cosiddetta "prova liberatoria"), ma è tenuto a fornire la prova positiva di una causa esterna. Può trattarsi di fatto naturale, di fatto del terzo o di fatto dello stesso danneggiato che, per imprevedibilità ed inevitabilità, sfugge alla sfera di controllo dell'esercente l'attività pericolosa” (Tribunale Parma sez. I, 06/09/2018, n.1268;
Tribunale Siracusa sez. II, 04/02/2019, n.200).
Nel caso di specie, va preliminarmente rilevato che il sistema di autenticazione messo a disposizione dall'intermediario risulta conforme ai requisiti della Strong Customer Authentication nel rispetto della normativa comunitaria – art. 98 Direttiva (UE) 2015/2366 e relative norme tecniche di regolamentazione – che prevede una procedura di autenticazione “forte” idonea a consentire, al prestatore dei servizi di pagamento, la verificazione dell'identità di un utente del relativo servizio e/o della validità dell'uso del relativo strumento di pagamento. Conformemente, l'art. 10 bis, comma 1, lett. b, D. Lgs. n. 11/2010 stabilisce che “i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente quando l'utente: a) accede al suo conto di pagamento on-line; b) dispone un'operazione di pagamento elettronico;
c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi” ed il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un'autenticazione forte, salvo il caso in cui abbia agito in modo fraudolento (art. 12, comma 2-bis, D. Lgs. n. 11/2010).
Nel caso in esame emerge che l'accesso all'home banking dell' da un secondo Pt_1 cellulare, “identificato come CELLULARE”, da cui sono state poi disposte le operazioni contestate, sia stato autorizzato alle ore 15.32,55 del giorno 20 MARZO 2023 (dunque ben oltre tre mesi prima delle indebite sottrazioni), come evidenziato dallo screen shot di conferma, successivamente al quale
4 l'attore in realtà non ha mai allarmato l'Istituto di credito . Dalle allegazioni della convenuta, infatti, risulta che nel successivo mese di giugno 2023 veniva effettuata una richiesta di accesso all'home banking dell'attore, cui seguiva il corretto inserimento del codice di autenticazione e l'enrollment dello stesso dispositivo, autorizzato tramite secure call sul numero di cellulare abilitato e riferibile con certezza all'attore perché indicato dallo stesso in precedenza (all. 2 e 3 convenuta).
Contrariamente a quanto eccepito dall'attore in atti, proprio dal log depositato dalla banca (all.
5 e 6 convenuta) risulta che, nel mese di giugno 2023, veniva autorizzato l'accesso del nuovo dispositivo “CELLULARE” tramite secure call inviata sul numero di cellulare indicato dal cliente, cui è seguito l'inserimento corretto del codice identificativo. L'inserimento del pin è confermato, altresì, dal tracciato in atti (all. 5 e 6 convenuta) da cui si evince l'avvenuto login, l'inserimento del pin al primo tentativo e la secure call indirizzata al cellulare del cliente che perfezionava l'enrollment del secondo dispositivo. È provato per tabulas, quindi, l'adeguatezza dei sistemi di sicurezza della banca con l'adozione della cd. autenticazione forte. A tal riguardo ritiene l'ABF che “Secondo
l'orientamento interpretativo costante di questo Arbitro, la modifica dell'utenza telefonica associata
a uno strumento di pagamento rientra tra le azioni che, ai sensi della suddetta disposizione legislativa, possono «comportare un rischio di frode nei pagamenti o altri abusi»: essa esige dunque che i prestatori di servizi di pagamento applichino a tal fine l'autenticazione forte del cliente (in tal senso, v., ad es., Collegio di Milano, decisione n. 9222 del 2022; Collegio di Roma, decisione n.
11435 del 2022; Collegio di Bari, n. 11219 del 2022)” (cfr. ABF, Collegio di Coordinamento n. 13398 del 18 ottobre 2022).
Va ribadito, che nel mese di marzo 2023 veniva inviato al numero di cellulare indicato dall'attore un sms informativo, di cui la resistente produce lo screenshot (all. 7 e 8 convenuta), con il quale si specificava che un nuovo smartphone veniva accreditato ad operare sui servizi app e home banking dell'attore.
È evidente, quindi, che il cliente sia stato allertato a proposito di un accesso al conto avvenuto con un diverso cellulare. Tuttavia, l'attore ignorava tale messaggio, senza intraprendere alcuna azione a propria tutela e senza tentare alcun contatto con la filiale della banca.
Né vale la doglianza dell'attore che ne suoi confronti si sia consumata una truffa, perché se è inconfutabile che sia stata compiuta una frode informatica di cui l'attore è rimasto vittima, è anche vero che lo stesso avrebbe potuto evitare di incorrervi se avesse tenuto una condotta più accorta.
Invero, la banca ha provato, come era suo onere in base alla normativa di settore, di aver adottato sistemi adeguati ad evitare episodi di cd. phishing, cui è assimilabile la fattispecie in esame, dimostrando l'invio e la ricezione di comunicazioni tese ad allertare il cliente circa un accesso al 5 proprio home banking, ma negligentemente ignorate dallo stesso. Ne deriva che “Gli illeciti prelievi erano il prodotto di “tutte le operazioni prodromiche poste in essere dall'odierno istante che, nonostante la ricezione di molteplici avvisi, ammonimenti e comunicazioni idonei a consentire
l'individuazione di anomalie già di per sé allarmanti, non risulta aver posto in essere alcuna delle cautele ripetutamente richiesti dalla banca alla propria clientela, così incorrendo negli effetti dannosi dei quali oggi chiede il risarcimento. Invero, posto che la corretta autenticazione delle operazioni de quibus emerge dall'estratto delle registrazioni elettroniche effettuate in occasione di ciascun accesso del cliente al portale Internet della banca, questa ha potuto validamente fornire la prova delle disposizioni eseguite, nonché di ogni comunicazione e conversazione effettuata tramite il servizio a distanza, così dimostrando la successione cronologica dei fatti dai quali discende l'incauta attività posta in essere dall'odierno istante” (cfr. Trib. Como, 7 Marzo 2022).
Come riconosciuto nella recente pronuncia del Tribunale di Napoli n.10743/22, il D.lgs. n.
11/2010, aggravando l'onere probatorio in capo all'istituto di credito in ossequio ad un favor probatorio verso il cliente, fa sì che, affinché la banca possa liberarsi dalla responsabilità, è necessario che la stessa dimostri (i) l'adozione per parte propria di “tutti i sistemi di sicurezza ragionevolmente esigibili” e (ii) la sussistenza di una colpa grave in capo al correntista per non avere protetto le credenziali di accesso al sistema o per non avere utilizzato in modo corretto lo strumento elettronico sulla scorta dell'art. 7 del decreto. Pertanto, qualora la banca fornisca adeguata prova di tali aspetti, le perdite conseguenti a operazioni di pagamento non autorizzate, correlate a fenomeni di phishing graveranno sul correntista. Avendo, quindi, la banca assolto entrambi gli oneri di prova a proprio carico, dimostrando l'adozione di adeguati sistemi informatici atti a prevenire le frodi e l'inosservanza da parte del cliente dello standard di diligenza richiesto dalla situazione concreta e con riferimento alle sue qualità soggettive, è da escludersi la responsabilità della convenuta per le disposizioni di pagamento disconosciute dal ricorrente. Tale principio è stato ribadito anche dall'ordinanza n.7214/2023 della Corte di Cassazione, la quale ha sancito l'impossibilità di ascrivere alla banca la responsabilità di una truffa avvenuta tramite phishing quando quest'ultima sia stata perpetrata sfruttando un comportamento gravemente negligente dell'utente ed in presenza di tutte le procedure di autenticazione richieste dalla normativa per garantire la sicurezza dell'operazione bancaria. “Né sussistono risultanze giudizialmente fornite di altra possibile spiegazione della sottrazione delle suddette credenziali, presuntivamente imputabili all'odierno attore, i cui comportamenti, nell'occorso, vista anche la frequenza in notorietà degli episodi di frode informatica, nonché la qualificazione professionale dello stesso attore, si profilano come incauti….e nell'aver ignorato l'ulteriore SMS, il cui tenore viene riportato come inequivocabilmente collegato ad una nuova operazione di enrollment effettuata da un estraneo e all'attivazione su un iPhone 6, dispositivo
6 nuovo e diverso da quello in uso al cliente stesso” (cfr. Trib. Como, cit). Per completezza, in merito all'asserita violazione del diritto alla protezione dei dati personali da parte della banca va evidenziato che “In tema di ripartizione dell'onere della prova, al correntista abilitato a svolgere operazioni on line che, alla stregua degli artt. 15 del d.lgs. n. 196 del 2003 e 2050 c.c., agisca per l'abusiva utilizzazione (nella specie, mediante illegittime disposizioni di bonifico) delle sue credenziali informatiche, spetta soltanto la prova del danno siccome riferibile al trattamento del suo dato personale, mentre l'istituto creditizio risponde, quale titolare del trattamento di dato, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d'accesso del correntista, ove non dimostri che l'evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore” (cfr. Cass. n. 10638/2016), come nel caso di specie.
Alla luce di quanto detto, la domanda deve essere rigettata. La particolarità della materia e l'indubbio verificarsi di una frode informatica ai danni del ricorrente giustificano l'integrale compensazione delle spese tra le parti.
P.Q.M.
Il Tribunale, in composizione monocratica, definitivamente pronunciando, ogni contraria istanza ed eccezione disattesa, così provvede:
- Rigetta integralmente la domanda;
- Compensa tra le parti le spese.
Il Giudice
(dott. Maria Carolina De Falco )
7