TRIB
Sentenza 11 giugno 2025
Sentenza 11 giugno 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Lodi, sentenza 11/06/2025, n. 304 |
|---|---|
| Giurisdizione : | Trib. Lodi |
| Numero : | 304 |
| Data del deposito : | 11 giugno 2025 |
Testo completo
N. R.G. 1960/2023
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO DI LODI
SEZIONE CIVILE
Il Tribunale in composizione monocratica, nella persona della Giudice dott.ssa Grazia C. Roca, ha pronunciato la seguente
SENTENZA nella causa civile di I grado iscritta al n. r.g. 1960/2023 promossa da:
nata a [...] il [...], residente in [...]
.F. , rappresentata ed assistita dall'Avv. Maria Rosaria C.F._1 Brancaccio;
- parte attrice - nei confronti di: con sede legale in Roma, Via Vittorio Veneto 119, Controparte_1 (C.F. e P.IVA ) in persona Controparte_2 P.IVA_1 dell'amministratore e del legale rappresentante pro tempore, con l'avv. Enrica Maria Ghia;
del Foro di Milano;
- parte convenuta -
Conclusioni di parte attrice
“Voglia l'Illustrissimo Tribunale di Lodi, contrariis reiectis, così giudicare: In via principale: 1) Accertare e dichiarare la responsabilità contrattuale dell' Controparte_3 i sensi del d. lgs. 11/2010 per non ave
[...] non avere adottato le misure idonee alla protezione dei dati della Cliente IG.ra e/o per non avere impedito gli Parte_1 effetti pregiudizievoli di un malfunzionamento delle procedure necessarie per l'esec agamenti;
2) Accertare e dichiarare la responsabilità extracontrattuale ex art. 2050 c.c. dell'
[...] nell'operazione fraudolenta di bonifico avvenuta il 04 aprile 2022 a Controparte_3
Parte_1 3) Conseguenteme nare l'Istituto bancario al Controparte_1 risarcimento del danno patrimoniale subito dall'attrice individuato nella somma sottratta fraudolentemente, pari a euro 29.547,23, o nel maggiore o minore danno accertato in corso di causa, oltre interessi legali, compensativi e di mora previsti per le transazioni commerciali;
In via subordinata: 4) Accertare e dichiarare la responsabilità contrattuale dell' Controparte_3 x art. 1856 c.c. per non avere adottato l
[...] funzionamento del servizio di home banking, ovvero ai sensi del d. lgs 11/2010;
1 5) Conseguentemente, condannare l' al Controparte_3 risarcimento del danno patrimoniale subito dall'attrice individuato nella somma sottratta fraudolentemente, pari a euro 29.547,23, o nel maggiore o minore danno accertato in corso di causa, oltre interessi legali, compensativi e di mora previsti per le transazioni commerciali;
6) In ogni caso, con vittoria di spese, diritti ed onorari oltre 15% spese generali, IVA, CPA, oltre maggiorazione ex art. art. 4, comma 1 bis del D.M. 55/2014, nonché con condanna della parte convenuta al pagamento integrale dei compensi del Consulente Tecnico d'Ufficio, ivi compresi quelli già anticipati da parte attrice, e dei compensi pagati da parte attrice al Consulente Tecnico di Parte”.
Conclusioni di parte convenuta
“Voglia l'Ill.mo Tribunale adito, ogni contraria eccezione e deduzione reietta, così giudicare:
- in via principale nel merito: previo accertamento e dichiarazione della sussistenza della responsabilità della sig.ra
[...] per comportamento non diligente né improntato a buona fede e prudenza, rigettare tutte le domande Parte_1 dall'attrice nei confronti della siccome infondate sia in fatto sia in diritto, nell'an e Controparte_3 nel quantum, oltre che assolut
- in ogni caso: condannare controparte al pagamento in favore della Banca convenuta delle spese di giudizio”.
CONCISA ESPOSIZIONE
DELLE RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
1. Sui fatti di causa.
1.1. ha convenuto in giudizio chiedendone la Parte_1 Controparte_3 con to dei danni patiti in cons di € 29.547,00 eseguita dal conto corrente a lei intestato da soggetto terzo ignoto e non autorizzato. A fondamento della domanda l'attrice ha rappresentato quanto segue:
- di essere titolare del conto corrente bancario presso Banca Nazionale del Lavoro-Paribas nr. 1733, filiale nr. 4371 di Lodi;
- di aver ricevuto in data 04.04.2022 sul proprio telefono cellulare un sms da parte della
[...] con il quale le veniva comunicato che era stata “limitata la sua carta/conto per mancata CP_4 sicurezza web” e le veniva chiesto di cliccare su un link al fine di consentire l'aggiornamento della password di accesso all'home banking e così evitare la sospensione dell'operatività del conto;
- di aver cliccato, in buona fede, sul link contenuto nell'sms e di essere stata indirizzata ad un sito identico a quello utilizzato per eseguire le operazioni online;
- di essere stata contattata telefonicamente, poco dopo, dal numero verde 06-0060 riconducibile Cont a
- di aver installato la nuova app e di aver ricevuto un nuovo sms con il quale è stata confermata la presa in carico della procedura di risoluzione del problema da parte dell'“operatore Rossi nr. 228809”; Cont
- di aver contattato al n. 06.0060 non avendo ricevuto ulteriori aggiornamenti sulla propria posizione e di a operto che con un unico bonifico, eseguito in favore di tale “
[...]
”, con causale “acquisto immobile”, le era stata sottratta la somma di € 29.547,23; Per_1 Cont
- di aver immediatamente segnalato l'accaduto al servizio clienti di a mezzo e-mail e contattando il n. 06-0060, e di aver bloccato il conto corrente;
- che la truffa è stata possibile in quanto la banca non ha dotato i propri sistemi di home banking di un c.d. “Sistema di autenticazione forte”, conformemente a quanto previsto dalla normativa di riferimento, in particolare, con riferimento alla previsione dell'inserimento del secondo fattore di autenticazione per l'accesso al profilo cliente;
- di aver sporto denuncia querela per truffa in data 05.04.2022, integrata in data 06.04.2022;
2 - di aver presentato, in data 16.05.2022, ricorso presso il Collegio di Milano dell'Arbitro Bancario Finanziario, conclusosi con la decisione n. 13065/2022 del 10.10.2022 con la quale il Collegio ha disposto che l'istituto di credito corrispondesse alla sig.ra la somma di € 29.547,00 Parte_1 in quanto “dalle evidenze fornite agli atti della procedura non ris termediario resistente abbia richiesto un c.d. “Sistema di autenticazione forte” (strong customer authentication o SCA) conformemente a quanto previsto dalla normativa di riferimento”, che “dai log prodotti dall'intermediario non si evince il corretto inserimento del secondo fattore di autenticazione quanto all'accesso al profilo cliente;
secondo fattore che in base a quanto prospettato dall'intermediario resistente sarebbe stato il codice OTP generato tramite mobile token, il cui utilizzo avrebbe dovuto comportare la valorizzazione nel log della colonna denominata
“OneTimePSD” che tuttavia non risulta in concreto valorizzata” e che, infine, “l'intermediario resistente non ha provato di aver adottato gli standard di sicurezza corrispondenti alla disciplina oggi applicabile come sopra individuata, non avendo adottato – in particolare – un sistema di autenticazione forte quanto all'accesso al profilo cliente”; Cont
- che l'instaurazione del presente giudizio si è resa necessaria in quanto, in data 06.12.2022, ha comunicato di non voler adempiere alla decisione dell'Arbitro Bancario Finanziario.
1.2. La si è costituita in giudizio chiedendo il rigetto della domanda Controparte_3 attorea la convenuta ha dedotto quanto segue:
− di inviare periodicamente, via mail, ai clienti delle informative concernenti le possibili truffe alle Cont quali possono essere esposti i conti correnti e che sul sito di vi è un'apposita sezione dedicata ai rischi di truffe informatiche;
- di essere dotata di un sistema di sicurezza definito di “autenticazione forte” (Strong Customer Authentication - SCA) a due fattori, ossia di una procedura per convalidare l'identificazione di un utente basata sull'uso di due elementi di autenticazione, uno statico (PIN) e uno dinamico (OTP);
- che il sistema di autenticazione a due fattori è stato aggirato a causa della involontaria, ma colpevole, collaborazione dell'attrice, la quale – scaricando incautamente una app estranea a Cont
– ha consentito ai truffatori di ottenere il controllo del suo dispositivo mobile. Cont 1.3. La causa è stata istruita mediante espletamento della CTU volta a verificare se aveva adottato gli standard di sicurezza richiesti dalla normativa di settore.
La causa è stata poi trattenuta in decisione all'udienza del 23.04.2025, previa concessione alle parti dei termini di cui all'art. 189 c.p.c.
2. Sull'infondatezza della domanda risarcitoria.
2.1. Come è noto, il D. Lgs. n. 11/2010 sancisce l'obbligo del prestatore del servizio di pagamento di assicurare che i dispostivi personalizzati forniti dai gestori non siano accessibili a soggetti diversi dal legittimo titolare e detta alcune disposizioni specificamente indirizzate a ripartire le responsabilità derivanti dall'utilizzazione del servizio stesso.
In particolare, l'art. 8, comma 1, dispone che “Il prestatore di servizi di pagamento che emette uno strumento di pagamento ha l'obbligo di: (a) assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest'ultimo ai sensi dell'articolo 7”. Nello specifico, il cliente è tenuto ad utilizzare lo strumento di pagamento in conformità ai termini che ne regolano l'emissione e l'uso e a comunicare senza indugio al prestatore di servizi di pagamento, lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
L'art. 10 comma 1 prevede, inoltre, che, “qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”; il comma 2 aggiunge che
“Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno
3 strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.”.
L'art. 12 comma 2 bis chiarisce che “… il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un'autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l'autenticazione forte del cliente”; il comma 2 ter stabilisce che “Il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento …”; il comma 3 prevede che “Negli altri casi, salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all'articolo 7, con dolo o colpa grave, il pagatore può sopportare, per un importo comunque non superiore a euro 50, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita.”; infine, il comma 4 prevede che qualora il pagatore “… non abbia adempiuto ad uno
o più obblighi di cui all'articolo 7, con dolo o colpa grave, l'utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 50 euro di cui al comma 3”.
La normativa in esame, quindi, prevede come regola generale una responsabilità dell'istituto di credito in caso di operazione non autorizzata dal cliente, a meno che questa non discenda dal dolo o dalla colpa grave del cliente stesso, con la precisazione che grava sull'operatore bancario l'onere di provare che l'illecita operatività ad opera di terzi, con riferimento alle disposizioni contestate, sia stata resa possibile dal dolo o dalla colpa grave del cliente. Invero, “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o comportamenti talmente incauti da non poter essere fronteggiati in anticipo” (Cass. n. 2950/2017; v. anche Cass. n. 10638/2016; Cass. n. 9158/2018 e, da ultimo, Cass. n. 26916/2020). Ciò costituisce, del resto, espressione del principio secondo cui l'impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato (art. 1218 c.c.) richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass. n. 2950/2017; Cass. n. 18045/2019), nel caso di specie di natura tecnica, da valutarsi con il parametro dell'accorto banchiere (Cass. n. 806/2016; Cass. n. 13777/2007).
Riassumendo, il prestatore del servizio – per poter andare esente da responsabilità - deve fornire la prova:
(i) di avere adottato tutti i migliori accorgimenti della tecnica volti a scongiurare il rischio di impiego fraudolento degli strumenti di pagamento;
(ii) del comportamento fraudolento o gravemente colposo dell'utilizzatore, tale da escludere la sua responsabilità.
Con riguardo al concetto di colpa grave, deve evidenziarsi che questa consiste in una “straordinaria e inescusabile” imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del buon padre di famiglia di cui all'art. 1176, comma 1, c.c., ma anche “quel grado minimo ed elementare di diligenza generalmente osservato da tutti” (Cass. 913/2011; Cass. n. 14456/2001). Secondo la stessa Corte di Cassazione, inoltre, la prova della sussistenza della colpa grave può essere fornita anche per mezzo di presunzioni, purché queste, com'è noto, siano gravi, precise e concordanti, secondo quanto dispone l'art. 2729 c.c. (Cass. n. 654/2010).
2.2. Nel caso di specie, sotto il primo profilo, si richiamano le conclusioni della CTU le quali sono sostanzialmente condivisibili ed idonee ad essere poste a fondamento della decisione. L'elaborato peritale ha vagliato - con i dovuti approfondimenti, con adeguata motivazione e rimettendo al giudice le decisioni di diritto - i profili tecnici della controversia, tenendo in considerazione le osservazioni delle parti. Il Tribunale dunque - aderendo alle conclusioni del consulente d'ufficio che ha tenuto conto dei 4 rilievi del convenuto, replicandovi - “esaurisce l'obbligo della motivazione con l'indicazione delle fonti del suo convincimento, e non è necessario che si soffermi anche sulle contrarie allegazioni dei consulenti tecnici di parte che, seppur non espressamente confutate, restano implicitamente disattese perché incompatibili con le conclusioni tratte” (Corte d'Appello di Milano, sent. n. 2618/16, in cui si richiama Cass. sent. n. 10222/2009).
Ebbene, il consulente tecnico d'ufficio ha accertato che “l'autenticazione a due fattori fosse effettivamente in uso Cont presso la e attiva sull'account assegnato alla IG.ra nel momento dell'operazione per cui è causa” (p. 10 Parte_1 CTU).
Inoltre, deve ritenersi provato che l'operazione è stata autenticata, correttamente registrata e contabilizzata;
in particolare, dall'esame della tabella relativa all'operatività del conto corrente dell'attrice, si evince il corretto inserimento del secondo fattore di autenticazione, ovvero del codice OTP generato tramite mobile token, sia per l'accesso al profilo cliente sia per l'autorizzazione del bonifico (p. 28 CTU).
È quindi possibile affermare che BLN ha predisposto un sistema di sicurezza rispondente ai parametri della normativa tecnica più aggiornata, rispetto ai quali non è possibile muovere alcuna censura.
2.3. Quanto al secondo profilo occorre ricostruire le modalità attuative della truffa.
Sulla scorta delle allegazioni dell'attrice, quest'ultima ha subito una truffa di c.d. smishing, secondo la dinamica del c.d. sms spoofing, mista a c.d. vishing. In particolare, la sig.ra ha riferito: di Parte_1
Cont avere cliccato un link contenuto in un SMS proveniente da un numero ricon che la avvisava di una limitazione dell'operatività del conto “per mancata verifica sicurezza web”; d e stata
Cont indirizzata ad una pagina web identica a quella del sito utilizzato per eseguire le operazioni
Cont bancarie;
di essere stata contattata telefonicamente dal num rde 06-0060 riconducibile alla di
Cont aver provveduto alla disinstallazione dell'app e all'installazione di quella nuova facendosi guidare al telefono nell'esecuzione di tale operazione.
La possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra certamente nell'area del rischio di impresa, tuttavia, nella specie, la sig.ra ha tenuto una Parte_1 condotta colposa.
L'attrice ha ricevuto sulla propria utenza telefonica due sms: il primo alle 16.31 del seguente tenore:
“BNL Informa che ha limitato la sua carta/conto per mancata verifica della sicurezza web. Riattiva qui: http://clicca-app-ora.live”; il secondo alle 16.45 del seguente tenore “Scarica e installa la nuova APP sms sicura: http://apk.clicca-app-pra.live”. L'invio di due link differenti (circostanza che avrebbe potuto Cont essere notata dal cliente), privi di elementi inequivocabilmente riconducibili alla avrebbe dovuto allarmare la cliente (doc. 1). Parimenti, costituisce sicuramente un'anomalia operativa il fatto che il link abbia reindirizzato ad un pagina web anziché al Google Play Store, servizio digitale che notoriamente consente di scaricare in maggior sicurezza le app per il sistema operativo Android e dal quale è Cont scaricabile anche l'app ufficiale di Da ultimo, l'sms ricevuto alle ore 17.04, dopo la telefonata con il sedicente operatore della banc a un errore nell'indicazione della denominazione del Gruppo bancario, indicato come “BNParibas” anziché come “BNP Paribas” (doc. 1).
La colpa della sig.ra deve ritenersi grave nonostante la truffa, attuata con la tecnica c.d. “man Parte_1 in the middle”, sia stat articolata. È un fatto notorio che i conti correnti sono spesso oggetto di tentativi di accesso non autorizzato da parte di terzi che, spacciandosi per dipendenti degli istituti di credito o inviando comunicazioni via mail o sms, mirano ad ottenere i dati riservati dei clienti, quali le credenziali di sicurezza per effettuare operazioni bancarie. L'esistenza di tali tipologie di truffe, purtroppo frequenti, è stata pubblicizzata anche dai mezzi di informazioni e gli istituti di credito – Cont compresa (doc. 1, 2, 3) – provvedono periodicamente ad avvertire i propri clienti dei rischi connessi a ove truffe informatiche attraverso specifiche informative trasmesse e/o pubblicizzate sui propri canali dedicati o attraverso l'invio di mail ed sms. È quindi un fatto acquisito alla conoscenza dei consociati, anche senza particolari conoscenze informatiche, che le banche non chiedono ai propri clienti - al telefono, via mail o via sms - di fornire e/o inserire dati riservati né di collaborare per concludere operazioni bancarie o di altro tipo. Cont A ciò si aggiunge che ha documentato che, una volta effettuato l'accesso al profilo personale, prima di qualsiasi oper , il cliente si trova davanti ad una schermata di avviso contro le cyber-frodi 5 (doc. 4). Tale circostanza non è stata specificatamente contestata, sicché è possibile ritenere provato che la sig.ra sia stata edotta dei rischi di truffa da parte di terzi. Pt_2
Si osserva, infine, che la valutazione della gravità della colpa dev'essere parametrata avuto riguardo alla diligenza che ci si può attendere da un uomo e una donna inserita nell'attuale contesto sociale in cui l'utilizzo di strumenti informatici è sempre più diffuso. La diligenza minima che si può pretendere oggi non è la medesima che ci si poteva aspettare prima che i servizi di home banking e l'utilizzo di applicazioni mobile fosse così diffusa.
Ciò premesso, la condotta dell'attrice integra un'attività non solo incauta, bensì del tutto imprudente, in quanto installando una nuova app, scaricata utilizzando un canale non ufficiale, ha consentito ai truffatori di ottenere il controllo del suo dispositivo mobile e, quindi, di operare sul conto corrente. Si evidenzia, in particolare, che alle ore 16:49:24 il truffatore, in possesso delle credenziali di accesso della Cont cliente, ha iniziato il processo di attivazione dell'spp su proprio smartphone; alle ore 16:49:58 la ha inviato il codice OTP via SMS per l'att ne del Mobile Token, ricevuto però dal CP_3 dispositivo OPPO A15 del truffatore;
alle ore 16:50:12 il Mobile Token è stato attivato sullo smartphone del truffatore;
alle 16:55.00 è stato disposto il bonifico con inserimento del Pin e OTP da Mobile Token di € 29.542,63 non andato a buon fine;
alle 16:56:54 è stato disposto il bonifico con inserimento del Pin e OTP da Mobile Token di € 29.546,23 andato a buon fine. Parte di tali operazioni ha avuto luogo Cont mentre la sig.ra si trovava al telefono con il sedicente operatore della come si evince Pt_2 dallo storico dell te in entrate (doc. 2). Appaiono quindi condivisibili le c razioni del CTU il quale ha concluso affermando che “è possibile sostenere, con ragionevole certezza, che se la IG.ra Parte_1 avesse custodito in piena sicurezza le proprie credenziali (es. non riportandole in chiaro e ricordandole a memo utilizzando un software di gestione password cifrato, o ancora, utilizzando in modo corretto sui propri dispositivi un antivirus sempre aggiornato, o infine, non cliccando su link la cui provenienza non è certa) l'evento fraudolento sarebbe stato pressocché impossibile, e ciò a prescindere dalle vulnerabilità dell'OTP via SMS” (p. 11). Cont In ragione della prova liberatoria fornita da la domanda risarcitoria formulata dall'attrice dev'essere rigettata.
3. Sulle spese di lite.
Le spese di lite seguono la soccombenza e vengono liquidate come da dispositivo, applicati i parametri minimi del DM n. 147/2022, tenuto conto che il valore della controversia è di poco superiore al valore più basso dello scaglione di riferimento (€ 26.001,00 - € 52.000,00).
Le spese di CTU, già liquidate con separato decreto, vengono poste definitivamente a carico di parte attrice.
P.Q.M.
il Tribunale, definitivamente pronunciando, disattesa ogni altra domanda ed eccezione, così provvede:
1) rigetta le domande formulate dalla attrice;
2) condanna l'attrice a rimborsare in favore di parte convenuta le spese di giudizio, che liquida in
€ 3.809,00 per compensi, oltre 15% per spese generali, CPA ed IVA come per legge;
3) pone definitivamente a carico di parte attrice le spese di CTU.
Lodi, 11 giugno 2025
La Giudice dott.ssa Grazia C. Roca
6
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO DI LODI
SEZIONE CIVILE
Il Tribunale in composizione monocratica, nella persona della Giudice dott.ssa Grazia C. Roca, ha pronunciato la seguente
SENTENZA nella causa civile di I grado iscritta al n. r.g. 1960/2023 promossa da:
nata a [...] il [...], residente in [...]
.F. , rappresentata ed assistita dall'Avv. Maria Rosaria C.F._1 Brancaccio;
- parte attrice - nei confronti di: con sede legale in Roma, Via Vittorio Veneto 119, Controparte_1 (C.F. e P.IVA ) in persona Controparte_2 P.IVA_1 dell'amministratore e del legale rappresentante pro tempore, con l'avv. Enrica Maria Ghia;
del Foro di Milano;
- parte convenuta -
Conclusioni di parte attrice
“Voglia l'Illustrissimo Tribunale di Lodi, contrariis reiectis, così giudicare: In via principale: 1) Accertare e dichiarare la responsabilità contrattuale dell' Controparte_3 i sensi del d. lgs. 11/2010 per non ave
[...] non avere adottato le misure idonee alla protezione dei dati della Cliente IG.ra e/o per non avere impedito gli Parte_1 effetti pregiudizievoli di un malfunzionamento delle procedure necessarie per l'esec agamenti;
2) Accertare e dichiarare la responsabilità extracontrattuale ex art. 2050 c.c. dell'
[...] nell'operazione fraudolenta di bonifico avvenuta il 04 aprile 2022 a Controparte_3
Parte_1 3) Conseguenteme nare l'Istituto bancario al Controparte_1 risarcimento del danno patrimoniale subito dall'attrice individuato nella somma sottratta fraudolentemente, pari a euro 29.547,23, o nel maggiore o minore danno accertato in corso di causa, oltre interessi legali, compensativi e di mora previsti per le transazioni commerciali;
In via subordinata: 4) Accertare e dichiarare la responsabilità contrattuale dell' Controparte_3 x art. 1856 c.c. per non avere adottato l
[...] funzionamento del servizio di home banking, ovvero ai sensi del d. lgs 11/2010;
1 5) Conseguentemente, condannare l' al Controparte_3 risarcimento del danno patrimoniale subito dall'attrice individuato nella somma sottratta fraudolentemente, pari a euro 29.547,23, o nel maggiore o minore danno accertato in corso di causa, oltre interessi legali, compensativi e di mora previsti per le transazioni commerciali;
6) In ogni caso, con vittoria di spese, diritti ed onorari oltre 15% spese generali, IVA, CPA, oltre maggiorazione ex art. art. 4, comma 1 bis del D.M. 55/2014, nonché con condanna della parte convenuta al pagamento integrale dei compensi del Consulente Tecnico d'Ufficio, ivi compresi quelli già anticipati da parte attrice, e dei compensi pagati da parte attrice al Consulente Tecnico di Parte”.
Conclusioni di parte convenuta
“Voglia l'Ill.mo Tribunale adito, ogni contraria eccezione e deduzione reietta, così giudicare:
- in via principale nel merito: previo accertamento e dichiarazione della sussistenza della responsabilità della sig.ra
[...] per comportamento non diligente né improntato a buona fede e prudenza, rigettare tutte le domande Parte_1 dall'attrice nei confronti della siccome infondate sia in fatto sia in diritto, nell'an e Controparte_3 nel quantum, oltre che assolut
- in ogni caso: condannare controparte al pagamento in favore della Banca convenuta delle spese di giudizio”.
CONCISA ESPOSIZIONE
DELLE RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
1. Sui fatti di causa.
1.1. ha convenuto in giudizio chiedendone la Parte_1 Controparte_3 con to dei danni patiti in cons di € 29.547,00 eseguita dal conto corrente a lei intestato da soggetto terzo ignoto e non autorizzato. A fondamento della domanda l'attrice ha rappresentato quanto segue:
- di essere titolare del conto corrente bancario presso Banca Nazionale del Lavoro-Paribas nr. 1733, filiale nr. 4371 di Lodi;
- di aver ricevuto in data 04.04.2022 sul proprio telefono cellulare un sms da parte della
[...] con il quale le veniva comunicato che era stata “limitata la sua carta/conto per mancata CP_4 sicurezza web” e le veniva chiesto di cliccare su un link al fine di consentire l'aggiornamento della password di accesso all'home banking e così evitare la sospensione dell'operatività del conto;
- di aver cliccato, in buona fede, sul link contenuto nell'sms e di essere stata indirizzata ad un sito identico a quello utilizzato per eseguire le operazioni online;
- di essere stata contattata telefonicamente, poco dopo, dal numero verde 06-0060 riconducibile Cont a
- di aver installato la nuova app e di aver ricevuto un nuovo sms con il quale è stata confermata la presa in carico della procedura di risoluzione del problema da parte dell'“operatore Rossi nr. 228809”; Cont
- di aver contattato al n. 06.0060 non avendo ricevuto ulteriori aggiornamenti sulla propria posizione e di a operto che con un unico bonifico, eseguito in favore di tale “
[...]
”, con causale “acquisto immobile”, le era stata sottratta la somma di € 29.547,23; Per_1 Cont
- di aver immediatamente segnalato l'accaduto al servizio clienti di a mezzo e-mail e contattando il n. 06-0060, e di aver bloccato il conto corrente;
- che la truffa è stata possibile in quanto la banca non ha dotato i propri sistemi di home banking di un c.d. “Sistema di autenticazione forte”, conformemente a quanto previsto dalla normativa di riferimento, in particolare, con riferimento alla previsione dell'inserimento del secondo fattore di autenticazione per l'accesso al profilo cliente;
- di aver sporto denuncia querela per truffa in data 05.04.2022, integrata in data 06.04.2022;
2 - di aver presentato, in data 16.05.2022, ricorso presso il Collegio di Milano dell'Arbitro Bancario Finanziario, conclusosi con la decisione n. 13065/2022 del 10.10.2022 con la quale il Collegio ha disposto che l'istituto di credito corrispondesse alla sig.ra la somma di € 29.547,00 Parte_1 in quanto “dalle evidenze fornite agli atti della procedura non ris termediario resistente abbia richiesto un c.d. “Sistema di autenticazione forte” (strong customer authentication o SCA) conformemente a quanto previsto dalla normativa di riferimento”, che “dai log prodotti dall'intermediario non si evince il corretto inserimento del secondo fattore di autenticazione quanto all'accesso al profilo cliente;
secondo fattore che in base a quanto prospettato dall'intermediario resistente sarebbe stato il codice OTP generato tramite mobile token, il cui utilizzo avrebbe dovuto comportare la valorizzazione nel log della colonna denominata
“OneTimePSD” che tuttavia non risulta in concreto valorizzata” e che, infine, “l'intermediario resistente non ha provato di aver adottato gli standard di sicurezza corrispondenti alla disciplina oggi applicabile come sopra individuata, non avendo adottato – in particolare – un sistema di autenticazione forte quanto all'accesso al profilo cliente”; Cont
- che l'instaurazione del presente giudizio si è resa necessaria in quanto, in data 06.12.2022, ha comunicato di non voler adempiere alla decisione dell'Arbitro Bancario Finanziario.
1.2. La si è costituita in giudizio chiedendo il rigetto della domanda Controparte_3 attorea la convenuta ha dedotto quanto segue:
− di inviare periodicamente, via mail, ai clienti delle informative concernenti le possibili truffe alle Cont quali possono essere esposti i conti correnti e che sul sito di vi è un'apposita sezione dedicata ai rischi di truffe informatiche;
- di essere dotata di un sistema di sicurezza definito di “autenticazione forte” (Strong Customer Authentication - SCA) a due fattori, ossia di una procedura per convalidare l'identificazione di un utente basata sull'uso di due elementi di autenticazione, uno statico (PIN) e uno dinamico (OTP);
- che il sistema di autenticazione a due fattori è stato aggirato a causa della involontaria, ma colpevole, collaborazione dell'attrice, la quale – scaricando incautamente una app estranea a Cont
– ha consentito ai truffatori di ottenere il controllo del suo dispositivo mobile. Cont 1.3. La causa è stata istruita mediante espletamento della CTU volta a verificare se aveva adottato gli standard di sicurezza richiesti dalla normativa di settore.
La causa è stata poi trattenuta in decisione all'udienza del 23.04.2025, previa concessione alle parti dei termini di cui all'art. 189 c.p.c.
2. Sull'infondatezza della domanda risarcitoria.
2.1. Come è noto, il D. Lgs. n. 11/2010 sancisce l'obbligo del prestatore del servizio di pagamento di assicurare che i dispostivi personalizzati forniti dai gestori non siano accessibili a soggetti diversi dal legittimo titolare e detta alcune disposizioni specificamente indirizzate a ripartire le responsabilità derivanti dall'utilizzazione del servizio stesso.
In particolare, l'art. 8, comma 1, dispone che “Il prestatore di servizi di pagamento che emette uno strumento di pagamento ha l'obbligo di: (a) assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest'ultimo ai sensi dell'articolo 7”. Nello specifico, il cliente è tenuto ad utilizzare lo strumento di pagamento in conformità ai termini che ne regolano l'emissione e l'uso e a comunicare senza indugio al prestatore di servizi di pagamento, lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
L'art. 10 comma 1 prevede, inoltre, che, “qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”; il comma 2 aggiunge che
“Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno
3 strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.”.
L'art. 12 comma 2 bis chiarisce che “… il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un'autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l'autenticazione forte del cliente”; il comma 2 ter stabilisce che “Il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento …”; il comma 3 prevede che “Negli altri casi, salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all'articolo 7, con dolo o colpa grave, il pagatore può sopportare, per un importo comunque non superiore a euro 50, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita.”; infine, il comma 4 prevede che qualora il pagatore “… non abbia adempiuto ad uno
o più obblighi di cui all'articolo 7, con dolo o colpa grave, l'utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 50 euro di cui al comma 3”.
La normativa in esame, quindi, prevede come regola generale una responsabilità dell'istituto di credito in caso di operazione non autorizzata dal cliente, a meno che questa non discenda dal dolo o dalla colpa grave del cliente stesso, con la precisazione che grava sull'operatore bancario l'onere di provare che l'illecita operatività ad opera di terzi, con riferimento alle disposizioni contestate, sia stata resa possibile dal dolo o dalla colpa grave del cliente. Invero, “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o comportamenti talmente incauti da non poter essere fronteggiati in anticipo” (Cass. n. 2950/2017; v. anche Cass. n. 10638/2016; Cass. n. 9158/2018 e, da ultimo, Cass. n. 26916/2020). Ciò costituisce, del resto, espressione del principio secondo cui l'impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato (art. 1218 c.c.) richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass. n. 2950/2017; Cass. n. 18045/2019), nel caso di specie di natura tecnica, da valutarsi con il parametro dell'accorto banchiere (Cass. n. 806/2016; Cass. n. 13777/2007).
Riassumendo, il prestatore del servizio – per poter andare esente da responsabilità - deve fornire la prova:
(i) di avere adottato tutti i migliori accorgimenti della tecnica volti a scongiurare il rischio di impiego fraudolento degli strumenti di pagamento;
(ii) del comportamento fraudolento o gravemente colposo dell'utilizzatore, tale da escludere la sua responsabilità.
Con riguardo al concetto di colpa grave, deve evidenziarsi che questa consiste in una “straordinaria e inescusabile” imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del buon padre di famiglia di cui all'art. 1176, comma 1, c.c., ma anche “quel grado minimo ed elementare di diligenza generalmente osservato da tutti” (Cass. 913/2011; Cass. n. 14456/2001). Secondo la stessa Corte di Cassazione, inoltre, la prova della sussistenza della colpa grave può essere fornita anche per mezzo di presunzioni, purché queste, com'è noto, siano gravi, precise e concordanti, secondo quanto dispone l'art. 2729 c.c. (Cass. n. 654/2010).
2.2. Nel caso di specie, sotto il primo profilo, si richiamano le conclusioni della CTU le quali sono sostanzialmente condivisibili ed idonee ad essere poste a fondamento della decisione. L'elaborato peritale ha vagliato - con i dovuti approfondimenti, con adeguata motivazione e rimettendo al giudice le decisioni di diritto - i profili tecnici della controversia, tenendo in considerazione le osservazioni delle parti. Il Tribunale dunque - aderendo alle conclusioni del consulente d'ufficio che ha tenuto conto dei 4 rilievi del convenuto, replicandovi - “esaurisce l'obbligo della motivazione con l'indicazione delle fonti del suo convincimento, e non è necessario che si soffermi anche sulle contrarie allegazioni dei consulenti tecnici di parte che, seppur non espressamente confutate, restano implicitamente disattese perché incompatibili con le conclusioni tratte” (Corte d'Appello di Milano, sent. n. 2618/16, in cui si richiama Cass. sent. n. 10222/2009).
Ebbene, il consulente tecnico d'ufficio ha accertato che “l'autenticazione a due fattori fosse effettivamente in uso Cont presso la e attiva sull'account assegnato alla IG.ra nel momento dell'operazione per cui è causa” (p. 10 Parte_1 CTU).
Inoltre, deve ritenersi provato che l'operazione è stata autenticata, correttamente registrata e contabilizzata;
in particolare, dall'esame della tabella relativa all'operatività del conto corrente dell'attrice, si evince il corretto inserimento del secondo fattore di autenticazione, ovvero del codice OTP generato tramite mobile token, sia per l'accesso al profilo cliente sia per l'autorizzazione del bonifico (p. 28 CTU).
È quindi possibile affermare che BLN ha predisposto un sistema di sicurezza rispondente ai parametri della normativa tecnica più aggiornata, rispetto ai quali non è possibile muovere alcuna censura.
2.3. Quanto al secondo profilo occorre ricostruire le modalità attuative della truffa.
Sulla scorta delle allegazioni dell'attrice, quest'ultima ha subito una truffa di c.d. smishing, secondo la dinamica del c.d. sms spoofing, mista a c.d. vishing. In particolare, la sig.ra ha riferito: di Parte_1
Cont avere cliccato un link contenuto in un SMS proveniente da un numero ricon che la avvisava di una limitazione dell'operatività del conto “per mancata verifica sicurezza web”; d e stata
Cont indirizzata ad una pagina web identica a quella del sito utilizzato per eseguire le operazioni
Cont bancarie;
di essere stata contattata telefonicamente dal num rde 06-0060 riconducibile alla di
Cont aver provveduto alla disinstallazione dell'app e all'installazione di quella nuova facendosi guidare al telefono nell'esecuzione di tale operazione.
La possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra certamente nell'area del rischio di impresa, tuttavia, nella specie, la sig.ra ha tenuto una Parte_1 condotta colposa.
L'attrice ha ricevuto sulla propria utenza telefonica due sms: il primo alle 16.31 del seguente tenore:
“BNL Informa che ha limitato la sua carta/conto per mancata verifica della sicurezza web. Riattiva qui: http://clicca-app-ora.live”; il secondo alle 16.45 del seguente tenore “Scarica e installa la nuova APP sms sicura: http://apk.clicca-app-pra.live”. L'invio di due link differenti (circostanza che avrebbe potuto Cont essere notata dal cliente), privi di elementi inequivocabilmente riconducibili alla avrebbe dovuto allarmare la cliente (doc. 1). Parimenti, costituisce sicuramente un'anomalia operativa il fatto che il link abbia reindirizzato ad un pagina web anziché al Google Play Store, servizio digitale che notoriamente consente di scaricare in maggior sicurezza le app per il sistema operativo Android e dal quale è Cont scaricabile anche l'app ufficiale di Da ultimo, l'sms ricevuto alle ore 17.04, dopo la telefonata con il sedicente operatore della banc a un errore nell'indicazione della denominazione del Gruppo bancario, indicato come “BNParibas” anziché come “BNP Paribas” (doc. 1).
La colpa della sig.ra deve ritenersi grave nonostante la truffa, attuata con la tecnica c.d. “man Parte_1 in the middle”, sia stat articolata. È un fatto notorio che i conti correnti sono spesso oggetto di tentativi di accesso non autorizzato da parte di terzi che, spacciandosi per dipendenti degli istituti di credito o inviando comunicazioni via mail o sms, mirano ad ottenere i dati riservati dei clienti, quali le credenziali di sicurezza per effettuare operazioni bancarie. L'esistenza di tali tipologie di truffe, purtroppo frequenti, è stata pubblicizzata anche dai mezzi di informazioni e gli istituti di credito – Cont compresa (doc. 1, 2, 3) – provvedono periodicamente ad avvertire i propri clienti dei rischi connessi a ove truffe informatiche attraverso specifiche informative trasmesse e/o pubblicizzate sui propri canali dedicati o attraverso l'invio di mail ed sms. È quindi un fatto acquisito alla conoscenza dei consociati, anche senza particolari conoscenze informatiche, che le banche non chiedono ai propri clienti - al telefono, via mail o via sms - di fornire e/o inserire dati riservati né di collaborare per concludere operazioni bancarie o di altro tipo. Cont A ciò si aggiunge che ha documentato che, una volta effettuato l'accesso al profilo personale, prima di qualsiasi oper , il cliente si trova davanti ad una schermata di avviso contro le cyber-frodi 5 (doc. 4). Tale circostanza non è stata specificatamente contestata, sicché è possibile ritenere provato che la sig.ra sia stata edotta dei rischi di truffa da parte di terzi. Pt_2
Si osserva, infine, che la valutazione della gravità della colpa dev'essere parametrata avuto riguardo alla diligenza che ci si può attendere da un uomo e una donna inserita nell'attuale contesto sociale in cui l'utilizzo di strumenti informatici è sempre più diffuso. La diligenza minima che si può pretendere oggi non è la medesima che ci si poteva aspettare prima che i servizi di home banking e l'utilizzo di applicazioni mobile fosse così diffusa.
Ciò premesso, la condotta dell'attrice integra un'attività non solo incauta, bensì del tutto imprudente, in quanto installando una nuova app, scaricata utilizzando un canale non ufficiale, ha consentito ai truffatori di ottenere il controllo del suo dispositivo mobile e, quindi, di operare sul conto corrente. Si evidenzia, in particolare, che alle ore 16:49:24 il truffatore, in possesso delle credenziali di accesso della Cont cliente, ha iniziato il processo di attivazione dell'spp su proprio smartphone; alle ore 16:49:58 la ha inviato il codice OTP via SMS per l'att ne del Mobile Token, ricevuto però dal CP_3 dispositivo OPPO A15 del truffatore;
alle ore 16:50:12 il Mobile Token è stato attivato sullo smartphone del truffatore;
alle 16:55.00 è stato disposto il bonifico con inserimento del Pin e OTP da Mobile Token di € 29.542,63 non andato a buon fine;
alle 16:56:54 è stato disposto il bonifico con inserimento del Pin e OTP da Mobile Token di € 29.546,23 andato a buon fine. Parte di tali operazioni ha avuto luogo Cont mentre la sig.ra si trovava al telefono con il sedicente operatore della come si evince Pt_2 dallo storico dell te in entrate (doc. 2). Appaiono quindi condivisibili le c razioni del CTU il quale ha concluso affermando che “è possibile sostenere, con ragionevole certezza, che se la IG.ra Parte_1 avesse custodito in piena sicurezza le proprie credenziali (es. non riportandole in chiaro e ricordandole a memo utilizzando un software di gestione password cifrato, o ancora, utilizzando in modo corretto sui propri dispositivi un antivirus sempre aggiornato, o infine, non cliccando su link la cui provenienza non è certa) l'evento fraudolento sarebbe stato pressocché impossibile, e ciò a prescindere dalle vulnerabilità dell'OTP via SMS” (p. 11). Cont In ragione della prova liberatoria fornita da la domanda risarcitoria formulata dall'attrice dev'essere rigettata.
3. Sulle spese di lite.
Le spese di lite seguono la soccombenza e vengono liquidate come da dispositivo, applicati i parametri minimi del DM n. 147/2022, tenuto conto che il valore della controversia è di poco superiore al valore più basso dello scaglione di riferimento (€ 26.001,00 - € 52.000,00).
Le spese di CTU, già liquidate con separato decreto, vengono poste definitivamente a carico di parte attrice.
P.Q.M.
il Tribunale, definitivamente pronunciando, disattesa ogni altra domanda ed eccezione, così provvede:
1) rigetta le domande formulate dalla attrice;
2) condanna l'attrice a rimborsare in favore di parte convenuta le spese di giudizio, che liquida in
€ 3.809,00 per compensi, oltre 15% per spese generali, CPA ed IVA come per legge;
3) pone definitivamente a carico di parte attrice le spese di CTU.
Lodi, 11 giugno 2025
La Giudice dott.ssa Grazia C. Roca
6