TRIB
Sentenza 14 dicembre 2025
Sentenza 14 dicembre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Roma, sentenza 14/12/2025, n. 17527 |
|---|---|
| Giurisdizione : | Trib. Roma |
| Numero : | 17527 |
| Data del deposito : | 14 dicembre 2025 |
Testo completo
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE ORDINARIO DI ROMA
SEDICESIMA SEZIONE CIVLE in persona del giudice dott. Vincenzo Giuliano, ha pronunciato la seguente
SENTENZA nella causa civile di primo grado, iscritta al n.20166 del ruolo generale per gli affari contenziosi dell'anno 2022, posta in deliberazione all'udienza del 05.06.2025 per la decisione ai sensi dell'art. 281 sexies c.p.c., e vertente
TRA
, C.F. , rappresentata e difesa dagli avvocati Parte_1 C.F._1
e ed elettivamente domiciliata presso il loro Controparte_1 Controparte_2 studio in Roma, Largo Ecuador n. 6, in virtù di delega posta in calce al presente atto,
Parte attrice
E
(P.IVA , rappresentata e difesa dal Controparte_3 P.IVA_1
Prof. Avv. Riccio Giovanni Maria ed elettivamente domiciliata presso il suo Studio in
Roma, Via dei Barbieri, 6, giusta procura speciale allegata alla busta di deposito;
- Parte convenuta -
Conclusioni come da verbale del 05.06.2025.
Parte attrice: “In via principale a) accertare e dichiarare la responsabilità contrattuale e extracontrattuale della società convenuta per tutti i motivi indicati in atti e in ogni caso accertare e dichiarare la responsabilità, ai sensi dell'art. 1176 c.c., per avere omesso di vigilare e attivare adeguati presidi di sicurezza in presenza di anomalie e operazioni irregolari facilmente identificabili ed ex art. 2050 c.c.. b) Accertare e dichiarare la violazione della normativa in tema di privacy così come il disposto del GDPR. c)
Accertare e dichiarare l'illegittimità della disposizione di bonifico effettuata dal conto corrente NL [...] di importo pari a € 14.900,00 e la non riferibilità dello stesso a volontà dei correntisti. d) Conseguentemente condannare la convenuta alla restituzione delle somme prelevate dal conto corrente, in ragione delle operazioni de quo, per un importo pari ad € 14.9000,00 e comunque condannarla al risarcimento del danno subito dall'attrice pari ad euro 14.900,00 in relazione all'indebito prelievo subito, o nel maggiore o minore danno accertato in corso di causa, oltre rivalutazione dell'importo e interessi legali dalla domanda al saldo effettivo. e)
Condannare la convenuta al risarcimento del danno non patrimoniale determinato nella misura di € 3.000,00, anche in via equitativa, ovvero nella diversa maggiore o minore misura che dovesse risultare nel corso dell'istruttoria. f) In via subordinata, e nella denegata ipotesi in cui il Tribunale non ravvisasse la ricorrenza dei requisiti del risarcimento integrale del danno accertare e dichiarare, per le ragioni suesposte, e nella ricorrenza dei presupposti di legge, che il pagamento a mezzo bonifico bancario è stato effettuato in assenza di un giusto titolo giustificativo, e pertanto disporre l'azione di ripetizione dell'indebito oggettivo ex art. 2033 c.c. g) Con vittoria di spese competenze e onorari di causa”.
Parte convenuta: “ - in via principale, respingere, perché infondate in fatto e in diritto, tutte le domande formulate dalla Sig.ra per le ragioni dedotte in narrativa;
- in ogni Pt_1 caso, con vittoria di spese e competenze di causa”.
RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
In via di premessa si osserva che gli art.132 cpc e 118 disp att.cpc prevedono che la sentenza deve contenere decisione> la quale delle ragioni giuridiche della decisione, anche con riferimento a precedenti conformi>, così che debba ritenersi conforme al modello normativo richiamato (il quale prevede la sinteticità della motivazione quale corollario del dovere di assicurare la ragionevole durata del processo) la motivazione c.d. per relationem (cfr., da ultimo, 26 luglio 2012 n.
13202), nonché l'esame e la trattazione nella motivazione delle sole questioni – di fatto e di diritto - “rilevanti ai fini della decisione” concretamente adottata, dovendo le restanti questioni eventualmente esposte dalle parti e non trattate dal giudice essere ritenute non come “omesse” (per l'effetto dell' error in procedendo), ma semplicemente assorbite
(ovvero superate) per incompatibilità logico-giuridica con quanto concretamente ritenuto provato dal giudicante. Richiamati, in ordine alla ricostruzione dei profili fattuali della presente vicenda controversa, il contenuto assertivo dell'atto di citazione, quello della comparsa di costituzione e risposta nonché tutta la documentazione allegata in atti, delle memorie autorizzate e di tutti gli altri atti di causa e dei provvedimenti istruttori assunti dal giudice in corso di causa.
*********
Con atto di citazione ritualmente notificato, ha convenuto in Parte_2 giudizio, innanzi a questo Tribunale, la per sentirla Controparte_3 condannare a titolo risarcitorio al pagamento della somma di € 17.900,00 ( € 14.900,00 per il bonifico eseguito senza autorizzazione ed euro 3.000,00 a titolo di risarcimento danni) in dipendenza di una truffa informatica perpetrata in suo danno per mezzo dell'applicazione Home Banking della NL.
La società attrice lamenta che terzi soggetti avrebbero posto in essere un'attività fraudolenta consistente nell'avere effettuato un bonifico non autorizzato per complessivi
€ 14.900,00 utilizzando le somme giacenti sul suo conto corrente nr.
[...], sebbene questa non avesse mai autorizzato tale disposizione di bonifico.
Stando alla ricostruzione di parte attrice, la responsabilità di tale attività fraudolenta sarebbe addebitabile alla convenuta ai sensi degli artt. 11 e 12 del D. Lgs. n. 11/2010, non avendo la convenuta NL predisposto idonee garanzie atte a fronteggiare indebite intromissioni di terzi soggetti nel sistema informatico della banca utilizzato per effettuare l'operazione contestata.
Radicatasi la lite, si è costituita in giudizio la quale ha Controparte_3 chiesto il rigetto delle avverse domande in ragione della loro ritenuta infondatezza.
Stante la natura documentale del giudizio veniva disposto rinvio per la precisazione delle conclusioni e riassegnata la causa per surroga al decidente la causa veniva rinviata al
3.5.24 per la precisazione delle conclusioni con concessione dei termini ex art. 190 c.p.c. poi rimessa sul ruolo e trattenuta per la decisione all'udienza in epigrafe indicata.
*** Ciò posto, la domanda di risarcimento danni proposta dall'attrice è fondata nei limiti e per le ragioni appresso spiegate.
Il giudizio de quo verte sull'accertamento della responsabilità del prestatore di servizi di pagamento nel caso in cui il cliente abbia disconosciuto un'operazione eseguita tramite home banking, da terzi ignoti, con mezzi fraudolenti.
Pertanto, la normativa di riferimento è quella che regola le operazioni di pagamento a distanza di cui al d.lgs. 27 gennaio 2010, n. 11, modificato a seguito dell'entrata in vigore del d.lgs. 15 dicembre 2017, n. 218 (di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno).
Nel caso di specie va osservato che il fatto generatore dell'illecito - bonifico del 27.10.21
- che ha dato luogo al presente giudizio è frutto di una attività fraudolenta perpetrata da terzi truffatori che mira a ottenere i dati bancari degli ignari utenti. Tutto parte da un messaggio contenente un link malevolo c.d. smishing in cui usualmente i truffatori si fingono dipendenti della banca, per poi far seguire il c.d. spooning id chiamante.
Quest'ultimo rimanda poi a un portale che invita l'utente a scaricare una falsa app cercando persino di rassicurare l'utente dicendo che potrà contattare un dipendente della banca per discutere tutti i dettagli legati al software. Dopo l'effettuazione del download dell'applicazione, questa chiede al cliente della banca una serie di permessi, compresi quelli sugli SMS. Successivamente, il malweare entra in attività ed è in grado di prendere possesso dei codici di accesso all'account bancario ed intercettare gli SMS inviati sul numero telefonico della vittima per carpire il codice di autenticazione a due fattori inviato dalla banca.
In tali ipotesi – come quello verificatasi nel caso che ci occupa - in cui il cliente neghi di aver autorizzato un'operazione di pagamento già eseguita, l'art. 10 del citato d.lgs. stabilisce che sia onere dell'intermediario dover provare (oltre all'insussistenza di malfunzionamenti) l'autenticazione, la corretta registrazione e contabilizzazione delle operazioni disconosciute;
e, a norma del successivo art. 12, co. 4, è altresì onere dell'intermediario fornire la prova di tutti i fatti idonei ad integrare la colpa grave dell'utilizzatore. In mancanza di tale duplice prova, la sopporta integralmente le CP_3 conseguenze delle operazioni disconosciute, senza alcuna limitazione o franchigia. Alla luce di tale normativa appare evidente che l'intenzione del legislatore è all'evidenza quella di sollecitare la fissazione - da parte del prestatore di servizi - di elevati standard di trasparenza e sicurezza e di riversare su di esso, almeno in linea di principio, le conseguenze sfavorevoli dell'uso fraudolento o non autorizzato degli strumenti di pagamento, tanto in base alla logica per cui la Banca, quale operatore professionale che gestisce il servizio di pagamento, è il soggetto più idoneo a sopportare il rischio delle operazioni non autorizzate.
La lettura nei termini sopra precisati del sistema delineato dal d.lgs. 11/10 trova diretta conferma nella giurisprudenza maggioritaria della Suprema Corte, alla cui condivisibile stregua, “In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo” (citata in massima
Cassazione civile sez. I, 20/05/2022, n. 16417; conformi: Cassazione civile sez. I,
03/02/2017, n. 2950).
Sotto il profilo della prova del dolo o della colpa grave del cliente, la medesima giurisprudenza ha inoltre chiarito che la stessa debba essere fornita positivamente dal prestatore di servizi, non potendo presumersi in ragione dell'idoneità delle protezioni adottate dalla banca, al fine di evitare l'esecuzione di operazioni fraudolente. Così ha statuito in proposito Cassazione civile sez. VI, 26/11/2020, n. 26916: “La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo l'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente. (Nella specie, la S.C. ha cassato con rinvio la decisione di merito che, disattendendo il principio di cui in massima, aveva ritenuto che, essendo stata raggiunta la prova presuntiva dell'idoneità delle protezioni adottate dal prestatore dei servizi di pagamento contro l'uso non autorizzato della carta cd. prepagata, gravasse sul cliente l'onere di dimostrare di avere tenuto un comportamento esente da colpa nella custodia della carta e dei codici, in modo da evitare furti o smarrimenti)”.
Ciò debitamente premesso in punto di diritto, con specifico riferimento al caso in esame dalle emergenze documentali è emerso che - benché siano state espressamente disconosciuti e contestati con la prima memoria istruttoria (ex art. 183/6 c.p.c.) i documenti nr. 4 e nr. 5 depositati da NL in quanto, oltre ad essere privi di ogni riferimento temporale nonché riconducibili al contratto di conto corrente della Sig.ra o alle condizioni di uso del sistema di Internet Banking della stessa, di talché non Pt_1 vi è modo di verificare che le clausole in esse contenuti debbano trovare applicazione o siano applicabili al contratto de quo -, l'intermediario ha dato prova documentale di aver adottato un sistema di autenticazione multifattoriale consistente nell'inserimento delle credenziali statiche di accesso al canale di home banking, di un codice OTP inviato tramite notifica push, e una ulteriore password - c.d. codice OTS – inoltrata tramite sms sul cellulare certificato dell'attrice; nonché di avere correttamente registrato e contabilizzato l'operazione oggetto di giudizio.
Le suddette evenienze emergono per tabulas e danno conto delle operazioni svolte dal conto corrente dell'attrice sul portale home banking della banca e consentono di ricostruire lo svolgimento del bonifico in contestazione.
Tali documenti comprovano che l'operazione disconosciuta - del 27.10.21 – effettuata sul c/c dell'attrice è stata correttamente autenticata con l'inserimento della OTP e della OTS ed escludono un'anomalia operativa o un malfunzionamento del servizio predisposto dall'intermediario, secondo quanto previsto dall'art. 10 del d.lgs. 11/10. Infatti, le credenziali “statiche” (nome utente e codice PIN che l'attrice sostiene di non averle mai comunicate e che comunque fossero già in possesso dei malfattori) sono state opportunamente digitate per effettuare l'accesso alla Home Banking, e le credenziali dinamiche (OTP e OTS) sono state correttamente generate e inserite ai fini dell'operazione di bonifico, con conseguente obbligo della banca di darne esecuzione.
E dunque, sebbene abbia provato con la documentazione versata in atti, che Parte_3 il bonifico disconosciuto sia stato autenticato nel rispetto della normativa vigente e attraverso strumenti di sicurezza idonei a garantire elevati standard di sicurezza (c.d. sistema di autenticazione c.d. forte), la circostanza non vale di per sé ad escludere la responsabilità della convenuta, essendo necessario che l'intermediario - alla stregua dell'art. 12, co. 4 d.lgs. 11/2010 e della giurisprudenza sopra richiamati - dimostri elementi fattuali caratterizzanti le modalità esecutive dell'operazione dai quali possa ricavarsi la colpa grave dell'utente.
A tale riguardo va evidenziato, che dalle prove documentali acquisite alcuna responsabilità è emersa a carico dell'attrice ma anzi risulta che la stessa abbia limitato i danni allertando la banca dell'operazione truffaldina e ciononostante la banca convenuta
è rimasta inerte non attivandosi per bloccare il bonifico in questione. Tale circostanza è rilevante ai fini del decidere in quanto un tempestivo intervento della NL ( come peraltro
è stato fatto per gli altri tre bonifici), avrebbe sicuramente consentito di neutralizzare l'esito favorevole al malfattore del bonifico di 14.900,00. I dati temporali dell'operazione fraudolenta non sono in contestazione tra le parti per cui è dimostrato che l'attrice, a seguito dell'accesso ad una copia contabile prodotta in atti ( cfr. all. 02 parte attrice), scopriva che il bonifico in questione era partito alle ore 13.20 e dunque diversi minuti dopo la prima chiamata al numero verde apparentemente di NL delle ore 13.06 e da quella delle ore 13.14 nel corso della quale l'attrice aveva rinnovato e sollecitato la richiesta di bloccare tutte le operazioni, senza però ottenere dalla NL alcun intervento risolutivo riguardo al bonifico di € 14.900,00.
Risultano inoltre non pertinenti rispetto al caso in esame i precedenti giurisprudenziali citati dalla banca a sostegno della dedotta colpa grave del cliente riferendosi gli stessi a casi in cui il cliente, violando gli obblighi di custodia dei codici di accesso al conto corrente on -line posti a suo carico dalle previsioni contrattuali, aveva colposamente fornito tali dati ai truffatori, così permettendo il compimento della frode informatica in suo danno. Di contro, nel caso in esame l'attrice non ha fornito alcun dato sensibile agli autori della truffa, essendosi limitata ad effettuare il download di un programma apparentemente riconducibile a NL;
pertanto, nella fattispecie alcun obbligo di custodia può ritenersi violato. Alla stregua delle considerazioni che precedono, non potendo dunque ritenersi raggiunta la prova liberatoria posta a carico della banca dall'art. 12, co.
4 d.lgs. 11/10, la domanda risarcitoria proposta dall'attrice va senz'altro accolta nella misura dell'importo indebitamente sottrattole, di €. 14.900,00. Va invece rigettata la domanda attorea di risarcimento quantificata in € 3.000,00 non avendo la sig.ra rovato i presupposti per il ricorso alla valutazione equitativa. Pt_1
Il superiore importo, siccome debito di valore non determinato all'attualità, deve essere rivalutato secondo gli indici ISTAT dalla data del fatto lesivo – da individuarsi in quella di effettuazione dell'operazione contestata del 27.10.21. Sulla sorte capitale progressivamente rivalutata sono pure dovuti, per il corrispondente periodo, gli interessi compensativi al saggio legale al fine di liquidare il danno per il ritardato pagamento.
***
Le spese di lite – che si liquidano in dispositivo ex DM 147/22– seguono la soccombenza di parte convenuta.
p.q.m.
Il Tribunale, definitivamente pronunciando sulla presente controversia, ogni altra istanza ed eccezione disattesa, così provvede:
condanna la convenuta a corrispondere all'attrice l'importo di € 14.900,00, oltre rivalutazione ISTAT e interessi al saggio legale dalla pubblicazione della sentenza al saldo effettivo;
condanna la convenuta a rifondere alla attrice le spese di lite che si quantificano in €
3.634,00 di cui euro 237,00 per spese non imponibili ed € 3.397,00 per compensi di avvocato, oltre ad oneri e accessori di legge.
Così deciso in Roma 13.12.25
Il Giudice Vincenzo Giuliano
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE ORDINARIO DI ROMA
SEDICESIMA SEZIONE CIVLE in persona del giudice dott. Vincenzo Giuliano, ha pronunciato la seguente
SENTENZA nella causa civile di primo grado, iscritta al n.20166 del ruolo generale per gli affari contenziosi dell'anno 2022, posta in deliberazione all'udienza del 05.06.2025 per la decisione ai sensi dell'art. 281 sexies c.p.c., e vertente
TRA
, C.F. , rappresentata e difesa dagli avvocati Parte_1 C.F._1
e ed elettivamente domiciliata presso il loro Controparte_1 Controparte_2 studio in Roma, Largo Ecuador n. 6, in virtù di delega posta in calce al presente atto,
Parte attrice
E
(P.IVA , rappresentata e difesa dal Controparte_3 P.IVA_1
Prof. Avv. Riccio Giovanni Maria ed elettivamente domiciliata presso il suo Studio in
Roma, Via dei Barbieri, 6, giusta procura speciale allegata alla busta di deposito;
- Parte convenuta -
Conclusioni come da verbale del 05.06.2025.
Parte attrice: “In via principale a) accertare e dichiarare la responsabilità contrattuale e extracontrattuale della società convenuta per tutti i motivi indicati in atti e in ogni caso accertare e dichiarare la responsabilità, ai sensi dell'art. 1176 c.c., per avere omesso di vigilare e attivare adeguati presidi di sicurezza in presenza di anomalie e operazioni irregolari facilmente identificabili ed ex art. 2050 c.c.. b) Accertare e dichiarare la violazione della normativa in tema di privacy così come il disposto del GDPR. c)
Accertare e dichiarare l'illegittimità della disposizione di bonifico effettuata dal conto corrente NL [...] di importo pari a € 14.900,00 e la non riferibilità dello stesso a volontà dei correntisti. d) Conseguentemente condannare la convenuta alla restituzione delle somme prelevate dal conto corrente, in ragione delle operazioni de quo, per un importo pari ad € 14.9000,00 e comunque condannarla al risarcimento del danno subito dall'attrice pari ad euro 14.900,00 in relazione all'indebito prelievo subito, o nel maggiore o minore danno accertato in corso di causa, oltre rivalutazione dell'importo e interessi legali dalla domanda al saldo effettivo. e)
Condannare la convenuta al risarcimento del danno non patrimoniale determinato nella misura di € 3.000,00, anche in via equitativa, ovvero nella diversa maggiore o minore misura che dovesse risultare nel corso dell'istruttoria. f) In via subordinata, e nella denegata ipotesi in cui il Tribunale non ravvisasse la ricorrenza dei requisiti del risarcimento integrale del danno accertare e dichiarare, per le ragioni suesposte, e nella ricorrenza dei presupposti di legge, che il pagamento a mezzo bonifico bancario è stato effettuato in assenza di un giusto titolo giustificativo, e pertanto disporre l'azione di ripetizione dell'indebito oggettivo ex art. 2033 c.c. g) Con vittoria di spese competenze e onorari di causa”.
Parte convenuta: “ - in via principale, respingere, perché infondate in fatto e in diritto, tutte le domande formulate dalla Sig.ra per le ragioni dedotte in narrativa;
- in ogni Pt_1 caso, con vittoria di spese e competenze di causa”.
RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
In via di premessa si osserva che gli art.132 cpc e 118 disp att.cpc prevedono che la sentenza deve contenere decisione> la quale delle ragioni giuridiche della decisione, anche con riferimento a precedenti conformi>, così che debba ritenersi conforme al modello normativo richiamato (il quale prevede la sinteticità della motivazione quale corollario del dovere di assicurare la ragionevole durata del processo) la motivazione c.d. per relationem (cfr., da ultimo, 26 luglio 2012 n.
13202), nonché l'esame e la trattazione nella motivazione delle sole questioni – di fatto e di diritto - “rilevanti ai fini della decisione” concretamente adottata, dovendo le restanti questioni eventualmente esposte dalle parti e non trattate dal giudice essere ritenute non come “omesse” (per l'effetto dell' error in procedendo), ma semplicemente assorbite
(ovvero superate) per incompatibilità logico-giuridica con quanto concretamente ritenuto provato dal giudicante. Richiamati, in ordine alla ricostruzione dei profili fattuali della presente vicenda controversa, il contenuto assertivo dell'atto di citazione, quello della comparsa di costituzione e risposta nonché tutta la documentazione allegata in atti, delle memorie autorizzate e di tutti gli altri atti di causa e dei provvedimenti istruttori assunti dal giudice in corso di causa.
*********
Con atto di citazione ritualmente notificato, ha convenuto in Parte_2 giudizio, innanzi a questo Tribunale, la per sentirla Controparte_3 condannare a titolo risarcitorio al pagamento della somma di € 17.900,00 ( € 14.900,00 per il bonifico eseguito senza autorizzazione ed euro 3.000,00 a titolo di risarcimento danni) in dipendenza di una truffa informatica perpetrata in suo danno per mezzo dell'applicazione Home Banking della NL.
La società attrice lamenta che terzi soggetti avrebbero posto in essere un'attività fraudolenta consistente nell'avere effettuato un bonifico non autorizzato per complessivi
€ 14.900,00 utilizzando le somme giacenti sul suo conto corrente nr.
[...], sebbene questa non avesse mai autorizzato tale disposizione di bonifico.
Stando alla ricostruzione di parte attrice, la responsabilità di tale attività fraudolenta sarebbe addebitabile alla convenuta ai sensi degli artt. 11 e 12 del D. Lgs. n. 11/2010, non avendo la convenuta NL predisposto idonee garanzie atte a fronteggiare indebite intromissioni di terzi soggetti nel sistema informatico della banca utilizzato per effettuare l'operazione contestata.
Radicatasi la lite, si è costituita in giudizio la quale ha Controparte_3 chiesto il rigetto delle avverse domande in ragione della loro ritenuta infondatezza.
Stante la natura documentale del giudizio veniva disposto rinvio per la precisazione delle conclusioni e riassegnata la causa per surroga al decidente la causa veniva rinviata al
3.5.24 per la precisazione delle conclusioni con concessione dei termini ex art. 190 c.p.c. poi rimessa sul ruolo e trattenuta per la decisione all'udienza in epigrafe indicata.
*** Ciò posto, la domanda di risarcimento danni proposta dall'attrice è fondata nei limiti e per le ragioni appresso spiegate.
Il giudizio de quo verte sull'accertamento della responsabilità del prestatore di servizi di pagamento nel caso in cui il cliente abbia disconosciuto un'operazione eseguita tramite home banking, da terzi ignoti, con mezzi fraudolenti.
Pertanto, la normativa di riferimento è quella che regola le operazioni di pagamento a distanza di cui al d.lgs. 27 gennaio 2010, n. 11, modificato a seguito dell'entrata in vigore del d.lgs. 15 dicembre 2017, n. 218 (di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno).
Nel caso di specie va osservato che il fatto generatore dell'illecito - bonifico del 27.10.21
- che ha dato luogo al presente giudizio è frutto di una attività fraudolenta perpetrata da terzi truffatori che mira a ottenere i dati bancari degli ignari utenti. Tutto parte da un messaggio contenente un link malevolo c.d. smishing in cui usualmente i truffatori si fingono dipendenti della banca, per poi far seguire il c.d. spooning id chiamante.
Quest'ultimo rimanda poi a un portale che invita l'utente a scaricare una falsa app cercando persino di rassicurare l'utente dicendo che potrà contattare un dipendente della banca per discutere tutti i dettagli legati al software. Dopo l'effettuazione del download dell'applicazione, questa chiede al cliente della banca una serie di permessi, compresi quelli sugli SMS. Successivamente, il malweare entra in attività ed è in grado di prendere possesso dei codici di accesso all'account bancario ed intercettare gli SMS inviati sul numero telefonico della vittima per carpire il codice di autenticazione a due fattori inviato dalla banca.
In tali ipotesi – come quello verificatasi nel caso che ci occupa - in cui il cliente neghi di aver autorizzato un'operazione di pagamento già eseguita, l'art. 10 del citato d.lgs. stabilisce che sia onere dell'intermediario dover provare (oltre all'insussistenza di malfunzionamenti) l'autenticazione, la corretta registrazione e contabilizzazione delle operazioni disconosciute;
e, a norma del successivo art. 12, co. 4, è altresì onere dell'intermediario fornire la prova di tutti i fatti idonei ad integrare la colpa grave dell'utilizzatore. In mancanza di tale duplice prova, la sopporta integralmente le CP_3 conseguenze delle operazioni disconosciute, senza alcuna limitazione o franchigia. Alla luce di tale normativa appare evidente che l'intenzione del legislatore è all'evidenza quella di sollecitare la fissazione - da parte del prestatore di servizi - di elevati standard di trasparenza e sicurezza e di riversare su di esso, almeno in linea di principio, le conseguenze sfavorevoli dell'uso fraudolento o non autorizzato degli strumenti di pagamento, tanto in base alla logica per cui la Banca, quale operatore professionale che gestisce il servizio di pagamento, è il soggetto più idoneo a sopportare il rischio delle operazioni non autorizzate.
La lettura nei termini sopra precisati del sistema delineato dal d.lgs. 11/10 trova diretta conferma nella giurisprudenza maggioritaria della Suprema Corte, alla cui condivisibile stregua, “In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo” (citata in massima
Cassazione civile sez. I, 20/05/2022, n. 16417; conformi: Cassazione civile sez. I,
03/02/2017, n. 2950).
Sotto il profilo della prova del dolo o della colpa grave del cliente, la medesima giurisprudenza ha inoltre chiarito che la stessa debba essere fornita positivamente dal prestatore di servizi, non potendo presumersi in ragione dell'idoneità delle protezioni adottate dalla banca, al fine di evitare l'esecuzione di operazioni fraudolente. Così ha statuito in proposito Cassazione civile sez. VI, 26/11/2020, n. 26916: “La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo l'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente. (Nella specie, la S.C. ha cassato con rinvio la decisione di merito che, disattendendo il principio di cui in massima, aveva ritenuto che, essendo stata raggiunta la prova presuntiva dell'idoneità delle protezioni adottate dal prestatore dei servizi di pagamento contro l'uso non autorizzato della carta cd. prepagata, gravasse sul cliente l'onere di dimostrare di avere tenuto un comportamento esente da colpa nella custodia della carta e dei codici, in modo da evitare furti o smarrimenti)”.
Ciò debitamente premesso in punto di diritto, con specifico riferimento al caso in esame dalle emergenze documentali è emerso che - benché siano state espressamente disconosciuti e contestati con la prima memoria istruttoria (ex art. 183/6 c.p.c.) i documenti nr. 4 e nr. 5 depositati da NL in quanto, oltre ad essere privi di ogni riferimento temporale nonché riconducibili al contratto di conto corrente della Sig.ra o alle condizioni di uso del sistema di Internet Banking della stessa, di talché non Pt_1 vi è modo di verificare che le clausole in esse contenuti debbano trovare applicazione o siano applicabili al contratto de quo -, l'intermediario ha dato prova documentale di aver adottato un sistema di autenticazione multifattoriale consistente nell'inserimento delle credenziali statiche di accesso al canale di home banking, di un codice OTP inviato tramite notifica push, e una ulteriore password - c.d. codice OTS – inoltrata tramite sms sul cellulare certificato dell'attrice; nonché di avere correttamente registrato e contabilizzato l'operazione oggetto di giudizio.
Le suddette evenienze emergono per tabulas e danno conto delle operazioni svolte dal conto corrente dell'attrice sul portale home banking della banca e consentono di ricostruire lo svolgimento del bonifico in contestazione.
Tali documenti comprovano che l'operazione disconosciuta - del 27.10.21 – effettuata sul c/c dell'attrice è stata correttamente autenticata con l'inserimento della OTP e della OTS ed escludono un'anomalia operativa o un malfunzionamento del servizio predisposto dall'intermediario, secondo quanto previsto dall'art. 10 del d.lgs. 11/10. Infatti, le credenziali “statiche” (nome utente e codice PIN che l'attrice sostiene di non averle mai comunicate e che comunque fossero già in possesso dei malfattori) sono state opportunamente digitate per effettuare l'accesso alla Home Banking, e le credenziali dinamiche (OTP e OTS) sono state correttamente generate e inserite ai fini dell'operazione di bonifico, con conseguente obbligo della banca di darne esecuzione.
E dunque, sebbene abbia provato con la documentazione versata in atti, che Parte_3 il bonifico disconosciuto sia stato autenticato nel rispetto della normativa vigente e attraverso strumenti di sicurezza idonei a garantire elevati standard di sicurezza (c.d. sistema di autenticazione c.d. forte), la circostanza non vale di per sé ad escludere la responsabilità della convenuta, essendo necessario che l'intermediario - alla stregua dell'art. 12, co. 4 d.lgs. 11/2010 e della giurisprudenza sopra richiamati - dimostri elementi fattuali caratterizzanti le modalità esecutive dell'operazione dai quali possa ricavarsi la colpa grave dell'utente.
A tale riguardo va evidenziato, che dalle prove documentali acquisite alcuna responsabilità è emersa a carico dell'attrice ma anzi risulta che la stessa abbia limitato i danni allertando la banca dell'operazione truffaldina e ciononostante la banca convenuta
è rimasta inerte non attivandosi per bloccare il bonifico in questione. Tale circostanza è rilevante ai fini del decidere in quanto un tempestivo intervento della NL ( come peraltro
è stato fatto per gli altri tre bonifici), avrebbe sicuramente consentito di neutralizzare l'esito favorevole al malfattore del bonifico di 14.900,00. I dati temporali dell'operazione fraudolenta non sono in contestazione tra le parti per cui è dimostrato che l'attrice, a seguito dell'accesso ad una copia contabile prodotta in atti ( cfr. all. 02 parte attrice), scopriva che il bonifico in questione era partito alle ore 13.20 e dunque diversi minuti dopo la prima chiamata al numero verde apparentemente di NL delle ore 13.06 e da quella delle ore 13.14 nel corso della quale l'attrice aveva rinnovato e sollecitato la richiesta di bloccare tutte le operazioni, senza però ottenere dalla NL alcun intervento risolutivo riguardo al bonifico di € 14.900,00.
Risultano inoltre non pertinenti rispetto al caso in esame i precedenti giurisprudenziali citati dalla banca a sostegno della dedotta colpa grave del cliente riferendosi gli stessi a casi in cui il cliente, violando gli obblighi di custodia dei codici di accesso al conto corrente on -line posti a suo carico dalle previsioni contrattuali, aveva colposamente fornito tali dati ai truffatori, così permettendo il compimento della frode informatica in suo danno. Di contro, nel caso in esame l'attrice non ha fornito alcun dato sensibile agli autori della truffa, essendosi limitata ad effettuare il download di un programma apparentemente riconducibile a NL;
pertanto, nella fattispecie alcun obbligo di custodia può ritenersi violato. Alla stregua delle considerazioni che precedono, non potendo dunque ritenersi raggiunta la prova liberatoria posta a carico della banca dall'art. 12, co.
4 d.lgs. 11/10, la domanda risarcitoria proposta dall'attrice va senz'altro accolta nella misura dell'importo indebitamente sottrattole, di €. 14.900,00. Va invece rigettata la domanda attorea di risarcimento quantificata in € 3.000,00 non avendo la sig.ra rovato i presupposti per il ricorso alla valutazione equitativa. Pt_1
Il superiore importo, siccome debito di valore non determinato all'attualità, deve essere rivalutato secondo gli indici ISTAT dalla data del fatto lesivo – da individuarsi in quella di effettuazione dell'operazione contestata del 27.10.21. Sulla sorte capitale progressivamente rivalutata sono pure dovuti, per il corrispondente periodo, gli interessi compensativi al saggio legale al fine di liquidare il danno per il ritardato pagamento.
***
Le spese di lite – che si liquidano in dispositivo ex DM 147/22– seguono la soccombenza di parte convenuta.
p.q.m.
Il Tribunale, definitivamente pronunciando sulla presente controversia, ogni altra istanza ed eccezione disattesa, così provvede:
condanna la convenuta a corrispondere all'attrice l'importo di € 14.900,00, oltre rivalutazione ISTAT e interessi al saggio legale dalla pubblicazione della sentenza al saldo effettivo;
condanna la convenuta a rifondere alla attrice le spese di lite che si quantificano in €
3.634,00 di cui euro 237,00 per spese non imponibili ed € 3.397,00 per compensi di avvocato, oltre ad oneri e accessori di legge.
Così deciso in Roma 13.12.25
Il Giudice Vincenzo Giuliano