TRIB
Sentenza 6 maggio 2025
Sentenza 6 maggio 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Latina, sentenza 06/05/2025, n. 840 |
|---|---|
| Giurisdizione : | Trib. Latina |
| Numero : | 840 |
| Data del deposito : | 6 maggio 2025 |
Testo completo
N. 3791/2021 R.G.
Tribunale Ordinario di Latina
I Sezione civile
“Note scritte in sostituzione dell'udienza ex art. 127 ter c.p.c.”
Oggi 06 maggio 2025, innanzi alla dott.ssa Giulia Paolini, come da provvedimento del 09.04.2024, regolarmente comunicato alle parti (comunicazioni telematiche in pari data), si procede alla trattazione della causa in forma scritta.
Il Giudice dà atto che per l'avv. FORMICONI ANTONIO ha concluso come da nota depositata Parte_1
in data 28.04.2025 per l'avv. PARENTI LUIGI ha concluso come da nota depositata in data Controparte_1
05.05.2025
Il Giudice dato atto di quanto sopra, si ritira in camera di consiglio.
Alle ore 11:35 pronuncia sentenza ex art. 281-sexies c.p.c. dandone pubblica lettura in assenza delle parti.
Il Giudice
Dott.ssa Giulia Paolini
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Tribunale Ordinario di Latina
I Sezione civile
N. 3791/2021 R.G.
Il Tribunale, in composizione monocratica, nella persona del giudice Dott.ssa Giulia Paolini ha pronunciato ex art. 281-sexies c.p.c. la seguente
SENTENZA nella causa iscritta al N. 3791/2021 R.G. promossa da: tra
(c.f. ), rappresentata e difesa dall'avv. Parte_1 C.F._1
FORMICONI ANTONIO ed elettivamente domiciliata presso il suo studio sito in Cisterna di Latina
(LT), Via Dante Alighieri, n. 27, in virtù di mandato alle liti allegato in atti;
attrice contro
c.f. ), in persona dell'A.D. e legale rappresentante pro-tempore, Controparte_1 P.IVA_1 rappresentata e difesa dall'avv. PARENTI LUIGI ed elettivamente domiciliata presso il suo indirizzo pec , in virtù di procura alle liti allegata in atti;
Email_1
convenuta
OGGETTO: phishing; restituzione somme;
risarcimento dei danni;
CONCLUSIONI come da verbale d'udienza
CONCISA ESPOSIZIONE DELLE RAGIONI DELLA DECISIONE
Con atto di citazione ritualmente notificato, la signora conveniva in giudizio Parte_1
– innanzi all'intestato Tribunale – al fine di sentire accogliere le seguenti Controparte_1 conclusioni: “Voglia l'Ill.mo Tribunale adito, respinta ogni contraria istanza, eccezione e deduzione: in via pregiudiziale e/o preliminare: accertare e dichiarare la competenza territoriale del Tribunale
Civile di Latina (LT) in virtù dell'applicazione del foro inderogabile del consumatore per i motivi in premessa indicati;
in via pregiudiziale e/o preliminare: accertare e dichiarare la mancata adesione all'incontro di mediazione di , in persona del lrpt e di valutarlo quale argomento Controparte_2
di prova da parte del Giudice;
nel merito ed in via principale, accertare e dichiarare l'inadempimento contrattuale di , in persona del lrpt e per l'effetto disporre il Controparte_2 rimborso e/o la restituzione della somma complessiva di € 6.000,00 (seimila euro/00) oltre interessi dalle singole scadenze sino all'effettivo soddisfo per le motivazioni sopra esposte e per l'effetto condannare , in persona del lrpt, al risarcimento di tutti i danni patrimoniali e non Controparte_2 patrimoniali patiti e subiti dalla Sig.ra che si quantificano in € 2.000,00 Parte_1
(duemila euro/00) od altrimenti nella maggiore o minore Somma ritenuta di Giustizia per l'illegittimo prelievo delle somme della propria Carta Postpay. Con vittoria di spese, competenze ed onorari.”, deducendo: - di essere titolare della carta prepagata Postepay Evolution n.5333171083227310, con iban [...] e scadenza fissata al mese di Febbraio 2024, accesa presso l'Ufficio Postale di DI (LT) (all.to n. 1, citazione); - di aver ricevuto, alle ore 13:50 del
13.04.2021, sulla propria utenza mobile un sms, con intestazione "Poste Info", mediante il quale veniva informata riguardo accessi anomali sulla sua carta Postepay ed invitata ad accedere al link
“http://is.gd/iM3Qml”; - di avere cliccato sul citato link e di essere stata indirizzata sul sito web di
, ove le veniva richiesto di inserire le sue credenziali;
- di avere ricevuto sulla propria CP_2
utenza mobile, dopo aver effettuato le richiamate operazioni, una chiamata da un operatore di call center, il quale, riferendo di un aggiornamento della applicazione mobile di , aveva CP_2
inviato una nuova password per l'accesso al sito web di;
- di avere ricevuto sul proprio cellulare CP_2
ulteriore sms, mediante il quale le veniva richiesto, attraverso l'inserimento di un codice, di verificare il proprio numero;
- di avere effettuato tutte le predette operazioni con un operatore telefonico, il quale le comunicava l'attivazione della sicurezza sulla carta Postepay, ordinandole di cancellare l'applicazione di e di non scaricarla nuovamente sino alla ricezione di ulteriore sms da parte di CP_2
quest'ultima; - di avere effettuato, in data 15.04.2021, non avendo ricevuto tale sms, il download dell'applicazione di e di avere appreso che erano state effettuate transazioni da lei mai ordinate CP_2 per complessivi € 6.000,00 c.a. (all.to n. 2); - di avere sporto denuncia-querela per frode informatica presso la Stazione dei Carabinieri di DI (LT) in data 20.04.2021 (all.to n. 3); - di avere inviato reclamo a al fine di ottenere il rimborso delle somme illecitamente sottratte (all.ti nn. 4-5); - di CP_2
avere promosso procedimento di mediazione (all.to n. 6), conclusosi con verbale negativo stante la mancata partecipazione di (all.ti nn. 7-8). CP_2
La convenuta in persona dell'A.D. e legale rappresentante pro-tempore, Controparte_1
costituitasi in giudizio con comparsa di costituzione e risposta depositata il 29.11.2021, contestando recisamente la ricostruzione avversaria, in quanto infondata in fatto e diritto, insisteva per l'accoglimento delle seguenti conclusioni: “Voglia l'Ill.mo Tribunale adito, disattesa ogni diversa e contraria istanza, deduzione ed eccezione: accertato e dichiarato che le transazioni del 13.04.2021, con cui è stato addebitato il complessivo importo di € 6.000,00 (euro seimila/00) alla sig.ra Parte_1 sono avvenute per fatto e colpa esclusivi della medesima e, per l'effetto, rigettare
[...]
integralmente tutte le domande avanzate da parte attrice, ivi inclusa la domanda di risarcimento del danno, quantificato in € 2.000,00 (euro duemila/00) formulata dall'attrice, alla luce di tutto quanto esposto in narrativa. Con vittoria di spese e compensi di giudizio, oltre IVA, CPA, spese generali come per legge.”.
Concessi i termini ex art. 183, co. 6, c.p.c., la causa, istruita in via documentale e mediante interrogatorio formale dell'attrice, veniva discussa e decisa all'odierna udienza con il presente provvedimento, ai sensi dell'art. 281-sexies c.p.c., previa concessione alle parti di termine per note conclusive fino a dieci giorni prima, dinanzi a questo G.I., subentrato al precedente a far data dall'1.07.2022.
Le domande attoree sono infondate e andranno, pertanto, rigettate.
Preliminarmente si rileva come l'intestato Tribunale sia territorialmente competente a decidere la presente controversia, non essendo contestata la qualifica di consumatore in capo all'attrice, residente nel Comune di DI (LT) e titolare di un rapporto contrattuale intercorrente con un soggetto professionale ( . Controparte_1
Ciò premesso, al fine del corretto inquadramento giuridico della fattispecie in esame, si osserva che parte attrice richiede il ristoro delle somme sottratte dal proprio conto postepay, fondando la propria pretesa sulla presunta negligenza di nell'adempimento dei propri obblighi di sicurezza CP_2
e protezione.
In particolare, sostiene che la convenuta, in qualità di prestatore di servizi di pagamento, non abbia implementato misure di salvaguardia sufficienti a prevenire e contrastare attività fraudolente - come quella subìta, riconducibile al cd. «phishing» -, venendo così meno agli standard di diligenza professionale imposti dalla normativa di settore.
Di contro, la convenuta respinge ogni addebito evidenziando, da un lato, come sia stata la stessa attrice, con il proprio comportamento attivo, a compromettere la sicurezza, fornendo volontariamente a soggetti non autorizzati i codici dispositivi della carta e, dall'altro, rilevando di aver predisposto tutti i necessari presidi di sicurezza, sottolineando come l'operazione contestata sia stata eseguita nel pieno rispetto delle procedure di autenticazione previste e sia stata correttamente registrata dai sistemi informatici.
Orbene, il quadro normativo applicabile al caso di specie è rappresentato dal D. L.vo 27.01.2010, n.
11, che ha recepito nell'ordinamento italiano la Direttiva 2007/64/CE sui servizi di pagamento nel mercato interno europeo. Il decreto in parola disciplina in modo organico gli obblighi reciproci del prestatore di servizi di pagamento e dell'utente in relazione all'utilizzo degli strumenti di pagamento elettronici e alla custodia delle credenziali di sicurezza personalizzate.
Nello specifico, l'art. 7 del decreto impone all'utente specifici obblighi di diligenza, tra cui: utilizzare gli strumenti di pagamento conformemente ai termini contrattuali concordati;
segnalare tempestivamente al prestatore qualsiasi caso di smarrimento, furto, appropriazione indebita o uso non autorizzato dello strumento;
adottare tutte le misure necessarie per proteggere i dispositivi personalizzati di accesso.
Come stabilito dal successivo art. 12, co. 3, in caso di violazione dolosa o gravemente colposa di tali obblighi, l'utente risponde integralmente delle perdite derivanti da operazioni non autorizzate conseguenti al furto, smarrimento o appropriazione indebita dello strumento di pagamento.
Il prestatore di servizi può escludere la propria responsabilità per l'utilizzo non autorizzato dello strumento di pagamento dimostrando, ai sensi dell'art. 10, co. 2, la frode dell'utilizzatore o il suo inadempimento per dolo o colpa grave, che costituiscono fatti impeditivi del diritto al risarcimento ex art. 2697, co. 2 c.c..
Questo principio è stato ribadito dalla giurisprudenza di legittimità, secondo cui "la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente" (Cass. 4.9.2024, n.23683).
Il decreto citato impone, inoltre, al prestatore di servizi di pagamento precisi obblighi di sicurezza, tra cui: garantire che i dispositivi personalizzati siano accessibili solo all'utilizzatore legittimato (art. 8, co. 1, lett. a); assicurare la disponibilità di strumenti adeguati al fine di consentire all'utilizzatore di effettuare le comunicazioni previste dall'art. 7, co. 1, lett. b (art. 8, co. 1, lett. c).
Ulteriori obblighi specifici riguardano l'implementazione dell'autenticazione forte del cliente per l'accesso al conto online, per le operazioni di pagamento elettronico e per qualsiasi azione a distanza che possa comportare rischi di frode o abusi (art. 10 bis, co. 1).
Come chiarito dalla Suprema Corte di Cassazione, affinché l'utilizzatore sopporti le perdite derivanti da un uso illegittimo dello strumento di pagamento, non è sufficiente che il prestatore dimostri una condotta fraudolenta o l'inadempimento colposo degli obblighi ex art. 7, dovendo anche provare di aver adempiuto i propri doveri di tutela del consumatore (Cass. 26.11.2020, n.26916).
L'art. 10, co. 1, stabilisce infatti che, quando l'utente contesti un'operazione già eseguita, spetta al prestatore dimostrare che essa è stata autenticata, correttamente registrata e contabilizzata e non ha subìto malfunzionamenti tecnici o altri inconvenienti. L'applicazione dell'art. 12, co. 3, che addebita la responsabilità all'utilizzatore, presuppone quindi una duplice prova da parte della banca: l'adempimento diligente dei propri obblighi e l'inadempimento doloso o gravemente colposo del cliente.
Come statuito dalla giurisprudenza di legittimità, l'onere per la banca di provare innanzitutto l'adozione di misure idonee a garantire la sicurezza del sistema discende anche dal principio generale dell'art. 1176, co. 2, c.c., che richiede al professionista una diligenza qualificata, parametrata nel settore bancario allo standard dell'accorto banchiere (Cass. 19.1.2016, n.806).
Il prestatore è, quindi, tenuto a valutare preventivamente i rischi tipici della propria attività e ad adottare le cautele necessarie per prevenire, identificare e bloccare prelievi non autorizzati, allertando il cliente dell'esposizione al rischio.
Fatta questa necessaria premessa in punto di diritto, venendo al caso di specie, in primo luogo, si rileva che l'importo di cui l'attrice chiede la restituzione (€ 6.000,00) non trova pieno riscontro nella documentazione in atti.
Ed invero, dalla lista movimenti della carta Postepay prodotta in allegato all'atto di citazione (all. 2), risultano, alla data del 13.4.2021, solo operazioni non riconducibili all'attività fraudolenta lamentata e, segnatamente, due operazioni in accredito, l'una di euro 1.500,00, l'altra di euro 1.000,00 (di cui la prima con ricarica della carta con fondi dal proprio libretto) e un'operazione in addebito pari ad euro 119,36, che, per data di valuta (8.4.2021), risulta antecedente all'asserito evento dannoso.
Dai tre reclami inviati dall'attrice a si fa, invece, riferimento ad una serie di operazioni che non CP_2
trovano alcun riscontro nella lista movimenti richiamata (vd. all.ti nn. 1b e 1e).
Tuttavia, dai documenti prodotti da parte convenuta (vd. all.to n. 9b, comparsa), si ha riscontro di alcune operazioni oggetto di uno dei reclami inviati a (vd. all.to n. 1d, citazione). CP_2
L'esame nel merito della controversia sarà quindi circoscritto a tali operazioni per la somma complessiva pari ad euro 3.612,95, di cui risulta fornita adeguata prova documentale.
Ciò rilevato, la signora ascoltata anche in sede di interrogatorio formale (vd. verbale di Pt_1
udienza del 16.3.23), ha riferito di essere stata indotta, in modo fraudolento, a cliccare su un link ricevuto via sms apparentemente proveniente da "Poste Info", che rimandava a un sito c.d. “civetta”
e di essere stata, successivamente, contattata telefonicamente da un sedicente operatore di , CP_2 dando seguito alle istruzioni impartite da quest'ultimo e, dunque, consentendogli di sottrarle liquidità.
Orbene, da quanto ammesso dall'attrice e dal medesimo reclamo presentato a , si ritiene che la CP_2
signora abbia tenuto una condotta gravemente colposa, rivelando a terzi i propri dati e codici Pt_1
segreti di accesso alla carta Postepay.
Ed invero, dal reclamo in parola si evince come l'attrice abbia “rivelato le credenziali di sicurezza personalizzate per l'utilizzo delle piattaforme online Poste.it, Postepay.it e delle APP rispondendo a SMS, e-mail, telefono” ed abbia “fornito a terzi (ad es. tramite SMS, internet, telefono) i codici non riutilizzabili generati dai sistemi di autenticazione (OTP)”, avendo quest'ultima flaggato le relative
“caselle” (vd. p. 4, all.to n. 1d, citazione).
Ciò posto, parte convenuta ha, invece, fornito dimostrazione che le operazioni contestate hanno superato tutti i controlli di sicurezza previsti, essendo state approvate mediante inserimento manuale del PAN, CV2 e OTP inviato al numero dell'attrice.
Tale prova è ricavabile dall'esame delle schermate dei sistemi Postepay (PROF), certificanti l'effettuazione di operazioni tramite carta postepay, da cui si evince che i dati della carta sono stati inseriti manualmente e l'operazione è stata autorizzata tramite codice OTP (one time password), come emerge dalle stringhe tecniche che mostrano "Input Mode – PAN digitato manualmente" e "Modalità di Securizzazione - 3DS" (vd. all.to n. 9b, comparsa).
In definitiva, l'attrice ha di fatto rivelato a terzi i propri dati e codici segreti di accesso alla carta
Postepay, permettendo il prelievo fraudolento di € 3.612,95.
Sul punto, inoltre, non può trascurarsi come il messaggio ricevuto da "Poste Info" che segnalava accessi anomali, la telefonata del sedicente operatore e la richiesta di disinstallare l'applicazione fossero tutti elementi che avrebbero dovuto insospettire l'attrice.
Tale incauta diffusione di dati sensibili viola non solo l'ordinaria prudenza (essendo ormai notorio il fenomeno delle sempre più frequenti truffe informatiche), ma anche le specifiche previsioni contrattuali della carta Postepay, in base alle quali “ , direttamente o tramite terzi, non CP_2
richiede mai ai propri clienti, attraverso messaggi di posta elettronica, telefonate o lettere, di fornire
i codici di accesso personali, né i dati relativi alle carte di debito e prepagate”, “a tutela della sicurezza dei propri pagamenti, il Titolare non dovrà comunicare mai a terzi (a titolo esemplificativo, via email o telefono), i dati della Carta e/o i Codici personali” (vd. p. 3, all.to n. 7, comparsa). Nello stesso senso, la clausola di cui all'art. 5 delle condizioni generali postepay (vd. p. 2, all.to n. 10, comparsa).
Ciò esposto, la giurisprudenza di legittimità, in casi analoghi, ha precisato che se è vero come "la possibilità della sottrazione dei codici del correntista attraverso tecniche fraudolente rientra nell'area del rischio di impresa", la banca, in ogni caso, deve adottare misure per verificare preventivamente la riconducibilità dell'operazione al cliente (Cass. 5.7.2019, n.18045).
Nel caso in esame, l'intermediario ha fornito adeguata dimostrazione di aver rispettato gli obblighi normativi vigenti, producendo evidenza dell'adozione di un sistema di autenticazione a più fattori, basato sulla combinazione di elementi statici (PAN della carta) e dinamici (codice OTP). La convenuta, inoltre, ha documentato la corretta registrazione delle operazioni contestate. Tali elementi probatori risultano idonei a dimostrare due aspetti fondamentali: in primo luogo, che le operazioni oggetto di contestazione sono state autenticate secondo i protocolli di sicurezza previsti, attraverso l'inserimento del codice OTP;
in secondo luogo, che non si sono verificate anomalie tecniche, né malfunzionamenti del sistema predisposto dall'intermediario, così come richiesto dall'art. 10 del D.lgs. 11/2010.
Si può, dunque, concludere che, nella fattispecie in esame, l'intermediario ha correttamente adempiuto all'onere probatorio posto a suo carico, dimostrando, - in conformità a quanto prescritto dall'art. 10 citato -, di aver garantito la regolare autenticazione, registrazione e contabilizzazione dell'operazione disconosciuta dal cliente.
Alla luce delle superiori considerazioni, non può dubitarsi del comportamento decisamente imprudente e negligente dell'odierna attrice - danneggiata, la quale, digitando i propri codici personali richiestigli con una telefonata fraudolenta, ha, in tal modo, consentito all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto della predetta.
Tale condotta è particolarmente censurabile considerando la notorietà delle frodi informatiche e le continue avvertenze pubblicate sul sito di per sensibilizzare la clientela sul rischio di CP_2
phishing, il che non può acconsentire ad una richiesta risarcitoria.
Alla luce delle risultanze processuali, si esclude qualsiasi responsabilità in capo alla convenuta per le perdite derivanti dall'uso fraudolento dello strumento di pagamento, le quali, come statuito dalla giurisprudenza di legittimità, andranno imputate esclusivamente a parte attrice (Cass. 13.3.2023,
n.7214).
Conclusivamente, alla luce delle superiori argomentazioni, le domande attoree andranno integralmente rigettate.
Ogni altra questione è da ritenersi assorbita.
Le spese di lite seguono la soccombenza e vanno liquidate come in dispositivo, secondo i parametri minimi del D.M. 55/2014 come aggiornato dal D.M. 147/2022 (valore del presente procedimento è di € 8.000,00 - scaglione da euro 5.200,01 ad euro 26.000,00), tenuto conto della non particolare complessità e del non elevato valore della causa.
P.Q.M.
Il Tribunale di Latina, nella persona del Giudice Dott.ssa Giulia Paolini, definitivamente pronunciando, ogni altra diversa domanda ed eccezione respinta:
a) rigetta integralmente le domande svolte dall'attrice;
b) condanna l'attrice a rimborsare alla convenuta le spese di lite che si liquidano in euro 2.540,00 per compensi di avvocato, oltre spese generali nella misura del 15% e accessori come per legge. In Latina, allegato al verbale dell'udienza del 06.05.2025.
Il Giudice
Dott.ssa Giulia Paolini
Sentenza resa ex articolo 281-sexies c.p.c., pubblicata mediante lettura alle parti non presenti ed allegazione al verbale.
Latina, 06 maggio 2025
Il Giudice
Dott.ssa Giulia Paolini
Tribunale Ordinario di Latina
I Sezione civile
“Note scritte in sostituzione dell'udienza ex art. 127 ter c.p.c.”
Oggi 06 maggio 2025, innanzi alla dott.ssa Giulia Paolini, come da provvedimento del 09.04.2024, regolarmente comunicato alle parti (comunicazioni telematiche in pari data), si procede alla trattazione della causa in forma scritta.
Il Giudice dà atto che per l'avv. FORMICONI ANTONIO ha concluso come da nota depositata Parte_1
in data 28.04.2025 per l'avv. PARENTI LUIGI ha concluso come da nota depositata in data Controparte_1
05.05.2025
Il Giudice dato atto di quanto sopra, si ritira in camera di consiglio.
Alle ore 11:35 pronuncia sentenza ex art. 281-sexies c.p.c. dandone pubblica lettura in assenza delle parti.
Il Giudice
Dott.ssa Giulia Paolini
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Tribunale Ordinario di Latina
I Sezione civile
N. 3791/2021 R.G.
Il Tribunale, in composizione monocratica, nella persona del giudice Dott.ssa Giulia Paolini ha pronunciato ex art. 281-sexies c.p.c. la seguente
SENTENZA nella causa iscritta al N. 3791/2021 R.G. promossa da: tra
(c.f. ), rappresentata e difesa dall'avv. Parte_1 C.F._1
FORMICONI ANTONIO ed elettivamente domiciliata presso il suo studio sito in Cisterna di Latina
(LT), Via Dante Alighieri, n. 27, in virtù di mandato alle liti allegato in atti;
attrice contro
c.f. ), in persona dell'A.D. e legale rappresentante pro-tempore, Controparte_1 P.IVA_1 rappresentata e difesa dall'avv. PARENTI LUIGI ed elettivamente domiciliata presso il suo indirizzo pec , in virtù di procura alle liti allegata in atti;
Email_1
convenuta
OGGETTO: phishing; restituzione somme;
risarcimento dei danni;
CONCLUSIONI come da verbale d'udienza
CONCISA ESPOSIZIONE DELLE RAGIONI DELLA DECISIONE
Con atto di citazione ritualmente notificato, la signora conveniva in giudizio Parte_1
– innanzi all'intestato Tribunale – al fine di sentire accogliere le seguenti Controparte_1 conclusioni: “Voglia l'Ill.mo Tribunale adito, respinta ogni contraria istanza, eccezione e deduzione: in via pregiudiziale e/o preliminare: accertare e dichiarare la competenza territoriale del Tribunale
Civile di Latina (LT) in virtù dell'applicazione del foro inderogabile del consumatore per i motivi in premessa indicati;
in via pregiudiziale e/o preliminare: accertare e dichiarare la mancata adesione all'incontro di mediazione di , in persona del lrpt e di valutarlo quale argomento Controparte_2
di prova da parte del Giudice;
nel merito ed in via principale, accertare e dichiarare l'inadempimento contrattuale di , in persona del lrpt e per l'effetto disporre il Controparte_2 rimborso e/o la restituzione della somma complessiva di € 6.000,00 (seimila euro/00) oltre interessi dalle singole scadenze sino all'effettivo soddisfo per le motivazioni sopra esposte e per l'effetto condannare , in persona del lrpt, al risarcimento di tutti i danni patrimoniali e non Controparte_2 patrimoniali patiti e subiti dalla Sig.ra che si quantificano in € 2.000,00 Parte_1
(duemila euro/00) od altrimenti nella maggiore o minore Somma ritenuta di Giustizia per l'illegittimo prelievo delle somme della propria Carta Postpay. Con vittoria di spese, competenze ed onorari.”, deducendo: - di essere titolare della carta prepagata Postepay Evolution n.5333171083227310, con iban [...] e scadenza fissata al mese di Febbraio 2024, accesa presso l'Ufficio Postale di DI (LT) (all.to n. 1, citazione); - di aver ricevuto, alle ore 13:50 del
13.04.2021, sulla propria utenza mobile un sms, con intestazione "Poste Info", mediante il quale veniva informata riguardo accessi anomali sulla sua carta Postepay ed invitata ad accedere al link
“http://is.gd/iM3Qml”; - di avere cliccato sul citato link e di essere stata indirizzata sul sito web di
, ove le veniva richiesto di inserire le sue credenziali;
- di avere ricevuto sulla propria CP_2
utenza mobile, dopo aver effettuato le richiamate operazioni, una chiamata da un operatore di call center, il quale, riferendo di un aggiornamento della applicazione mobile di , aveva CP_2
inviato una nuova password per l'accesso al sito web di;
- di avere ricevuto sul proprio cellulare CP_2
ulteriore sms, mediante il quale le veniva richiesto, attraverso l'inserimento di un codice, di verificare il proprio numero;
- di avere effettuato tutte le predette operazioni con un operatore telefonico, il quale le comunicava l'attivazione della sicurezza sulla carta Postepay, ordinandole di cancellare l'applicazione di e di non scaricarla nuovamente sino alla ricezione di ulteriore sms da parte di CP_2
quest'ultima; - di avere effettuato, in data 15.04.2021, non avendo ricevuto tale sms, il download dell'applicazione di e di avere appreso che erano state effettuate transazioni da lei mai ordinate CP_2 per complessivi € 6.000,00 c.a. (all.to n. 2); - di avere sporto denuncia-querela per frode informatica presso la Stazione dei Carabinieri di DI (LT) in data 20.04.2021 (all.to n. 3); - di avere inviato reclamo a al fine di ottenere il rimborso delle somme illecitamente sottratte (all.ti nn. 4-5); - di CP_2
avere promosso procedimento di mediazione (all.to n. 6), conclusosi con verbale negativo stante la mancata partecipazione di (all.ti nn. 7-8). CP_2
La convenuta in persona dell'A.D. e legale rappresentante pro-tempore, Controparte_1
costituitasi in giudizio con comparsa di costituzione e risposta depositata il 29.11.2021, contestando recisamente la ricostruzione avversaria, in quanto infondata in fatto e diritto, insisteva per l'accoglimento delle seguenti conclusioni: “Voglia l'Ill.mo Tribunale adito, disattesa ogni diversa e contraria istanza, deduzione ed eccezione: accertato e dichiarato che le transazioni del 13.04.2021, con cui è stato addebitato il complessivo importo di € 6.000,00 (euro seimila/00) alla sig.ra Parte_1 sono avvenute per fatto e colpa esclusivi della medesima e, per l'effetto, rigettare
[...]
integralmente tutte le domande avanzate da parte attrice, ivi inclusa la domanda di risarcimento del danno, quantificato in € 2.000,00 (euro duemila/00) formulata dall'attrice, alla luce di tutto quanto esposto in narrativa. Con vittoria di spese e compensi di giudizio, oltre IVA, CPA, spese generali come per legge.”.
Concessi i termini ex art. 183, co. 6, c.p.c., la causa, istruita in via documentale e mediante interrogatorio formale dell'attrice, veniva discussa e decisa all'odierna udienza con il presente provvedimento, ai sensi dell'art. 281-sexies c.p.c., previa concessione alle parti di termine per note conclusive fino a dieci giorni prima, dinanzi a questo G.I., subentrato al precedente a far data dall'1.07.2022.
Le domande attoree sono infondate e andranno, pertanto, rigettate.
Preliminarmente si rileva come l'intestato Tribunale sia territorialmente competente a decidere la presente controversia, non essendo contestata la qualifica di consumatore in capo all'attrice, residente nel Comune di DI (LT) e titolare di un rapporto contrattuale intercorrente con un soggetto professionale ( . Controparte_1
Ciò premesso, al fine del corretto inquadramento giuridico della fattispecie in esame, si osserva che parte attrice richiede il ristoro delle somme sottratte dal proprio conto postepay, fondando la propria pretesa sulla presunta negligenza di nell'adempimento dei propri obblighi di sicurezza CP_2
e protezione.
In particolare, sostiene che la convenuta, in qualità di prestatore di servizi di pagamento, non abbia implementato misure di salvaguardia sufficienti a prevenire e contrastare attività fraudolente - come quella subìta, riconducibile al cd. «phishing» -, venendo così meno agli standard di diligenza professionale imposti dalla normativa di settore.
Di contro, la convenuta respinge ogni addebito evidenziando, da un lato, come sia stata la stessa attrice, con il proprio comportamento attivo, a compromettere la sicurezza, fornendo volontariamente a soggetti non autorizzati i codici dispositivi della carta e, dall'altro, rilevando di aver predisposto tutti i necessari presidi di sicurezza, sottolineando come l'operazione contestata sia stata eseguita nel pieno rispetto delle procedure di autenticazione previste e sia stata correttamente registrata dai sistemi informatici.
Orbene, il quadro normativo applicabile al caso di specie è rappresentato dal D. L.vo 27.01.2010, n.
11, che ha recepito nell'ordinamento italiano la Direttiva 2007/64/CE sui servizi di pagamento nel mercato interno europeo. Il decreto in parola disciplina in modo organico gli obblighi reciproci del prestatore di servizi di pagamento e dell'utente in relazione all'utilizzo degli strumenti di pagamento elettronici e alla custodia delle credenziali di sicurezza personalizzate.
Nello specifico, l'art. 7 del decreto impone all'utente specifici obblighi di diligenza, tra cui: utilizzare gli strumenti di pagamento conformemente ai termini contrattuali concordati;
segnalare tempestivamente al prestatore qualsiasi caso di smarrimento, furto, appropriazione indebita o uso non autorizzato dello strumento;
adottare tutte le misure necessarie per proteggere i dispositivi personalizzati di accesso.
Come stabilito dal successivo art. 12, co. 3, in caso di violazione dolosa o gravemente colposa di tali obblighi, l'utente risponde integralmente delle perdite derivanti da operazioni non autorizzate conseguenti al furto, smarrimento o appropriazione indebita dello strumento di pagamento.
Il prestatore di servizi può escludere la propria responsabilità per l'utilizzo non autorizzato dello strumento di pagamento dimostrando, ai sensi dell'art. 10, co. 2, la frode dell'utilizzatore o il suo inadempimento per dolo o colpa grave, che costituiscono fatti impeditivi del diritto al risarcimento ex art. 2697, co. 2 c.c..
Questo principio è stato ribadito dalla giurisprudenza di legittimità, secondo cui "la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente" (Cass. 4.9.2024, n.23683).
Il decreto citato impone, inoltre, al prestatore di servizi di pagamento precisi obblighi di sicurezza, tra cui: garantire che i dispositivi personalizzati siano accessibili solo all'utilizzatore legittimato (art. 8, co. 1, lett. a); assicurare la disponibilità di strumenti adeguati al fine di consentire all'utilizzatore di effettuare le comunicazioni previste dall'art. 7, co. 1, lett. b (art. 8, co. 1, lett. c).
Ulteriori obblighi specifici riguardano l'implementazione dell'autenticazione forte del cliente per l'accesso al conto online, per le operazioni di pagamento elettronico e per qualsiasi azione a distanza che possa comportare rischi di frode o abusi (art. 10 bis, co. 1).
Come chiarito dalla Suprema Corte di Cassazione, affinché l'utilizzatore sopporti le perdite derivanti da un uso illegittimo dello strumento di pagamento, non è sufficiente che il prestatore dimostri una condotta fraudolenta o l'inadempimento colposo degli obblighi ex art. 7, dovendo anche provare di aver adempiuto i propri doveri di tutela del consumatore (Cass. 26.11.2020, n.26916).
L'art. 10, co. 1, stabilisce infatti che, quando l'utente contesti un'operazione già eseguita, spetta al prestatore dimostrare che essa è stata autenticata, correttamente registrata e contabilizzata e non ha subìto malfunzionamenti tecnici o altri inconvenienti. L'applicazione dell'art. 12, co. 3, che addebita la responsabilità all'utilizzatore, presuppone quindi una duplice prova da parte della banca: l'adempimento diligente dei propri obblighi e l'inadempimento doloso o gravemente colposo del cliente.
Come statuito dalla giurisprudenza di legittimità, l'onere per la banca di provare innanzitutto l'adozione di misure idonee a garantire la sicurezza del sistema discende anche dal principio generale dell'art. 1176, co. 2, c.c., che richiede al professionista una diligenza qualificata, parametrata nel settore bancario allo standard dell'accorto banchiere (Cass. 19.1.2016, n.806).
Il prestatore è, quindi, tenuto a valutare preventivamente i rischi tipici della propria attività e ad adottare le cautele necessarie per prevenire, identificare e bloccare prelievi non autorizzati, allertando il cliente dell'esposizione al rischio.
Fatta questa necessaria premessa in punto di diritto, venendo al caso di specie, in primo luogo, si rileva che l'importo di cui l'attrice chiede la restituzione (€ 6.000,00) non trova pieno riscontro nella documentazione in atti.
Ed invero, dalla lista movimenti della carta Postepay prodotta in allegato all'atto di citazione (all. 2), risultano, alla data del 13.4.2021, solo operazioni non riconducibili all'attività fraudolenta lamentata e, segnatamente, due operazioni in accredito, l'una di euro 1.500,00, l'altra di euro 1.000,00 (di cui la prima con ricarica della carta con fondi dal proprio libretto) e un'operazione in addebito pari ad euro 119,36, che, per data di valuta (8.4.2021), risulta antecedente all'asserito evento dannoso.
Dai tre reclami inviati dall'attrice a si fa, invece, riferimento ad una serie di operazioni che non CP_2
trovano alcun riscontro nella lista movimenti richiamata (vd. all.ti nn. 1b e 1e).
Tuttavia, dai documenti prodotti da parte convenuta (vd. all.to n. 9b, comparsa), si ha riscontro di alcune operazioni oggetto di uno dei reclami inviati a (vd. all.to n. 1d, citazione). CP_2
L'esame nel merito della controversia sarà quindi circoscritto a tali operazioni per la somma complessiva pari ad euro 3.612,95, di cui risulta fornita adeguata prova documentale.
Ciò rilevato, la signora ascoltata anche in sede di interrogatorio formale (vd. verbale di Pt_1
udienza del 16.3.23), ha riferito di essere stata indotta, in modo fraudolento, a cliccare su un link ricevuto via sms apparentemente proveniente da "Poste Info", che rimandava a un sito c.d. “civetta”
e di essere stata, successivamente, contattata telefonicamente da un sedicente operatore di , CP_2 dando seguito alle istruzioni impartite da quest'ultimo e, dunque, consentendogli di sottrarle liquidità.
Orbene, da quanto ammesso dall'attrice e dal medesimo reclamo presentato a , si ritiene che la CP_2
signora abbia tenuto una condotta gravemente colposa, rivelando a terzi i propri dati e codici Pt_1
segreti di accesso alla carta Postepay.
Ed invero, dal reclamo in parola si evince come l'attrice abbia “rivelato le credenziali di sicurezza personalizzate per l'utilizzo delle piattaforme online Poste.it, Postepay.it e delle APP rispondendo a SMS, e-mail, telefono” ed abbia “fornito a terzi (ad es. tramite SMS, internet, telefono) i codici non riutilizzabili generati dai sistemi di autenticazione (OTP)”, avendo quest'ultima flaggato le relative
“caselle” (vd. p. 4, all.to n. 1d, citazione).
Ciò posto, parte convenuta ha, invece, fornito dimostrazione che le operazioni contestate hanno superato tutti i controlli di sicurezza previsti, essendo state approvate mediante inserimento manuale del PAN, CV2 e OTP inviato al numero dell'attrice.
Tale prova è ricavabile dall'esame delle schermate dei sistemi Postepay (PROF), certificanti l'effettuazione di operazioni tramite carta postepay, da cui si evince che i dati della carta sono stati inseriti manualmente e l'operazione è stata autorizzata tramite codice OTP (one time password), come emerge dalle stringhe tecniche che mostrano "Input Mode – PAN digitato manualmente" e "Modalità di Securizzazione - 3DS" (vd. all.to n. 9b, comparsa).
In definitiva, l'attrice ha di fatto rivelato a terzi i propri dati e codici segreti di accesso alla carta
Postepay, permettendo il prelievo fraudolento di € 3.612,95.
Sul punto, inoltre, non può trascurarsi come il messaggio ricevuto da "Poste Info" che segnalava accessi anomali, la telefonata del sedicente operatore e la richiesta di disinstallare l'applicazione fossero tutti elementi che avrebbero dovuto insospettire l'attrice.
Tale incauta diffusione di dati sensibili viola non solo l'ordinaria prudenza (essendo ormai notorio il fenomeno delle sempre più frequenti truffe informatiche), ma anche le specifiche previsioni contrattuali della carta Postepay, in base alle quali “ , direttamente o tramite terzi, non CP_2
richiede mai ai propri clienti, attraverso messaggi di posta elettronica, telefonate o lettere, di fornire
i codici di accesso personali, né i dati relativi alle carte di debito e prepagate”, “a tutela della sicurezza dei propri pagamenti, il Titolare non dovrà comunicare mai a terzi (a titolo esemplificativo, via email o telefono), i dati della Carta e/o i Codici personali” (vd. p. 3, all.to n. 7, comparsa). Nello stesso senso, la clausola di cui all'art. 5 delle condizioni generali postepay (vd. p. 2, all.to n. 10, comparsa).
Ciò esposto, la giurisprudenza di legittimità, in casi analoghi, ha precisato che se è vero come "la possibilità della sottrazione dei codici del correntista attraverso tecniche fraudolente rientra nell'area del rischio di impresa", la banca, in ogni caso, deve adottare misure per verificare preventivamente la riconducibilità dell'operazione al cliente (Cass. 5.7.2019, n.18045).
Nel caso in esame, l'intermediario ha fornito adeguata dimostrazione di aver rispettato gli obblighi normativi vigenti, producendo evidenza dell'adozione di un sistema di autenticazione a più fattori, basato sulla combinazione di elementi statici (PAN della carta) e dinamici (codice OTP). La convenuta, inoltre, ha documentato la corretta registrazione delle operazioni contestate. Tali elementi probatori risultano idonei a dimostrare due aspetti fondamentali: in primo luogo, che le operazioni oggetto di contestazione sono state autenticate secondo i protocolli di sicurezza previsti, attraverso l'inserimento del codice OTP;
in secondo luogo, che non si sono verificate anomalie tecniche, né malfunzionamenti del sistema predisposto dall'intermediario, così come richiesto dall'art. 10 del D.lgs. 11/2010.
Si può, dunque, concludere che, nella fattispecie in esame, l'intermediario ha correttamente adempiuto all'onere probatorio posto a suo carico, dimostrando, - in conformità a quanto prescritto dall'art. 10 citato -, di aver garantito la regolare autenticazione, registrazione e contabilizzazione dell'operazione disconosciuta dal cliente.
Alla luce delle superiori considerazioni, non può dubitarsi del comportamento decisamente imprudente e negligente dell'odierna attrice - danneggiata, la quale, digitando i propri codici personali richiestigli con una telefonata fraudolenta, ha, in tal modo, consentito all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto della predetta.
Tale condotta è particolarmente censurabile considerando la notorietà delle frodi informatiche e le continue avvertenze pubblicate sul sito di per sensibilizzare la clientela sul rischio di CP_2
phishing, il che non può acconsentire ad una richiesta risarcitoria.
Alla luce delle risultanze processuali, si esclude qualsiasi responsabilità in capo alla convenuta per le perdite derivanti dall'uso fraudolento dello strumento di pagamento, le quali, come statuito dalla giurisprudenza di legittimità, andranno imputate esclusivamente a parte attrice (Cass. 13.3.2023,
n.7214).
Conclusivamente, alla luce delle superiori argomentazioni, le domande attoree andranno integralmente rigettate.
Ogni altra questione è da ritenersi assorbita.
Le spese di lite seguono la soccombenza e vanno liquidate come in dispositivo, secondo i parametri minimi del D.M. 55/2014 come aggiornato dal D.M. 147/2022 (valore del presente procedimento è di € 8.000,00 - scaglione da euro 5.200,01 ad euro 26.000,00), tenuto conto della non particolare complessità e del non elevato valore della causa.
P.Q.M.
Il Tribunale di Latina, nella persona del Giudice Dott.ssa Giulia Paolini, definitivamente pronunciando, ogni altra diversa domanda ed eccezione respinta:
a) rigetta integralmente le domande svolte dall'attrice;
b) condanna l'attrice a rimborsare alla convenuta le spese di lite che si liquidano in euro 2.540,00 per compensi di avvocato, oltre spese generali nella misura del 15% e accessori come per legge. In Latina, allegato al verbale dell'udienza del 06.05.2025.
Il Giudice
Dott.ssa Giulia Paolini
Sentenza resa ex articolo 281-sexies c.p.c., pubblicata mediante lettura alle parti non presenti ed allegazione al verbale.
Latina, 06 maggio 2025
Il Giudice
Dott.ssa Giulia Paolini