TRIB
Sentenza 14 febbraio 2025
Sentenza 14 febbraio 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Roma, sentenza 14/02/2025, n. 2366 |
|---|---|
| Giurisdizione : | Trib. Roma |
| Numero : | 2366 |
| Data del deposito : | 14 febbraio 2025 |
Testo completo
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO DI ROMA
SEZIONE XVI CIVILE
Il Tribunale, in persona del Giudice Unico, dott.ssa Flora Mazzaro, ha emesso la seguente
S E N T E N Z A
nella causa civile di I grado iscritta al n. 2738 del ruolo generale per gli affari contenziosi dell'anno 2021, e vertente
T R A
e Parte_1 Parte_2
Con l'avv. Sabrina Mariani che la rappresenta e difende in virtù di procura in calce all'atto di citazione, ed elettivamente domiciliata presso lo studio sito in Roma, in via Gregorio VII n. 186
ATTRICI
E
in persona del l.r.p.t. Controparte_1
Con l'avv. Luca Stazi, che la rappresenta e difende in forza di procura in calce alla comparsa di costituzione, ed elettivamente domiciliata presso il proprio studio in Roma, Corso Vittorio Emanuele II n. 173
CONVENUNTO
OGGETTO: Contratti bancari
PREMESSO IN FATTO CHE:
Con atto di citazione notificato il 15.12.2020, le sig.re e Parte_1 Parte_2
citavano la davanti al Tribunale Civile di Roma, al fine di
[...] Controparte_2 accertare l'illegittimità del comportamento tenuto dalla resistente e per Controparte_3
l'effetto, dichiarare ed accertare il diritto delle attrici alla restituzione delle somme oggetto delle pratiche di disconoscimento.
A fondamento delle proprie domande, le attrici esponevano: - di essere contitolari dei rapporti di conto corrente n. 801216 e 2623 e che su quest'ultimo era stata emessa la carta di credito n. 53988320109021684, con la precisazione che i suddetti conti correnti avevano sempre avuto un saldo positivo ed erano attivi, essendo stati accreditati sugli stessi il pagamento di stipendi e rate di mutui ipotecari e finanziamenti, nonché la domiciliazione di utenze;
- che la era in possesso dei numeri delle loro utenze telefoniche e che il 15/1/2020 la CP_2 Pt_1 aveva ricevuto sulla propria utenza di telefonia mobile un SMS proveniente asseritamente da “
[...]
” con cui le veniva richiesto di mettersi in contatto con un numero telefonico CP_1 corrispondente all'ufficio prevenzione frodi (n. 02/87177052);
- di avere, quindi, chiamato il numero sopra indicato ed una voce guidata l'aveva invitata ad attendere per essere messa in contatto con un operatore bancario;
- che il sedicente impiegato della banca l'aveva avvisata che era in corso un tentativo di frode sull'utilizzo della sua carta di credito n. 53988320109021684 dalla Bulgaria;
quindi, l'operatore le aveva suggerito di procedere al blocco carta e, ricevuto l'assenso, riferiva di procedere con tale operazione;
- che l'operatore comunicava che il tentativo di prelievo stava proseguendo direttamente sul conto n. 2623 e che erano in corso dei bonifici.
- che l'aveva invitata ad utilizzare l'applicazione della banca sul telefono cellulare per bloccare l'invio dei bonifici;
- che, non essendovi riuscita, in quanto riceveva come risposta “errore sistema”, la ra stata Pt_1 invitata dal sedicente operatore bancario a fornirgli le credenziali di accesso al conto corrente online per completare l'operazione di blocco;
- che, contemporaneamente alla conversazione telefonica di cui sopra, pervenivano SMS all'utenza telefonica mobile della i avviso che erano in atto l'esecuzione di bonifici non autorizzati dal Pt_1 proprio conto corrente fino allo svuotamento e la ricorrente, nel frattempo, era stata avvisata che analoghe operazioni erano in corso anche sull'altro conto corrente a lei intestato;
- che l'operatore la informava che tutti i bonifici erano stati bloccati e che le somme sarebbero state riaccreditate entro 72 ore;
- che la sera stessa la aveva ricevuto una chiamata della sulla sua utenza di cellulare Pt_1 CP_2
e l'operatore la informava che vi erano stati tentativi di frode per forzare la sua carta di credito;
-che aveva comunicato all'operatore quanto accaduto al mattino e veniva informata che non vi erano operazioni di blocco della carta di credito o dei conti, né tentativi in corso di recupero delle somme, ma di recarsi presso la filiale;
- che la mattina successiva, recatasi presso la filiale bancaria, aveva appreso che la carta di credito a lei intestata non era stata bloccata e che non vi era stata alcuna operazione di recupero delle somme oggetto dei bonifici bancari illecitamente eseguiti, e che di conseguenza era stata vittima di una truffa;
- di avere quindi compilato il modulo di disconoscimento delle operazioni di cui sopra e la banca le aveva riaccreditato le somme sui conti correnti sopra indicati;
- che il 1°/4/2020, a seguito di consultazione del conto corrente n. 2623 on line, la aveva Pt_1 riscontrato l'addebito di € 25.975,25, che aveva portato il conto corrente in rosso, così come anche il conto corrente n. 801216 era stato portato in rosso dall'addebito di € 22.659,48 senza alcuna causale;
Tanto premesso, e deducevano l'illegittimità della Parte_1 Parte_2 condotta della banca poiché, a causa della omessa sorveglianza sulle operazioni eseguite in modo fraudolento sui suoi conti correnti, non aveva impedito la perpetrazione della truffa sopra descritta in loro danno, rappresentando il pericolo grave ed irreparabile che sarebbe loro derivato dalla segnalazione dei propri nominativi alla Centrale dei rischi a causa del saldo negativo dei conti correnti delle ricorrenti. Per questo motivo rappresentavano altresì di avere introdotto ricorso ex art. 700 c.p.c. per la tutela cautelare.
Così concludeva: “Piaccia all'Ill.mo Tribunale adito, rigettata ogni contraria istanza, deduzione ed eccezione, voglia accertare l'illegittimità del comportamento tenuto dalla resistente Controparte_3
, per l'effetto, dichiarare ed accertare il diritto delle attrici alla restituzione delle somme oggetto
[...] delle pratiche di disconoscimento e, per l'effetto accertare e dichiarare l'illegittimità degli addebiti eseguiti sui conti correnti e sulla carta di credito per Euro 49.938,44 eseguito in data 30/3/20 e con storno di tutti gli interessi e spese e qualsivoglia altra somma ad esse relative e con condanna dell'istituto bancario al risarcimento dei danni subiti e subendi dalle attrici i che si quantificano in Euro 15.000,00 a favore di ciascuna ovvero alla somma che sarà ritenuta di giustizia. Con vittoria di spese, competenze e onorari del presente giudizio”
^^^^^
La costituitasi con autonoma comparsa, chiedeva il rigetto delle domande Controparte_1 attoree, dando atto di aver agito in conformità della legge e di non essere responsabile delle attività fraudolente poste in essere nei confronti delle sig.re e Parte_1 Parte_2
.
[...]
In particolare, veniva dedotto che:
- il ricorso d'urgenza proposto dalle attrici avente R.G. 42385/2020 era stato rigettato in quanto difettavano i presupposti per la tutela cautelare richiesta, sia nel fumus che nel periculum “ in mancanza di colpa ascrivibile alla resistente [ la ] in ordine alle operazioni CP_2 poste in essere sui conti correnti di cui sopra con illecito utilizzo delle credenziali della ; Pt_1
- le attrici avevano concluso con Intesa Sanpaolo S.p.A. i contratti n. 21333997 e n. Pt_3
43194777, con cui avevano ottenuto dalla Banca le c.d. credenziali per poter operare a distanza tramite internet banking, sul conto corrente n. 801216, cointestato ad entrambe le ricorrenti, e sul conto corrente n. 2623, intestato soltanto alla sia tramite computer Pt_1 che tramite la specifica applicazione mobile My-Key;
- i contratti sopra descritti prevedevano l'obbligo del cliente di non consegnare a terzi i codici di accesso al sistema di home banking, conformemente alla disciplina di cui al D.Lgs. 27/1/2010, n. 11, di attuazione della direttiva 20007/64/CE, relativa ai servizi di pagamento nel mercato interno e recante modifica delle direttive nn. 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE e abrogativa della direttiva 97/5/CE; - la sig.ra aveva dichiarato in sede di querela ed esposto nell'atto di citazione che il Pt_1 giorno 15.1.2020 aveva comunicato a terzi i codici per accedere, tramite app, ai propri conti correnti in corso con;
Controparte_2
- conseguentemente i bonifici e gli addebiti sulla carta di credito restavano imputabili integralmente alla correntista, perché la loro emissione non era la conseguenza di una falla del sistema di sicurezza, ma esclusivamente del comportamento gravemente colposo della sig.ra responsabile di aver comunicato a uno sconosciuto sia le proprie credenziali Pt_1 di accesso all'internet banking (c.d. password statiche), che i corrispondenti messaggi autorizzativi (c.d. password dinamiche, One Time Password e One Time Sms).
- Pertanto, la banca escludeva di aver agito con colpa, denunziando al contrario la condotta gravemente colposa della cliente che, peraltro, dopo aver ottenuto in restituzione, ma salvo buon fine, le somme relative alle operazioni disconosciute, in data 7/2/2020 avevano provveduto a prelevare Euro 23.000,00 dal c/c 2623 ed Euro 20.000,00 dal c/c 801216 tramite l'emissione di assegni circolari.
- Infine, la banca eccepiva la rilevanza del comportamento colposo della nche ai sensi Pt_1 dell'art. 1227, 1° comma, c.c., sì da escludere il diritto al risarcimento del danno anche nella denegata ipotesi di accertamento di una corresponsabilità della convenuta.
Così concludevano: ““piaccia al Tribunale adito, ogni contraria istanza respinta:
- in via principale:
a) rigettare ogni domanda di parte attrice perché infondata in fatto e in diritto, anche ai sensi dell'art. 1227, 1° comma, c.c.
- in via subordinata:
b) rigettare ogni domanda di parte attrice perché infondata in fatto e in diritto ai sensi dell'art. 1227, 2° comma, c.c.
Con vittoria di spese, competenze e onorari di giudizio, oltre spese generali in misura forfettaria ed oltre oneri fiscali”
^^^^^
La causa veniva istruita mediante l'esame della documentazione prodotta dalle parti e all'udienza del 16.10.2023 la causa veniva trattenuta in decisione con termini di rito per il deposito delle comparse conclusionali e delle memorie di replica.
IN DIRITTO
La domanda formulata da e è infondata e, Parte_1 Parte_2 pertanto, deve essere respinta.
- Delimitazione del thema decidendum ed esame delle risultanze istruttorie Giova evidenziare, ai fini della delimitazione del thema decidendum, che le attrici nel presente giudizio hanno chiesto accertarsi la responsabilità di per l'effettuazione, ad Controparte_1 opera di soggetti ignoti, di n. 5 bonifici per la somma complessiva di € 49.938,44, emessi il 15/01/2020 dai conti correnti n. 801216 e 2623 nei confronti di “ ”. Conseguentemente, Controparte_4 le attrici hanno domandato all'istituto di credito la restituzione della somma corrispondente alla perdita subita, dichiarando il proprio incolpevole coinvolgimento nella frode bancaria informatica di cui trattasi.
ha invece contestato le domande attoree e ha domandato l'integrale rigetto Controparte_1 della stessa, sostenendo il concorso colposo di e Parte_1 Parte_2 nella causazione dell'evento lesivo e, pertanto, l'insussistenza del diritto delle attrici al
[...] rimborso della perdita subita a causa dei bonifici fraudolenti.
Orbene, l'analisi della fattispecie concreta, effettuata considerando le peculiari dinamiche della frode informatica bancaria descritta dalla ha evidenziato rilevanti profili di responsabilità a carico Pt_1 delle attrici, come di seguito illustrato.
Preliminarmente, deve rilevarsi che i contratti n. 21333997 e n. 43194777 stipulati dalle Pt_3 ricorrenti con la resistente regolano in modo espresso la custodia delle credenziali di accesso al servizio di home banking e riproducono essenzialmente lo schema normativo del D.lgs. n. 11/2010, del tutto applicabile alla fattispecie in esame. Deve inoltre rilevarsi, considerate le allegazioni delle parti, che entrambe fossero concordi nel ritenere che le operazioni dispositive a distanza in relazione ai conti correnti in oggetto avrebbero dovuto essere eseguite tramite un sistema di autenticazione forte del cliente denominato “a due fattori”, che prevede l'utilizzo congiunto di credenziali statiche e di credenziali dinamiche consistenti in codici temporanei generati tramite token, da parte del correntista, unico depositario dei predetti codici.
Ciò, conformemente a quanto stabilito dall'art. 10 bis del d.lgs. n. 11/2010. Tale provvedimento normativo, attuativo della direttiva 2007/64/CE (c.d. PSD1), da ultimo novellato con il d.lgs. n. 218/2017, emanato per recepire la nuova direttiva relativa ai servizi di pagamento 2015/2366/UE in vigore dal 13 gennaio 2018 (c.d. PSD2), individua in relazione all'utilizzo degli strumenti di pagamento elettronici e/o tramite canali a distanza che possano comportare un rischio di frode o di altri abusi, gli obblighi posti a carico del prestatore dei servizi e quelli gravanti sull'utente.
Quest'ultimo, ai sensi dell'art. 7, è tenuto: “ad utilizzare gli strumenti di pagamento secondo i termini d'uso pattuiti con il prestatore dei servizi ed esplicitati nel contratto quadro;
a comunicare allo stesso, non appena ne venga a conoscenza, lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento di pagamento, al fine di consentirne il blocco;
ad adottare tutte le misure idonee a proteggere dall'altrui ingerenza i dispositivi di accesso personalizzati, tra cui le credenziali di sicurezza personalizzate”.
In base al successivo art. 12 c. 3, “qualora l'utente dei servizi di pagamento violi uno dei suddetti obblighi con dolo o colpa grave o agisca in modo fraudolento, assume la responsabilità delle perdite relative all'utilizzo abusivo dello strumento di pagamento, per intero;
diversamente, ha diritto di ottenere dal prestatore dei servizi il rimborso della somma illecitamente sottrattagli, al netto di una franchigia di 50 euro, da applicarsi in caso “di operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita”. Quindi, come espressamente previsto dall'art 10 c. 2 d.lgs. 11/2010, il prestatore di servizi di pagamento può escludere la propria responsabilità per l'utilizzo non autorizzato dello strumento di pagamento ad opera di terzi, provando la frode dell'utilizzatore o il suo inadempimento per dolo o colpa grave, che costituiscono fatti impeditivi del risarcimento del danno ex art. 2697 c. 2 c.c.
Del resto, anche la giurisprudenza di legittimità ha affermato che “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente” (cfr. Cass. 05/07/2019, n. 18045). Specularmente, il d.lgs. n. 11/2010 pone anche a carico del gestore dei servizi di pagamento il rispetto di obblighi determinati, tra i quali rientrano: l'obbligo di assicurare, tramite l'adozione delle misure più idonee alla luce dello sviluppo tecnologico, che i dispositivi personalizzati per l'utilizzo dello strumento di pagamento non siano accessibili a soggetti diversi dall'utilizzatore legittimato (art. 8 c. 1 lett. a); l'obbligo di assicurare che siano sempre disponibili gratuitamente strumenti adeguati affinché l'utilizzatore possa effettuare la comunicazione di cui all'art. 7 c. 1 lett. b (art. 8 c. 1 lett. c); l'obbligo di impedire l'utilizzo dello strumento di pagamento in seguito al blocco (art. 8 c. 1 lett. d); l'obbligo di attuare l'autenticazione forte del cliente, quando l'utente accede al suo conto di pagamento online, dispone un'operazione di pagamento elettronico o effettua qualsiasi azione tramite un canale di pagamento a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi (art. 10 bis c. 1).
Di talché, per far sì che l'utilizzatore sopporti le perdite derivate da un uso illegittimo dello strumento di pagamento ad opera di terzi, non è sufficiente che il prestatore del servizio dia prova di una condotta fraudolenta o dell'inadempimento degli obblighi ex art 7 d.lgs 11/2010 sorretto da dolo o colpa grave del cliente, dovendo altresì dimostrare, preventivamente, di aver adempiuto i doveri di tutela del cliente prescritti a suo carico dal decreto (cfr. Cass. 26/11/2020, n. 26916; da ultimo, Cass. 12/2/2024, n. 3780). L'art. 10 c. 1 d.lgs. 11/2010 afferma infatti che, qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione già eseguita “è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti”.
In conclusione, è possibile affermare che l'imputazione di responsabilità all'utilizzatore dello strumento di pagamento, ex art. 12 c. 3 d.lgs 11/2010, presuppone che l'istituto di credito raggiunga una duplice prova, ossia: quella di aver usato un elevato grado di diligenza nell'adempimento dei propri oneri e quella che dimostri, con sufficiente grado di attendibilità giuridica, l'inadempimento degli obblighi del cliente dovuto a frode, dolo o colpa grave.
^^^^^
Nel caso di specie, , a riprova della condotta negligente imputata all'attore, nonché, Controparte_1
a sostegno della regolarità formale delle operazioni fraudolente, ritenute correttamente autenticate, registrate e contabilizzate, oltreché eseguite secondo un sistema di autenticazione a due fattori conforme allo stato dell'arte, ha prodotto in atti il file log contenenti la tracciatura delle operazioni contestate, nonché, la tracciatura degli accessi effettuati dall'utente nell'home banking nelle giornate del 15/01/2020, dell'attività eseguita, degli ulteriori elementi relativi agli accessi, quali Id utente, User Agent, IP, device, sistema operativo in uso. La banca ha altresì prodotto la schermata “Monitoraggio notifiche” la quale riproduce gli SMS e le notifiche push inviati il 15/01/2020 da al numero certificato del cliente “+393463097620” con CP_1 il codice OTP indispensabile al fine di autorizzare ogni singola operazione, nonché il codice di sicurezza per l'aumento dei limiti operativi nella disposizione dei bonifici bancari online. Più volte compare altresì la notifica push “E' stato eseguito un accesso al sito di da un browser non Controparte_2 utilizzato ultimamente. Non sei stato tu ? Contatta la Filiale”.
Orbene, alla luce delle risultanze istruttorie, nonché di quanto dichiarato dalla stessa n sede Pt_1 di querela, si deve ritenere che ella in data 15/1/2020, contattata telefonicamente dall'autore della truffa, in maniera incauta abbia comunicato i dati indispensabili per accedere all'home banking e rendere operativa l'APP di sul proprio Iphone, da cui sono stati disposti i bonifici fraudolenti. CP_1
Allo stesso modo, risulta che sia stata la a comunicare in tempo reale all'autore della frode il Pt_4 codice OTP (per l'attivazione del Mobile Token) e, ancor prima, le credenziali statiche (Id utente e PIN) indispensabili ad accedere all'home banking e ad operare a distanza sul conto corrente. Peraltro, si deve ritenere che, a fronte della enorme diffusione di truffe informatiche bancarie della stessa tipologia di quella in oggetto, dell'attenzione dedicata al fenomeno da parte di molteplici campagne informative volte a prevenire la vittimizzazione degli utenti, l'imprudenza della el fornire le Pt_1 proprie credenziali a terzi nel contesto della truffa organizzata in suo danno non sia scusabile, giacché l'impiego di una media diligenza da parte dell'attore sarebbe stata sufficiente ad evitare il verificarsi dell'illecito.
D'altra parte, tali comunicazioni tra cui le notifiche push che l'avvisavano che fosse stato “eseguito un accesso al sito di da un browser non utilizzato ultimamente. Non sei stato tu ? Controparte_2
Contatta la Filiale” nonché il tentativo di connessione da un telefono Android e non l'Iphone della erano certamente idonee a instillare il sospetto della frode in corso. Pt_1
Pertanto, le stesse avrebbero dovuto condurre l'odierna attrice innanzitutto ad astenersi dal fornire a terzi i propri codici personali;
in secondo luogo, a rendere immediatamente noto alla banca l'accaduto, consentendo all'istituto di credito di intervenire tempestivamente e di sventare il perfezionamento della truffa con l'adozione di ulteriori misure di sicurezza a tutela del rapporto bancario colpito, tra cui il blocco cautelativo del conto corrente e/o il recall delle illegittime operazioni di pagamento.
Ed effettivamente, risulta agli atti ed è stato confermato anche dalle attrici che la reale CP_1
ha chiamato la la sera stessa invitandola a presentarsi in Filiale a seguito dei bonifici
[...] Pt_1 sospetti nei confronti di ”. CP_4 CP_4
Per le ragioni di cui sopra, deve ritenersi che abbia dato prova, ex art. 2727 Controparte_1
c.c., dell'inadempimento sorretto da colpa grave, da parte di , dell'onere di custodia Parte_1 delle credenziali di sicurezza personalizzate, nonché dell'obbligo di comunicazione alla banca dell'uso non autorizzato dello strumento di pagamento, posti a carico dello stesso dall'art. 7 del d.lgs. 11/2010.
Deve inoltre ritenersi che la banca abbia provato, altresì, di aver predisposto le misure più idonee a garantire la tutela del cliente e ad evitare l'utilizzo abusivo dello strumento di pagamento da parte di terzi non autorizzati, tramite l'adozione di un sistema di autenticazione a due fattori delle operazioni dispositive adeguato allo stato dell'arte, il cui regolare funzionamento è stato di fatto vanificato dalla condotta negligente della da ultimo, tramite l'utilizzo di un sistema informativo idoneo a Pt_1 comunicare in tempo reale al cliente le operazioni gestorie e le movimentazioni del conto corrente, i cui alert, tuttavia, sono stati colpevolmente ignorati dall'attore.
- Conclusioni
Per i motivi sopra esposti, deve escludersi la responsabilità di per la perdita Controparte_1 derivata dalle disposizioni di pagamento in contestazione, giacché dal quadro probatorio risulta, con ragionevole certezza, che l'utilizzo abusivo dello strumento di pagamento da parte di terzi sia riconducibile alla condotta gravemente colposa della correntista , con conseguente Parte_1 rigetto delle domande proposte.
Le spese di lite, liquidate come da dispositivo, seguono la soccombenza e, pertanto, sono poste a carico delle attrici.
P.Q.M
Il Giudice Unico del Tribunale di Roma, definitivamente pronunciando, ogni contraria istanza, eccezione e deduzione disattesa, nel contraddittorio tra le parti, così provvede:
- respinge le domande formulate da e Parte_1 Parte_2 nei confronti di
[...] Controparte_5
- condanna al pagamento in favore Parte_1 Parte_2 di delle spese di lite che liquida in complessivi € 3.850,00 per Controparte_5 compensi professionali, oltre spese generali, IVA e CPA come per legge.
Così deciso in Roma, in data 14.02.2025
Il Giudice
Dr.ssa Flora Mazzaro
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO DI ROMA
SEZIONE XVI CIVILE
Il Tribunale, in persona del Giudice Unico, dott.ssa Flora Mazzaro, ha emesso la seguente
S E N T E N Z A
nella causa civile di I grado iscritta al n. 2738 del ruolo generale per gli affari contenziosi dell'anno 2021, e vertente
T R A
e Parte_1 Parte_2
Con l'avv. Sabrina Mariani che la rappresenta e difende in virtù di procura in calce all'atto di citazione, ed elettivamente domiciliata presso lo studio sito in Roma, in via Gregorio VII n. 186
ATTRICI
E
in persona del l.r.p.t. Controparte_1
Con l'avv. Luca Stazi, che la rappresenta e difende in forza di procura in calce alla comparsa di costituzione, ed elettivamente domiciliata presso il proprio studio in Roma, Corso Vittorio Emanuele II n. 173
CONVENUNTO
OGGETTO: Contratti bancari
PREMESSO IN FATTO CHE:
Con atto di citazione notificato il 15.12.2020, le sig.re e Parte_1 Parte_2
citavano la davanti al Tribunale Civile di Roma, al fine di
[...] Controparte_2 accertare l'illegittimità del comportamento tenuto dalla resistente e per Controparte_3
l'effetto, dichiarare ed accertare il diritto delle attrici alla restituzione delle somme oggetto delle pratiche di disconoscimento.
A fondamento delle proprie domande, le attrici esponevano: - di essere contitolari dei rapporti di conto corrente n. 801216 e 2623 e che su quest'ultimo era stata emessa la carta di credito n. 53988320109021684, con la precisazione che i suddetti conti correnti avevano sempre avuto un saldo positivo ed erano attivi, essendo stati accreditati sugli stessi il pagamento di stipendi e rate di mutui ipotecari e finanziamenti, nonché la domiciliazione di utenze;
- che la era in possesso dei numeri delle loro utenze telefoniche e che il 15/1/2020 la CP_2 Pt_1 aveva ricevuto sulla propria utenza di telefonia mobile un SMS proveniente asseritamente da “
[...]
” con cui le veniva richiesto di mettersi in contatto con un numero telefonico CP_1 corrispondente all'ufficio prevenzione frodi (n. 02/87177052);
- di avere, quindi, chiamato il numero sopra indicato ed una voce guidata l'aveva invitata ad attendere per essere messa in contatto con un operatore bancario;
- che il sedicente impiegato della banca l'aveva avvisata che era in corso un tentativo di frode sull'utilizzo della sua carta di credito n. 53988320109021684 dalla Bulgaria;
quindi, l'operatore le aveva suggerito di procedere al blocco carta e, ricevuto l'assenso, riferiva di procedere con tale operazione;
- che l'operatore comunicava che il tentativo di prelievo stava proseguendo direttamente sul conto n. 2623 e che erano in corso dei bonifici.
- che l'aveva invitata ad utilizzare l'applicazione della banca sul telefono cellulare per bloccare l'invio dei bonifici;
- che, non essendovi riuscita, in quanto riceveva come risposta “errore sistema”, la ra stata Pt_1 invitata dal sedicente operatore bancario a fornirgli le credenziali di accesso al conto corrente online per completare l'operazione di blocco;
- che, contemporaneamente alla conversazione telefonica di cui sopra, pervenivano SMS all'utenza telefonica mobile della i avviso che erano in atto l'esecuzione di bonifici non autorizzati dal Pt_1 proprio conto corrente fino allo svuotamento e la ricorrente, nel frattempo, era stata avvisata che analoghe operazioni erano in corso anche sull'altro conto corrente a lei intestato;
- che l'operatore la informava che tutti i bonifici erano stati bloccati e che le somme sarebbero state riaccreditate entro 72 ore;
- che la sera stessa la aveva ricevuto una chiamata della sulla sua utenza di cellulare Pt_1 CP_2
e l'operatore la informava che vi erano stati tentativi di frode per forzare la sua carta di credito;
-che aveva comunicato all'operatore quanto accaduto al mattino e veniva informata che non vi erano operazioni di blocco della carta di credito o dei conti, né tentativi in corso di recupero delle somme, ma di recarsi presso la filiale;
- che la mattina successiva, recatasi presso la filiale bancaria, aveva appreso che la carta di credito a lei intestata non era stata bloccata e che non vi era stata alcuna operazione di recupero delle somme oggetto dei bonifici bancari illecitamente eseguiti, e che di conseguenza era stata vittima di una truffa;
- di avere quindi compilato il modulo di disconoscimento delle operazioni di cui sopra e la banca le aveva riaccreditato le somme sui conti correnti sopra indicati;
- che il 1°/4/2020, a seguito di consultazione del conto corrente n. 2623 on line, la aveva Pt_1 riscontrato l'addebito di € 25.975,25, che aveva portato il conto corrente in rosso, così come anche il conto corrente n. 801216 era stato portato in rosso dall'addebito di € 22.659,48 senza alcuna causale;
Tanto premesso, e deducevano l'illegittimità della Parte_1 Parte_2 condotta della banca poiché, a causa della omessa sorveglianza sulle operazioni eseguite in modo fraudolento sui suoi conti correnti, non aveva impedito la perpetrazione della truffa sopra descritta in loro danno, rappresentando il pericolo grave ed irreparabile che sarebbe loro derivato dalla segnalazione dei propri nominativi alla Centrale dei rischi a causa del saldo negativo dei conti correnti delle ricorrenti. Per questo motivo rappresentavano altresì di avere introdotto ricorso ex art. 700 c.p.c. per la tutela cautelare.
Così concludeva: “Piaccia all'Ill.mo Tribunale adito, rigettata ogni contraria istanza, deduzione ed eccezione, voglia accertare l'illegittimità del comportamento tenuto dalla resistente Controparte_3
, per l'effetto, dichiarare ed accertare il diritto delle attrici alla restituzione delle somme oggetto
[...] delle pratiche di disconoscimento e, per l'effetto accertare e dichiarare l'illegittimità degli addebiti eseguiti sui conti correnti e sulla carta di credito per Euro 49.938,44 eseguito in data 30/3/20 e con storno di tutti gli interessi e spese e qualsivoglia altra somma ad esse relative e con condanna dell'istituto bancario al risarcimento dei danni subiti e subendi dalle attrici i che si quantificano in Euro 15.000,00 a favore di ciascuna ovvero alla somma che sarà ritenuta di giustizia. Con vittoria di spese, competenze e onorari del presente giudizio”
^^^^^
La costituitasi con autonoma comparsa, chiedeva il rigetto delle domande Controparte_1 attoree, dando atto di aver agito in conformità della legge e di non essere responsabile delle attività fraudolente poste in essere nei confronti delle sig.re e Parte_1 Parte_2
.
[...]
In particolare, veniva dedotto che:
- il ricorso d'urgenza proposto dalle attrici avente R.G. 42385/2020 era stato rigettato in quanto difettavano i presupposti per la tutela cautelare richiesta, sia nel fumus che nel periculum “ in mancanza di colpa ascrivibile alla resistente [ la ] in ordine alle operazioni CP_2 poste in essere sui conti correnti di cui sopra con illecito utilizzo delle credenziali della ; Pt_1
- le attrici avevano concluso con Intesa Sanpaolo S.p.A. i contratti n. 21333997 e n. Pt_3
43194777, con cui avevano ottenuto dalla Banca le c.d. credenziali per poter operare a distanza tramite internet banking, sul conto corrente n. 801216, cointestato ad entrambe le ricorrenti, e sul conto corrente n. 2623, intestato soltanto alla sia tramite computer Pt_1 che tramite la specifica applicazione mobile My-Key;
- i contratti sopra descritti prevedevano l'obbligo del cliente di non consegnare a terzi i codici di accesso al sistema di home banking, conformemente alla disciplina di cui al D.Lgs. 27/1/2010, n. 11, di attuazione della direttiva 20007/64/CE, relativa ai servizi di pagamento nel mercato interno e recante modifica delle direttive nn. 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE e abrogativa della direttiva 97/5/CE; - la sig.ra aveva dichiarato in sede di querela ed esposto nell'atto di citazione che il Pt_1 giorno 15.1.2020 aveva comunicato a terzi i codici per accedere, tramite app, ai propri conti correnti in corso con;
Controparte_2
- conseguentemente i bonifici e gli addebiti sulla carta di credito restavano imputabili integralmente alla correntista, perché la loro emissione non era la conseguenza di una falla del sistema di sicurezza, ma esclusivamente del comportamento gravemente colposo della sig.ra responsabile di aver comunicato a uno sconosciuto sia le proprie credenziali Pt_1 di accesso all'internet banking (c.d. password statiche), che i corrispondenti messaggi autorizzativi (c.d. password dinamiche, One Time Password e One Time Sms).
- Pertanto, la banca escludeva di aver agito con colpa, denunziando al contrario la condotta gravemente colposa della cliente che, peraltro, dopo aver ottenuto in restituzione, ma salvo buon fine, le somme relative alle operazioni disconosciute, in data 7/2/2020 avevano provveduto a prelevare Euro 23.000,00 dal c/c 2623 ed Euro 20.000,00 dal c/c 801216 tramite l'emissione di assegni circolari.
- Infine, la banca eccepiva la rilevanza del comportamento colposo della nche ai sensi Pt_1 dell'art. 1227, 1° comma, c.c., sì da escludere il diritto al risarcimento del danno anche nella denegata ipotesi di accertamento di una corresponsabilità della convenuta.
Così concludevano: ““piaccia al Tribunale adito, ogni contraria istanza respinta:
- in via principale:
a) rigettare ogni domanda di parte attrice perché infondata in fatto e in diritto, anche ai sensi dell'art. 1227, 1° comma, c.c.
- in via subordinata:
b) rigettare ogni domanda di parte attrice perché infondata in fatto e in diritto ai sensi dell'art. 1227, 2° comma, c.c.
Con vittoria di spese, competenze e onorari di giudizio, oltre spese generali in misura forfettaria ed oltre oneri fiscali”
^^^^^
La causa veniva istruita mediante l'esame della documentazione prodotta dalle parti e all'udienza del 16.10.2023 la causa veniva trattenuta in decisione con termini di rito per il deposito delle comparse conclusionali e delle memorie di replica.
IN DIRITTO
La domanda formulata da e è infondata e, Parte_1 Parte_2 pertanto, deve essere respinta.
- Delimitazione del thema decidendum ed esame delle risultanze istruttorie Giova evidenziare, ai fini della delimitazione del thema decidendum, che le attrici nel presente giudizio hanno chiesto accertarsi la responsabilità di per l'effettuazione, ad Controparte_1 opera di soggetti ignoti, di n. 5 bonifici per la somma complessiva di € 49.938,44, emessi il 15/01/2020 dai conti correnti n. 801216 e 2623 nei confronti di “ ”. Conseguentemente, Controparte_4 le attrici hanno domandato all'istituto di credito la restituzione della somma corrispondente alla perdita subita, dichiarando il proprio incolpevole coinvolgimento nella frode bancaria informatica di cui trattasi.
ha invece contestato le domande attoree e ha domandato l'integrale rigetto Controparte_1 della stessa, sostenendo il concorso colposo di e Parte_1 Parte_2 nella causazione dell'evento lesivo e, pertanto, l'insussistenza del diritto delle attrici al
[...] rimborso della perdita subita a causa dei bonifici fraudolenti.
Orbene, l'analisi della fattispecie concreta, effettuata considerando le peculiari dinamiche della frode informatica bancaria descritta dalla ha evidenziato rilevanti profili di responsabilità a carico Pt_1 delle attrici, come di seguito illustrato.
Preliminarmente, deve rilevarsi che i contratti n. 21333997 e n. 43194777 stipulati dalle Pt_3 ricorrenti con la resistente regolano in modo espresso la custodia delle credenziali di accesso al servizio di home banking e riproducono essenzialmente lo schema normativo del D.lgs. n. 11/2010, del tutto applicabile alla fattispecie in esame. Deve inoltre rilevarsi, considerate le allegazioni delle parti, che entrambe fossero concordi nel ritenere che le operazioni dispositive a distanza in relazione ai conti correnti in oggetto avrebbero dovuto essere eseguite tramite un sistema di autenticazione forte del cliente denominato “a due fattori”, che prevede l'utilizzo congiunto di credenziali statiche e di credenziali dinamiche consistenti in codici temporanei generati tramite token, da parte del correntista, unico depositario dei predetti codici.
Ciò, conformemente a quanto stabilito dall'art. 10 bis del d.lgs. n. 11/2010. Tale provvedimento normativo, attuativo della direttiva 2007/64/CE (c.d. PSD1), da ultimo novellato con il d.lgs. n. 218/2017, emanato per recepire la nuova direttiva relativa ai servizi di pagamento 2015/2366/UE in vigore dal 13 gennaio 2018 (c.d. PSD2), individua in relazione all'utilizzo degli strumenti di pagamento elettronici e/o tramite canali a distanza che possano comportare un rischio di frode o di altri abusi, gli obblighi posti a carico del prestatore dei servizi e quelli gravanti sull'utente.
Quest'ultimo, ai sensi dell'art. 7, è tenuto: “ad utilizzare gli strumenti di pagamento secondo i termini d'uso pattuiti con il prestatore dei servizi ed esplicitati nel contratto quadro;
a comunicare allo stesso, non appena ne venga a conoscenza, lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento di pagamento, al fine di consentirne il blocco;
ad adottare tutte le misure idonee a proteggere dall'altrui ingerenza i dispositivi di accesso personalizzati, tra cui le credenziali di sicurezza personalizzate”.
In base al successivo art. 12 c. 3, “qualora l'utente dei servizi di pagamento violi uno dei suddetti obblighi con dolo o colpa grave o agisca in modo fraudolento, assume la responsabilità delle perdite relative all'utilizzo abusivo dello strumento di pagamento, per intero;
diversamente, ha diritto di ottenere dal prestatore dei servizi il rimborso della somma illecitamente sottrattagli, al netto di una franchigia di 50 euro, da applicarsi in caso “di operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita”. Quindi, come espressamente previsto dall'art 10 c. 2 d.lgs. 11/2010, il prestatore di servizi di pagamento può escludere la propria responsabilità per l'utilizzo non autorizzato dello strumento di pagamento ad opera di terzi, provando la frode dell'utilizzatore o il suo inadempimento per dolo o colpa grave, che costituiscono fatti impeditivi del risarcimento del danno ex art. 2697 c. 2 c.c.
Del resto, anche la giurisprudenza di legittimità ha affermato che “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente” (cfr. Cass. 05/07/2019, n. 18045). Specularmente, il d.lgs. n. 11/2010 pone anche a carico del gestore dei servizi di pagamento il rispetto di obblighi determinati, tra i quali rientrano: l'obbligo di assicurare, tramite l'adozione delle misure più idonee alla luce dello sviluppo tecnologico, che i dispositivi personalizzati per l'utilizzo dello strumento di pagamento non siano accessibili a soggetti diversi dall'utilizzatore legittimato (art. 8 c. 1 lett. a); l'obbligo di assicurare che siano sempre disponibili gratuitamente strumenti adeguati affinché l'utilizzatore possa effettuare la comunicazione di cui all'art. 7 c. 1 lett. b (art. 8 c. 1 lett. c); l'obbligo di impedire l'utilizzo dello strumento di pagamento in seguito al blocco (art. 8 c. 1 lett. d); l'obbligo di attuare l'autenticazione forte del cliente, quando l'utente accede al suo conto di pagamento online, dispone un'operazione di pagamento elettronico o effettua qualsiasi azione tramite un canale di pagamento a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi (art. 10 bis c. 1).
Di talché, per far sì che l'utilizzatore sopporti le perdite derivate da un uso illegittimo dello strumento di pagamento ad opera di terzi, non è sufficiente che il prestatore del servizio dia prova di una condotta fraudolenta o dell'inadempimento degli obblighi ex art 7 d.lgs 11/2010 sorretto da dolo o colpa grave del cliente, dovendo altresì dimostrare, preventivamente, di aver adempiuto i doveri di tutela del cliente prescritti a suo carico dal decreto (cfr. Cass. 26/11/2020, n. 26916; da ultimo, Cass. 12/2/2024, n. 3780). L'art. 10 c. 1 d.lgs. 11/2010 afferma infatti che, qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione già eseguita “è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti”.
In conclusione, è possibile affermare che l'imputazione di responsabilità all'utilizzatore dello strumento di pagamento, ex art. 12 c. 3 d.lgs 11/2010, presuppone che l'istituto di credito raggiunga una duplice prova, ossia: quella di aver usato un elevato grado di diligenza nell'adempimento dei propri oneri e quella che dimostri, con sufficiente grado di attendibilità giuridica, l'inadempimento degli obblighi del cliente dovuto a frode, dolo o colpa grave.
^^^^^
Nel caso di specie, , a riprova della condotta negligente imputata all'attore, nonché, Controparte_1
a sostegno della regolarità formale delle operazioni fraudolente, ritenute correttamente autenticate, registrate e contabilizzate, oltreché eseguite secondo un sistema di autenticazione a due fattori conforme allo stato dell'arte, ha prodotto in atti il file log contenenti la tracciatura delle operazioni contestate, nonché, la tracciatura degli accessi effettuati dall'utente nell'home banking nelle giornate del 15/01/2020, dell'attività eseguita, degli ulteriori elementi relativi agli accessi, quali Id utente, User Agent, IP, device, sistema operativo in uso. La banca ha altresì prodotto la schermata “Monitoraggio notifiche” la quale riproduce gli SMS e le notifiche push inviati il 15/01/2020 da al numero certificato del cliente “+393463097620” con CP_1 il codice OTP indispensabile al fine di autorizzare ogni singola operazione, nonché il codice di sicurezza per l'aumento dei limiti operativi nella disposizione dei bonifici bancari online. Più volte compare altresì la notifica push “E' stato eseguito un accesso al sito di da un browser non Controparte_2 utilizzato ultimamente. Non sei stato tu ? Contatta la Filiale”.
Orbene, alla luce delle risultanze istruttorie, nonché di quanto dichiarato dalla stessa n sede Pt_1 di querela, si deve ritenere che ella in data 15/1/2020, contattata telefonicamente dall'autore della truffa, in maniera incauta abbia comunicato i dati indispensabili per accedere all'home banking e rendere operativa l'APP di sul proprio Iphone, da cui sono stati disposti i bonifici fraudolenti. CP_1
Allo stesso modo, risulta che sia stata la a comunicare in tempo reale all'autore della frode il Pt_4 codice OTP (per l'attivazione del Mobile Token) e, ancor prima, le credenziali statiche (Id utente e PIN) indispensabili ad accedere all'home banking e ad operare a distanza sul conto corrente. Peraltro, si deve ritenere che, a fronte della enorme diffusione di truffe informatiche bancarie della stessa tipologia di quella in oggetto, dell'attenzione dedicata al fenomeno da parte di molteplici campagne informative volte a prevenire la vittimizzazione degli utenti, l'imprudenza della el fornire le Pt_1 proprie credenziali a terzi nel contesto della truffa organizzata in suo danno non sia scusabile, giacché l'impiego di una media diligenza da parte dell'attore sarebbe stata sufficiente ad evitare il verificarsi dell'illecito.
D'altra parte, tali comunicazioni tra cui le notifiche push che l'avvisavano che fosse stato “eseguito un accesso al sito di da un browser non utilizzato ultimamente. Non sei stato tu ? Controparte_2
Contatta la Filiale” nonché il tentativo di connessione da un telefono Android e non l'Iphone della erano certamente idonee a instillare il sospetto della frode in corso. Pt_1
Pertanto, le stesse avrebbero dovuto condurre l'odierna attrice innanzitutto ad astenersi dal fornire a terzi i propri codici personali;
in secondo luogo, a rendere immediatamente noto alla banca l'accaduto, consentendo all'istituto di credito di intervenire tempestivamente e di sventare il perfezionamento della truffa con l'adozione di ulteriori misure di sicurezza a tutela del rapporto bancario colpito, tra cui il blocco cautelativo del conto corrente e/o il recall delle illegittime operazioni di pagamento.
Ed effettivamente, risulta agli atti ed è stato confermato anche dalle attrici che la reale CP_1
ha chiamato la la sera stessa invitandola a presentarsi in Filiale a seguito dei bonifici
[...] Pt_1 sospetti nei confronti di ”. CP_4 CP_4
Per le ragioni di cui sopra, deve ritenersi che abbia dato prova, ex art. 2727 Controparte_1
c.c., dell'inadempimento sorretto da colpa grave, da parte di , dell'onere di custodia Parte_1 delle credenziali di sicurezza personalizzate, nonché dell'obbligo di comunicazione alla banca dell'uso non autorizzato dello strumento di pagamento, posti a carico dello stesso dall'art. 7 del d.lgs. 11/2010.
Deve inoltre ritenersi che la banca abbia provato, altresì, di aver predisposto le misure più idonee a garantire la tutela del cliente e ad evitare l'utilizzo abusivo dello strumento di pagamento da parte di terzi non autorizzati, tramite l'adozione di un sistema di autenticazione a due fattori delle operazioni dispositive adeguato allo stato dell'arte, il cui regolare funzionamento è stato di fatto vanificato dalla condotta negligente della da ultimo, tramite l'utilizzo di un sistema informativo idoneo a Pt_1 comunicare in tempo reale al cliente le operazioni gestorie e le movimentazioni del conto corrente, i cui alert, tuttavia, sono stati colpevolmente ignorati dall'attore.
- Conclusioni
Per i motivi sopra esposti, deve escludersi la responsabilità di per la perdita Controparte_1 derivata dalle disposizioni di pagamento in contestazione, giacché dal quadro probatorio risulta, con ragionevole certezza, che l'utilizzo abusivo dello strumento di pagamento da parte di terzi sia riconducibile alla condotta gravemente colposa della correntista , con conseguente Parte_1 rigetto delle domande proposte.
Le spese di lite, liquidate come da dispositivo, seguono la soccombenza e, pertanto, sono poste a carico delle attrici.
P.Q.M
Il Giudice Unico del Tribunale di Roma, definitivamente pronunciando, ogni contraria istanza, eccezione e deduzione disattesa, nel contraddittorio tra le parti, così provvede:
- respinge le domande formulate da e Parte_1 Parte_2 nei confronti di
[...] Controparte_5
- condanna al pagamento in favore Parte_1 Parte_2 di delle spese di lite che liquida in complessivi € 3.850,00 per Controparte_5 compensi professionali, oltre spese generali, IVA e CPA come per legge.
Così deciso in Roma, in data 14.02.2025
Il Giudice
Dr.ssa Flora Mazzaro