n.r.g. 25927/2022
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE DI ROMA
SEZIONE XVI CIVILE
Il Tribunale di Roma, in persona del dott. Stefano Iannaccone, in funzione di giudice unico, ha pronunciato la seguente sentenza nella causa civile di primo grado iscritta n. 25927/2022 R.G. posta in decisione con ordinanza ex art. 127 ter c.p.c. del 14/07/2025, vertente tra
(c.f. e p.iva in persona del legale Parte_1 P.IVA_1 rappresentante pt, elettivamente domiciliata in Roma, via Federico Cesi n. 72, presso lo studio dell'avv. Achille Buonafede, che la rappresenta e difende giusta procura allegata all'atto di citazione;

- Attrice
e
(c.f. , elettivamente domiciliata in Roma, Corso Vittorio Controparte_1 P.IVA_2
Emanuele II, presso lo studio dell'avv. Lucia Stazi, che la rappresenta e difende giusta procura allegata alla comparsa di costituzione e risposta;

- Convenuta
Conclusioni delle parti: per la parte attrice: “Piaccia all'On.le Tribunale adito, disattesa ogni contraria eccezione ed istanza, anche istruttoria e previa ogni più utile declaratoria del caso e di legge anche ed espressamente ai fini della rimessione in termini della deducente in relazione alla documentazione prodotta con le presenti note, in quanto di formazione, conoscenza ed acquisita disponibilità successive al provvedimento di rinvio dell'intestato giudizio all'udienza di precisazione delle conclusioni comunicato il 14.3.2023 (venendo in rilievo documentazione non conosciuta, non disponibile e non accessibile se non dal momento della comunicazione effettuata ai sensi dell'art. 408 c.p.p. avutasi il 9.5.2024 del relativo provvedimento datato 21.12.2023), in accoglimento della proposta citazione:
Pag. 1 a 8 1.- accertare e dichiarare l'utilizzo indebito da parte di terzi delle credenziali di accesso al portale Inbiz della in occasione della disposizione di bonifico effettuata in Controparte_1 data 6/8/2020 alle ore 12:18:03 a beneficio di tale e per la somma di € 60.000,00 Persona_1 con causale “elaborazione gestionale” e, per l'effetto, condannare , in Controparte_1 persona del legale rappresentante pro tempore, in quanto titolare del trattamento dei dati personali del attore e responsabile in forza del rapporto contrattuale ed ai sensi degli Parte_1 artt. 1176 comma 2 c.c., 1218 e 2050 c.c., al risarcimento integrale del danno conseguentemente sofferto e pari alla somma illegittimamente addebitata di € 60.000,00 oltre interessi e rivalutazione a far data dal relativo illegittimo pagamento in data 6/8/2020;
2.- con vittoria di compensi e spese di giudizio, oltre spese generali forfettarie, IVA e CPA del presente procedimento.
IN LINEA ISTRUTTORIA
Reitera la richiesta di ammissione delle istanze istruttorie formulate nella propria memoria ex art. 183 comma VI n. 2 c.p.c. in atti, come anche precisate nella replica ex art. 183 comma VI n. 3
c.p.c. e qui date per testualmente richiamate”.

Per la parte convenuta: “Piaccia al Tribunale adito, ogni contraria istanza respinta:
- in via principale:
a) rigettare ogni domanda di controparte perché infondata in fatto e in diritto, anche ai sensi dell'art. 1227, 1° comma, c.c.
- in via subordinata:
b) rigettare ogni domanda di controparte perché infondata in fatto e in diritto ai sensi dell'art.
1227, 2° comma, c.c.
- in via istruttoria:
c) non ammettere l'interrogatorio formale, la prova testimoniale e la CTU richieste da parte attrice. In subordine, ammettere la convenuta alla prova contraria, sui capitoli e con i testi eventualmente ammessi a controparte.
Con vittoria di spese, competenze e onorari di giudizio, oltre spese generali in misura forfettaria ed oltre oneri fiscali”.
Codice oggetto: 140041
Svolgimento del processo e motivi della decisione
Il sulla premessa d'intrattenere un rapporto di conto Parte_2 corrente bancario con la ha lamentato che risultava che dal suo conto, Controparte_1
Pag. 2 a 8 in data 6\8\2020, era stato disposto da remoto, e quindi avvalendosi del sistema di “home banking”, un bonifico di € 60.000 in favore di tale Persona_1
Ha dedotto di non avere mai disposto quel bonifico, e di non conoscere il beneficiario, dal quale, quindi, non aveva mai ricevuto prestazioni di sorta.
Ed ha lamentato che la banca non avrebbe dovuto dare esecuzione all'ordine, una volta che il non rientrava nel novero dei soggetti in favore dei quali esso aveva fin lì Per_1 Parte_1 disposto pagamenti;
ed in considerazione del fatto che la causale (“elaborazione gestionale”) risultava incomprensibile, e la somma eccedeva quelle che, di norma, venivano pagate da esso ai propri fornitori, tenuto anche conto del fatto che il bonifico era stato disposto in Parte_1 pieno periodo estivo.
Ha aggiunto d'essersi accorto dell'addebito soltanto in data 5\2\2021, quando aveva consegnato la contabilità al proprio commercialista. Dopo di che aveva subito provveduto a denunciare i fatti all'Autorità giudiziaria.
Ha perciò ipotizzato che l'operazione fosse stata attuata grazie ad un'abusiva intrusione, da parte di terzi, nei sistemi di sicurezza predisposti dalla banca;
ed ha dedotto che quella fosse responsabile del prelievo, per non avere apprestato tutte le cautele imposte dal Regolamento
UE 2016\79 in materia di trattamento dei dati personali.
La banca ha chiesto il rigetto della domanda, deducendo che anche in altre occasioni il
, anche nell'anno 2020, aveva eseguito operazioni (di bonifico, di giroconto, di Parte_1 addebito di assegni) per somme ingenti: per cui l'operazione non presentava alcuna anomalia.
Ed ha aggiunto che i propri sistemi di sicurezza adottano le tecnologie più avanzate, avevano ottenuto la certificazione ISO/IEC 27001, e nel 2020 erano state riconosciute come le più efficienti tra quelle adottate dalle banche italiane.
Più in particolare, nel 2020, essa banca aveva in uso un sistema di autenticazione “forte”
(Strong Customer authentication), nel senso che, per eseguire operazioni da remoto, occorreva inserire delle credenziali “statiche”, consistenti nel codice del titolare del conto e nella
“password” (PIN) da lui stesso creata, e quindi da lui soltanto conosciuta;
ed occorreva, ulteriormente, inserire delle credenziali “dinamiche”, consistenti in un codice numerico (cd.
OTP), che veniva generato dal software del sistema di sicurezza, e che durava soltanto pochi secondi. Detto codice veniva inviato al cliente, su sua richiesta, sull'applicazione (cd. “app”) che quello aveva previamente installato sul proprio telefono cellulare, certificato dalla banca;
cosa che nella specie era avvenuta (l'invio dell'OTP risultava dagli all. 20 e 20 bis alle memorie ex art. 183 c.p.c.).
Pag. 3 a 8 Di conseguenza, l'accesso al conto del necessitava della conoscenza, da parte di Parte_1 colui che aveva disposto il bonifico, di entrambi i codici “statici”, oltre che della disponibilità del telefono, sul quale era stata scaricata la ”app” ed al quale veniva inviato l'OTP.
Mentre fenomeni di abusiva intrusione nel sistema di trasmissione dei dati restavano esclusi,
a giudizio della banca, dal fatto che:
- il canale di comunicazione dei servizi, per quanto concerne il transito di informazioni sensibili, è crittografato tramite protocollo TLS;

- le infrastrutture sono protette da soluzioni IDS (Intrusion Detection System) per proteggere i servizi della banca da minacce e attacchi informatici;

- le infrastrutture sono altresì protette da cluster di firewall che consentono la comunicazione dei soli protocolli autorizzati;

- le componenti web esposte su Internet risiedono in DMZ (zona demilitarizzata), secondo le policy e architetture standard di sicurezza del;
Controparte_2
- le infrastrutture ICT sono regolarmente assoggettate a verifiche di sicurezza (Network
Vulnerability Assessment e/o Web/Mobile “app”lication Penetration Test).
In conclusione, quindi, l'eventuale accesso al conto da parte di soggetti non autorizzati doveva necessariamente essere collegato, causalmente, all'omessa custodia da parte del responsabile del attore sia delle credenziali statiche, che del telefono certificato, sul quale, per Parte_1 quanto detto, era stata scaricata la “app”.
Successivamente alla scadenza del termine per il deposito delle richieste istruttorie, l'attore depositava gli atti del fascicolo del Pubblico Ministero, formatisi nell'ambito del parallelo procedimento penale, avviato proprio a seguito della presentazione di una denuncia querela da parte del legale rappresentante del attore. Parte_1
Alla luce di tali domande e difese, e sulla scorta della sola prova documentale, la causa è stata trattenuta in decisione.
La domanda di parte attrice va accolta per le ragioni di seguito esposte.
In apertura di motivazione occorre anzitutto osservare che la società attrice ha instaurato il presente giudizio al fine di ottenere la condanna della al risarcimento Controparte_1 del danno subito a causa dell'esecuzione del bonifico online di € 60.000,00 in favore di tal asseritamente mai disposto né autorizzato dalla stessa attrice e non revocato Persona_1 dalla banca convenuta, venendo in tal modo in rilievo una responsabilità contrattuale della
Pag. 4 a 8 banca anche alla luce della disciplina compendiata nel d.lgs. n. 11/2010 di attuazione della direttiva 2007/64/CE.
Ebbene, va rilevato che a mente degli artt. 10 e ss. del citato decreto, certamente applicabile al caso di specie, qualora il cliente contesti di aver effettuato ed autorizzato un'operazione di pagamento è onere dell'intermediario provare, oltre all'insussistenza di malfunzionamenti del sistema, l'autenticazione, la corretta registrazione e contabilizzazione delle operazioni disconosciute;
a mente poi del successivo art. 12, comma 4, lo stesso intermediario deve altresì fornire la prova di tutti i fatti idonei ad integrare la colpa grave dell'utilizzatore.
A tal riguardo, secondo il condivisibile orientamento della giurisprudenza di legittimità “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo” (cfr. Cass. sent.
16417/2022; Cass. n. 2950/2017).
Quanto poi al profilo della prova del dolo e della colpa grave del cliente, la medesima giurisprudenza ha altresì chiarito che la stessa debba essere fornita positivamente dal prestatore di servizi, non potendo presumersi dall'idoneità delle protezioni adottate dalla banca, al fine di evitare l'esecuzione di operazioni fraudolente. In particolare, ha così statuito la Suprema Corte: “la responsabilità della banca per operazioni effettuate a mezzo strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e quindi va esclusa solo se ricorre una situazione di colpa dell'utente” (cfr. sent.
Cass. 26916/2020).
Alla luce dei richiamati principi e muovendo alla disamina del caso concreto, a fronte della contestazione sollevata dalla correntista, la convenuta si è limitata ad allegare che: CP_3
- il reclamo proposto dalla società non fosse stato tempestivo, avendo la stessa rilevato l'ammanco a distanza di diversi mesi dalla data di effettuazione dell'operazione;
- il sistema di pagamento adottato di autenticazione a più fattori (numero cliente, codice
PIN e codice OTP generato dal token in dotazione della correntista) fosse il più sicuro in quel preciso periodo;

Pag. 5 a 8 - da indagini condotte sarebbe emersa la riconducibilità dell'operazione in argomento all'attrice, essendo ciò desumibile dall'esame dei file di log prodotti con le memorie istruttorie.
In buona sostanza, la convenuta ha contestato la fondatezza della domanda assumendo che dall'esame delle complessive risultanze documentali sarebbe desumibile la prova dell'effettuazione del bonifico da parte del presidente del attore mediante il Parte_1 regolare utilizzo delle proprie credenziali.
Orbene, ritiene il Tribunale che l'eccezione di parte convenuta sia univocamente sconfessata dalle risultanze emerse nel corso delle indagini condotte dalla P.G. nell'ambito del parallelo procedimento penale.
In rito, deve in primo luogo affermarsi l'utilizzabilità di tali documenti – benché prodotti dopo la scadenza del termine ex art. 183 co.6 c.p.c. – trattandosi di atti ai quali l'attrice ha avuto accesso, in veste di persona offesa, soltanto a far data dalla comunicazione dell'avviso ex art. 408 c.p.p.. Comunicazione risalente senz'altro ad una data successiva al 19/12/2023, avendo il Pubblico Ministero formulato soltanto in tale data la richiesta di archiviazione indirizzata al
GIP.
Dunque, deve ammettersi il deposito di detti documenti, trattandosi pacificamente di atti entrati nella disponibilità dell'attore in epoca di molto successiva alla scadenza del termine ex art. 183 co.6 n.2 c.p.c. (nel caso di specie da farsi coincidere con il 30/12/2022).
Ciò detto, contrariamente a quanto sostenuto dalla convenuta a mezzo della propria comparsa conclusionale, le risultanze emerse in sede di indagine penale assumono una valenza dirimente al fine di confutare la ricostruzione prospettata dalla convenuta, secondo la quale, come detto, i bonifici sarebbero stati effettuati dalla stessa attrice, collegandosi dallo stesso dispositivo abitualmente in uso al legale rappresentante dell'attrice, in quanto da questi utilizzato per l'effettuazione di bonifici precedenti e successivi, mai contestati.
Ed invero, tra gli atti di indagine si rinviene un'informativa a firma della Questura di Roma,
XIII Distretto di Pubblica Sicurezza “Aurelio”, del 30/04/2021 nella quale è dato leggere quanto segue: “da accertamenti esperiti in banca dati SDI è emerso che il nel mese di Per_1 agosto/settembre del 2020 è stato segnalato all'Autorità Giudiziaria competente (ben 4 volte deferito in stato di libertà per art. 640 ter c.p.) per fatti commessi proprio nel mese di agosto del
2020, in quanto intestatario di conto corrente su cui sono confluite somme di denaro sottratte a società con lo stesso modus operandi posto in essere nei confronti della società rappresentata
Pag. 6 a 8 dal […] La ha prodotto altresì copia dell'estratto conto corrente CP_4 CP_5 intestato al al 30/09/2020, da cui si rileva […] che in data 07/08/2020 l'accredito del Per_1 bonifico ricevuto indebitamente dal , somma che lo stesso giorno è stata “girata alla Parte_1 società CB Payments”. (cfr. fascicolo del PM, pagg. 54 e 55).
Dette risultanze fattuali consentono di ritenere pressoché certo – o quantomeno estremamente probabile – il fatto che la società attrice, al pari dei molteplici ulteriori intestatari di altrettanti conti correnti (tra loro non correlati), non avesse mai autorizzato il bonifico oggetto di causa, essendo rimasta piuttosto vittima della condotta delittuosa apparentemente posta in essere dal , realizzata con modalità che la stessa PG descrive, Per_1 per tutti i predetti fatti di reato in parola, come del tutto simili a quelle rappresentate dall'odierna attrice in denuncia.
A tal proposito non appaiono condivisibili le considerazioni spese dalla convenuta con la propria comparsa di costituzione e risposta nella parte in cui è stato sottolineato che il procedimento a carico del si sarebbe concluso con l'archiviazione della notizia di Per_1 reato, da ciò desumendosi, secondo la prospettiva della stessa convenuta, la prova indiretta della riconducibilità del bonifico ad un atto dispositivo autorizzato dalla stessa attrice.
Ed invero, va rilevato che la richiesta di archiviazione – poi accolta dal GIP – era motivata, non dalla dimostrazione della piena liceità dell'operazione di pagamento oggetto di causa, quanto piuttosto dall'impossibilità di “accertare con sicurezza se il [ ] era il reale utilizzatore e Per_1 responsabile della truffa”, non potendosi escludere che lo stesso si fosse prestato come mero
“prestanome che viene indotto, con minacce ovvero approfittando della sua situazione di indigenza, ad attivare carte di credito o conti correnti […] di cui non ha mai il reale possesso”
(cfr. richiesta di archiviazione prodotta dall'attrice in data 30/04/2025).
Dunque, lo stesso Pubblico Ministero, pur dando per pacifico – o quantomeno per oggettivamente riscontrato – il perfezionamento di una truffa ai danni dell'attrice, aveva ritenuto che non ricorressero i presupposti per l'esercizio dell'azione penale ipotizzando la non dimostrabilità, in sede dibattimentale, della responsabilità soggettiva del . Per_1
Una volta escluso che il bonifico per cui è causa fosse stato effettivamente e consapevolmente disposto dall'attrice, sarebbe stato onere della convenuta dare prova del fatto che la richiesta di pagamento fosse stata inoltrata all'istituto di credito a causa di una condotta quantomeno gravemente colposa dell'attrice.
Detto onere non può dirsi assolto mediante la mera produzione dei file di log e dell'ulteriore documentazione allegata dalla convenuta ai propri scritti difensivi, atteso che la stessa non
Pag. 7 a 8 consente in ogni caso di escludere una captazione fraudolenta delle credenziali da parte di terzi, eventualmente mediante l'attuazione del meccanismo comunemente denominato “Man in the browser”.
In definitiva, si impone l'integrale accoglimento della domanda proposta dall'attrice.
Le spese di lite seguono la soccombenza.


P.Q.M.

il Tribunale di Roma, definitivamente pronunciando nel contraddittorio tra le parti, così provvede:
- accertato il diritto dell'attrice al risarcimento del danno dedotto in citazione, condanna la convenuta al pagamento in favore della prima della somma di € 60.000,00 oltre interessi legali dalla domanda al saldo;

- condanna la convenuta alla rifusione delle spese di lite, che liquida in € 7.052,00 oltre spese generali, IVA e CPA come per legge.
Roma, 21/12/2025
Il Giudice
Dott. Stefano Iannaccone
Pag. 8 a 8