TRIB
Sentenza 28 dicembre 2025
Sentenza 28 dicembre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Roma, sentenza 28/12/2025, n. 18102 |
|---|---|
| Giurisdizione : | Trib. Roma |
| Numero : | 18102 |
| Data del deposito : | 28 dicembre 2025 |
Testo completo
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE ORDINARIO DI ROMA
SEDICESIMA SEZIONE CIVLE in persona del giudice dott. Vincenzo Giuliano, ha pronunciato la seguente
SENTENZA nella causa civile di primo grado, iscritta al n.3623 del ruolo generale per gli affari contenziosi dell'anno 2022, posta in deliberazione all'udienza del 05.06.2025 per la decisione ai sensi dell'art. 281 sexies c.p.c., e vertente
TRA
(C.F.: , elettivamente domiciliata in Lecce, Parte_1 C.F._1 presso lo studio dell'Avv. Luigi Pedone che la rappresenta, difende ed assiste in virtù di mandato in calce all'atto di citazione;
Parte attrice
E
P.IVA ), rappresentata e Controparte_1 P.IVA_1 difesa dal Prof. Avv. Riccio Giovanni Maria ed elettivamente domiciliata presso il suo
Studio in Roma, Via dei Barbieri, 6, giusta procura speciale allegata alla busta di deposito;
- Parte convenuta -
Conclusioni come da verbale del 05.06.2025.
Parte attrice: “accertare e dichiarare la violazione degli artt. 8 e 11 d.lgs. n. 11 del
27/01/2010, attuativo ella direttiva 2007/ce/64; accertare e dichiarare la responsabilità da attività pericolosa (ex art. 2050 c.c.) di " in Controparte_1 persona del suo L.R.P.T., in ordine all'operazione del 04/11/2020, avvenuta in danno della sig.ra per tutti i suesposti motivi;
in subordine, accertare e Parte_1 dichiarare la responsabilità ex art. 1218 in relazione con gli artt. 1710, 1856 e 1176 II comma e ss. c.c. di " in persona del suo L.R.P.T., in Controparte_1 ordine all'operazione del 04/11/2020, avvenuta in danno della sig.ra ; Parte_1 per l'effetto condannare " in persona del suo L.R.P.T. Controparte_1
a rimborsare, stornare e/o riaccreditare in favore della sig.ra , la somma Parte_1 di euro 9.876,00 s.e.o., oltre rivalutazione monetaria ed interessi legali a far data dall'evento dannoso;
in subordine condannare la convenuta banca al risarcimento dei danni patrimoniali ex artt. 1218 c.c., quantificati in euro 9.786,00; condannare la convenuta al pagamento di spese e competenze del presente giudizio”.
Parte convenuta: “- in via preliminare, accogliere la formulata eccezione di improcedibilità della domanda per mancato esperimento del procedimento obbligatorio di mediazione e, per l'effetto, dichiarare il giudizio improcedibile con ogni conseguenza di legge;
- nel merito, respingere, perché infondate in fatto e in diritto, tutte le domande formulate da parte attrice per le ragioni dedotte in narrativa;
- in ogni caso, con vittoria di spese e competenze di causa.”.
RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
In via di premessa si osserva che gli art.132 cpc e 118 disp att.cpc prevedono che la sentenza deve contenere decisione> la quale delle ragioni giuridiche della decisione, anche con riferimento a precedenti conformi>, così che debba ritenersi conforme al modello normativo richiamato (il quale prevede la sinteticità della motivazione quale corollario del dovere di assicurare la ragionevole durata del processo) la motivazione c.d. per relationem (cfr., da ultimo, 26 luglio 2012 n.
13202), nonché l'esame e la trattazione nella motivazione delle sole questioni – di fatto e di diritto - “rilevanti ai fini della decisione” concretamente adottata, dovendo le restanti questioni eventualmente esposte dalle parti e non trattate dal giudice essere ritenute non come “omesse” (per l'effetto dell' error in procedendo), ma semplicemente assorbite
(ovvero superate) per incompatibilità logico-giuridica con quanto concretamente ritenuto provato dal giudicante.
Richiamati, in ordine alla ricostruzione dei profili fattuali della presente vicenda controversa, il contenuto assertivo dell'atto di citazione, quello della comparsa di costituzione e risposta nonché tutta la documentazione allegata in atti, delle memorie autorizzate e di tutti gli altri atti di causa e dei provvedimenti istruttori assunti dal giudice in corso di causa.
********* Con atto di citazione ritualmente notificato, ha convenuto in Parte_1 giudizio, innanzi a questo Tribunale, la Controparte_1 per sentirla condannare a titolo risarcitorio al pagamento della somma di € 9.876,00 in dipendenza di una truffa informatica perpetrata in suo danno per mezzo dell'applicazione
Home Banking della BNL.
L'attrice lamenta che terzi soggetti avrebbero posto in essere un'attività fraudolenta consistente nell'avere effettuato un bonifico non autorizzato per complessivi € 9.876,00 utilizzando le somme giacenti sul suo conto corrente n. 669/6489 nella filiale di Roma succursale 89. sebbene non avesse mai autorizzato tale disposizione di Pt_1 bonifico.
Stando alla ricostruzione di parte attrice, la responsabilità di tale attività fraudolenta sarebbe addebitabile alla convenuta ai sensi degli artt. 11 e 12 del D. Lgs. n. 11/2010, non avendo la convenuta BNL predisposto idonee garanzie atte a fronteggiare indebite intromissioni di terzi soggetti nel sistema informatico della banca utilizzato per effettuare l'operazione contestata.
Radicatasi la lite, si è costituita in giudizio la quale ha Controparte_1 chiesto il rigetto delle avverse domande in ragione della loro ritenuta infondatezza.
All'udienza cartolare dell'11.4.22 veniva disposta la mediazione che si concludeva con esito negativo in data 19.5.22.
Stante la natura documentale del giudizio veniva disposto rinvio per la precisazione delle conclusioni e la causa veniva rinviata al 22.4.24 per la precisazione delle conclusioni con concessione dei termini ex art. 190 c.p.c. poi rimessa sul ruolo e trattenuta per la decisione all'udienza in epigrafe indicata.
***
Il giudizio de quo verte sull'accertamento della responsabilità del prestatore di servizi di pagamento nel caso in cui il cliente abbia disconosciuto un'operazione eseguita tramite home banking, da terzi ignoti, con mezzi fraudolenti.
Pertanto, la normativa di riferimento è quella che regola le operazioni di pagamento a distanza di cui al d.lgs. 27 gennaio 2010, n. 11, modificato a seguito dell'entrata in vigore del d.lgs. 15 dicembre 2017, n. 218 (di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno).
Va osservato che il fatto generatore dell'illecito in esame è frutto di una attività fraudolenta perpetrata da terzi truffatori che mira a ottenere i dati bancari degli ignari utenti. Ebbene nel caso di specie è pacifico che il giorno 4 novembre 2020, l'odierna attrice avrebbe ricevuto sul proprio cellulare un asserito sms proveniente da un numero riconducibile a BNL che la invitava, per esigenze di sicurezza, a procedere ad un aggiornamento della propria sezione bonifici, attraverso la disposizione di un bonifico simulatorio con il supporto di un operatore specializzato. Deduce l'attrice che dopo aver inserito le credenziali di accesso al proprio home banking in un portale - a dire dell'attrice apparentemente analogo a quello della banca convenuta -, accessibile tramite il link contenuto nel citato messaggio, l'odierna attrice sarebbe stata dunque contattata telefonicamente da un sedicente operatore di BNL che l'avrebbe invitata a effettuare un bonifico al fine di aggiornare le informazioni per l'antiriciclaggio ed evitare il blocco di tutti i rapporti in essere con la banca. Lo stesso sedicente funzionario le avrebbe, inoltre, richiesto di scaricare l'applicazione TeamViewer per procedere a tale aggiornamento, e con un secondo sms (proveniente come il primo dal medesimo numero riconducibile a
BNL) le avrebbe inviato il link necessario a scaricare tale applicazione che riproduceva perfettamente la grafica di BNL. Su indicazione di tale sedicente operatore, la Sig.ra
[...] avrebbe quindi disposto un bonifico istantaneo di € 14.567,00 intestato a sé stessa Pt_1 verso un IBAN generato – a detta del sedicente operatore - in modo automatico dal sistema, all'esito del quale l'odierna attrice avrebbe ricevuto un ulteriore sms che l'avrebbe informata dell'esito negativo dell'operazione. La Sig.ra sempre su Pt_1 richiesta del medesimo operatore, avrebbe quindi effettuato un secondo bonifico istantaneo di € 9.876,00 in favore di tal ( poi identificato dalle forze Persona_1 dell'ordine come TU AN), nella convinzione che non vi sarebbe stata alcuna movimentazione banca che tale operazione fosse necessaria all'aggiornamento del sistema richiesto e che qualche ora dopo, insospettitasi per quanto accaduto, l'odierna attrice avrebbe deciso di contattare la propria filiale di riferimento che le avrebbe confermato il flusso in uscita di € 9.876,00 dal proprio conto corrente, e che nonostante la direttrice della filiale di " " di Foggia, previa conferma che il predetto Controparte_2 denaro fosse sul c/c del sig. TU AN, avesse invitato i funzionari di Banca "B.N.L. s.p.a." a procedere con un "recall" immediato della somma, la convenuta rimaneva inerte e nessuno storno veniva disposto in favore della sig.ra Parte_1
Si è costituita la lamentando che il sistema bancario era stato violato per condotta CP_1 gravemente colposa di essa parte attrice, che aveva fornito in rapida successione i codici di accesso rispondendo a ben due diversi sms il cui contenuto fraudolento emergeva all'evidenza. Specifica la banca, che nel rispondere alle mail parte attrice aveva fornito i codici di accesso (codice utente e password) e che il sistema di sicurezza fornito cd. a doppio accesso era sofisticato e sicuro, nonchè conforme ai massimi livelli di sicurezza richiesti ed esigibili (OTP one time password o password usa e getta, protezione di secondo livello). Ha chiesto, dunque, il rigetto della domanda, vinte le spese.
Tanto premesso, sulla base della prospettazione e delle difese delle parti è evidente che parte attrice è stata vittima di un'aggressione informatica c.d. “phishing”.
Il termine phishing sta a indicare una serie di tecniche volte a captare i dati e codici personali di carte di credito, bancomat e internet banking al fine di sottrarne il denaro dei correntisti.
La Corte di Cassazione ha esposto il principio in base al quale, in caso di truffa telematica,
è la banca che deve dimostrare di aver fatto tutto il possibile, secondo il criterio della diligenza professionale, per scongiurare la frode, servendosi di un sistema informatico adeguato ai rischi. Al correntista spetta solo dimostrare di aver subito il prelievo illegittimo e quindi il danno, mentre l'istituto di credito risponde delle conseguenze derivanti dal non essere stata in grado di impedire a terzi di introdursi illecitamente nel sistema telematico captando i codici d'accesso del correntista. La banca, per liberarsi da responsabilità, deve dimostrare che il furto non le sia imputabile per trascuratezza, errore o frode del correntista o per forza maggiore (ad es. dimostrando che il correntista non è stato in grado di conservare in modo diligente le credenziali). Spetta alla banca, dunque, adottare tutte le misure di sicurezza necessarie (Cass. sent. n. 2950, 3.02.2017; in tempi più recenti vedi anche Cassazione civile, sez. VI-1, ordinanza 12/04/2018 n° 9158: “Nel caso di operazioni effettuate con strumenti elettronici (home banking), spetta all'istituto di credito verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell'“accorto banchiere”. L'eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o
a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”; Ancora nella giurisprudenza di merito: “Nel caso di operazioni effettuate con strumenti elettronici
(home banking), spetta all'istituto di credito verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell'accorto banchiere. L'eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Di conseguenza, qualora si verifichi un accesso non autorizzato o l'impiego dei dati raccolti per finalità non conformi alla legge, il gestore risponde ex art. 2050 c.c.. Si tratta di una forma di responsabilità oggettiva "aggravata", in cui il prestatore del servizio, per andare esente da responsabilità, non deve solo dimostrare di aver adottato tutte le misure idonee ad evitare il danno (cosiddetta "prova liberatoria"), ma è tenuto a fornire la prova positiva di una causa esterna. Può trattarsi di fatto naturale, di fatto del terzo o di fatto dello stesso danneggiato che, per imprevedibilità ed inevitabilità, sfugge alla sfera di controllo dell'esercente l'attività pericolosa”).
Così esposti i principi di diritto applicabili alla specie, va evidenziato che nella specie non
è contestato il ricevimento da parte del correntista di ben due messaggi sms pervenuti in data 04.11.2020 nel telefono cellulare del correntista, all'apparenza provenienti dalla banca convenuta, ai quali l'utente ha risposto inserendo le credenziali di utilizzo del suo conto tramite internet. Va sottolineato sin da ora che il contenuto fraudolento dei messaggi emerge all'evidenza, la cui riconducibilità a BNL veniva contestata dalla banca convenuta come riportato in comparsa e che l'attrice non ha contestato con la prima memoria istruttoria. Parimenti non è in contestazione l'utilizzo del sistema di protezione
OTP one time password o password usa e getta, protezione di secondo livello ovverosia l'utilizzo della banca di un sistema di autenticazione forte multifattoriale, c.d. Strong
Customer Authentication, conforme a quanto richiesto dalla disciplina vigente in materia, cioè attraverso l'utilizzo di una combinazione di credenziali statiche (codice utente e PIN, noti solo al cliente) e dinamiche, rappresentate dalla c.d. One Time Password (codice
OTP), generata in modo silente dal mobile token integrato nell'app BNL che il cliente ha attivato sul proprio device, che corrisponde al secondo fattore, quello dinamico, di autenticazione.
La fattispecie dunque è regolata dall'art. 10, comma 1, D. Lgs. n. 11/2010 (entrato in vigore il 1° marzo 2010) di recepimento della Direttiva sui servizi di pagamento nel mercato interno (Direttiva 2007/64/CE del 13.11.2007).
L'art. 8 del decreto cit. indica gli obblighi gravanti sull'emittente di uno strumento di pagamento, tra cui in primis quello di assicurare che i dispositivi personalizzati che consentono l'utilizzo di un sistema di pagamento non siano accessibili a soggetti diversi dall'utilizzatore legittimato al suo impiego;
l'art. 7 precisa gli obblighi al cui rispetto è viceversa tenuto l'utilizzatore, stabilendo che questi debba avvalersi dello strumento ricevuto nel rigoroso rispetto delle condizioni contrattuali che ne disciplinano l'emissione e l'uso, e che, tal scopo, non appena ricevuto uno strumento, debba adottare tutte le misure idonee a garantire la sicurezza dei dispositivi personalizzati che ne permettono l'impiego.
L'art. 12, comma 4, prescrive, infine, che “Qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7 con dolo o colpa grave,
l'utilizzatore sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate”.
Nel caso di specie, è pacifico che parte attrice abbia inserito le credenziali associate al proprio conto corrente per l'attivazione di una procedura di sicurezza in risposta ai messaggi anomali che ne sollecitavano la digitazione.
E' evidente allora che l'operazione abusiva contestata è stata resa possibile dal comportamento di parte attrice, che ha dato credito, come da lei stessa sostanzialmente ammesso, ad un sms costituente un evidente caso di phishing, nonostante la notorietà di tale pratica e la sua pericolosità.
Tale condotta si traduce nella violazione colpevole da parte del correntista degli obblighi di custodia dei dati identificativi e dispositivi del proprio conto. E la colpa grave è integrata dal fatto di aver dato credito ad un messaggio con profili di manifesta inaffidabilità disponendo in data 4 novembre 2020, alle ore 11:29 il bonifico istantaneo di importo pari ad € 9.876,00 verso il truffatore tale TU AN con causale “es bonifico”, firmato con Strong Customer Authetication, ovvero con PIN e OTP generato dal mobile token con id operazione 57762917 (cfr. doc. 3). Va anche aggiunto che, come già detto, non è in contestazione che il servizio home banking utilizzato dal ricorrente, era dotato di un sistema di protezione c.d. “a due fattori”, il quale prevedeva l'inserimento del codice identificativo Utente-PIN e di una password
“usa e getta” (cosiddetta one time password), generata da apposito token di sicurezza in dotazione del cliente (cfr. sia le dichiarazioni dell'attrice nella denuncia alla Polizia postale, sia la risposta della banca alla mail che le controdeduzioni della banca convenuta).
L'adozione di un sistema a “due fattori” induce a ritenere, in assenza di ulteriori indici di anomalia dell'operazione, da un lato, che la banca abbia assolto all'onere di provare l'adempimento degli obblighi su di essa gravanti ai sensi dell'art. 8 del D.lgs. n. 11/2010
e, dall'altro lato, che il cliente si sia reso gravemente inadempiente all'obbligo di custodia degli strumenti e dei codici di accesso che consentono l'utilizzo del servizio online (il sistema di protezione a doppia autenticazione, in grado di generare mutevoli password monouso, è ritenuto coerente alle indicazioni del provvedimento della Banca d'Italia adottato il 5 luglio 2011, ove si prevede che gli intermediari si attrezzino di strumenti adeguati per mitigare le minacce di natura tecnologica).
Grave essendo la colpa grave di parte attrice, non può che essere imputata anche al cliente la comunicazione dei codici segreti di accesso.
Va però vagliato il diverso profilo di diligenza della banca in punto di omessa segnalazione, anche automatica, di movimentazione sospetta sul conto.
Deve, allora, vagliarsi la diversa questione del grado di diligenza dell'intermediario richiesto con riferimento alla prestazione di servizi bancari per via telematica anche sotto il profilo specifico dell'anomalo prelievo.
Secondo la consolidata giurisprudenza in materia, e già sopra richiamata, l'attività bancaria, in quanto attività riservata, deve sottostare al canone di diligenza previsto dall'art. 1176, comma 2, c.c. (“diligenza dell'accorto banchiere”) con conseguente adozione di tutte le cautele necessarie. Come è noto, la diligenza professionalmente qualificata cui fa riferimento il secondo comma dell'art. 1176 c.c. deve essere parametrata alle specificità tecnico-scientifiche della professione esercitata, trattandosi di nozione superiore e più specifica di quella relativa al buon padre di famiglia, richiamata dal primo comma dello stesso articolo. L'adempimento dell'obbligazione, quindi, deve avvenire con la diligenza “del regolato ed accorto professionista” (banchiere, nel caso che ne occupa), pena il risarcimento dei danni secondo i normali canoni della responsabilità contrattuale.
Per gli aspetti che qui interessano, tale parametro rileva in relazione alla specificità del servizio bancario oggetto di contestazione (home banking) che implica l'utilizzazione del canale telematico e l'uso di codici dispositivi.
In particolare, la valutazione coinvolge l'adeguatezza - considerati gli standard esistenti
- dei presidi tecnici adottati dall'intermediario per rendere sicure le transazioni on-line da attacchi di pirateria informatica.
Su questo aspetto si è già sopra detto, essendo stato utilizzato un sistema di sicurezza a due fattori.
Ma residua sicuramente anche la verifica dell'andamento anomalo del rapporto.
Non può sottacersi che in un solo pochi minuti sono state effettuate n. 2 transazioni di rilevanti importi (€ 24.443,00 anche se il primo intestato a sé stessa) dei quali uno solo
(quello di € 9.876,00 ) andato a buon fine, che hanno determinato prelievi assolutamente non in linea con l'operatività ordinaria dell'attrice; ciò induce a considerare “anomale” tale operazioni per l'importo, il beneficiario e la frequenza.
Di ciò avrebbe dovuto avvedersi l'intermediario, non certo monitorando direttamente ogni singola operazione, ma predisponendo sistemi automatici di blocco delle operazioni da postazione remota in presenza di comportamenti decisamente non in linea con l'operatività corrente del proprio cliente.
Del resto, proprio il c.d. “Decalogo ABI”, tra l'altro, consiglia agli intermediari di predisporre strumenti di monitoraggio delle transazioni dei propri conti on-line, in modo da evidenziare eventuali comportamenti anomali (A.B.F. Decisione N. 1030 del 04 ottobre 2010).
Ciò, nel caso di specie, non è avvenuto e, di conseguenza, l'intermediario che non abbia predisposto idonei strumenti per evidenziare e/o bloccare automaticamente comportamenti che siano evidentemente anomali non può andare esente da responsabilità.
Conclusivamente nel caso al vaglio sussiste un concorrente responsabilità delle parti contrattuali: una responsabilità del cliente in relazione alla mancata diligente custodia dei codici d'accesso al servizio di home banking, dall'altro lato una responsabilità della banca intermediaria che non ha predisposto adeguati sistemi, anche automatici (il che svaluta una condotta non tempestiva o erronea di tentata segnalazione del cliente) per proteggere più efficacemente i propri clienti con riferimento al rischio di truffe perpetrate per via telematica, nonché per evidenziare e/o monitorare comportamenti anomali e/o sospetti in relazione al medesimo servizio.
Appare equo ripartire tale responsabilità nella misura del 70% in capo al cliente e nella misura del 30% in capo alla convenuta. CP_1
La banca va, dunque, condannata a risarcire il danno parametrato al denaro indebitamente prelevato ridotto al 70%: € 2.962,80.
L'esito della lite giustifica la compensazione al 50% delle spese di lite;
la va CP_1 condannata a rifondere a parte attrice la residua metà, liquidata come in dispositivo, tenendo conto del decisum, dell'assenza di attività istruttoria.
P.Q.M.
Il Tribunale, in parziale accoglimento della domanda, così provvede:
1.condanna la banca a corrispondere agli attori la somma di € 2.962,00 a titolo di danno, oltre interessi dalla domanda al saldo;
2.compensa le spese per la metà e condanna la al pagamento in favore di parte CP_1 attrice della residua metà, liquidata in complessivi € 1.087,00, di cui 237,00 per esborsi, oltre spese generali al 15%, iva e cpa,
Così deciso in Roma 27.12.2025
Il Giudice dr. Vincenzo Giuliano
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE ORDINARIO DI ROMA
SEDICESIMA SEZIONE CIVLE in persona del giudice dott. Vincenzo Giuliano, ha pronunciato la seguente
SENTENZA nella causa civile di primo grado, iscritta al n.3623 del ruolo generale per gli affari contenziosi dell'anno 2022, posta in deliberazione all'udienza del 05.06.2025 per la decisione ai sensi dell'art. 281 sexies c.p.c., e vertente
TRA
(C.F.: , elettivamente domiciliata in Lecce, Parte_1 C.F._1 presso lo studio dell'Avv. Luigi Pedone che la rappresenta, difende ed assiste in virtù di mandato in calce all'atto di citazione;
Parte attrice
E
P.IVA ), rappresentata e Controparte_1 P.IVA_1 difesa dal Prof. Avv. Riccio Giovanni Maria ed elettivamente domiciliata presso il suo
Studio in Roma, Via dei Barbieri, 6, giusta procura speciale allegata alla busta di deposito;
- Parte convenuta -
Conclusioni come da verbale del 05.06.2025.
Parte attrice: “accertare e dichiarare la violazione degli artt. 8 e 11 d.lgs. n. 11 del
27/01/2010, attuativo ella direttiva 2007/ce/64; accertare e dichiarare la responsabilità da attività pericolosa (ex art. 2050 c.c.) di " in Controparte_1 persona del suo L.R.P.T., in ordine all'operazione del 04/11/2020, avvenuta in danno della sig.ra per tutti i suesposti motivi;
in subordine, accertare e Parte_1 dichiarare la responsabilità ex art. 1218 in relazione con gli artt. 1710, 1856 e 1176 II comma e ss. c.c. di " in persona del suo L.R.P.T., in Controparte_1 ordine all'operazione del 04/11/2020, avvenuta in danno della sig.ra ; Parte_1 per l'effetto condannare " in persona del suo L.R.P.T. Controparte_1
a rimborsare, stornare e/o riaccreditare in favore della sig.ra , la somma Parte_1 di euro 9.876,00 s.e.o., oltre rivalutazione monetaria ed interessi legali a far data dall'evento dannoso;
in subordine condannare la convenuta banca al risarcimento dei danni patrimoniali ex artt. 1218 c.c., quantificati in euro 9.786,00; condannare la convenuta al pagamento di spese e competenze del presente giudizio”.
Parte convenuta: “- in via preliminare, accogliere la formulata eccezione di improcedibilità della domanda per mancato esperimento del procedimento obbligatorio di mediazione e, per l'effetto, dichiarare il giudizio improcedibile con ogni conseguenza di legge;
- nel merito, respingere, perché infondate in fatto e in diritto, tutte le domande formulate da parte attrice per le ragioni dedotte in narrativa;
- in ogni caso, con vittoria di spese e competenze di causa.”.
RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
In via di premessa si osserva che gli art.132 cpc e 118 disp att.cpc prevedono che la sentenza deve contenere decisione> la quale delle ragioni giuridiche della decisione, anche con riferimento a precedenti conformi>, così che debba ritenersi conforme al modello normativo richiamato (il quale prevede la sinteticità della motivazione quale corollario del dovere di assicurare la ragionevole durata del processo) la motivazione c.d. per relationem (cfr., da ultimo, 26 luglio 2012 n.
13202), nonché l'esame e la trattazione nella motivazione delle sole questioni – di fatto e di diritto - “rilevanti ai fini della decisione” concretamente adottata, dovendo le restanti questioni eventualmente esposte dalle parti e non trattate dal giudice essere ritenute non come “omesse” (per l'effetto dell' error in procedendo), ma semplicemente assorbite
(ovvero superate) per incompatibilità logico-giuridica con quanto concretamente ritenuto provato dal giudicante.
Richiamati, in ordine alla ricostruzione dei profili fattuali della presente vicenda controversa, il contenuto assertivo dell'atto di citazione, quello della comparsa di costituzione e risposta nonché tutta la documentazione allegata in atti, delle memorie autorizzate e di tutti gli altri atti di causa e dei provvedimenti istruttori assunti dal giudice in corso di causa.
********* Con atto di citazione ritualmente notificato, ha convenuto in Parte_1 giudizio, innanzi a questo Tribunale, la Controparte_1 per sentirla condannare a titolo risarcitorio al pagamento della somma di € 9.876,00 in dipendenza di una truffa informatica perpetrata in suo danno per mezzo dell'applicazione
Home Banking della BNL.
L'attrice lamenta che terzi soggetti avrebbero posto in essere un'attività fraudolenta consistente nell'avere effettuato un bonifico non autorizzato per complessivi € 9.876,00 utilizzando le somme giacenti sul suo conto corrente n. 669/6489 nella filiale di Roma succursale 89. sebbene non avesse mai autorizzato tale disposizione di Pt_1 bonifico.
Stando alla ricostruzione di parte attrice, la responsabilità di tale attività fraudolenta sarebbe addebitabile alla convenuta ai sensi degli artt. 11 e 12 del D. Lgs. n. 11/2010, non avendo la convenuta BNL predisposto idonee garanzie atte a fronteggiare indebite intromissioni di terzi soggetti nel sistema informatico della banca utilizzato per effettuare l'operazione contestata.
Radicatasi la lite, si è costituita in giudizio la quale ha Controparte_1 chiesto il rigetto delle avverse domande in ragione della loro ritenuta infondatezza.
All'udienza cartolare dell'11.4.22 veniva disposta la mediazione che si concludeva con esito negativo in data 19.5.22.
Stante la natura documentale del giudizio veniva disposto rinvio per la precisazione delle conclusioni e la causa veniva rinviata al 22.4.24 per la precisazione delle conclusioni con concessione dei termini ex art. 190 c.p.c. poi rimessa sul ruolo e trattenuta per la decisione all'udienza in epigrafe indicata.
***
Il giudizio de quo verte sull'accertamento della responsabilità del prestatore di servizi di pagamento nel caso in cui il cliente abbia disconosciuto un'operazione eseguita tramite home banking, da terzi ignoti, con mezzi fraudolenti.
Pertanto, la normativa di riferimento è quella che regola le operazioni di pagamento a distanza di cui al d.lgs. 27 gennaio 2010, n. 11, modificato a seguito dell'entrata in vigore del d.lgs. 15 dicembre 2017, n. 218 (di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno).
Va osservato che il fatto generatore dell'illecito in esame è frutto di una attività fraudolenta perpetrata da terzi truffatori che mira a ottenere i dati bancari degli ignari utenti. Ebbene nel caso di specie è pacifico che il giorno 4 novembre 2020, l'odierna attrice avrebbe ricevuto sul proprio cellulare un asserito sms proveniente da un numero riconducibile a BNL che la invitava, per esigenze di sicurezza, a procedere ad un aggiornamento della propria sezione bonifici, attraverso la disposizione di un bonifico simulatorio con il supporto di un operatore specializzato. Deduce l'attrice che dopo aver inserito le credenziali di accesso al proprio home banking in un portale - a dire dell'attrice apparentemente analogo a quello della banca convenuta -, accessibile tramite il link contenuto nel citato messaggio, l'odierna attrice sarebbe stata dunque contattata telefonicamente da un sedicente operatore di BNL che l'avrebbe invitata a effettuare un bonifico al fine di aggiornare le informazioni per l'antiriciclaggio ed evitare il blocco di tutti i rapporti in essere con la banca. Lo stesso sedicente funzionario le avrebbe, inoltre, richiesto di scaricare l'applicazione TeamViewer per procedere a tale aggiornamento, e con un secondo sms (proveniente come il primo dal medesimo numero riconducibile a
BNL) le avrebbe inviato il link necessario a scaricare tale applicazione che riproduceva perfettamente la grafica di BNL. Su indicazione di tale sedicente operatore, la Sig.ra
[...] avrebbe quindi disposto un bonifico istantaneo di € 14.567,00 intestato a sé stessa Pt_1 verso un IBAN generato – a detta del sedicente operatore - in modo automatico dal sistema, all'esito del quale l'odierna attrice avrebbe ricevuto un ulteriore sms che l'avrebbe informata dell'esito negativo dell'operazione. La Sig.ra sempre su Pt_1 richiesta del medesimo operatore, avrebbe quindi effettuato un secondo bonifico istantaneo di € 9.876,00 in favore di tal ( poi identificato dalle forze Persona_1 dell'ordine come TU AN), nella convinzione che non vi sarebbe stata alcuna movimentazione banca che tale operazione fosse necessaria all'aggiornamento del sistema richiesto e che qualche ora dopo, insospettitasi per quanto accaduto, l'odierna attrice avrebbe deciso di contattare la propria filiale di riferimento che le avrebbe confermato il flusso in uscita di € 9.876,00 dal proprio conto corrente, e che nonostante la direttrice della filiale di " " di Foggia, previa conferma che il predetto Controparte_2 denaro fosse sul c/c del sig. TU AN, avesse invitato i funzionari di Banca "B.N.L. s.p.a." a procedere con un "recall" immediato della somma, la convenuta rimaneva inerte e nessuno storno veniva disposto in favore della sig.ra Parte_1
Si è costituita la lamentando che il sistema bancario era stato violato per condotta CP_1 gravemente colposa di essa parte attrice, che aveva fornito in rapida successione i codici di accesso rispondendo a ben due diversi sms il cui contenuto fraudolento emergeva all'evidenza. Specifica la banca, che nel rispondere alle mail parte attrice aveva fornito i codici di accesso (codice utente e password) e che il sistema di sicurezza fornito cd. a doppio accesso era sofisticato e sicuro, nonchè conforme ai massimi livelli di sicurezza richiesti ed esigibili (OTP one time password o password usa e getta, protezione di secondo livello). Ha chiesto, dunque, il rigetto della domanda, vinte le spese.
Tanto premesso, sulla base della prospettazione e delle difese delle parti è evidente che parte attrice è stata vittima di un'aggressione informatica c.d. “phishing”.
Il termine phishing sta a indicare una serie di tecniche volte a captare i dati e codici personali di carte di credito, bancomat e internet banking al fine di sottrarne il denaro dei correntisti.
La Corte di Cassazione ha esposto il principio in base al quale, in caso di truffa telematica,
è la banca che deve dimostrare di aver fatto tutto il possibile, secondo il criterio della diligenza professionale, per scongiurare la frode, servendosi di un sistema informatico adeguato ai rischi. Al correntista spetta solo dimostrare di aver subito il prelievo illegittimo e quindi il danno, mentre l'istituto di credito risponde delle conseguenze derivanti dal non essere stata in grado di impedire a terzi di introdursi illecitamente nel sistema telematico captando i codici d'accesso del correntista. La banca, per liberarsi da responsabilità, deve dimostrare che il furto non le sia imputabile per trascuratezza, errore o frode del correntista o per forza maggiore (ad es. dimostrando che il correntista non è stato in grado di conservare in modo diligente le credenziali). Spetta alla banca, dunque, adottare tutte le misure di sicurezza necessarie (Cass. sent. n. 2950, 3.02.2017; in tempi più recenti vedi anche Cassazione civile, sez. VI-1, ordinanza 12/04/2018 n° 9158: “Nel caso di operazioni effettuate con strumenti elettronici (home banking), spetta all'istituto di credito verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell'“accorto banchiere”. L'eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o
a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”; Ancora nella giurisprudenza di merito: “Nel caso di operazioni effettuate con strumenti elettronici
(home banking), spetta all'istituto di credito verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell'accorto banchiere. L'eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Di conseguenza, qualora si verifichi un accesso non autorizzato o l'impiego dei dati raccolti per finalità non conformi alla legge, il gestore risponde ex art. 2050 c.c.. Si tratta di una forma di responsabilità oggettiva "aggravata", in cui il prestatore del servizio, per andare esente da responsabilità, non deve solo dimostrare di aver adottato tutte le misure idonee ad evitare il danno (cosiddetta "prova liberatoria"), ma è tenuto a fornire la prova positiva di una causa esterna. Può trattarsi di fatto naturale, di fatto del terzo o di fatto dello stesso danneggiato che, per imprevedibilità ed inevitabilità, sfugge alla sfera di controllo dell'esercente l'attività pericolosa”).
Così esposti i principi di diritto applicabili alla specie, va evidenziato che nella specie non
è contestato il ricevimento da parte del correntista di ben due messaggi sms pervenuti in data 04.11.2020 nel telefono cellulare del correntista, all'apparenza provenienti dalla banca convenuta, ai quali l'utente ha risposto inserendo le credenziali di utilizzo del suo conto tramite internet. Va sottolineato sin da ora che il contenuto fraudolento dei messaggi emerge all'evidenza, la cui riconducibilità a BNL veniva contestata dalla banca convenuta come riportato in comparsa e che l'attrice non ha contestato con la prima memoria istruttoria. Parimenti non è in contestazione l'utilizzo del sistema di protezione
OTP one time password o password usa e getta, protezione di secondo livello ovverosia l'utilizzo della banca di un sistema di autenticazione forte multifattoriale, c.d. Strong
Customer Authentication, conforme a quanto richiesto dalla disciplina vigente in materia, cioè attraverso l'utilizzo di una combinazione di credenziali statiche (codice utente e PIN, noti solo al cliente) e dinamiche, rappresentate dalla c.d. One Time Password (codice
OTP), generata in modo silente dal mobile token integrato nell'app BNL che il cliente ha attivato sul proprio device, che corrisponde al secondo fattore, quello dinamico, di autenticazione.
La fattispecie dunque è regolata dall'art. 10, comma 1, D. Lgs. n. 11/2010 (entrato in vigore il 1° marzo 2010) di recepimento della Direttiva sui servizi di pagamento nel mercato interno (Direttiva 2007/64/CE del 13.11.2007).
L'art. 8 del decreto cit. indica gli obblighi gravanti sull'emittente di uno strumento di pagamento, tra cui in primis quello di assicurare che i dispositivi personalizzati che consentono l'utilizzo di un sistema di pagamento non siano accessibili a soggetti diversi dall'utilizzatore legittimato al suo impiego;
l'art. 7 precisa gli obblighi al cui rispetto è viceversa tenuto l'utilizzatore, stabilendo che questi debba avvalersi dello strumento ricevuto nel rigoroso rispetto delle condizioni contrattuali che ne disciplinano l'emissione e l'uso, e che, tal scopo, non appena ricevuto uno strumento, debba adottare tutte le misure idonee a garantire la sicurezza dei dispositivi personalizzati che ne permettono l'impiego.
L'art. 12, comma 4, prescrive, infine, che “Qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7 con dolo o colpa grave,
l'utilizzatore sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate”.
Nel caso di specie, è pacifico che parte attrice abbia inserito le credenziali associate al proprio conto corrente per l'attivazione di una procedura di sicurezza in risposta ai messaggi anomali che ne sollecitavano la digitazione.
E' evidente allora che l'operazione abusiva contestata è stata resa possibile dal comportamento di parte attrice, che ha dato credito, come da lei stessa sostanzialmente ammesso, ad un sms costituente un evidente caso di phishing, nonostante la notorietà di tale pratica e la sua pericolosità.
Tale condotta si traduce nella violazione colpevole da parte del correntista degli obblighi di custodia dei dati identificativi e dispositivi del proprio conto. E la colpa grave è integrata dal fatto di aver dato credito ad un messaggio con profili di manifesta inaffidabilità disponendo in data 4 novembre 2020, alle ore 11:29 il bonifico istantaneo di importo pari ad € 9.876,00 verso il truffatore tale TU AN con causale “es bonifico”, firmato con Strong Customer Authetication, ovvero con PIN e OTP generato dal mobile token con id operazione 57762917 (cfr. doc. 3). Va anche aggiunto che, come già detto, non è in contestazione che il servizio home banking utilizzato dal ricorrente, era dotato di un sistema di protezione c.d. “a due fattori”, il quale prevedeva l'inserimento del codice identificativo Utente-PIN e di una password
“usa e getta” (cosiddetta one time password), generata da apposito token di sicurezza in dotazione del cliente (cfr. sia le dichiarazioni dell'attrice nella denuncia alla Polizia postale, sia la risposta della banca alla mail che le controdeduzioni della banca convenuta).
L'adozione di un sistema a “due fattori” induce a ritenere, in assenza di ulteriori indici di anomalia dell'operazione, da un lato, che la banca abbia assolto all'onere di provare l'adempimento degli obblighi su di essa gravanti ai sensi dell'art. 8 del D.lgs. n. 11/2010
e, dall'altro lato, che il cliente si sia reso gravemente inadempiente all'obbligo di custodia degli strumenti e dei codici di accesso che consentono l'utilizzo del servizio online (il sistema di protezione a doppia autenticazione, in grado di generare mutevoli password monouso, è ritenuto coerente alle indicazioni del provvedimento della Banca d'Italia adottato il 5 luglio 2011, ove si prevede che gli intermediari si attrezzino di strumenti adeguati per mitigare le minacce di natura tecnologica).
Grave essendo la colpa grave di parte attrice, non può che essere imputata anche al cliente la comunicazione dei codici segreti di accesso.
Va però vagliato il diverso profilo di diligenza della banca in punto di omessa segnalazione, anche automatica, di movimentazione sospetta sul conto.
Deve, allora, vagliarsi la diversa questione del grado di diligenza dell'intermediario richiesto con riferimento alla prestazione di servizi bancari per via telematica anche sotto il profilo specifico dell'anomalo prelievo.
Secondo la consolidata giurisprudenza in materia, e già sopra richiamata, l'attività bancaria, in quanto attività riservata, deve sottostare al canone di diligenza previsto dall'art. 1176, comma 2, c.c. (“diligenza dell'accorto banchiere”) con conseguente adozione di tutte le cautele necessarie. Come è noto, la diligenza professionalmente qualificata cui fa riferimento il secondo comma dell'art. 1176 c.c. deve essere parametrata alle specificità tecnico-scientifiche della professione esercitata, trattandosi di nozione superiore e più specifica di quella relativa al buon padre di famiglia, richiamata dal primo comma dello stesso articolo. L'adempimento dell'obbligazione, quindi, deve avvenire con la diligenza “del regolato ed accorto professionista” (banchiere, nel caso che ne occupa), pena il risarcimento dei danni secondo i normali canoni della responsabilità contrattuale.
Per gli aspetti che qui interessano, tale parametro rileva in relazione alla specificità del servizio bancario oggetto di contestazione (home banking) che implica l'utilizzazione del canale telematico e l'uso di codici dispositivi.
In particolare, la valutazione coinvolge l'adeguatezza - considerati gli standard esistenti
- dei presidi tecnici adottati dall'intermediario per rendere sicure le transazioni on-line da attacchi di pirateria informatica.
Su questo aspetto si è già sopra detto, essendo stato utilizzato un sistema di sicurezza a due fattori.
Ma residua sicuramente anche la verifica dell'andamento anomalo del rapporto.
Non può sottacersi che in un solo pochi minuti sono state effettuate n. 2 transazioni di rilevanti importi (€ 24.443,00 anche se il primo intestato a sé stessa) dei quali uno solo
(quello di € 9.876,00 ) andato a buon fine, che hanno determinato prelievi assolutamente non in linea con l'operatività ordinaria dell'attrice; ciò induce a considerare “anomale” tale operazioni per l'importo, il beneficiario e la frequenza.
Di ciò avrebbe dovuto avvedersi l'intermediario, non certo monitorando direttamente ogni singola operazione, ma predisponendo sistemi automatici di blocco delle operazioni da postazione remota in presenza di comportamenti decisamente non in linea con l'operatività corrente del proprio cliente.
Del resto, proprio il c.d. “Decalogo ABI”, tra l'altro, consiglia agli intermediari di predisporre strumenti di monitoraggio delle transazioni dei propri conti on-line, in modo da evidenziare eventuali comportamenti anomali (A.B.F. Decisione N. 1030 del 04 ottobre 2010).
Ciò, nel caso di specie, non è avvenuto e, di conseguenza, l'intermediario che non abbia predisposto idonei strumenti per evidenziare e/o bloccare automaticamente comportamenti che siano evidentemente anomali non può andare esente da responsabilità.
Conclusivamente nel caso al vaglio sussiste un concorrente responsabilità delle parti contrattuali: una responsabilità del cliente in relazione alla mancata diligente custodia dei codici d'accesso al servizio di home banking, dall'altro lato una responsabilità della banca intermediaria che non ha predisposto adeguati sistemi, anche automatici (il che svaluta una condotta non tempestiva o erronea di tentata segnalazione del cliente) per proteggere più efficacemente i propri clienti con riferimento al rischio di truffe perpetrate per via telematica, nonché per evidenziare e/o monitorare comportamenti anomali e/o sospetti in relazione al medesimo servizio.
Appare equo ripartire tale responsabilità nella misura del 70% in capo al cliente e nella misura del 30% in capo alla convenuta. CP_1
La banca va, dunque, condannata a risarcire il danno parametrato al denaro indebitamente prelevato ridotto al 70%: € 2.962,80.
L'esito della lite giustifica la compensazione al 50% delle spese di lite;
la va CP_1 condannata a rifondere a parte attrice la residua metà, liquidata come in dispositivo, tenendo conto del decisum, dell'assenza di attività istruttoria.
P.Q.M.
Il Tribunale, in parziale accoglimento della domanda, così provvede:
1.condanna la banca a corrispondere agli attori la somma di € 2.962,00 a titolo di danno, oltre interessi dalla domanda al saldo;
2.compensa le spese per la metà e condanna la al pagamento in favore di parte CP_1 attrice della residua metà, liquidata in complessivi € 1.087,00, di cui 237,00 per esborsi, oltre spese generali al 15%, iva e cpa,
Così deciso in Roma 27.12.2025
Il Giudice dr. Vincenzo Giuliano