N. R.G. 1503/2024
TRIBUNALE DI NI
SEZIONE UNICA CIVILE
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Il Giudice del Tribunale di IM, Dott. Antonio Miele, in funzione di giudice monocratico, sulle conclusioni precisate nel verbale del 15.05.2025, ha pronunciato la seguente:
SENTENZA nella causa civile iscritta al n. R.G 1503/2024 da:
, nata a [...] il [...], C.F. , residente in [...] C.F._1
Mosca 29/C int. 1, rappresentata e difesa dall'Avv. Michele Di Viesti, C.F. , C.F._2 elettivamente domiciliata presso il suo studio in IM alla Via Flaminia 187/L, fax 0541783125, PEC
giusta procura in atti;
Email_1
Appellante
Contro

, in persona del Presidente del Consiglio di Amministrazione e legale Controparte_1 rappresentante pro tempore, C.F. , con sede in Roma, viale Europa n. 190, rappresentata e difesa P.IVA_1 dall'Avv. Luisa Ianniello, C.F. elettivamente domiciliata presso l'Area Legale della C.F._3
Società in Via Zanardi 28/6 a Bologna, PEC indirizzo@ giusta Email_2 procura in atti;

Appellata
CONCLUSIONI DELLE PARTI: come da verbale dell'udienza del 15.05.2025, qui da intendersi integralmente richiamato e trascritto.
AVENTE AD OGGETTO: appello avverso la sentenza n. 859/2023 del Giudice di Pace di IM (resa nella causa civile n. 1999/21 r.g. g.d.p.) pubblicata in data 30.11.2023.
RAGIONI IN FATTO E IN DIRITTO DELLA DECISIONE
I FATTI OGGETTI DEL PROCESSO E LE DEDUZIONI DELLE PARTI pagina 1 di 12
Con atto di citazione in appello ritualmente notificato in data 12.06.2024 l'odierna appellante ha convenuto in giudizio dinanzi al Tribunale di IM per sentire accogliere le seguenti Controparte_1 conclusioni: “Voglia l'Ecc.mo Tribunale adito, contrariis reiectis, in riforma sentenza n. 859/2023; n. 1999/21 R.G.; n. 677/23
Rep.; n. 6009/23 Cron. resa dal Giudice di Pace di IM, Dott. Andrea Zulato, depositata in data 30.11.2023, pubblicata in data
30.11.2023, avviso di deposito notificato in data 1.12.2023, non notificata, oggetto della presente impugnazione, per i motivi sopra dedotti,
- ACCERTARE E DICHIARARE la esclusiva responsabilità di nei prelievi eseguiti illecitamente in Controparte_1 data 16.04.2021 dal conto corrente “Bancoposta” n. 001039802580 intestato a e per l'effetto - CONDANNARE Parte_1
in persona del legale rappresentante pro-tempore, a pagare a titolo di risarcimento all'attrice Sig.ra Controparte_1 Pt_1
la somma di € 3.192,00, oltre a rivalutazione monetaria ed interessi legali dalla data dell'evento sino al saldo effettivo;
-
[...]
CONDANNARE la convenuta al pagamento di spese e compenso professionale per entrambi i gradi di giudizio oltre al compenso liquidato al CTU e provvisoriamente posto a carico dell'odierna appellante;
- IN VIA SUBORDINATA, nella denegata e non creduta ipotesi in cui la S.V. Ill.ma non Voglia accogliere le conclusioni sopra riportate, visto l'affidamento nella liceità dell'operazione nonché la buona fede della Sig.ra nell'eseguire le operazioni oggetto di prelievo da parte di terzi, si chiede la compensazione tra le parti Parte_1 delle spese di lite e del compenso liquidato al CTU”.
Parte appellante ha ricostruito la vicenda in fatto, esponendo di essere titolare del c/c Bancoposta
001039802580 e di avere ricevuto sul proprio numero telefonico, in data 16.04.2021, un messaggio da
“PosteInfo” con il quale è stata invitata ad accedere a un link per procedere al rinnovo delle CP_1 credenziali del proprio profilo. La sig.ra quindi, ha affermato che dopo avere cliccato tale link è stata Pt_1 contattata dal numero verde in uso a (803160) e invitata dall'operatore a disinstallare ed CP_1 installare l'applicazione di;
all'esito di tale operazione parte appellante ha dichiarato di essersi CP_1 accorta che sul proprio conto corrente vi era stato un prelievo di euro 2.500,00 a cui seguiva un ulteriore prelievo di euro 690,00.
La sig.ra ha proseguito ricostruendo i fatti di cui è causa e, in particolare, ha esposto che: Pt_1
- in data 17.04.2021 si è recata presso la Stazione dei Carabinieri di IM Porto per denunciare l'accaduto alle Forze dell'Ordine di IM, integrando il successivo 27.04.2021 la querela;

- in data 19.04.2021 ha compilato presso l'Ufficio Postale di Riccione il “modulo di contestazione addebito per i servizi bancoposta/claim form for bancoposta services” e ha chiuso il proprio conto corrente su consiglio degli operatori dell'Ufficio Postale essendovi stata una richiesta di addebito permanente sul proprio conto corrente;

- in data 20.04.2021 a mezzo mail ha comunicato che non era possibile accogliere Controparte_1 la richiesta di rimborso formulata dalla cliente;

- in data 17.06.2021 ha intimato a risarcire il danno subito senza ottenere alcun CP_1 riscontro, invitando successivamente la società a concludere una convenzione di negoziazione pagina 2 di 12 assistita tra avvocati, senza successo;

La sig.ra quindi, dopo avere instaurato il giudizio di primo grado per richiedere il risarcimento Pt_1 dei danni subiti, ha impugnato la sentenza n. 859/2023 emessa dal Dott. Andrea Zulato, depositata in data
30.11.2023 e pubblicata nel medesimo giorno, con la quale è stata respinta la sua domanda risarcitoria relativa ai prelievi non autorizzati sul proprio conte corrente.
Come primo e unico motivo di appello l'appellante ha lamentato l'erronea, omessa, contraddittoria, illogica ed insufficiente motivazione della decisione impugnata nel punto in cui il Giudice di primo grado ha riconosciuto, nonostante le contestazioni sollevate dalla difesa dell'odierna appellante, asseverate dall'istruttoria espletata, la sussistenza di un comportamento colpevole di quest'ultima, consistito nel non aver utilizzato l'ordinaria diligenza nella condotta posta in essere.
A sostegno della sua posizione l'appellante ha riportato quanto affermato dalla sig.ra Tes_1
escussa come testimone nel primo grado di giudizio, nonché le risultanze degli accertamenti fatti
[...] dal CTU, il quale ha riscontrato che:
- il numero telefonico 3349955377, utilizzato dalla sig.ra in data 16.04.2021, ha Parte_1 ricevuto da parte di “Posteinfo” un sms avente il seguente contenuto: “Gentile cliente stiamo provvedendo a sospendere le sue utenze postali per mancato aggiornamento, acceda al link per aggiornare il modulo: https://bit.ly/2QuYxFQ”;
- il numero telefonico 3349955377 sia prima che dopo il 16.04.2021 ha ricevuto da CP_1 altri messaggi;

- non vi è traccia di telefonate risalenti a quella data, 16.04.2022, ma la circostanza che la sig.ra avesse ricevuto la telefonata dal numero telefonico 803160 è emersa dalla Parte_1 documentazione in atti;

- PosteInfo è l'indirizzo utilizzato da per comunicare codici OTP o codici di CP_1 verifica;

- il numero telefonico 803160 è il numero messo a disposizione da per l'assistenza CP_1 ai clienti;

Alla luce di ciò, secondo l'odierna appellante, è responsabile a titolo di colpa ex art. Controparte_1
2043 c.c., ed è quindi tenuta a risarcire il danno dalla stessa subito per colpa consistita nell'aver consentito e/o comunque permesso a estranei di intromettersi nei propri sistemi di sicurezza in maniera tale da carpire i dati personali e di utilizzare sia l'indirizzo sms “PosteInfo” che il numero verde in uso dall'appellata.
Infatti, la sig.ra ha esposto che le motivazioni poste a fondamento dell'impugnata sentenza sono Pt_1 affette da una gravissima illogicità, da una grave carenza probatoria, dal travisamento dei fatti oltre che da una palese violazione e/o falsa applicazione degli artt. 2697c.c., 2043 c.c. e 1227 c.c., avendo il Giudice di prime cure fondato il suo convincimento su dati privi di alcun riscontro probatorio in palese violazione pagina 3 di 12 dell'art. 2697 c.c.
Si è regolarmente costituita in giudizio in data 28.10.2024, la quale ha contestato Controparte_1 quanto ex adverso dedotto per i motivi di seguito esposti.
L'odierna appellata ha rappresentato che le due operazioni contestate si riferiscono a due ricariche eseguite online tramite l'utilizzo dall'app Bancoposta con digitazione delle credenziali e del codice PosteID della cliente, consentendo, in tal modo, al presunto frodatore di modificare i dati Wallett (cioè del portafoglio elettronico) della sig.ra e di attivare le due ricariche non autorizzate. A seguito della Pt_1 corretta digitazione delle credenziali di accesso la sig.ra è stata riconosciuta dal sistema come cliente Pt_1 di , determinando in capo alla società il dovere contrattualmente stabilito di eseguire le CP_1 operazioni disposte, senza che fosse in alcun modo tecnicamente possibile per l'odierna appellata verificare se l'ordine provenisse effettivamente dal titolare del conto o da un terzo soggetto. Peraltro, Controparte_1 ha dichiarato che sul portale ufficiale www.poste.it i clienti sono dettagliatamente avvisati circa le
[...] modalità con le quali possono essere eseguiti in sicurezza i pagamenti e sono invitati a diffidare da comunicazioni che chiedono di fornire dati personali e dei dispositivi di pagamento. L'appellata ha concluso sostenendo che la sig.ra ha incautamente fornito o lasciato carpire i dati identificativi di Pt_1 sicurezza aprendo messaggi frodatori, dovendosi escludere, pertanto, la propria responsabilità poiché
l'operazione si deve presumere disposta da terzi venuti in possesso dei codici di accesso attribuiti per operare sul conto corrente in via telematica, al di fuori del sistema di controllo di . Controparte_1
Sotto il profilo della dinamica processuale, all'udienza di prima comparizione delle parti del
12.12.2024, il Giudice ha fissato per la rimessione della causa in decisone l'udienza del 15.05.2025, assegnando alle parti i termini ex art 352 c.p.c. All'udienza successiva del 15.05.2025, il Giudice, sulle conclusioni precisate dalle parti, ha trattenuto la causa in decisione.
SUL PRIMO MOTIVO DI APPELLO
Come primo motivo di appello, la sig.ra ha dedotto l'erronea, omessa, contraddittoria, illogica e Pt_1 insufficiente motivazione della decisione impugnata, avendo il Giudice di prime cure riconosciuto – nonostante le risultanze dell'istruttoria espletata – la sussistenza di una sua condotta colpevole, consistita nel non aver utilizzato l'ordinaria diligenza nella condotta tenuta. Viceversa, secondo la sig.ra è Pt_1
l'appellata responsabile ex art. 2043 c.c. per non essersi dotata di adeguati sistemi di sicurezza, tali da evitare che soggetti estranei potessero utilizzare per finalità fraudolente l'indirizzo di sms “PosteInfo” e il numero verse telefonico 803160, sempre in uso da . CP_1
, al contrario, ha dedotto che le operazioni oggetto di contestazione sono state Controparte_1 eseguite dopo che la sig.ra ha aperto il link sospetto ricevuto per messaggio e ha inserito Pt_1 correttamente nell'app Bancoposta le proprie credenziali di accesso e il codice PosteID, lasciando in tal modo carpire i propri dati identificativi di sicurezza. pagina 4 di 12 Preliminarmente si ritiene opportuno esaminare la normativa di riferimento in materia di sicurezza informatica delle transazioni bancarie, la quale si articola in prevalenza nelle seguenti fonti normative:
- direttiva EU 2015/2366 sui servizi di pagamento e il mercato interno, nota come PSD2 entrata in vigore il 14 novembre 2019;
- D.lgs. n. 11 del 27 gennaio 2010, come modificato dalla Direttiva PSD2;
- GDPR, il Regolamento UE 2016/679 sulla protezione dei dati personali;

La regolamentazione introdotta in materia prevede un complesso sistema di ripartizione della responsabilità tra prestatore di servizi di pagamento e utente nei casi di operazioni di pagamento non autorizzate. In particolare, la disciplina è contenuta negli artt.

9-11 del D. Lgs. n. 11 del 2010, relativi al regime di allocazione del rischio e degli oneri probatori.
Il rimedio di base in tema di addebiti fraudolenti su carta di credito (o comunque di moneta elettronica) è contenuto all'articolo 11 D. Lgs n. 11/2010 (come modificato dall'art. 73 della Direttiva
PSD2) che prevede l'immediato ripristino da parte del prestatore di servizi di pagamento¹ del conto corrente dell'utente vittima della truffa, al momento del disconoscimento dell'operazione di pagamento non autorizzata, gravando in capo alla banca l'onere di dimostrare che il correntista che asserisce di avere subito la frode ha agito con dolo o colpa grave. In punto di responsabilità del cliente, un irriducibile onere grava inevitabilmente sullo stesso: la custodia dei propri codici dispositivi. Difatti, una custodia diligente delle password sarebbe di per sé idonea a paralizzare ex ante la maggior parte degli illeciti cagionabili ai danni dello stesso.
Ciononostante, l'onere di provare la colpa grave del cliente grava sull'intermediario, il quale ha l'onere di fornire degli elementi, anche presuntivi, dai quali evincere il contegno gravemente colposo dell'utente.
Parallelamente, la PSD2 ha imposto agli intermediari finanziari di porre in essere tutte le misure necessarie a garantire la sicurezza degli utenti, introducendo l'obbligo di “autenticazione forte del cliente”
(Strong Customer Authentication – SCA), sancito dall'art. 97 della Direttiva (UE) 2015/2366 e recepito nell'ordinamento italiano dall'art. 10-bis del D. Lgs. n. 11/2010. È difatti onere dell'intermediario provare la corretta autenticazione di un'operazione contestata (art. 10, comma 1, D. Lgs. n. 11/2010): in difetto di tale prova è diritto del cliente ottenere il rimborso dell'operazione a prescindere da sue eventuali negligenze nella custodia degli strumenti di pagamento e delle connesse credenziali (art. 12, D. Lgs. n. 11/2010).
Trattandosi di operazione di pagamento elettronico, l'autenticazione deve basarsi su due fattori indipendenti (artt. 10-bis e 1, lett. q-bis, D. Lgs. n. 11/2010) considerati validi dagli Orientamenti ¹ Ai sensi dell'art. 1 co. 1 lett. g), tra i soggetti che erogano servizi di pagamento possono essere annoverati “istituti di moneta elettronica e istituti di pagamento nonché, quando prestano servizi di pagamento, banche, la Banca centrale europea e le banche Controparte_1 centrali nazionali se non agiscono in veste di autorità monetarie, altre autorità pubbliche, le pubbliche amministrazioni statali, regionali e locali se non agiscono in veste di autorità pubbliche”. pagina 5 di 12 dell'Autorità Bancaria Europea del 21 giugno 2019: si tratta appunto della richiamata autenticazione forte del cliente, vale a dire una procedura per convalidare l'identificazione di un utente basata sull'uso di due o più elementi di autenticazione (cd. “autenticazione a due fattori”), appartenenti ad almeno due categorie tra le seguenti:
- conoscenza: qualcosa che solo l'utente conosce, come una password o un PIN;

- possesso: qualcosa che solo l'utente possiede, come un token/chiavetta, o uno smartphone;

- inerenza: qualcosa che caratterizza l'utente, come l'impronta digitale o il riconoscimento facciale;

Questi elementi (o credenziali di autenticazione) devono essere indipendenti tra loro, in modo che l'eventuale violazione di uno di essi non comprometta l'affidabilità degli altri.
Superata dunque la prova dell'autenticazione, il discrimen tra diligenza e colpa grave dell'utente risiede nella condotta dello stesso rispetto alle concrete modalità della frode, nonché nella sofisticatezza di quest'ultima. Tanto maggiori saranno state l'avvedutezza del cliente e il livello di sofisticatezza della frode, tanto minore sarà la misura della colpa dello stesso e la perdita economica che sopporterà
Ciò chiarito, il presente giudizio in appello verte sull'accertamento della responsabilità del prestatore di servizi di pagamento nell'ipotesi in cui il cliente abbia disconosciuto un'operazione, eseguita tramite home banking, da terzi ignoti con mezzi fraudolenti. Più nel dettaglio, la sig.ra ha lamentato l'erronea Pt_1 valutazione da parte del Giudice di prime cure delle risultanze istruttorie del primo grado di giudizio, le quali, a suo avviso, avrebbero dovuto condurre all'individuazione di una responsabilità esclusiva di
[...]
per i prelievi eseguiti illecitamente dal terzo sul proprio conto corrente. CP_1
A tal riguardo, in via preliminare, occorre precisare che , a far data dal 14.09.2019, si è CP_1 uniformata alla disciplina prevista dalla direttiva PSD2. Infatti, nel proprio sito internet, alla sezione
“Pagamenti digitali” ha pubblicato in data 11.07.2019 un documento intitolato “Poste introduce nuova direttiva
UE su sicurezza pagamenti”- “Nuovi strumenti di autenticazione e nuovo processo di autorizzazione delle operazioni online” ove ha espressamente dichiarato che “Per i clienti di l'App BancoPosta e l'App Postepay CP_1 diventano gli strumenti principali di autenticazione forte sui canali online così come fondamentale sarà associare il proprio numero di telefono securizzato al conto o allo strumento di pagamento. Per effettuare un'operazione dal conto corrente
BancoPosta online o tramite carta Postepay il cliente accederà, come di consueto, inserendo username e password o Codice
PosteID abilitato a Spid;
completata la transazione riceverà una notifica in App BancoPosta o App Postepay in base allo strumento utilizzato e per autorizzare il pagamento sarà necessario digitare in App il codice PosteID. Sui terminali abilitati è anche possibile utilizzare l'impronta digitale (finger print) o altri sistemi di riconoscimento biometrico. In alternativa è possibile richiedere una password temporanea (one time password) sul numero di telefono associato al conto o alla carta”.
Pertanto, considerato che da settembre 2019 ha riconosciuto di essersi dotata di Controparte_1 sistemi di autenticazione forte e, visto che per stessa ammissione della sig.ra – non contestata da Pt_1
– la condotta fraudolenta di cui è causa si è verificata in data 16.04.2021, ne discende che Controparte_1 pagina 6 di 12 all'epoca dei fatti, l'odierna appellata era tenuta ad adeguarsi ai sistemi di sicurezza in questione
(autenticazione forte), la cui prova, in aderenza al dato normativo, rappresenta un prius logico rispetto alla prova della colpa grave della cliente.
In merito alle misure di sicurezza di cui l'intermediario è tenuto a dotarsi, nonché al riparto di responsabilità tra intermediario e cliente, si è recentemente pronunciata la Suprema Corte, affermando che
“la giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere (Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo. La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020)”
(cfr. Cass. civ., Sez. III, Sent., 12.02.2024, n. 3780). Da ciò ne consegue che nel caso di operazioni effettuate con strumenti elettronici (home banking), spetta all'istituto di credito – in questo caso
[...]
– verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza CP_1 dell'“accorto banchiere”. Di talché l'eventuale uso, da parte dei terzi, dei codici di accesso al sistema rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile alla volontà del cliente. Su questi standard di diligenza è modellata una responsabilità aggravata dell'istituto che è tenuto, per non incorrere in responsabilità, a fornire la prova liberatoria, ossia a dimostrare che l'operazione in realtà abbia carattere genuino e non fraudolento, oppure che il danno sia imputabile esclusivamente ad una condotta imprudente del cliente.
Dunque, alla luce del sopra illustrato panorama normativo e giurisprudenziale, è onere di Controparte_1 provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici
[...] pagina 7 di 12 di pagamento e di aver adeguatamente gestito il conto corrente online intestato alla sig.ra per Parte_1 prevenire i rischi connessi alla natura telematica del servizio reso.
Ebbene, nella fattispecie sottoposta all'attenzione di questo Tribunale, si ritiene che Controparte_1 abbia correttamente predisposto e dato attuazione alla procedura di autenticazione forte richiesta dalla normativa di riferimento in materia di operazioni eseguite online. Infatti, in ossequio all'indirizzo giurisprudenziale consolidato della Suprema Corte innanzi richiamato, il prestatore di servizi di pagamento deve provare un quid pluris, ossia l'adozione di appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. Quid pluris che non è mancato nella fattispecie concreta in quanto , nel proprio atto costitutivo, ha affermato che “le due operazioni Controparte_1 contestate si riferiscono a due ricariche eseguite online tramite l'utilizzo dell'APP BANCOPOSTA con digitazione delle credenziali e del codice POSTEID”, precisando ulteriormente che “le operazioni sono state eseguite con la corretta digitazione delle credenziali di accesso in modo manuale in APP-BP”.
Come sopra menzionato, l'inserimento di username e password o Codice PosteID abilitato a Spid unitamente alla digitazione in App BancoPosta o App Postepay del codice PosteID costituisce il meccanismo di autenticazione forte di cui si è dotata a far data dall'anno 2019. Controparte_1
Alla luce di ciò, in primo luogo, si rileva che quanto affermato dall'appellata in ordine alla corretta digitazione da parte della cliente nell'App BancoPosta delle proprie credenziali e del proprio codice
PosteID non ha trovato una puntuale contestazione da parte della difesa dell'odierna appellante. Infatti, tale circostanza non solo non è stata confutata dalla sig.ra nei propri scritti difensivi, ma anzi è stata Pt_1 esplicitamente riconosciuta nella denuncia dalla lei depositata in data 17.04.2021 (cfr. pag. 35 fascicolo di parte allegato all'atto di citazione), in occasione della quale ha espressamente dichiarato di avere ricevuto sulla propria utenza telefonica un messaggio da contenente il link incriminato, di averlo CP_1 cliccato e di essersi in tal modo “collegata al mio profilo id sul sito di poste italiane…l'interlocutore mi diceva che non avevo inserito le credenziali corrette, per tanto eseguivo nuovamente l'operazione finché non sono entrata nel mio profilo”.
In secondo luogo, a sostegno della posizione sostenuta da , occorre evidenziare che Controparte_1 tra i documenti allegati al fascicolo di primo grado prodotto in giudizio dalla sig.ra vi sono gli Pt_1 screenshot dei messaggi ricevuti da sulla propria utenza telefonica (cfr. pag. 51 fascicolo Controparte_1 di primo grado allegato all'atto di citazione in appello). Ebbene, dall'esame di tali immagini risulta che il giorno in cui si sono verificate le due ricariche non autorizzate (16 aprile 2021), la sig.ra ha ricevuto Pt_1 alle ore 15.16 due messaggi da PosteInfo, uno di seguito all'altro, contenenti rispettivamente i codici
054855 e 129406 per accedere a BancoPosta Online. Tali codici sono noti come OTP (One Time
Password), consistono in password numeriche temporanee che vengono di norma generate automaticamente e inviate all'utente tramite sms, email o applicazioni;
sono utilizzate per autenticare l'identità di chi accede a un servizio digitale e garantire la sicurezza delle transazioni online. pagina 8 di 12 Dunque, considerate tali premesse, risulta pacifico che avesse predisposto un Controparte_1 sistema di autenticazione cd. forte, in conformità alla normativa sopra richiamata, mediante la richiesta di credenziali di accesso statiche (codice titolare, c.d. USERID + password generata esclusivamente dal correntista, c.d. PIN) e dinamiche (codici autorizzativi monouso e temporizzati, c.d. One Time Password, generati dal sistema tramite sms o push al momento della richiesta di accesso all'home banking).
Orbene, accertato che ha adottato tali misure di sicurezza, residua da dover essere Controparte_1 esaminato se nel caso di specie ricorra la prova della riconducibilità dell'operazione contestata al cliente.
Infatti, il prestatore dei servizi di pagamento non solo ha l'onere di diligenza di impedire prelievi abusivi, ma, altresì, ha l'onere di dimostrare che il prelievo non è opera di terzi, ma è riconducibile comunque alla volontà del cliente, che subisce le conseguenze della perdita se, per colpa grave, ha dato adito o ha aggravato il prelievo illegittimo.
Richiamando la giurisprudenza di legittimità sul punto, è stato affermato che “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente” (cfr. Cass., sez. VI, ord. 26916/2020).
Costituisce, infatti, orientamento costante della giurisprudenza che sul cliente gravi in generale l'onere di custodire con la massima diligenza non solo la carta di credito e quella bancomat, ma anche il codice PIN ed il codice di accesso al servizio c.d. “home banking”, necessario per compiere operazioni di vario genere.
Certo è che nel caso in esame si è in presenza di una truffa particolarmente sofisticata realizzata attraverso la tecnica c.d. di phishing e più in particolare con la tecnica denominata spoofing, attraverso la quale si tenta di far credere che la fonte di determinate informazioni sia attendibile inviando sms ed e-mail che appaiono provenienti dal proprio istituto di credito.
Più in particolare, proprio in tema di phishing, si registra una recentissima pronuncia della Suprema
Corte di Cassazione, la quale, nel delineare il dovere di diligenza gravante sul correntista, ha precisato che
“non può dubitarsi del comportamento decisamente imprudente e negligente del danneggiato, il quale aveva digitato i propri codici personali (verosimilmente richiestigli con una e-mail fraudolenta), in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto del danneggiato” (cfr. Cass. Civ. sez. I, Cont 13.03.2023, n. 7214). Sugli elementi presi in considerazione dai Collegi arbitrali dell' per qualificare la truffa subita come spoofing, il Collegio di Roma, nella decisione n. 8723/22, ha ritenuto che: “Secondo la più recente posizione condivisa dei Collegi territoriali, in questi casi non è generalmente ravvisabile la colpa grave del ricorrente, “a meno che non si rinvengano […] indici di inattendibilità o anomalia del messaggio;
in tale caso, potrà essere ravvisato un concorso di colpa tra le parti in relazione, da un lato, alla negligenza grave dell'utente che agevola il compimento della truffa, similmente a quanto avviene negli episodi di phishing e, dall'altro lato, alle criticità organizzative del servizio di pagamento offerto dall'intermediario (Collegio di Roma, decisione n. 1652/2022)”. pagina 9 di 12 Nei casi di spoofing, secondo i più recenti orientamenti condivisi dai Collegi, quanto alla valutazione della condotta del cliente va evidenziata, in generale, l'insidiosità del meccanismo di aggressione, consistente nell'invio del messaggio telefonico o di email dall'utenza dell'intermediario; è stato tuttavia osservato che talvolta il testo del messaggio civetta presenta indici di evidente inattendibilità (quali ad esempio errori grammaticali o sintattici) o di anomalia (quali ad esempio l'invito a selezionare un link in nessun modo riferibile all'intermediario), i quali dovrebbero far allertare l'utente avveduto. Lo spoofing, quindi, può rappresentare, al ricorrere di date ipotesi, un elemento che integra la colpa grave, quando si rinvengano i suddetti indici di inattendibilità o anomalia del messaggio.
Nel caso in esame, la sig.ra per sua stessa ammissione, ha inserito più volte i codici segreti Pt_1 inerenti al proprio profilo bancario a seguito del sollecito telefonico proveniente dal truffatore, cancellando e reinstallando l'applicazione di come le era stato richiesto di fare e consentendo in tal modo CP_1 al terzo di infiltrarsi nel sistema di . Tale aspetto è rilevante anche in considerazione dell'età CP_1 dell'appellante (25 anni all'epoca dei fatti e, quindi, non persona anziana e particolarmente vulnerabile) e della sua scelta di utilizzare il servizio di home banking, il quale permette di gestire le operazioni bancarie in piena autonomia, ma pur sempre in un'ottica di autoresponsabilità del cliente. A ciò si aggiunga che il testo del messaggio c.d. civetta presentava evidenti indici di anomalia, in quanto il link contenuto nel messaggio ricevuto dalla sig.ra (“https://bit.ly/2QuYxFQ”), ha un dominio diverso rispetto a quello in uso da Pt_1
e non è certamente riconducibile a quest'ultima. Tale aspetto ben doveva essere Controparte_1 percepito dall'odierna appellante e indurla a non assecondare la richiesta telefonica che ebbe a portarla, poi,
a inserire le proprie credenziali necessarie per l'operatività sul conto online.
Si evidenzia, altresì, che, come correttamente precisato dall'odierna appellata, il sito internet di
[...]
contiene l'avviso circa le più consuete modalità di truffe online – tra cui rientra quella utilizzata nel CP_1 caso di specie ai danni della sig.ra – ricordando alla clientela di astenersi dal comunicare le Parte_1 proprie credenziali via sms o via telefono;
inoltre, proprio in considerazione del fatto che i clienti vengono spesso tratti in inganno credendo di essere contattati direttamente da , vi è l'avviso che se CP_1 qualcuno, fingendosi operatore di o PostePay S.p.A., dovesse chiedere credenziali o Controparte_1 codici personali noti solo al cliente, si tratterebbe sicuramente di un tentativo di frode.
In ragione di quanto innanzi può ragionevolmente affermarsi che nella presente fattispecie, mentre ha dimostrato l'adeguatezza del proprio sistema informativo e che non le è di certo Controparte_1 rimproverabile la capacità dei cyber-truffatori di simulare pressocché fedelmente la struttura del sito istituzionale o i numeri verdi in uso a , di converso, la condotta della sig.ra risulta Controparte_1 Pt_1 connotata da plurimi profili di colpa che escludono ogni diritto al rimborso e/o al risarcimento del danno.
Infatti, il truffatore, per poter effettuare le operazioni di prelievo abusivo dei fondi della correntista vittima della frode, si è avvalso della collaborazione della sig.ra stessa, la quale, non solo ha cliccato sul link Pt_1 pagina 10 di 12 con dominio sospetto ricevuto per sms sulla propria utenza telefonica ma, dopo avere ricevuto la telefonata dal finto operatore di , ha anche inserito per due volte le proprie credenziali sull'App CP_1
BancoPosta, dopo che il truffatore le aveva comunicato che le prime credenziali inserite non erano corrette.
Le considerazioni che precedono portano a ritenere adempiuto l'onere probatorio gravante su
[...]
in ordine all'adozione di tutte le misure idonee a evitare il danno che si è verificato in CP_1 conseguenza dell'incauta collaborazione da parte della cliente, la quale, cliccando il link fraudolento ricevuto per messaggio e inserendo successivamente le proprie credenziali per accedere al proprio home banking, ha tenuto una condotta gravemente colposa.
Il primo motivo di gravame, pertanto, deve essere rigettato e, di conseguenza, la sentenza di primo grado deve essere confermata in quanto il Giudice di Pace, alla luce delle risultanze probatorie acquisite in atti, ha correttamente ritenuto sussistente la responsabilità esclusiva della sig.ra nella vicenda Parte_1 in esame (sub specie colpa grave).
SULLE SPESE DI LITE E SULLA DOMANDA SUBORDINATA DI PARTE APPELLANTE
Considerato che la difesa di parte appellata non ha chiesto la riforma delle spese di lite relative al primo grado, viene confermata la decisione sul punto adottata dal Dott. Zulato con la sentenza di primo grado (“Compensa integralmente le spese di lite”).
In merito alle spese della CTU espletata nel primo grado di giudizio, parte appellante, in via subordinata e in caso di mancato accoglimento dell'appello, ne ha chiesto la compensazione, “visto
l'affidamento nella liceità dell'operazione nonché la buona fede della Sig.ra nell'eseguire le operazioni oggetto di Parte_1 prelievo da parte di terzi”.
Ritiene il presente Tribunale che – nonostante sia interamente vittoriosa nel presente Controparte_1 procedimento – vista la buona fede della sig.ra e l'insidiosità della truffa perpetrata a suo danno, tali Pt_1 spese, in riforma della sentenza appellata in forza della quale le spese di CTU sono state integralmente poste carico della sig.ra debbano essere compensate fra le parti. A riguardo giova evidenziare che Pt_1 anche la Corte di Cassazione ha affermato che “compensando le spese processuali, il giudice può ripartire le spese della consulenza tecnica d'ufficio in quote uguali tra la parte soccombente e la parte totalmente vittoriosa, senza violare, in tal modo, il divieto di condanna di quest'ultima alle spese di lite, atteso che la compensazione non implica condanna, ma solo esclusione del rimborso, e, altresì, che la consulenza tecnica d'ufficio, quale ausilio fornito al giudice da un collaboratore esterno, anziché mezzo di prova in senso proprio, è un atto compiuto nell'interesse generale della giustizia e, dunque, nell'interesse comune delle parti (Cass. n. 1023/13)” (cfr. Cass. civ., Sez. VI - 2, Sent., (data ud. 26/01/2016) 07/09/2016, n. 17739).
Con riferimento alle spese di lite del presente grado di giudizio, queste seguono la soccombenza e sono liquidate in dispositivo tenuto conto del valore della lite e dell'attività processuale svolta, priva di fase istruttoria. pagina 11 di 12

P.Q.M.


Il Tribunale di IM, definitivamente pronunciando sulla causa di cui in epigrafe, ogni altra istanza, eccezione e deduzione disattesa, così provvede:
➢ Rigetta l'appello principale proposto dalla sig.ra avverso la sentenza del Giudice Parte_1 di Pace di IM n. 859/2023, n. R.G. 1999/2021 e, per l'effetto, conferma sul punto la sentenza impugnata, eccezione fatta per la disciplina inerente alle spese di CTU che debbono essere integralmente compensate tra le parti;

➢ Condanna la sig.ra al pagamento in favore dell'appellata delle spese di lite del Parte_1 presente grado di giudizio che liquida in euro 1.701,00 per compensi professionali oltre accessori fiscali e previdenziali come per legge e rimborso forfetario (15%);
Così deciso in IM, 5 giugno 2025.
Il Giudice Dott. Antonio Miele
pagina 12 di 12