TRIB
Sentenza 18 marzo 2025
Sentenza 18 marzo 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Catania, sentenza 18/03/2025, n. 1629 |
|---|---|
| Giurisdizione : | Trib. Catania |
| Numero : | 1629 |
| Data del deposito : | 18 marzo 2025 |
Testo completo
R.G. 3985/2023
TRIBUNALE DI CATANIA
Quarta sezione civile
IN NOME DEL POPOLO ITALIANO
Il Tribunale di Catania, nella persona del Giudice dott.ssa Chiara Salamone, ha emesso la seguente
SENTENZA
Nel procedimento civile iscritto al n. R.G. 3985/2023 promosso da
, C.F. , rappresentato e difeso dall'AVV. Parte_1 C.F._1
GIOVANNI FERRAÙ, C.F. , ed elettivamente domiciliato in via Nicola C.F._2
Coviello n. 25, Catania;
EL contro
C.F. , in persona del legale rappresentante pro tempore, Controparte_1 P.IVA_1 rappresentata e difesa dall'AVV. MASSIMILIANO CESARE, C.F. , e C.F._3 dall'AVV. ALFONSO PISANZIO, C.F. , elettivamente domiciliata in piazza C.F._4
G. Rodinò n. 18, Napoli;
appellata avente ad oggetto: appello nei confronti di sentenza del Giudice di pace – responsabilità contrattuale – frode informatica.
All'udienza del 20.11.2024 parte EL, unica comparsa, ha precisato le conclusioni riportandosi ai propri atti ed ai verbali di causa ed il procedimento è stato posto in decisione.
MOTIVI DELLA DECISIONE
Il procedimento ha ad oggetto l'appello proposto da nei confronti della sentenza Parte_1
n. 2268/2022, emessa dal Giudice di pace di Catania, mediante la quale, in parziale accoglimento delle domande del medesimo, è stata condannata al pagamento della somma di euro Controparte_1
2.084,00 in favore dell'attore, oltre interessi, compensando integralmente le spese del giudizio.
1. Il giudizio di primo grado
In primo grado l'attore ha evocato in giudizio esponendo di Parte_1 Controparte_1 essere titolare di una carta prepagata 'PostePay evolution' e di aver ricevuto in data 05.01.2021 una e-mail, con mittente 'Poste Italiane' gli veniva comunicata la modifica delle Parte_2
Condizioni Generali del Servizio di Identità Digitale (SPID), con l'invito a effettuare il relativo aggiornamento attraverso un link;
l'attore, una volta selezionato il link, sarebbe stato re-indirizzato all'app di , già installata sul proprio cellulare, la quale si era aperta immediatamente, CP_1 consentendogli l'inserimento del proprio codice ID, circostanza a seguito della quale gli era stato tuttavia negato l'accesso. Recatosi presso l'Ufficio postale, l'attore aveva appreso di non poter effettuare alcuna operazione e aveva provveduto, dunque, a bloccare la propria carta. In data
09.01.2021, verificata la lista movimenti della suddetta carta, aveva riscontrato la Parte_1
presenza di alcuni movimenti da lui mai autorizzati, in particolare di una serie addebiti per un totale di euro 4.167,90.
Presentata denuncia penale e richiesto senza successo il rimborso alla società degli importi oggetto delle operazioni disconosciute, ha dunque convenuto in giudizio Parte_1 CP_1
invocando la responsabilità per violazione del d.lgs n. 11/2010, che disciplina le operazioni
[...] effettuate on line, stante mancanza del necessario consenso del pagatore, richiesto dall'art. 5 del suddetto decreto;
ha chiesto dunque la condanna della società al rimborso dell'importo oggetto dell'operazione non autorizzata, così come previsto dall'art. 1 del medesimo decreto, rilevando che egli aveva immediatamente informato il prestatore del servizio di pagamento (ai sensi dell'art. 7
d.lgs. 11/2010) e che quest'ultimo ha l'obbligo di garantire che le credenziali di sicurezza non siano accessibili a soggetti diversi dall'utente abilitato (art. 8 d.Lgs. 11/2010); ha, inoltre, lamentato la violazione degli obblighi di diligenza (art. 1176 c.c.) e di buona fede e correttezza (art. 1175 c.c.) e, da ultimo, in subordine, ha chiesto di limitare la perdita economica dell'utilizzatore ad euro 150,00, come previsto dall'art. 12 co. III d.lgs. 11/2010, e, conseguentemente, di ridurre la condanna all'importo di euro 4.017,90.
Costituendosi nel giudizio dinanzi al Giudice di pace, premesso che la carta in Controparte_1 oggetto era dotata di sistema di sicurezza mediante l'associazione del numero del cellulare dell'utilizzatore alla carta secondo il protocollo di sicurezza 3Dsecure fornito dai circuiti
Mastercard (circuito utilizzato dalla carta in questione), ha rilevato che le operazioni contestate erano state autorizzate dall'attore, dato che dalle evidenze elettroniche emerge che per ciascuna di esse erano stati inseriti il numero della carta, il codice posto sul retro della stessa (CVV2) e i codici
OTP (password numerica temporanea), questi ultimi trasmessi a mezzo sms al numero di cellulare abilitato dal cliente;
ha, dunque, chiesto il rigetto della domanda avversaria, ritenendo di aver dimostrato l'adempimento dei propri obblighi, oltre che la non riconducibilità a sé della mail ricevuta dal e avendo, altresì, fornito prova del comportamento negligente e non accorto del Pt_1 cliente.
Il Giudice di pace di Catania, con la sentenza n. 2268/2022, ritenuto sussistere una concorrente responsabilità di parte attrice, ha parzialmente accolto la domanda e ha condannato Controparte_1
al pagamento di euro 2.084,00, pari al 50% della somma fraudolentemente prelevata, compensando integralmente le spese del giudizio tra le parti.
2. Il giudizio di appello
Con l'atto di appello ha impugnato la suddetta sentenza, deducendo l'errore del Parte_1
Giudice di pace nella parte in cui lo ha ritenuto corresponsabile della causazione del danno, laddove, invece, avrebbe dovuto essere accertata l'esclusiva responsabilità della convenuta e non disporre la compensazione delle spese. L'EL ha censurato la ricostruzione del fatto, ha eccepito la violazione e/o falsa applicazione degli artt. 5 ss. d.lgs. n. 218/2017, l'erroneità della sentenza impugnata, la sussistenza della responsabilità da inadempimento contrattuale e di operazioni non autorizzate, la violazione dei canoni di buona fede e correttezza ex art. 1175 c.c. e della diligenza professionale ex art. 1176 co. II c.c., con conseguente diritto al risarcimento integrale dei pagamenti non autorizzati.
Secondo la ricostruzione dell'EL, egli, una volta cliccato il link ricevuto, era stato automaticamente reindirizzato all'app ufficiale della società appellata e, rassicurato proprio da tale circostanza, si era limitato a inserire solo il proprio codice ID, senza fornire a terzi le proprie credenziali;
controparte, invece, non avrebbe fornito prova di aver adempiuto agli obblighi di custodia e salvaguardia delle somme dei propri clienti, come richiesto dall'art. 2697 co. II c.c.;
l'EL ha dunque invocato l'art. 10 del d.lgs. n. 11/2010, secondo il quale quando il cliente neghi di aver autorizzato un pagamento spetta all'intermediario dare prova “della frode, del dolo o della colpa grave in capo all'utente”. Parte EL ha dunque prospettato la responsabilità dell'intermediario per non aver verificato la corrispondenza tra il dispositivo cui è stato inviato il codice OTP e quello che concretamente lo ha ricevuto: avrebbe dovuto dimostrare il Controparte_1
processo mediante il quale è stato verificato che il token scambiato con il cliente fosse valido e che fosse lo stesso utilizzato durante tutta la procedura, dato che, verosimilmente, l'app utilizzata per l'esecuzione delle operazioni era quella installata sul dispositivo del terzo truffatore. Parte_1 ha inoltre affermato che la negligenza dell'intermediario emerge altresì dalla circostanza per cui le operazioni erano state effettuate verso un Paese straniero e, per tale motivo, avrebbero dovuto essere bloccate.
L'EL ha dunque formulato le seguenti conclusioni:
“Alla luce dei motivi dedotti in narrativa, accogliere l'appello e, per l'effetto, riformare parzialmente la sentenza impugnata nel senso di accertare e dichiarare l'esclusiva responsabilità della società appellata e, per l'effetto, condannare la medesima al pagamento, in Controparte_1 favore dell'odierno EL, della somma pari a Euro 2.084,00, quale importo residuo e a titolo di rimborso integrale dell'intera somma pari ad Euro 4.167,90, fraudolentemente prelevata dalla
Carta prepagata dell'EL , oltre interessi legali dalla domanda al soddisfo;
Parte_1
Per l'effetto, riformare il capo della sentenza impugnata relativo alle spese nel senso di condannare l'appellata alla refusione delle spese di lite di entrambi i gradi di giudizio in favore dell'EL; - In via meramente gradata, riformare la sentenza impugnata limitatamente alla parte in cui dispone la compensazione integrale delle spese, disponendo la condanna di CP_1 al pagamento delle spese del giudizio di primo grado”.
Si è costituita e, preliminarmente, ha rilevato la nullità dell'atto di appello in Controparte_1 quanto contenente l'invito all'appellato a costituirsi in giudizio almeno 70 giorni prima dell'udienza, come previsto dal rito innanzi al tribunale, e non 20 giorni prima, come stabilito dalle norme processuali applicabili al grado di appello.
Nel merito, la società ha contestato i motivi di appello, rilevando che le stesse circostanze narrate dall'attore, e cioè l'aver egli stesso inserito il codice ID sulla pagina apertasi a seguito dell'accesso al link ricevuto, metterebbero in evidenza la sua grave violazione dei doveri di diligenza contenuti nelle previsioni normative e riportati nelle condizioni contrattuali della carta. ha evidenziato che il protocollo 3Dsecure adottato per l'effettuazione delle Controparte_1 operazioni ne garantisce la sicurezza;
esso, infatti, richiede al cliente l'inserimento dei dati della carta (e cioè numero, scadenza e CVV2) e della password temporanea OTP che viene inviata tramite sms sul numero di telefono comunicato dal cliente all'apertura della carta e certificato dall'istituto di credito, con la conseguenza che, secondo quanto emergerebbe dagli atti, anche le operazioni oggetto della controversia sono state effettuate mediante l'inserimento manuale di tali dati, che solo l'EL poteva conoscere e che egli stesso, cliccando sul link ricevuto, ha fornito ad un terzo, violando così gli obblighi posti a suo carico dall'art. 4 delle condizioni di contratto (e ciò malgrado abbia da tempo posto in essere campagne informative antifrode al fine Controparte_1
di cautelare i propri clienti dal rischio di truffe informatiche, c.d. phishing). La condotta negligente di , secondo la prospettazione della società, emergerebbe anche dalla circostanza per Parte_1
cui la mail ricevuta aveva a oggetto la modifica delle condizioni contrattuali relative alla sua identità digitale (SPID), estranea all'utilizzo della carta. ha, dunque, concluso chiedendo al Tribunale di “rigettare l'appello perché Controparte_1 improcedibile e in ogni caso infondato in fatto e diritto”.
3. Sull'eccezione di nullità dell'atto di appello
Così ricostruite le domande, eccezioni e difese delle parti, va innanzitutto esaminata l'eccezione di nullità dell'atto di citazione in appello in quanto contenente l'invito alla parte appellata a costituirsi in giudizio almeno 70 giorni prima dell'udienza, come previsto dal rito innanzi al
Tribunale, e non 20 giorni prima, secondo quanto stabilito dalle norme applicabili in grado di appello.
Infatti, a prescindere dalla questione del termine per costituirsi oggetto dell'avviso nel grado di appello ai sensi degli artt. 342, 163 e 343 c.p.c., in ogni caso, il difetto della vocatio in ius rilevato da parte appellata non determinerebbe la nullità dell'atto di appello. Ciò in quanto a norma dell'art. 164 c.p.c. la citazione è nulla, tra le altre ipotesi, “se è stato assegnato un termine a comparire inferiore a quello stabilito dalla legge” (co. I), ma, ai sensi del co. III della medesima norma, la nullità è sanata se il convenuto si costituisce e, in questo caso, solo se il convenuto deduce l'inosservanza dei termini a comparire o la mancanza dell'avvertimento previsti dal n. 7 dell'art. 163 c.p.c., viene fissata una nuova udienza nel rispetto dei termini. Nel caso in esame la società convenuta si è costituita e, alla prima udienza, non ha spiegato alcuna domanda in proposito, chiedendo fissarsi l'udienza per la decisione: di conseguenza, nessun vulnus al diritto di difesa si è verificato e l'eccezione va rigettata.
4. Sull'accertamento della responsabilità e la domanda di condanna
ha impugnato la sentenza di primo grado sul presupposto dell'esclusiva Parte_1
responsabilità di per la perdita economica subita a seguito della frode commessa in Controparte_1
suo danno da terzi ignoti attraverso operazioni on line che egli ha disconosciuto.
Vertendosi in tema di responsabilità contrattuale i principi generali che trovano applicazione sono gli artt. 2697 e 1218 c.c., quali interpretati, per tutte, da Cass. civ., Sez. un., n. 13533/2001, secondo cui, in tema di responsabilità contrattuale, è onere del creditore produrre il titolo su cui l'obbligazione è fondata ed allegare l'inadempimento, mentre grava sul debitore l'onere di dimostrarne l'assenza o la non imputabilità; inoltre, trattandosi di responsabilità contrattuale del prestatore di servizi di pagamento, nel caso in cui il cliente abbia disconosciuto un'operazione eseguita tramite home banking da terzi ignoti con mezzi fraudolenti, trova, altresì, applicazione la disciplina speciale che regola le operazioni di pagamento a distanza contenuta nel d.lgs. 11/2010, come modificato dal d.lgs. 218/17 (che ha recepito la direttiva UE 2015/2366).
Alla luce, dunque, dei principi sopra citati, nel caso di operazioni non riconosciute dal correntista, grava sulla società che esercita attività bancaria, nel caso di specie Controparte_1
l'onere di dimostrarne l'imputabilità al cliente per colpa grave, prova in mancanza della quale sussiste il diritto risarcitorio del cliente (Cass. civ, Sez. III, 26.05.2020, n. 9721; in senso analogo, tra le tante, Cass. civ., Sez. III, n. 9721/2020 e Sez. VI, ord. n. 9158/2018).
In particolare, in tema di responsabilità dell'istituto in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema
(rispondente ad un interesse degli stessi operatori), è ritenuto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento il possibile verificarsi di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo, perché prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente;
quindi, per esimersi da responsabilità la banca, cui è richiesta una diligenza di natura tecnica, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (ex multis, Cass. civ., Sez. I, n. 2950/2017).
Secondo quanto affermato da Cass. civ., Sez. III, 26.05.2020, n. 9721, la banca deve dunque fornire la prova della riconducibilità dell'operazione disconosciuta al cliente, come previsto dall'art. 10 del d.lgs. n. 11/2010, secondo cui grava sull'istituto l'onere di dimostrare che l'operazione disconosciuta è stata effettuata correttamente e che non vi siano state anomalie che ne abbiano consentito l'esecuzione; sul punto – malgrado in applicazione del principio di cui all'art. 1176 c.c. nel rapporto contrattuale tra cliente e banca a quest'ultima viene richiesta una diligenza qualificata in riferimento all'attività esercitata – si ritiene debba escludersene la responsabilità per operazioni effettuate a mezzo di strumenti elettronici (con particolare riferimento alla necessaria verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi) se ricorre una situazione di colpa grave dell'utente (mutatis mutandis, Cass. civ., Sez. III, n. 18045/ 2019).
Nel caso in esame, è riuscita a provare il pieno adempimento delle proprie Controparte_1
obbligazioni e la sussistenza della condotta colposa del cliente.
In linea generale, infatti, ha comprovato – mediante la produzione tecnica allegata quale docc. nn. 2, 3 e 4 in primo grado – l'adozione del protocollo 3Dsecure, sistema di sicurezza dei servizi informatici online certificato da appositi enti secondo standard internazionali, il cui corretto utilizzo nella effettuazione di transazioni on line garantisce la sicurezza delle stesse (ai sensi dell'art. 10
d.lgs. 11/2010).
Risulta, inoltre, provata la condotta colposa del cliente (ai sensi degli artt. 7 e 10 d. lgs. 11/2010
e dell'art. 1768 c.c.), laddove, secondo la stessa prospettazione di parte attrice, ha Parte_1 ammesso di aver inserito quantomeno il proprio 'CodicePosteID' in una schermata alla quale è stato indirizzato da un link inviato tramite mail che, sebbene 'rinviasse automaticamente' all'app
PostePay (circostanza, peraltro, solo prospettava e non provata), richiedeva, però, l'accesso a fini diversi da quelli relativi all'utilizzo della carta a lui intestata, relativi all'accettazione delle modifiche delle condizioni contrattuali riferite alla Identità digitale (SPID), servizio estraneo e indipendente da quello relativo all'utilizzo di carta di pagamento. Infatti, fermo restando che né dai fatti narrati dall'EL, né dai documenti prodotti in atti, è dato desumere se lo stesso fosse o meno intestatario del servizio relativo alla identità digitale, in ogni caso, anche qualora il cliente fosse fruitore di tale tipologia di servizio, la sua condotta deve ritenersi colposa, posto che il contratto relativo ai servizi di pagamento digitale non prevede forme di trasmissione dati tra operatore bancario e cliente a seguito di mail, circostanza che avrebbe dovuto indurre l'EL ad una condotta più diligente;
ciò vale a maggior ragione considerando che, come chiarito, ciò che è stato chiesto all'utente è di provvedere all'accettazione delle modifiche delle condizioni contrattuali relative a un diverso servizio (SPID) attraverso l'inserimento delle credenziali assegnate per l'effettuazione di operazioni bancarie telematiche, attinenti, dunque, a una funzione completamente differente, così come inconferente risulta la circostanza per cui la mancata accettazione di tali modifiche avrebbe impedito l'utilizzo della carta (come si legge nella mail fraudolentemente trasmessa). In altri termini, la condotta imprudente tenuta dal cliente aprendo un link giunto via mail che, con l'ordinaria diligenza, si sarebbe potuto riconoscere come fraudolento, priva di rilevanza sia la circostanza dell'avvenuto invio della mail dall'indirizzo Email_1 sia la circostanza per cui da tale link si sarebbe direttamente aperta l'App PostePay installata, elemento di fatto peraltro privo di prova.
A fronte di tale situazione, non è dirimente l'eccezione per cui la frode avrebbe potuto essere evitata mediante l'utilizzo di un sistema di enrollment del device utilizzato (che, secondo la prospettazione dell'EL, avrebbe consentito di individuare che le operazioni venivano compiute da un dispositivo estraneo a quello registrato in uso a ), in quanto, anche se Parte_1
si convenisse con il fatto che i log di autenticazione mostrano che le singole operazioni sono state effettuate mediante digitazione del PAN e dei dati della carta (non sufficienti ai fini di un sistema di autenticazione c.d. forte), deve comunque osservarsi che il protocollo 3DS (della cui adozione è data prova) non avrebbe consentito l'esecuzione delle operazioni senza gli OTP ricevuti sul numero di cellulare associato alla carta (tenuto conto del fatto che la c.d. securizzazione della carta è avvenuta in epoca antecedente all'esecuzione delle operazioni per cui è causa e non emergono agli atti denunce di smarrimento o furto della carta o dell'utenza telefonica) e, in ogni caso, può quantomeno affermarsi un concorso del fatto colposo del creditore ai sensi dell'art. 1227 c.c. per aver inserito credenziali, anche solo parziali, a seguito dell'apertura un link sospetto, nei termini ritenuti dal Giudice di pace;
dunque, anche sotto tale profilo, i motivi di appello non possono essere condivisi.
Si aggiunga, peraltro, che della necessaria cautela nell'utilizzazione dei suddetti dati l'EL era stato informato mediante la documentazione contrattuale e l'obbligo alla adozione di tutte le cautele necessarie è imposto dall'art. 4 delle condizioni contrattuali (si veda la documentazione allegata sub nn. 1 e 7 in primo grado). Sempre in relazione agli obblighi informativi dell'operatore professionale, la condotta dell'EL si appalesa colposa a maggior ragione se si considera la campagna volta alla prevenzione del fenomeno del cd. phishing promossa da Controparte_1
(documentata in atti, all. 6 fascicolo primo grado), nella quale si precisa anche che la società non chiede mai di fornire i codici personali relativi alle carte di pagamento attraverso mail, lettere, telefonate o sms.
Su un caso analogo può citarsi la recente Cass. civ., Sez. I, 13.03.2023, n. 7214, secondo cui
“non sussiste la responsabilità della banca per i danni patiti al correntista in conseguenza di addebito di somme sul conto corrente bancario derivato da operazioni di bonifico eseguite per via telematica da un terzo, qualora si accerti, da un lato, che l'istituto ha adottato un sistema di sicurezza dei servizi informatici on line tale da impedire l'accesso ai dati personali del correntista da parte dei terzi, sistema certificato da appositi enti certificatori secondo i più rigorosi ed affidabili standard internazionale e tale che la sua utilizzazione può avvenire esclusivamente attraverso l'inserimento di vari codici segreti in possesso dell'utente e sconosciuti dallo stesso personale della banca, dall'altra che nel foglio illustrativo consegnato al correntista sia precisato che il cliente è responsabile della custodia e dell'utilizzazione corretta dei propri dati personali per
l'utilizzo dei servizi informatici on line. In un tale contesto, infatti, deve ritenersi che il correntista ha tenuto un comportamento decisamente imprudente e negligente, avendo digitato i propri codici personali - verosimilmente richiesti con una e-mail fraudolenta - in tale modo consentendo all'ignoto truffatore di successivamente utilizzarli per effettuare la disposizione sul conto e tale condotta colposa, causa esclusiva dell'operazione che ha determinato l'addebito, ha assunto i caratteri del caso fortuito che ha interrotto il nesso eziologico tra l'attività pericolosa e l'evento dannoso, con conseguente esclusione della responsabilità della banca”.
Alla luce di tutte le superiori considerazioni, considerato che parte appellata ha fornito la prova liberatoria prevista dalla normativa speciale richiamata, l'appello, per la parte relativa alla statuizione di condanna parziale, va rigettato;
deve conseguentemente ritenersi assorbito il motivo di appello relativo alla compensazione delle spese, in quanto fondato proprio sul presupposto dell'accoglimento integrale delle domande di accertamento e condanna.
5. Le spese di lite
Le spese del presene grado di giudizio, in applicazione del principio di soccombenza, vengono poste a carico di parte EL ai sensi dell'art. 92 c.p.c. e liquidate nel dispositivo con l'applicazione dei parametri minimi di cui al D.M. 55/2014, quale modificato dal D.M. 147/2022, tenuto conto del valore della domanda, natura documentale del procedimento, della limitata attività difensiva svolta, dell'assenza di attività istruttoria e delle modalità di assunzione della decisione.
P.Q.M.
Il Giudice, definitivamente pronunciando sul procedimento iscritto al n. R.G. 3985/2023, così decide:
- rigetta l'appello proposto da nei confronti della sentenza n. Parte_1
2268/2022 emessa dal Giudice di pace di Catania;
- condanna a corrispondere a le spese di lite, liquidate Parte_1 Controparte_1
in euro 1.278,00, oltre il 15% per spese generali, I.V.A. e C.P.A. se dovute per legge.
Catania, 18/03/2025
Il Giudice dott.ssa Chiara Salamone
TRIBUNALE DI CATANIA
Quarta sezione civile
IN NOME DEL POPOLO ITALIANO
Il Tribunale di Catania, nella persona del Giudice dott.ssa Chiara Salamone, ha emesso la seguente
SENTENZA
Nel procedimento civile iscritto al n. R.G. 3985/2023 promosso da
, C.F. , rappresentato e difeso dall'AVV. Parte_1 C.F._1
GIOVANNI FERRAÙ, C.F. , ed elettivamente domiciliato in via Nicola C.F._2
Coviello n. 25, Catania;
EL contro
C.F. , in persona del legale rappresentante pro tempore, Controparte_1 P.IVA_1 rappresentata e difesa dall'AVV. MASSIMILIANO CESARE, C.F. , e C.F._3 dall'AVV. ALFONSO PISANZIO, C.F. , elettivamente domiciliata in piazza C.F._4
G. Rodinò n. 18, Napoli;
appellata avente ad oggetto: appello nei confronti di sentenza del Giudice di pace – responsabilità contrattuale – frode informatica.
All'udienza del 20.11.2024 parte EL, unica comparsa, ha precisato le conclusioni riportandosi ai propri atti ed ai verbali di causa ed il procedimento è stato posto in decisione.
MOTIVI DELLA DECISIONE
Il procedimento ha ad oggetto l'appello proposto da nei confronti della sentenza Parte_1
n. 2268/2022, emessa dal Giudice di pace di Catania, mediante la quale, in parziale accoglimento delle domande del medesimo, è stata condannata al pagamento della somma di euro Controparte_1
2.084,00 in favore dell'attore, oltre interessi, compensando integralmente le spese del giudizio.
1. Il giudizio di primo grado
In primo grado l'attore ha evocato in giudizio esponendo di Parte_1 Controparte_1 essere titolare di una carta prepagata 'PostePay evolution' e di aver ricevuto in data 05.01.2021 una e-mail, con mittente 'Poste Italiane' gli veniva comunicata la modifica delle Parte_2
Condizioni Generali del Servizio di Identità Digitale (SPID), con l'invito a effettuare il relativo aggiornamento attraverso un link;
l'attore, una volta selezionato il link, sarebbe stato re-indirizzato all'app di , già installata sul proprio cellulare, la quale si era aperta immediatamente, CP_1 consentendogli l'inserimento del proprio codice ID, circostanza a seguito della quale gli era stato tuttavia negato l'accesso. Recatosi presso l'Ufficio postale, l'attore aveva appreso di non poter effettuare alcuna operazione e aveva provveduto, dunque, a bloccare la propria carta. In data
09.01.2021, verificata la lista movimenti della suddetta carta, aveva riscontrato la Parte_1
presenza di alcuni movimenti da lui mai autorizzati, in particolare di una serie addebiti per un totale di euro 4.167,90.
Presentata denuncia penale e richiesto senza successo il rimborso alla società degli importi oggetto delle operazioni disconosciute, ha dunque convenuto in giudizio Parte_1 CP_1
invocando la responsabilità per violazione del d.lgs n. 11/2010, che disciplina le operazioni
[...] effettuate on line, stante mancanza del necessario consenso del pagatore, richiesto dall'art. 5 del suddetto decreto;
ha chiesto dunque la condanna della società al rimborso dell'importo oggetto dell'operazione non autorizzata, così come previsto dall'art. 1 del medesimo decreto, rilevando che egli aveva immediatamente informato il prestatore del servizio di pagamento (ai sensi dell'art. 7
d.lgs. 11/2010) e che quest'ultimo ha l'obbligo di garantire che le credenziali di sicurezza non siano accessibili a soggetti diversi dall'utente abilitato (art. 8 d.Lgs. 11/2010); ha, inoltre, lamentato la violazione degli obblighi di diligenza (art. 1176 c.c.) e di buona fede e correttezza (art. 1175 c.c.) e, da ultimo, in subordine, ha chiesto di limitare la perdita economica dell'utilizzatore ad euro 150,00, come previsto dall'art. 12 co. III d.lgs. 11/2010, e, conseguentemente, di ridurre la condanna all'importo di euro 4.017,90.
Costituendosi nel giudizio dinanzi al Giudice di pace, premesso che la carta in Controparte_1 oggetto era dotata di sistema di sicurezza mediante l'associazione del numero del cellulare dell'utilizzatore alla carta secondo il protocollo di sicurezza 3Dsecure fornito dai circuiti
Mastercard (circuito utilizzato dalla carta in questione), ha rilevato che le operazioni contestate erano state autorizzate dall'attore, dato che dalle evidenze elettroniche emerge che per ciascuna di esse erano stati inseriti il numero della carta, il codice posto sul retro della stessa (CVV2) e i codici
OTP (password numerica temporanea), questi ultimi trasmessi a mezzo sms al numero di cellulare abilitato dal cliente;
ha, dunque, chiesto il rigetto della domanda avversaria, ritenendo di aver dimostrato l'adempimento dei propri obblighi, oltre che la non riconducibilità a sé della mail ricevuta dal e avendo, altresì, fornito prova del comportamento negligente e non accorto del Pt_1 cliente.
Il Giudice di pace di Catania, con la sentenza n. 2268/2022, ritenuto sussistere una concorrente responsabilità di parte attrice, ha parzialmente accolto la domanda e ha condannato Controparte_1
al pagamento di euro 2.084,00, pari al 50% della somma fraudolentemente prelevata, compensando integralmente le spese del giudizio tra le parti.
2. Il giudizio di appello
Con l'atto di appello ha impugnato la suddetta sentenza, deducendo l'errore del Parte_1
Giudice di pace nella parte in cui lo ha ritenuto corresponsabile della causazione del danno, laddove, invece, avrebbe dovuto essere accertata l'esclusiva responsabilità della convenuta e non disporre la compensazione delle spese. L'EL ha censurato la ricostruzione del fatto, ha eccepito la violazione e/o falsa applicazione degli artt. 5 ss. d.lgs. n. 218/2017, l'erroneità della sentenza impugnata, la sussistenza della responsabilità da inadempimento contrattuale e di operazioni non autorizzate, la violazione dei canoni di buona fede e correttezza ex art. 1175 c.c. e della diligenza professionale ex art. 1176 co. II c.c., con conseguente diritto al risarcimento integrale dei pagamenti non autorizzati.
Secondo la ricostruzione dell'EL, egli, una volta cliccato il link ricevuto, era stato automaticamente reindirizzato all'app ufficiale della società appellata e, rassicurato proprio da tale circostanza, si era limitato a inserire solo il proprio codice ID, senza fornire a terzi le proprie credenziali;
controparte, invece, non avrebbe fornito prova di aver adempiuto agli obblighi di custodia e salvaguardia delle somme dei propri clienti, come richiesto dall'art. 2697 co. II c.c.;
l'EL ha dunque invocato l'art. 10 del d.lgs. n. 11/2010, secondo il quale quando il cliente neghi di aver autorizzato un pagamento spetta all'intermediario dare prova “della frode, del dolo o della colpa grave in capo all'utente”. Parte EL ha dunque prospettato la responsabilità dell'intermediario per non aver verificato la corrispondenza tra il dispositivo cui è stato inviato il codice OTP e quello che concretamente lo ha ricevuto: avrebbe dovuto dimostrare il Controparte_1
processo mediante il quale è stato verificato che il token scambiato con il cliente fosse valido e che fosse lo stesso utilizzato durante tutta la procedura, dato che, verosimilmente, l'app utilizzata per l'esecuzione delle operazioni era quella installata sul dispositivo del terzo truffatore. Parte_1 ha inoltre affermato che la negligenza dell'intermediario emerge altresì dalla circostanza per cui le operazioni erano state effettuate verso un Paese straniero e, per tale motivo, avrebbero dovuto essere bloccate.
L'EL ha dunque formulato le seguenti conclusioni:
“Alla luce dei motivi dedotti in narrativa, accogliere l'appello e, per l'effetto, riformare parzialmente la sentenza impugnata nel senso di accertare e dichiarare l'esclusiva responsabilità della società appellata e, per l'effetto, condannare la medesima al pagamento, in Controparte_1 favore dell'odierno EL, della somma pari a Euro 2.084,00, quale importo residuo e a titolo di rimborso integrale dell'intera somma pari ad Euro 4.167,90, fraudolentemente prelevata dalla
Carta prepagata dell'EL , oltre interessi legali dalla domanda al soddisfo;
Parte_1
Per l'effetto, riformare il capo della sentenza impugnata relativo alle spese nel senso di condannare l'appellata alla refusione delle spese di lite di entrambi i gradi di giudizio in favore dell'EL; - In via meramente gradata, riformare la sentenza impugnata limitatamente alla parte in cui dispone la compensazione integrale delle spese, disponendo la condanna di CP_1 al pagamento delle spese del giudizio di primo grado”.
Si è costituita e, preliminarmente, ha rilevato la nullità dell'atto di appello in Controparte_1 quanto contenente l'invito all'appellato a costituirsi in giudizio almeno 70 giorni prima dell'udienza, come previsto dal rito innanzi al tribunale, e non 20 giorni prima, come stabilito dalle norme processuali applicabili al grado di appello.
Nel merito, la società ha contestato i motivi di appello, rilevando che le stesse circostanze narrate dall'attore, e cioè l'aver egli stesso inserito il codice ID sulla pagina apertasi a seguito dell'accesso al link ricevuto, metterebbero in evidenza la sua grave violazione dei doveri di diligenza contenuti nelle previsioni normative e riportati nelle condizioni contrattuali della carta. ha evidenziato che il protocollo 3Dsecure adottato per l'effettuazione delle Controparte_1 operazioni ne garantisce la sicurezza;
esso, infatti, richiede al cliente l'inserimento dei dati della carta (e cioè numero, scadenza e CVV2) e della password temporanea OTP che viene inviata tramite sms sul numero di telefono comunicato dal cliente all'apertura della carta e certificato dall'istituto di credito, con la conseguenza che, secondo quanto emergerebbe dagli atti, anche le operazioni oggetto della controversia sono state effettuate mediante l'inserimento manuale di tali dati, che solo l'EL poteva conoscere e che egli stesso, cliccando sul link ricevuto, ha fornito ad un terzo, violando così gli obblighi posti a suo carico dall'art. 4 delle condizioni di contratto (e ciò malgrado abbia da tempo posto in essere campagne informative antifrode al fine Controparte_1
di cautelare i propri clienti dal rischio di truffe informatiche, c.d. phishing). La condotta negligente di , secondo la prospettazione della società, emergerebbe anche dalla circostanza per Parte_1
cui la mail ricevuta aveva a oggetto la modifica delle condizioni contrattuali relative alla sua identità digitale (SPID), estranea all'utilizzo della carta. ha, dunque, concluso chiedendo al Tribunale di “rigettare l'appello perché Controparte_1 improcedibile e in ogni caso infondato in fatto e diritto”.
3. Sull'eccezione di nullità dell'atto di appello
Così ricostruite le domande, eccezioni e difese delle parti, va innanzitutto esaminata l'eccezione di nullità dell'atto di citazione in appello in quanto contenente l'invito alla parte appellata a costituirsi in giudizio almeno 70 giorni prima dell'udienza, come previsto dal rito innanzi al
Tribunale, e non 20 giorni prima, secondo quanto stabilito dalle norme applicabili in grado di appello.
Infatti, a prescindere dalla questione del termine per costituirsi oggetto dell'avviso nel grado di appello ai sensi degli artt. 342, 163 e 343 c.p.c., in ogni caso, il difetto della vocatio in ius rilevato da parte appellata non determinerebbe la nullità dell'atto di appello. Ciò in quanto a norma dell'art. 164 c.p.c. la citazione è nulla, tra le altre ipotesi, “se è stato assegnato un termine a comparire inferiore a quello stabilito dalla legge” (co. I), ma, ai sensi del co. III della medesima norma, la nullità è sanata se il convenuto si costituisce e, in questo caso, solo se il convenuto deduce l'inosservanza dei termini a comparire o la mancanza dell'avvertimento previsti dal n. 7 dell'art. 163 c.p.c., viene fissata una nuova udienza nel rispetto dei termini. Nel caso in esame la società convenuta si è costituita e, alla prima udienza, non ha spiegato alcuna domanda in proposito, chiedendo fissarsi l'udienza per la decisione: di conseguenza, nessun vulnus al diritto di difesa si è verificato e l'eccezione va rigettata.
4. Sull'accertamento della responsabilità e la domanda di condanna
ha impugnato la sentenza di primo grado sul presupposto dell'esclusiva Parte_1
responsabilità di per la perdita economica subita a seguito della frode commessa in Controparte_1
suo danno da terzi ignoti attraverso operazioni on line che egli ha disconosciuto.
Vertendosi in tema di responsabilità contrattuale i principi generali che trovano applicazione sono gli artt. 2697 e 1218 c.c., quali interpretati, per tutte, da Cass. civ., Sez. un., n. 13533/2001, secondo cui, in tema di responsabilità contrattuale, è onere del creditore produrre il titolo su cui l'obbligazione è fondata ed allegare l'inadempimento, mentre grava sul debitore l'onere di dimostrarne l'assenza o la non imputabilità; inoltre, trattandosi di responsabilità contrattuale del prestatore di servizi di pagamento, nel caso in cui il cliente abbia disconosciuto un'operazione eseguita tramite home banking da terzi ignoti con mezzi fraudolenti, trova, altresì, applicazione la disciplina speciale che regola le operazioni di pagamento a distanza contenuta nel d.lgs. 11/2010, come modificato dal d.lgs. 218/17 (che ha recepito la direttiva UE 2015/2366).
Alla luce, dunque, dei principi sopra citati, nel caso di operazioni non riconosciute dal correntista, grava sulla società che esercita attività bancaria, nel caso di specie Controparte_1
l'onere di dimostrarne l'imputabilità al cliente per colpa grave, prova in mancanza della quale sussiste il diritto risarcitorio del cliente (Cass. civ, Sez. III, 26.05.2020, n. 9721; in senso analogo, tra le tante, Cass. civ., Sez. III, n. 9721/2020 e Sez. VI, ord. n. 9158/2018).
In particolare, in tema di responsabilità dell'istituto in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema
(rispondente ad un interesse degli stessi operatori), è ritenuto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento il possibile verificarsi di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo, perché prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente;
quindi, per esimersi da responsabilità la banca, cui è richiesta una diligenza di natura tecnica, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (ex multis, Cass. civ., Sez. I, n. 2950/2017).
Secondo quanto affermato da Cass. civ., Sez. III, 26.05.2020, n. 9721, la banca deve dunque fornire la prova della riconducibilità dell'operazione disconosciuta al cliente, come previsto dall'art. 10 del d.lgs. n. 11/2010, secondo cui grava sull'istituto l'onere di dimostrare che l'operazione disconosciuta è stata effettuata correttamente e che non vi siano state anomalie che ne abbiano consentito l'esecuzione; sul punto – malgrado in applicazione del principio di cui all'art. 1176 c.c. nel rapporto contrattuale tra cliente e banca a quest'ultima viene richiesta una diligenza qualificata in riferimento all'attività esercitata – si ritiene debba escludersene la responsabilità per operazioni effettuate a mezzo di strumenti elettronici (con particolare riferimento alla necessaria verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi) se ricorre una situazione di colpa grave dell'utente (mutatis mutandis, Cass. civ., Sez. III, n. 18045/ 2019).
Nel caso in esame, è riuscita a provare il pieno adempimento delle proprie Controparte_1
obbligazioni e la sussistenza della condotta colposa del cliente.
In linea generale, infatti, ha comprovato – mediante la produzione tecnica allegata quale docc. nn. 2, 3 e 4 in primo grado – l'adozione del protocollo 3Dsecure, sistema di sicurezza dei servizi informatici online certificato da appositi enti secondo standard internazionali, il cui corretto utilizzo nella effettuazione di transazioni on line garantisce la sicurezza delle stesse (ai sensi dell'art. 10
d.lgs. 11/2010).
Risulta, inoltre, provata la condotta colposa del cliente (ai sensi degli artt. 7 e 10 d. lgs. 11/2010
e dell'art. 1768 c.c.), laddove, secondo la stessa prospettazione di parte attrice, ha Parte_1 ammesso di aver inserito quantomeno il proprio 'CodicePosteID' in una schermata alla quale è stato indirizzato da un link inviato tramite mail che, sebbene 'rinviasse automaticamente' all'app
PostePay (circostanza, peraltro, solo prospettava e non provata), richiedeva, però, l'accesso a fini diversi da quelli relativi all'utilizzo della carta a lui intestata, relativi all'accettazione delle modifiche delle condizioni contrattuali riferite alla Identità digitale (SPID), servizio estraneo e indipendente da quello relativo all'utilizzo di carta di pagamento. Infatti, fermo restando che né dai fatti narrati dall'EL, né dai documenti prodotti in atti, è dato desumere se lo stesso fosse o meno intestatario del servizio relativo alla identità digitale, in ogni caso, anche qualora il cliente fosse fruitore di tale tipologia di servizio, la sua condotta deve ritenersi colposa, posto che il contratto relativo ai servizi di pagamento digitale non prevede forme di trasmissione dati tra operatore bancario e cliente a seguito di mail, circostanza che avrebbe dovuto indurre l'EL ad una condotta più diligente;
ciò vale a maggior ragione considerando che, come chiarito, ciò che è stato chiesto all'utente è di provvedere all'accettazione delle modifiche delle condizioni contrattuali relative a un diverso servizio (SPID) attraverso l'inserimento delle credenziali assegnate per l'effettuazione di operazioni bancarie telematiche, attinenti, dunque, a una funzione completamente differente, così come inconferente risulta la circostanza per cui la mancata accettazione di tali modifiche avrebbe impedito l'utilizzo della carta (come si legge nella mail fraudolentemente trasmessa). In altri termini, la condotta imprudente tenuta dal cliente aprendo un link giunto via mail che, con l'ordinaria diligenza, si sarebbe potuto riconoscere come fraudolento, priva di rilevanza sia la circostanza dell'avvenuto invio della mail dall'indirizzo Email_1 sia la circostanza per cui da tale link si sarebbe direttamente aperta l'App PostePay installata, elemento di fatto peraltro privo di prova.
A fronte di tale situazione, non è dirimente l'eccezione per cui la frode avrebbe potuto essere evitata mediante l'utilizzo di un sistema di enrollment del device utilizzato (che, secondo la prospettazione dell'EL, avrebbe consentito di individuare che le operazioni venivano compiute da un dispositivo estraneo a quello registrato in uso a ), in quanto, anche se Parte_1
si convenisse con il fatto che i log di autenticazione mostrano che le singole operazioni sono state effettuate mediante digitazione del PAN e dei dati della carta (non sufficienti ai fini di un sistema di autenticazione c.d. forte), deve comunque osservarsi che il protocollo 3DS (della cui adozione è data prova) non avrebbe consentito l'esecuzione delle operazioni senza gli OTP ricevuti sul numero di cellulare associato alla carta (tenuto conto del fatto che la c.d. securizzazione della carta è avvenuta in epoca antecedente all'esecuzione delle operazioni per cui è causa e non emergono agli atti denunce di smarrimento o furto della carta o dell'utenza telefonica) e, in ogni caso, può quantomeno affermarsi un concorso del fatto colposo del creditore ai sensi dell'art. 1227 c.c. per aver inserito credenziali, anche solo parziali, a seguito dell'apertura un link sospetto, nei termini ritenuti dal Giudice di pace;
dunque, anche sotto tale profilo, i motivi di appello non possono essere condivisi.
Si aggiunga, peraltro, che della necessaria cautela nell'utilizzazione dei suddetti dati l'EL era stato informato mediante la documentazione contrattuale e l'obbligo alla adozione di tutte le cautele necessarie è imposto dall'art. 4 delle condizioni contrattuali (si veda la documentazione allegata sub nn. 1 e 7 in primo grado). Sempre in relazione agli obblighi informativi dell'operatore professionale, la condotta dell'EL si appalesa colposa a maggior ragione se si considera la campagna volta alla prevenzione del fenomeno del cd. phishing promossa da Controparte_1
(documentata in atti, all. 6 fascicolo primo grado), nella quale si precisa anche che la società non chiede mai di fornire i codici personali relativi alle carte di pagamento attraverso mail, lettere, telefonate o sms.
Su un caso analogo può citarsi la recente Cass. civ., Sez. I, 13.03.2023, n. 7214, secondo cui
“non sussiste la responsabilità della banca per i danni patiti al correntista in conseguenza di addebito di somme sul conto corrente bancario derivato da operazioni di bonifico eseguite per via telematica da un terzo, qualora si accerti, da un lato, che l'istituto ha adottato un sistema di sicurezza dei servizi informatici on line tale da impedire l'accesso ai dati personali del correntista da parte dei terzi, sistema certificato da appositi enti certificatori secondo i più rigorosi ed affidabili standard internazionale e tale che la sua utilizzazione può avvenire esclusivamente attraverso l'inserimento di vari codici segreti in possesso dell'utente e sconosciuti dallo stesso personale della banca, dall'altra che nel foglio illustrativo consegnato al correntista sia precisato che il cliente è responsabile della custodia e dell'utilizzazione corretta dei propri dati personali per
l'utilizzo dei servizi informatici on line. In un tale contesto, infatti, deve ritenersi che il correntista ha tenuto un comportamento decisamente imprudente e negligente, avendo digitato i propri codici personali - verosimilmente richiesti con una e-mail fraudolenta - in tale modo consentendo all'ignoto truffatore di successivamente utilizzarli per effettuare la disposizione sul conto e tale condotta colposa, causa esclusiva dell'operazione che ha determinato l'addebito, ha assunto i caratteri del caso fortuito che ha interrotto il nesso eziologico tra l'attività pericolosa e l'evento dannoso, con conseguente esclusione della responsabilità della banca”.
Alla luce di tutte le superiori considerazioni, considerato che parte appellata ha fornito la prova liberatoria prevista dalla normativa speciale richiamata, l'appello, per la parte relativa alla statuizione di condanna parziale, va rigettato;
deve conseguentemente ritenersi assorbito il motivo di appello relativo alla compensazione delle spese, in quanto fondato proprio sul presupposto dell'accoglimento integrale delle domande di accertamento e condanna.
5. Le spese di lite
Le spese del presene grado di giudizio, in applicazione del principio di soccombenza, vengono poste a carico di parte EL ai sensi dell'art. 92 c.p.c. e liquidate nel dispositivo con l'applicazione dei parametri minimi di cui al D.M. 55/2014, quale modificato dal D.M. 147/2022, tenuto conto del valore della domanda, natura documentale del procedimento, della limitata attività difensiva svolta, dell'assenza di attività istruttoria e delle modalità di assunzione della decisione.
P.Q.M.
Il Giudice, definitivamente pronunciando sul procedimento iscritto al n. R.G. 3985/2023, così decide:
- rigetta l'appello proposto da nei confronti della sentenza n. Parte_1
2268/2022 emessa dal Giudice di pace di Catania;
- condanna a corrispondere a le spese di lite, liquidate Parte_1 Controparte_1
in euro 1.278,00, oltre il 15% per spese generali, I.V.A. e C.P.A. se dovute per legge.
Catania, 18/03/2025
Il Giudice dott.ssa Chiara Salamone