TRIB
Sentenza 6 ottobre 2025
Sentenza 6 ottobre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Roma, sentenza 06/10/2025, n. 13667 |
|---|---|
| Giurisdizione : | Trib. Roma |
| Numero : | 13667 |
| Data del deposito : | 6 ottobre 2025 |
Testo completo
N.R.G. 29970/2021
REPUBBLICA ITALIANA
I N N O M E D E L P O P O L O I T A L I A N O
TRIBUNALE ORDINARIO DI ROMA
SEZIONE XVI CIVILE
Il Giudice, in persona della dott.ssa RI OC, ha pronunciato la seguente
S E N T E N Z A nel procedimento civile di I grado iscritto al n. 29970/2021 del Ruolo Generale degli Affari
Civili, promosso da:
, C.F. , nato a [...] il [...], residente Parte_1 C.F._1 in Roma al viale Città d'Europa n. 10, rappresentato e difeso dall'Avv. Emilio Franzese, elettivamente domiciliato presso lo studio professionale dell'Avv. Claudia Knoke sito in Roma, viale XXI Aprile n. 24, come da procura depositata in via telematica unitamente al ricorso introduttivo
ATTORE contro
C.F. , P.I. , con sede legale in Controparte_1 P.IVA_1 P.IVA_2
Torino alla piazza San Carlo n. 156, in persona del legale rappresentante pro tempore, rappresentata e difesa dall'Avv. Lucia Stazi, elettivamente domiciliata presso il suo studio professionale in Roma al corso Vittorio Emanuele II n. 173, come da delega depositata in via telematica unitamente alla comparsa di costituzione
CONVENUTA nonché
C.F. e P.I. con sede legale in Ivrea (TO) alla via Controparte_2 P.IVA_3
Jervis n. 13, in persona del legale rappresentante pro tempore, rappresentata e difesa dall'Avv.
CA ZI, elettivamente domiciliata presso il suo studio sito in Napoli, via Santa
Lucia n. 15, come da procura depositata in via telematica unitamente alla comparsa di costituzione del terzo
RZ AT OGGETTO: 146041 - Contratti bancari
CONCLUSIONI DELLE PARTI
PARTE ATTRICE: “Voglia il Tribunale di Roma accogliere le domande attrici e condannare la (P.I. , in persona del suo legale rappresentante Controparte_3 P.IVA_2 p.t., con sede in Torino al pagamento della somma di € 149.320,00 oltre interessi legali dal fatto all'effettivo soddisfo, oltre, ancora, la somma da liquidarsi equitativamente, in favore di
da Roma, per la causale di cui in narrativa, con vittoria di spese e compenso Parte_1 d'avvocato, oltre le spese generali e forfetarie, Iva e Ca come per Legge.”
PARTE CONVENUTA INTESA SA spa: “Piaccia al Tribunale adito, ogni contraria istanza respinta:
- in via istruttoria: a) autorizzare il deposito in cancelleria su supporto informatico dei files Excel già allegati in formato pdf alla comparsa di costituzione e risposta (docc. 8-15) e in formato Excel alla memoria ex art. 183, 6° comma, n. 2, c.p.c. (doc. 45);
- in via principale: b) rigettare ogni domanda avanzata contro da parte attrice perché infondata Controparte_1 in fatto e in diritto, anche ai sensi dell'art. 1227, 1° comma, c.c.; c) rigettare ogni domanda avanzata contro dalla terza chiamata Controparte_1 [...] perché infondata in fatto e in diritto;
CP_2
- in via subordinata: d) rigettare ogni domanda avanzata contro da parte attrice perché infondata Controparte_1 in fatto e in diritto ai sensi dell'art. 1227, 2° comma, c.c.; e) nella denegata ipotesi di condanna della convenuta a qualsiasi titolo al pagamento di somme in favore dell'attore, accertare e dichiarare, eventualmente ai sensi dell'art. 2055 c.c. in ipotesi di condanna solidale, la prevalente responsabilità contrattuale, o extracontrattuale o da contatto sociale della terza chiamata e per l'effetto condannarla a Controparte_2 risarcire il danno causato a , pari alla medesima somma complessivamente Controparte_1 riconosciuta all'attore, anche a titolo di spese legali liquidate alla controparte, con sua condanna diretta al pagamento in favore del sig. ovvero con sua condanna al relativo Parte_1 rimborso in favore di . Controparte_1 in via istruttoria: f) non emettere gli ordini di esibizione di documenti richiesti dal sig.
contro
Parte_1 [...]
e CP_1 CP_4 g) non ammettere la prova testimoniale proposta dal sig. In subordine, ammettere Parte_1 la prova contraria con gli stessi testi di parte attrice;
h) non ammettere le CTU richieste dal sig. Parte_1 i) Non ammettere i quesiti di CTU proposti da Controparte_2 Con vittoria di spese, competenze e onorari di giudizio, oltre spese generali in misura forfettaria ed oltre oneri fiscali e il contributo unificato corrisposto per la chiamata in causa”.
RZ AT : “Voglia l'Ill.mo Tribunale adito, reiectis Controparte_2 contrariis, così provvedere: In via preliminare: Autorizzare alla chiamata in causa, a norma dell'art. 106 c.p.c., di Controparte_2 [...]
in persona del legale rappresentante pro tempore, e di provvedere con decreto a CP_5 norma dell'art. 269, 2° comma, c.p.c. alla fissazione della prima udienza di comparizione, allo scopo di consentire la citazione delle terze chiamate nel rispetto dei termini di cui all'art. 163- bis c.p.c.; In via principale: Rigettare tutte le domande proposte nei confronti di , perché infondate in Controparte_2 fatto ed in diritto ed in ogni caso non provate. In via subordinata: per i motivi esposti in narrativa, nella denegata e non creduta ipotesi in cui dovesse essere ritenuta una qualche responsabilità da parte di in relazione agli asseriti danni CP_2 lamentati dall'attore: a) accertare e dichiarare ai sensi dell'art. 1227 c.c. la partecipazione colposa totale, ovvero parziale, dell'attore, di e di nella causazione dei Controparte_3 Controparte_5 pretesi danni dallo stesso asseritamente patiti, e/o evitabili usando l'orinaria diligenza, e, per l'effetto, anche per quanto detto in narrativa, rigettare le domande di parte attrice;
b) nella non creduta ipotesi in cui fosse, eventualmente, chiamata a corrispondere CP_2 all'attrice e/o ad altra parte processuale, qualsivoglia somma a titolo di indennizzo e/o risarcimento danni ovvero nella denegata ipotesi di accoglimento totale e/o parziale delle domande dell'attrice e/o altra parte processuale, accertare e dichiarare l'esclusiva responsabilità di , in persona del legale rappresentante pro Controparte_3 tempore, e di , in persona del legale rappresentante pro tempore, in ordine ai Controparte_5 fatti per cui è causa, tenendo assolta/indenne da qualsivoglia pronuncia CP_2 pregiudizievole ovvero, a titolo di garanzia e/o manleva, tenute , in Controparte_3 persona del legale rappresentante pro tempore, e , in persona del legale Controparte_5 rappresentante pro tempore, a pagare e/o restituire a quanto eventualmente CP_2 quest'ultima fosse condannata a corrispondere all'attrice e/o ad altra parte processuale ovvero, a titolo di ripetizione e/o rivalsa e/o regresso, tenute , in Controparte_3 persona del legale rappresentante pro tempore, e , in persona del legale Controparte_5 rappresentante pro tempore, a pagare e/o restituire a quanto eventualmente CP_2 quest'ultima fosse condannata a corrispondere all'attrice e/o ad altra parte processuale, il tutto oltre interessi. In via istruttoria: La scrivente difesa chiede disporsi Consulenza Tecnica d'ufficio al fine di accertare:
1. Previe ed opportune verifiche di natura informatica, il funzionamento del servizio di Home Banking di e se l'eventuale acquisizione delle credenziali di accesso ad esso Controparte_1 da parte di terzi sia stato antecedente e/o contestuale all'acquisizione del numero mobile 3495682660.
2. Previe ed opportune verifiche di natura informatica, il funzionamento del servizio di Home Banking di e se il sistema di autenticazione dalla predetta adottato possa Controparte_1 essere violato indipendentemente dal tipo di dispositivo utilizzato per l'accesso e dal possesso del numero telefonico collegato ai servizi telematici.
3. Se il servizio di Home Banking di possa contestualmente funzionare Controparte_3 allorquando tale App risulti installata su due dispositivi differenti. (Si vuol chiedere al Ctu se sia possibile che una volta installata l'app su un dispositivo ed effettuato il primo accesso - e poi ovviamente essersi disconnessi -, sia possibile installare la medesima app su altro dispositivo e collegarsi allo stesso conto corrente. Ad esempio, registra il primo CP_6 accesso effettuato dal correntista e non permette di “entrare” nello stesso conto corrente da altro dispositivo se non viene disinstallata l'app nel primo dispositivo da cui è stato effettuato il primo accesso). La presente richiesta appare fondata visto il deserto probatorio offerto dalla banca e dell'attore e potrà essere utile anche al fine di comprendere se una semplice sostituzione di una sim possa provocare una situazione come quella per cui è causa sui dati sensibili di un correntista della banca.”
MOTIVI DI FATTO E DI DIRITTO DELLA DECISIONE
1.- Con ricorso ex art. 702-bis c.p.c. depositato in data 26.4.2021 agiva in Parte_1 giudizio avverso la società in persona del legale rappresentante Controparte_3 pro tempore, esponendo in fatto:
- di aver acceso con la filiale di Roma via Cesare Pavese n. 397, Controparte_3 il rapporto di conto corrente n. 00451/1000/00070950, su cui era attivato il servizio di home banking;
- di aver ricevuto in data 19.3.2020 dal sistema ABC - un messaggio con il Controparte_1 quale era stato avvisato che erano in corso accessi al suo conto corrente effettuati da un browser diverso da quello usuale;
- che, allarmato da quanto successo, aveva immediatamente risposto alla Banca con messaggi del seguente tenore:
1) messaggio delle ore 11:16: “Buongiorno i è arrivato un sms che mi avvertiva che Per_1 qualcuno ha aperto questa mattina da un brauser diverso”;
2) messaggio delle ore 11:17: “Ho già mandato un sms online dicendo di fare attenzione perché non sono stato io”;
3) messaggio delle ore 11:18: “Ripeto non sono stato io quindi qualcuno ha cercato di forzare il sistema. Attenzione”;
- che il 20.3.2020 un funzionario della Banca aveva risposto alle ore 10:08 con un messaggio del seguente tenore: “Gentile i servizi tecnici mi scrivono quanto segue “il Parte_1 cliente ha fatto vari accessi sia da app sia da pc, pertanto, può essere che ha utilizzato diversi browser e gli sia comunque arrivato l'sms”. Cordiali saluti”;
- che ancora in data 20.3.2020 il ricorrente aveva precisato quanto segue:
1) messaggio delle ore 10.29: “Buongiorno non ho fatto accessi da altro pc”; Per_1
2) messaggio delle ore 10.30: “Per questo vi ho scritto non vorrei che qualcuno avesse provato accesso non autorizzato. Vi prego di verificare”;
- che il 26.3.2020, nonostante i ripetuti avvisi prontamente recapitati alla il ricorrente CP_3 era venuto a conoscenza del fatto che il 23-24.3.2020 i seguenti bonifici erano stati fraudolentemente effettuati sul suo conto corrente, azzerandone il saldo:
1) bonifico per € 60.000,00 del 23.3.2020 in favore di;
CP_7
2) bonifico per € 15.000,00 del 24.3.2020 in favore di;
Persona_2 3) bonifico per € 15.000,00 del 24.3.2020 in favore di Persona_3
4) bonifico per € 14.000,00 del 24.3.2020 in favore di;
Parte_2
- di aver sporto denuncia il 26.3.2020 presso il Comando Stazione Carabinieri Roma Torrino
Nord;
- di essere stato costretto a integrare la denuncia in data 7.4.2020, in quanto, avvedutosi di un malfunzionamento del proprio telefono cellulare, aveva appreso che la scheda SIM del suo cellulare era stata clonata e che la relativa utenza era stata illecitamente migrata dall'operatore CP_ a quello;
CP_2
- che la aveva riconosciuto la natura fraudolenta dei citati pagamenti, tanto da disporre CP_3 il riaccredito delle somme illegittimamente sottratte, ma il 13.7.2020 aveva negato la propria responsabilità per l'accaduto, tanto da addebitare nuovamente al le somme Parte_1 precedentemente accreditate;
- che il ricorrente non era solito effettuare bonifici di rilevante entità su conti esteri, come avvenuto nel caso di specie;
- che il ricorrente, dipendente di un centro sportivo, nella prima metà del 2020 era stato in procinto di investire parte dei propri risparmi, depositati sul conto corrente acceso presso la convenuta, nel centro sportivo YMCA per realizzare due campi da padel e, come CP_3 risultante dalla CTU contabile allegata agli atti, i due campi da padel, a fronte di un investimento di € 70.000,00 circa, avrebbero determinato introiti per € 45.320,00;
- che la procedura di mediazione obbligatoria si era conclusa con esito negativo.
Tanto premesso in fatto, parte attrice deduceva:
- la responsabilità della per i fatti sopra esposti, non avendo quest'ultima garantito la CP_3 riservatezza dei dati di accesso al sistema informatico di home banking;
- l'incapacità della di custodire i risparmi del poiché, nonostante i tempestivi CP_3 Parte_1 avvisi, non aveva impedito a terzi di operare sul conto corrente dell'attore;
- la violazione da parte della convenuta dei doveri di accortezza, prudenza e perizia professionale, con conseguente sua responsabilità per il danno emergente ed il lucro cessante patiti dall'attore;
- la responsabilità della per aver indotto il a fare affidamento sulla ripetizione CP_3 Parte_1 delle somme illegittimamente sottrattegli, atteso che questo, proprio in dipendenza di tale riaccredito, aveva deciso di mantenere il suo usuale tenore di vita;
- la applicabilità al caso di specie dell'art. 2050 c.c. nonché dei decreti legislativi n. 11 del 2010
e n. 218 del 2017, con le dovute conseguenze in punto di onere probatorio.
Parte attrice concludeva quindi come in epigrafe riportato. 2.- Con comparsa dell'11.11.2021 si costituiva in giudizio in persona Controparte_3 del legale rappresentante pro tempore, la quale, premessi brevi cenni sulla disciplina contenuta nel compendio contrattuale sottoscritto dal esponeva: Parte_1
- che in data 1.2.2018 il aveva sottoscritto con la il contratto di conto corrente Parte_1 CP_3
n. 00451/1000/00070950 ed il relativo contratto My Key n. 08396449;
- che, in esecuzione dei suddetti contratti, il aveva ottenuto dalla le credenziali Parte_1 CP_3 necessarie ad operare a distanza, attraverso computer o applicazione mobile, sul conto corrente in oggetto;
- che il aveva indicato il n. 0039-3495682660 quale utenza telefonica mobile Parte_1 certificata, che faceva parte delle credenziali utilizzate dalla per identificare a distanza il CP_3 cliente e consentirgli di accedere ai relativi servizi;
- che il regolamento contrattuale specificamente approvato dal aveva determinato in Parte_1 capo a questo un obbligo di custodia delle credenziali, che non dovevano essere comunicate o rese disponibili a terzi;
- che il sistema di sicurezza ad autenticazione forte adottato dalla Banca, articolato nella combinazione di credenziali di accesso statiche - codice titolare (c.d. user id) e password generata dal correntista (c.d. pin) - e dinamiche, segnatamente codici autorizzativi monouso e temporizzati c.d. OTP generati dal sistema a valere sul cellulare certificato, era conforme alla normativa vigente e allo stato dell'arte, con conseguente infondatezza delle doglianze di controparte circa la sua presunta inadeguatezza;
- che nel sistema di sicurezza in oggetto veniva altresì prevista la comunicazione di un'ulteriore password dinamica (c.d. OTS) in caso di operazioni potenzialmente sospette;
- che il era stato informato dalla sulle corrette modalità di utilizzo del servizio Parte_1 CP_3 di home banking e sul rischio di subire truffe;
- che i bonifici in oggetto erano stati autorizzati all'esito del raggiungimento del livello di sicurezza previsto, ossia dopo il corretto inserimento delle specifiche password c.d. OTP ed
“OTS” generate tramite sms, come documentato dai registri informatici versati in atti;
- che il era responsabile di tutte le operazioni contestate, atteso che queste, ancorché Parte_1 non volute dal ricorrente, dovevano essere comunque a lui imputate, poiché concluse con l'utilizzo delle credenziali di accesso autentiche, senza alcuna violazione del sistema;
- che il aveva lamentato una frode c.d. sim swap fraud, senza tuttavia nulla provare Parte_1 in ordine al presunto malfunzionamento (nel periodo 19-21.3.2020) del suo telefono cellulare certificato, evidenziando che i bonifici controversi erano stati disposti successivamente a tale malfunzionamento, con conseguente ingiustificata inerzia del Parte_1 - che il nonostante fosse stato tempestivamente avvisato dalla della Parte_1 CP_3 sussistenza delle operazioni in oggetto e nonostante fosse stato esortato a richiedere il blocco delle funzionalità di internet banking, si era rivolto ad un impiegato di filiale senza peraltro chiedere il blocco del sistema di home banking (al quale il semplice impiegato non era comunque in grado di adempiere) e senza dolersi del mancato funzionamento del suo telefono cellulare, così tenendo una condotta gravemente negligente;
- che le pretese restitutorie e risarcitorie attoree erano prive di fondamento;
- che, in ogni caso, il aveva tenuto una condotta negligente, rilevante ex art. 1227, Parte_1 comma II c.c..
La convenuta, inoltre, chiedeva di essere autorizzata alla chiamata in causa ex art. 106 c.p.c. della da cui chiedeva di essere tenuta indenne dalle eventuali Controparte_2 conseguenze negative del giudizio, deducendo in via subordinata:
- la violazione dell'art. 55, comma 7 del D.Lgs. n. 259 del 2003, poiché la Controparte_2
con comportamento gravemente colposo, aveva acconsentito indebitamente alla
[...] portabilità del numero di cellulare del nonché alla consegna di un duplicato della Parte_1 relativa SIM pur in mancanza del suo assenso e senza procedere alla verifica dell'identità del soggetto richiedente, così violando sia gli obblighi di legge che le regole di diligenza;
- la violazione dell'art. 14 del D.Lgs. n. 259 del 2003, dell'art. 5, co. 1, lett. f) del Regolamento per la protezione dei dati personali n. 679 del 2016, nonché dell'art. 132-ter del D.Lgs. n. 196 del 2003, atteso che questa aveva omesso di verificare adeguatamente l'identità del soggetto interessato all'accesso ai dati personali del e per non aver adeguatamente protetto i Parte_1 suoi dati personali incorporati nella carta SIM;
- la violazione dell'art. 2, co. 2, lett. b) e c) del D.Lgs. n. 206 del 2005, atteso che questa aveva omesso di avvisare il dell'avvenuta sostituzione della sua carta SIM e del suo Parte_1 trasferimento ad altro operatore, nonché del pericolo di eventuali frodi;
- la violazione degli obblighi di correttezza e diligenza professionali richiesti ad un operatore qualificato che aveva in gestione un servizio di rilevanza nazionale;
- la rilevanza nei confronti della del comportamento inadempiente tenuto Controparte_3 della verso il sia per responsabilità da contatto sociale ex art. Controparte_2 Parte_1
1173 c.c. sia ex artt. 2043 e 2049 c.c., atteso che questa aveva tenuto un comportamento illecito causalmente efficace nel processo che aveva reso possibile la frode, unitamente al comportamento negligente del correntista.
Tanto premesso, parte convenuta concludeva come in epigrafe riportato. 3.- All'udienza del 23.11.2021 il giudice disponeva il mutamento del rito ed autorizzava la chiamata in causa della , che si costituiva con comparsa depositata in Controparte_2 data 15.3.2022, resistendo all'avversa domanda e deducendo in fatto: CP_
- che il 17.3.2020 aveva ricevuto da una richiesta di portabilità dell'utenza telefonica intestata al (n. 3495682660); Parte_1
- che la richiesta di portabilità era stata correttamente espletata il 19.3.2020;
- che, in base alla delibera n. 147/11/CIR dell'AGCOM, come modificata dalla successiva delibera n. 86/21/CIR, il nuovo gestore aveva l'obbligo di compiere tutti gli accertamenti necessari, tra cui la corretta identificazione del richiedente la migrazione mediante la c.d. validazione preventiva, consistente in una serie di attività volte ad accertare la reale volontà di migrare dal gestore telefonico mediante sms o chiamata di conferma all'utente;
- che la in qualità di operatore cedente, era invece tenuta a verificare la Controparte_2 correttezza della richiesta di portabilità, così come pervenuta dall'operatore cessionario, e, in particolare, la corrispondenza tra il numero seriale della SIM (c.d. ICCID) e il numero telefonico oggetto di portabilità, come era avvenuto nel caso di specie, con conseguente difetto di responsabilità ascrivibile alla per la truffa subita dal atteso Controparte_2 Parte_1
CP_ che in data 23-24.3.2020 la sua utenza telefonica era pienamente attiva e funzionante in , essendo stata disattivata in dal 19.3.2020; Controparte_2
- che, contrariamente a quanto affermato dalla convenuta, la non aveva Controparte_2 illecitamente consentito a terzi non autorizzati di operare sulla linea mobile n. 3495682660;
- che il D.Lgs. 259 del 2003 non era applicabile al caso di specie, non essendo finalizzato ad evitare la commissione di reati o frodi poste in essere con modalità telematiche in materia di servizi di pagamento, che dovevano essere prevenute dalle Banche, evidenziando che gli obblighi di verifica previsti dalla disciplina in esame si riferivano alla sola pregressa fase di acquisto ed attivazione di una SIM, non anche alla fase di sostituzione e disattivazione della stessa, rilevante nel caso di specie;
- che, per accedere al servizio di home banking, era necessario il possesso delle credenziali statiche (c.d. username e codice pin) quale presupposto per poter richiedere ed ottenere il codice dinamico (c.d. OTP);
- che il era stato asseritamente vittima di una frode c.d. sim swap fraud; Parte_1
- che tanto il quanto la avevano tenuto un comportamento inerte e negligente, Parte_1 CP_3 rilevante ex art. 1227 c.c., in quanto il cliente non aveva custodito con la dovuta diligenza i propri dati personali, non aveva verificato la sussistenza di disposizioni bancarie non autorizzate e non aveva chiesto il blocco immediato del proprio conto corrente, nonostante il tempestivo avviso proveniente dalla Banca e non aveva eseguito le verifiche sulla propria utenza mobile certificata, nonostante fosse pienamente consapevole del suo malfunzionamento;
mentre la banca non aveva adottato le misure tecnologiche idonee a bloccare tempestivamente eventuali attacchi o incidenti informatici, non aveva inviato tempestivamente la segnalazione e non aveva proceduto al blocco delle operazioni bancarie, evidentemente sospette, compiute in danno del Tanto premesso, la chiamata in causa concludeva come in epigrafe. Parte_1
4.- La convenuta, con la memoria ex art. 183, co. 6, n. 1 c.p.c., precisava che al caso di specie non era applicabile la procedura di portabilità semplificata ex art. 6 del regolamento allegato alla delibera dell'AGCOM n. 147/11/CIR, bensì la procedura standard prevista dall'art. 5 del medesimo regolamento, non trattandosi di trasferimento di un contratto prepagato, sicché la era tenuta ad eseguire la validazione ordinaria della richiesta di Controparte_2 portabilità e, pertanto, ad acquisire la conferma della volontà del di procedervi. Parte_1
Parte attrice, con la memoria ex art. 183, co. 6, n. 1 c.p.c., precisava di non aver mai consegnato o comunicato a terzi le credenziali bancarie e di non aver ceduto ad alcuno, direttamente o indirettamente, il proprio telefono cellulare o la propria scheda telefonica, né i suoi documenti di identità.
Il precisava, inoltre, che gravava sulla l'onere della prova che il fatto dannoso Parte_1 CP_3 era dipeso dalla condotta colposa del danneggiato e che il 19.3.2020 i truffatori, effettuato un accesso non autorizzato all'area riservata, avevano modificato la domanda di sicurezza per l'accesso al suo profilo. Tali evidenti anomalie, corroborate dal disconoscimento effettuato dal avrebbero dovuto indurre la a bloccare il conto. Parte_1 CP_3
La terza chiamata in causa, con la memoria ex art. 183, co. 6, n. 2 c.p.c., precisava che, all'epoca dei fatti, non aveva alcun potere in ordine al controllo dell'effettiva autenticità dei dati e dei documenti d'identità presentati dal richiedente per la sostituzione della SIM, precisando di non avere alcun obbligo di identificazione dei clienti in caso di prestazioni accessorie (tra cui la sostituzione di una SIM card), obblighi stabiliti successivamente al verificarsi dei fatti controversi.
Esperiti gli incombenti preliminari, la causa veniva istruita documentalmente e mediante ordine di esibizione ex art. 210 c.p.c. avente ad oggetto il messaggio elettronico spedito da
[...] al sistema online della convenuta il 19.3.2020 in orario prossimo ed antecedente alle Parte_1 ore 11:16. La convenuta, con nota del 30.10.2023, dava atto di trovarsi nell'impossibilità di adempiere all'ordine di esibizione ex art. 210 c.p.c., non avendo ricevuto il messaggio “sms online” cui aveva fatto riferimento parte attrice. La causa veniva quindi trattenuta in decisione sulle conclusioni rassegnate dalle parti e soprariportate, con assegnazione alle parti dei termini di legge ex art. 190 c.p.c. per il deposito di conclusionali e repliche.
5.- Ai fini della delimitazione del thema decidendum, si rileva che l'attore ha chiesto di accertare la responsabilità dell' per l'esecuzione, ad opera di terzi ignoti, Controparte_3 dal conto corrente n. 00451/1000/00070950 a lui intestato, di quattro bonifici bancari emessi tra il 23 ed il 24.3.2020, per complessivi € 104.000,00. ha, quindi, chiesto la condanna della convenuta al rimborso della somma Parte_1 corrispondente alla perdita complessivamente subita ed al risarcimento del danno derivante della indisponibilità della somma in oggetto sul suo conto corrente, corrispondente al lucro cessante per la mancata conclusione di un investimento avente ad oggetto la costruzione di due campi da “padel”. L'attore ha chiesto, inoltre, la liquidazione equitativa del danno patito per aver confidato sul riaccredito provvisorio della suddetta somma da parte della banca, che lo avevano indotto a mantenere il precedente tenore di vita.
L'attore ha allegato di essere stato vittima di una frode informatica c.d. sim swap fraud, consistente nella sottrazione di denaro da un conto corrente ad opera di terzi, tramite il fraudolento ottenimento del duplicato della SIM del correntista mediante migrazione ad altro gestore. La duplicazione della SIM consente, previo accesso all'home banking utilizzando nome utente e password del cliente memorizzati, di ottenere i codici dinamici temporanei indispensabili al perfezionamento delle operazioni di gestione del conto e di pagamento a distanza.
Orbene, alla luce delle difese delle parti e dei documenti prodotti, può essere affermata la responsabilità sia della convenuta che della terza chiamata.
Va premesso che è documentale che in data 1.2.2018 ha stipulato con l' Parte_1 [...] il contratto di conto corrente n. 00451/1000/00070950 ed il contratto “My Controparte_3
Key” n. 08396449, con il relativo modulo di variazione, aventi ad oggetto il servizio di home banking, ossia l'esercizio di servizi bancari a distanza tramite il sistema di autenticazione forte del cliente, denominato “a due fattori”, che prevede l'utilizzo congiunto di credenziali statiche
(delle quali fa parte, per espressa previsione dell'art. 1 del citato contratto, anche il numero di cellulare certificato - nel caso di specie abbinato all'utenza mobile n. 3495682660) e CP_2 di credenziali dinamiche inviate tramite SMS o notifica push nell'applicazione mobile scaricata sul cellulare, consistenti in codici temporanei, generati per completare l'accesso al servizio e per autorizzare le disposizioni sui rapporti connessi. Risulta, quindi, pacifico che è titolare del conto corrente bancario n. Parte_1
00451/1000/00070950 acceso presso la e che il conto è abilitato Controparte_3 all'esecuzione di operazioni bancarie on line.
E' altresì pacifico che soggetti terzi si sono impossessati delle credenziali (userid e password) del correntista e che, introdottisi con l'uso di tali credenziali nel sistema informatico della
[...]
hanno effettuato in data 23-24.3.2020 quattro bonifici bancari telematici per Controparte_3 complessivi € 104.000,00, in favore di diversi beneficiari.
Gli ordini di bonifico apparivano formalmente corretti, essendo state utilizzate, per impartirli, le credenziali del correntista.
Occorre, dunque, verificare se sussiste la responsabilità dell'istituto di credito per l'utilizzazione fraudolenta di uno strumento di pagamento e se sussiste o meno una responsabilità del cliente.
La disciplina applicabile al caso di specie è prevista dal D.Lgs. n. 11 del 27.1.2010, che ha attuato nell'ordinamento interno la direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno europeo, individuando gli obblighi esistenti in capo al prestatore di servizi di pagamento, in relazione agli strumenti di pagamento, nonché le responsabilità per operazioni non autorizzate e per l'utilizzo non autorizzato di strumenti o servizi di pagamento.
Tale normativa prevede la responsabilità del prestatore del servizio di pagamento, salvo che lo stesso dimostri la frode, il dolo o la colpa grave dell'utente.
L'art. 10 del citato decreto legislativo dispone che, qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita, è onere del prestatore dei servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. L'art. 12 commi 2-ter, 3 e
4 stabilisce, inoltre, che il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento, e negli altri casi, può sopportare, per un importo comunque non superiore ad € 50,00, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita. L'utente dei servizi di pagamento, invece, sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate, senza alcun limite, qualora abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, agli obblighi previsti dall'art. 7, ovvero utilizzare lo strumento di pagamento in conformità con le regole sull'emissione e l'uso e comunicare senza indugio al prestatore di servizi di pagamento il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
La giurisprudenza è concorde nel ritenere che la responsabilità della per operazioni CP_3 effettuate a mezzo di strumenti elettronici, avendo natura contrattuale, è esclusa se ricorre colpa grave dell'utente e che rientra nel rischio tipico professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo (Cass. civ. sez. 1 ord. 20 maggio 2022 n. 16417: “La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto” e Cass. civ. sez. 6 ord. 12 aprile 2018 n. 9158: “In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente”).
Il D.Lgs. n. 11 del 2010 pone anche a carico del gestore dei servizi di pagamento: l'obbligo di assicurare, tramite l'adozione delle misure più idonee alla luce dello sviluppo tecnologico, che i dispositivi personalizzati per l'utilizzo dello strumento di pagamento non siano accessibili a soggetti diversi dall'utilizzatore legittimato (art. 8, comma primo, lett. a); l'obbligo di assicurare che siano sempre disponibili gratuitamente strumenti adeguati affinché l'utilizzatore possa effettuare la comunicazione di cui all'art. 7, comma primo, lett. b (art. 8, comma primo, lett. c);
l'obbligo di impedire l'utilizzo dello strumento di pagamento in seguito al blocco (art. 8, comma primo, lett. d); l'obbligo di attuare l'autenticazione forte del cliente, quando l'utente accede al suo conto di pagamento online, dispone un'operazione di pagamento elettronico o effettua qualsiasi azione tramite un canale di pagamento a distanza, che può determinare un rischio di frode nei pagamenti o altri abusi (art. 10-bis, comma primo).
Di talché, per far sì che l'utilizzatore sopporti le perdite derivate da un uso illegittimo dello strumento di pagamento ad opera di terzi, non è sufficiente che il prestatore del servizio dia prova di una condotta fraudolenta o dell'inadempimento degli obblighi ex art. 7 del D.Lgs. n.
11 del 2010 sorretto da dolo o colpa grave del cliente, dovendo, altresì, dimostrare, preventivamente, di aver adempiuto i doveri di tutela del consumatore prescritti a suo carico dalla normativa di settore (Cass. civ. sez. 6 ord. 26 novembre 2020 n. 26916).
In conclusione, è possibile affermare che l'imputazione di responsabilità all'utilizzatore dello strumento di pagamento ex art. 12, co. 3 del D.Lgs. n. 11 del 2010, postula che l'istituto di credito fornisca la prova di aver usato un elevato grado di diligenza nell'adempimento dei propri oneri, e che, con sufficiente grado di attendibilità giuridica, l'inadempimento degli obblighi del cliente sia dovuto a frode, dolo o colpa grave.
A tal proposito, si deve aggiungere che la colpa grave è costituita da una “straordinaria e inescusabile” imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del buon padre di famiglia di cui all'art. 1176 comma I c.c. ma anche
“quel grado minimo ed elementare di diligenza generalmente osservato da tutti” (Cass. civ. sez. 3 sent. 19 novembre 2001 n. 14456). Osserva la Suprema Corte, inoltre, che la prova della sussistenza della colpa grave può essere fornita anche per mezzo di presunzioni, purché queste, com'è noto, siano gravi, precise e concordanti secondo quanto dispone l'art. 2729 c.c. (Cass. civ. sez. 2 sent. 18 gennaio 2009 n. 654).
Infatti, nonostante il dato testuale dell'art. 10 del D.Lgs. citato sembrerebbe escludere automaticamente qualsiasi tipo di presunzione, deve invece ritenersi che l'unica presunzione che appare vietata dalla richiamata disposizione sia quella relativa dell'affermazione della colpa grave esclusivamente collegata all'utilizzo dello strumento di pagamento;
da ciò ne discende, a contrario, che sia invece ammissibile tale presunzione, laddove sussista una serie di elementi di fatto particolarmente univoca e convergente, tale per cui possa ragionevolmente ritenersi che l'utilizzo fraudolento sia effettivamente riconducibile sul piano causale alla condotta dell'utilizzatore.
Nel caso di specie, l' a sostegno dell'asserita regolarità formale delle Controparte_3 operazioni in contestazione, ritenute correttamente autenticate, registrate e contabilizzate, nonché eseguite secondo un sistema di autenticazione a due fattori, supportato dalla certificazione UNI CEI ISO / IEC 27001:2017, da cui evincere l'elevato livello di sicurezza dello strumento di pagamento, ha prodotto in atti i file log contenenti la tracciatura delle operazioni di bonifico svolte sul portale home banking della nonché i file log da cui CP_3 evincere specificamente gli accessi, gli SMS, le notifiche push, le caratteristiche degli IP unici relativi agli accessi concernenti i bonifici in oggetto.
Da tale documentazione informatica risulta che:
1) il 19.3.2020, alle ore 11:04:42, dal web è stato eseguito un accesso proveniente dall'indirizzo
IP 79.41.31.179, che il codice PIN è stato validato correttamente, che è stata inviata una notifica push verso il dispositivo con chiave b61f36c33e781998, che successivamente è stato effettuato l'annullamento del processo di attesa su WEB della conferma della push da parte del dispositivo, che tale annullamento ha provocato l'invio di un SMS verso il cellulare certificato del cliente e che l'inserimento dell'okey SMS ha autorizzato l'accesso;
2) il 19.3.2020 alle 11:07:08 da WEB è stato registrato il censimento delle domande segrete, confermato a seguito del corretto inserimento della specifica OTS inviata al cellulare certificato e che la variazione è stata comunicata tramite notifica push ed SMS;
3) il 20.3.2020, alle 00:38:19, da WEB è stato eseguito un accesso proveniente dall'indirizzo
IP 79.41.31.179, che il codice PIN è stato validato correttamente ed è stata inviata una notifica push verso il dispositivo con chiave b61f36c33e781998, che successivamente è stato effettuato l'annullamento del processo di attesa su WEB della conferma della notifica push da parte del dispositivo, che tale annullamento ha provocato l'invio di un SMS verso il cellulare certificato del cliente e che l'inserimento dell'okey SMS ha autorizzato l'accesso;
4) il 23.3.2020 alle 16:41:29 da WEB è stato richiesto un accesso proveniente dall'indirizzo IP
37.161.178.116, che il codice PIN è stato validato correttamente, che è stata inviata una notifica push verso il dispositivo con chiave b61f36c33e781998, che successivamente è stato effettuato l'annullo del processo di attesa su WEB della conferma della notifica push da parte del dispositivo, che tale annullo ha provocato l'invio di un SMS verso il cellulare certificato del cliente e che l'inserimento dell'okey SMS ha autorizzato l'accesso;
5) il 23.3.2020 alle 16:47:14 da WEB è stato disposto un bonifico europeo di € 60.000,00 in favore di (IBAN ES1921002947300200207146) con causale “bonifico”; sono CP_7 stati inviati al numero certificato del cliente il messaggio SMS contenente il codice OTS ed una okey sms necessari per autorizzare il bonifico;
l'inserimento del codice OTS corretto sul WEB, la verifica dell'Okey SMS e il controllo delle domande segrete WEB hanno condotto all'esecuzione del bonifico WEB;
6) il 24.3.2020 alle 14:23:49 da WEB è stato eseguito un accesso proveniente dall'indirizzo IP
37.163.35.170, il codice PIN è stato validato correttamente, è stata inviata una notifica push verso il dispositivo con chiave b61f36c33e781998, successivamente è stato effettuato l'annullamento del processo di attesa su WEB della conferma della notifica push da parte del dispositivo, tale annullaento ha provocato l'invio di un SMS verso il telefono cellulare certificato del cliente e l'inserimento dell'okey SMS ha autorizzato l'accesso;
7) il 24.3.2020 alle 14:27:37 da WEB è stato disposto un bonifico europeo di € 15.000,00 a favore di (IBAN AT423200000013011101) con causale Persona_3
“investment”; sono stati inviati al numero certificato del cliente il messaggio SMS contenente il codice OTS nonché il codice okey SMS necessari per autorizzare il bonifico;
l'inserimento delle domande segrete, del codice OTS corretto sul WEB e la verifica dell'okey SMS hanno portato all'esecuzione del bonifico;
8) il 24.3.2020 alle 15:16:44 da WEB è stato eseguito un accesso proveniente dall'indirizzo IP
79.26.152.15, il codice PIN è stato validato correttamente, è stata inviata una notifica push verso il dispositivo con chiave b61f36c33e781998, successivamente è stato effettuato l'annullo del processo di attesa su WEB della conferma della push da parte del dispositivo, che tale annullamento ha provocato l'invio di un SMS verso il cellulare certificato del cliente e l'inserimento dell'okey SMS ha autorizzato l'accesso;
9) il 24.3.2020 alle 15:21:44 da WEB è stato disposto un bonifico europeo di € 14.000,00 a favore di (IBAN [...]) con causale “acquisti Parte_2 online”; sono stati inviati, al numero certificato del cliente, il messaggio SMS contenente il codice OTS ed il codice okey SMS necessari per autorizzare il bonifico;
l'inserimento delle domande segrete, del codice OTS corretto sul WEB e la verifica dell'okey SMS, hanno portato all'esecuzione del bonifico;
10) il 24.3.2020 alle 15:57:10 da WEB è stato eseguito un accesso proveniente dall'indirizzo
IP 79.26.152.15, il codice PIN è stato validato correttamente, è stata inviata una notifica push verso il dispositivo con chiave 61f36c33e781998, successivamente è stato annullato il processo di attesa su WEB della conferma della push da parte del dispositivo;
tale annullamento ha provocato l'invio di un SMS verso il cellulare certificato del cliente e l'inserimento dell'okey
SMS ha autorizzato l'accesso;
- il 24.3.2020 alle 16:02:01 da WEB è stato inserito il bonifico europeo di € 15.000,00 a favore di (IBAN ES4100730100520601077294) con causale “bonifico”; sono Persona_2 stati inviati al numero certificato del cliente il messaggio SMS contenente il codice OTS e il codice okey SMS necessari per autorizzare il bonifico;
l'inserimento delle domande segrete, del codice OTS corretto sul WEB e la verifica dell'okey SMS hanno portato all'esecuzione del bonifico. ha consentito l'operatività da remoto a seguito del corretto inserimento Controparte_3 delle credenziali statiche e dinamiche teoricamente riconducibili al correntista e che ha regoinviato sul telefono cellulare certificato le dovute comunicazioni di allerta.
Senonché, l'istituto di credito, a sostegno della propria difesa, ha dedotto in via presuntiva dalla disposizione di bonifici on line non autorizzati mediante il corretto inserimento delle credenziali la colpa grave di parte attrice, ritenendo che tale fatto sarebbe sufficiente a dimostrare la colpa grave dell'attore in relazione agli obblighi negoziali e legali di custodia delle credenziali e dei codici di sicurezza ai sensi dell'art. 7 del D.Lgs. n. 11/2010.
Tuttavia, l'esecuzione dei bonifici da parte di terzi mediante l'uso delle credenziali assegnate all'attore non è sufficiente a comprovare la comunicazione delle credenziali di accesso a terzi da parte dei titolari. Solo in quest'ultimo caso, infatti, si potrebbe affermare la sussistenza di un comportamento gravemente colposo di parte attrice, in contrasto con gli obblighi legali e negoziali che fanno capo al titolare di uno strumento di pagamento.
Nel caso di specie non solo non risulta una condotta del cliente di comunicazione delle credenziali, ma è comprovata una sua condotta positiva volta ad evitare le operazioni fraudolente.
Risulta, da un lato, provato che in data 19.3.2020 il sistema informatico della convenuta, mediante notifica push inoltrata sull'utenza mobile del ha segnalato al correntista la Parte_1 sussistenza di un accesso al sito di da un browser non utilizzato di Controparte_3 recente, con conseguente invito rivolto al correntista a mettersi in contatto con la filiale online della qualora l'accesso non fosse stato da questo effettuato. CP_3
E' parimenti pacifico che il con tre distinti messaggi diretti all'impiegato della Parte_1 [...]
, inoltrati tramite l'applicazione mobile della Banca convenuta denominata Parte_3
“ABC”, ha disconosciuto di aver effettuato tale accesso.
Non è stata contestata in modo specifico ed è provata documentalmente la sequenza di messaggi che l'attore ha inviato alla Banca e il messaggio ricevuto al riguardo, nello specifico:
1) messaggio delle ore 11:16: “Buongiorno i è arrivato un sms che mi avvertiva che Per_1 qualcuno ha aperto questa mattina da un brauser diverso”;
2) messaggio delle ore 11:17: “Ho già mandato un sms online dicendo di fare attenzione perché non sono stato io”;
3) messaggio delle ore 11:18: “Ripeto non sono stato io quindi qualcuno ha cercato di forzare il sistema. Attenzione”; - che il 20.3.2020 un funzionario della Banca aveva risposto alle ore 10:08 con un messaggio del seguente tenore: “Gentile i servizi tecnici mi scrivono quanto segue “il Parte_1 cliente ha fatto vari accessi sia da app sia da pc, pertanto, può essere che ha utilizzato diversi browser e gli sia comunque arrivato l'sms”. Cordiali saluti”;
- che ancora in data 20.3.2020 il ricorrente aveva precisato quanto segue:
1) messaggio delle ore 10.29: “Buongiorno non ho fatto accessi da altro pc”; Per_1
2) messaggio delle ore 10.30: “Per questo vi ho scritto non vorrei che qualcuno avesse provato accesso non autorizzato. Vi prego di verificare”;
Il ha, dunque, tempestivamente avvisato la della circostanza Parte_1 Controparte_3 secondo cui questo non ha effettuato accessi da altro dispositivo non abitualmente utilizzato, invitando la ad effettuare delle verifiche e prestare particolare attenzione. CP_3
Non è stato richiesto dalla né il era tenuto al blocco delle funzionalità di home CP_3 Parte_1 banking insistenti sul proprio conto corrente, avendo avvisato di non aver effettuato l'accesso e tenuto conto che nessuna operazione era stata tentata sino a tale momento,
Si deve, dunque, ritenere che, per quanto il sistema della convenuta prevede una verifica a doppio fattore, nondimeno l' non ha tenuto una condotta diligente, essendosi accorta di CP_8 una anomalia nella provenienza del collegamento, ma avendo poi trascurato i messaggi del cliente di avviso, senza successivamente monitorare l'andamento del conto, sul quale è stato effettuato, in un giorno in cui il cliente ha comunicato di non aver effettuato accesso anche i censimento delle domande segrete e, dunque, la verifica e modifica del profilo dell'utente, che aveva, come detto, comunicato di non aver effettuato accessi. Un monitoraggio più attento del conto avrebbe consentito una reazione anche dinanzi a bonifici obiettivamente inusuali rispetto all'operatività media del correntista con riferimento all'entità dei pagamenti, pari ad un importo complessivo di € 104.000,00 (mentre il bonifico effettuato in data 23.3.2020 per € 60.000,00 supera di € 30.000,00 il limite operativo giornaliero ed integra da solo il limite operativo mensile di € 60.000,00, i tre bonifici effettuati in data 24.3.2020 per la somma complessiva di
€ 44.000,00 superano di € 14.000,00 il limite operativo giornaliero e sono stati peraltro disposti successivamente al raggiungimento del limite operativo mensile, limiti contrattualmente posti dal contratto My Key).
L'istituto di credito, osservando nell'esercizio dell'attività professionale la diligenza di natura tecnica propria dell'accorto banchiere richiesta dall'art. 1176, comma secondo c.c. (Cass. civ. sez. 1 sent. 19 gennaio 2016 n. 806), avrebbe dovuto quantomeno disporre il blocco temporaneo delle operazioni, allertando il cliente dell'esposizione al rischio tramite canali di comunicazione alternativi agli SMS ed alle notifiche push sul numero certificato, come espressamente contemplato dal contratto My Key, che nell'art. 9 della sezione “Norme del servizio a distanza” al comma primo afferma: “Ciascuna Banca del Gruppo può sospendere il servizio a distanza per motivi obiettivamente giustificati, legati: alla sicurezza del servizio a distanza (...); al sospetto di un utilizzo del servizio a distanza improprio o difforme dalle norme indicate in questo contratto o nella Guida ai Servizi (...)”; introducendo poi al comma terzo l'onere della banca di comunicare, se possibile preventivamente, la sospensione del servizio e le relative motivazioni al cliente, utilizzando i recapiti dallo stesso forniti, tra cui viene menzionato a titolo esemplificativo anche l'indirizzo di posta elettronica.
Al tempo risulta documentalmente che il ha effettuato una integrazione della propria Parte_1 denuncia in data 7 aprile 2020, comunicando che aveva appreso del trasferimento della propria utenza mobile ad altro gestore, operazione che egli disconosceva. CP_ Tale mutamento di gestore, da a ha consentito a terzi ignoti di entrare nella CP_2 disponibilità delle credenziali bancarie del cliente sia statiche che, poi dinamiche, senza che risulti una diretta responsabilità del in tale passaggio. Parte_1
In ordine alla sostituzione del gestore si rileva la responsabilità concorrente della
[...]
operatrice telefonica chiamata in causa, la cui condotta negligente, estrinsecatasi CP_2 nella mancata verifica dell'identità del richiedente la sostituzione e della verifica con il proprio cliente, è causalmente connessa con l'esecuzione dei bonifici indebiti.
A tal proposito, deve rilevarsi che l'operatore telefonico non ha allegato né comprovato di aver posto in essere i dovuti accertamenti documentali e di riconoscimento dell'identità del richiedente prima del rilascio del trasferimento dell'utenza telefonica verso altro operatore
( , incentrando la propria difesa sull'assunto per cui l'obbligo di identificare Controparte_5 il cliente sussiste solo al momento della prima attivazione della SIM e non anche in occasione del rilascio di duplicato della stessa o della portabilità del numero di utenza.
Sul punto occorre rilevare che l'art. 55, comma settimo del D.Lgs. n. 259 del 2003 ha previsto in capo agli operatori di telefonia mobile un obbligo di identificazione degli abbonati e degli acquirenti prima dell'attivazione del servizio, stabilendo che ogni impresa è tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati del Ministero dell'interno gli elenchi di tutti i propri abbonati e di tutti gli acquirenti del traffico prepagato della telefonia mobile, i quali devono essere identificati prima dell'attivazione del servizio, al momento della consegna o messa a disposizione della occorrente scheda elettronica. A tal fine, le suddette imprese di telefonia sono tenute ad adottare tutte le necessarie misure affinché venga garantita l'acquisizione dei dati anagrafici riportati sul documento di identità esibito dal cliente e dei dati relativi al tipo e al numero del documento, nonché tutte le misure atte a garantire la corretta acquisizione della riproduzione del documento presentato dall'acquirente e ad assicurare il corretto trattamento dei dati ottenuti.
Ciò detto, la sussistenza nell'ordinamento di un obbligo di identificazione dei clienti anche per la sostituzione della SIM o il cambio di gestore è del tutto similare a quello previsto in caso di attivazione della SIM, si evince senza dubbio dalla disposizione di cui all'art. 1, comma 46 della L. n. 124 del 2017, secondo cui “Al fine di semplificare le procedure di migrazione tra operatori di telefonia mobile e le procedure per l'integrazione di SIM card aggiuntive o per la sostituzione di SIM card richieste da utenti già clienti di un operatore, con decreto del
Ministero dell'Interno, di concerto con il Ministero dello sviluppo economico, da adottare entro sei mesi dalla data di entrata in vigore della presente legge, sono previste misure per
l'identificazione in via indiretta del cliente, anche utilizzando il sistema pubblico dell'identità digitale previsto dall'art. 64 del codice dell'amministrazione digitale, di cui al D.Lgs. 7 marzo
2005, n. 82 e successive modificazioni, in modo da consentire che la richiesta di migrazione e di integrazione di SIM card e di tutte le operazioni ad essa connesse possano essere svolte per via telematica”, giacché la ratio di tale intervento normativo, ossia semplificare le modalità di identificazione del cliente nelle operazioni di migrazione, integrazione o sostituzione della SIM, trova un antecedente logico necessario nell'esistenza di un dovere in capo agli operatori telefonici di provvedere all'identificazione del cliente in occasione delle operazioni menzionate
(ex multis Trib. Milano sent. 8562/2022, Trib. Ivrea sent. 543/2018, Trib. Savona sent.
428/2022).
Ad abundantiam, deve essere evidenziato che proprio la rilevanza del suddetto dovere ha determinato l'Autorità per le Garanzie nelle Comunicazioni (ACCOM) all'emanazione della
Delib. n. 86/21/CR dell'8.7.2021, citata dalle parti, ma non applicabile al caso di specie poiché successiva al verificarsi dei fatti di causa, che ha ulteriormente rafforzato l'obbligo di identificazione del richiedente la duplicazione della SIM da parte dei gestori dei servizi di telefonia, con l'espressa intenzione di garantire maggiore protezione ai dati personali dei clienti e di prevenire attività dolose attuabili tramite la sostituzione della SIM dell'utente da parte di soggetti terzi non autorizzati (tra cui, è specificamente citato il furto per via telematica presso gli istituti bancari) (Trib. Roma sez. 16 sent. 11 settembre 2023 n. 12832).
Per i suddetti motivi, deve ritenersi che venendo meno al dovere di Controparte_2 diligenza qualificata che si richiede ad un operatore professionale che gestisce dati personali altrui, non ha adempiuto all'obbligo di opportuna identificazione del soggetto che in data
19.3.2020 ha chiesto ed ottenuto il trasferimento dell'utenza telefonica mobile n. 3495682660 intestata ad nonché il duplicato della SIM, così contribuendo con la sua Parte_1 condotta colposa, al pari della Banca convenuta, a rendere possibile la truffa ai danni dell'attore.
Non emerge dagli atti in che momento il passaggio del gestore si sia effettivamente verificato, ovverosia da quando il non è più stato in grado di ricevere chiamate e sms sul proprio Parte_1 dispositivo, ma tali disfunzioni, peraltro in periodo iniziale della epidemia da COVID-19 che ha creato un notevole aumento della utilizzazione degli strumenti informativi e telefonici, non risultano di per sé idonee a generare nell'utente la consapevolezza, o anche solo il dubbio, di essere vittima di una frode bancaria.
In conclusione, la convenuta e la terza chiamata sono responsabili delle perdite subite CP_3 dall'utilizzatore per effetto dell'esecuzione dei bonifici non autorizzati, per la somma complessiva di € 104.000,00, non avendo comprovato la né la propria diligenza, né il CP_3 dolo o la colpa grave del cliente, e non avendo comprovato la di aver effettuato Controparte_9 idonea verifica prima di procedere alla migrazione dell'utente ad altro gestore.
La convenuta e la terza chiamata vanno condannate in solido al risarcimento del cliente, dovendosi ritenere corresponsabili del danno subito dall'odierno attore in pari misura.
In particolare si deve ritenere estesa la domanda dell'attore al terzo chiamato, stante l'unicità dell'evento dannoso causato da più condotte concorrenti da parte di due soggetti legati all'attore da vincolo contrattuale, in ossequio all'orientamento della Suprema Corte che ha ritenuto che
“in tema di responsabilità civile, nell'ipotesi in cui la parte convenuta chiami in causa un terzo in qualità di corresponsabile dell'evento dannoso, la richiesta risarcitoria deve intendersi estesa al medesimo terzo anche in mancanza di un'espressa dichiarazione in tal senso dell'attore, poiché la diversità e pluralità delle condotte produttive dell'evento dannoso non dà luogo a distinte obbligazioni risarcitorie, non mutando l'oggetto del giudizio;
un'esplicita domanda dell'attore è, invece, necessaria quando la chiamata del terzo si fondi sulla deduzione di un rapporto sostanziale differente da quello invocato dall'attore nei confronti del convenuto.
(Nella specie, la S.C. ha ritenuto la domanda risarcitoria proposta contro l'ente comunale, convenuto quale custode ex art. 2051 c.c. di una strada pubblica, automaticamente estesa al terzo ente provinciale, chiamato ai sensi dell'art. 2043 c.c., in considerazione dell'unicità del fatto costitutivo delle due responsabilità, del diritto soggettivo al risarcimento del danno e dell'azione a favore del danneggiato) .(Cass.civ. sez. 3, 28 novembre 2019, n. 31066).
Va, pertanto, accolta la domanda proposta nei confronti della convenuta e della terza chiamata in quanto la stessa è responsabile in via solidale ex art. 2055 c.c. con la Controparte_2
Banca delle conseguenze pregiudizievoli patite dall'attore, in quanto la sostituzione della SIM card del ha consentito a chi ha effettuato l' accesso abusivo all'internet banking Parte_1 ricevesse le notifiche e gli avvisi da parte della ricevuti in concreto non dal CP_3 Parte_1 ma da chi ha provveduto a trasferire l'utenza e si è procurato nuova SIM, nella inconsapevolezza del cliente. Cosicché, è evidente il contributo causale offerto dalla compagnia telefonica al danno in concreto patito dall'attrice ai sensi dell'art. 2055 c.c., non essendo stata documentata alcuna verifica della richiesta di trasferimento dell'utenza né l'acquisizione di alcun documento da parte del gestore destinatario, né è stata richiesta alcuna conferma al cliente.
Va per completezza evidenziato che a nulla vale il tentativo della terza chiamata di invocare la responsabilità esclusiva della deducendo che l'accesso abusivo al servizio bancario CP_3 online è stato necessariamente antecedente alla sostituzione della SIM: a prescindere dall'anteriorità temporale di una o dell'altra circostanza, ciò che rileva ai fini della corresponsabilità ex art. 2055 c.c. è, infatti, che anche la condotta della compagnia telefonica abbia contribuito causalmente, insieme all'accesso abusivo al sistema bancario, a cagionare il danno patito dall'attore, avendo consentito a terzi di ottenere la migrazione dell'utenza e altra sim.
La è quindi responsabile in solido con della Controparte_2 Controparte_3 perdita subita da per effetto dei bonifici bancari non autorizzati, per l'importo Parte_1 complessivo di € 104.000,00: nei rapporti interni le parti vanno ritenute responsabili in pari misura, atteso che, se le operazioni truffaldine sono state effettuate tramite un abusivo accesso al sistema informatico della Banca che ha consentito la sottrazione delle credenziali, la truffa è stata poi perfezionata proprio grazie all'indebita e negligente migrazione dell'utenza telefonica e sostituzione della SIM card associata all'utenza registrata.
Concludendo sul punto la terza chiamata va condannata a risarcire al in solido con Parte_1 la convenuta, la somma di € 104.000,00. CP_3
Risultano invece prive di idonea allegazione e prova le ulteriori domande risarcitorie proposte dal Parte_1
Quanto alla pretesa risarcitoria relativa al mancato guadagno, che, secondo la prospettazione attorea, deriverebbe dal mancato investimento delle somme depositate sul conto corrente n.
00451/1000/00070950 nella costruzione di due campi da “padel”, si rileva che il non Parte_1 ha documentato di essere in procinto di effettuare tale operazione economica, atteso che il suo nominativo non compare nel contratto di locazione depositato in atti (afferente all'area dove i campi dovevano essere realizzati), né nella visura camerale della società che ha effettivamente sottoscritto tale contratto, né appare idonea la consulenza di parte effettuata in epoca ben successiva ai fatti. Quanto all'ulteriore domanda risarcitoria per la mancanza di liquidità dipesa dal riaccredito temporaneo della somma di € 104.000,00, basti rilevare che, indipendentemente dal fatto che il ben sapeva che il riaccredito di tale somma aveva natura precaria, attesa la necessità Parte_1 della Banca di compiere i richiesti accertamenti circa la natura fraudolenta o meno dei bonifici, la liquidazione equitativa ex art. 1226 c.c. consente di sopperire alle difficoltà di quantificazione del danno, al fine di assicurare l'effettività della tutela risarcitoria, ma non può assumere valenza surrogatoria della prova, incombente sulla parte, dell'esistenza dello stesso e del nesso di causalità giuridica che lo lega all'inadempimento o al fatto illecito extracontrattuale. (Cass. civ. sez. 6 ord. del 18 marzo 2022 n. 8941).
Ai fini della risarcibilità ex art. 1223 c.c., in relazione all'art. 1218 c.c. o agli artt. 2043 e 2056
c.c., il creditore o il preteso danneggiato deve infatti allegare non solo l'altrui inadempimento ovvero allegare e provare l'altrui fatto illecito, ma in entrambi i casi deve pur sempre allegare e provare l'esistenza di una lesione, cioè della riduzione del bene della vita (patrimonio, salute, immagine, ecc.) di cui chiede il ristoro, e la riconducibilità della lesione al fatto del debitore o del danneggiante: in ciò appunto consiste il danno risarcibile, che è un quid pluris rispetto alla condotta asseritamente inadempiente o illecita;
in difetto di tale allegazione e prova la domanda risarcitoria mancherebbe di oggetto (Cass. civ. sez. 3 sent. 18 marzo 2005 n. 5960).
In adesione al principio ermeneutico basato sul concetto di danno-conseguenza in contrapposizione a quello di danno-evento ed escludendo l'ipotizzabilità di un risarcimento automatico e di un danno in re ipsa, così da coincidere con l'evento, appare quindi evidente che la domanda risarcitoria deve essere provata, sia pure ricorrendo a presunzioni, sulla base di conferente allegazione: non si può invero provare ciò che non è stato oggetto di rituale ed adeguata allegazione (Cass. civ. sez. un. sent. 11 novembre 2008 n. 26972).
Nel caso di specie il si è invero limitato ad allegare quanto segue: “A questi vanno Parte_1 aggiunti tutti i danni connessi all'affidamento che il sig. ha posto sull'accredito, per Parte_1 quanto provvisorio, delle somme sottratte. Accredito che riteneva si sarebbe trasformato in definitivo, considerata la dinamica dei fatti e le più che evidenti sue ragioni. Affidamento che, determinandolo a proseguire nel suo normale tenore di vita, affrontando spese altrimenti evitabili, lo ha ulteriormente danneggiato aumentando la sua esposizione debitoria”.
In conclusione, la domanda attorea deve essere parzialmente accolta, con conseguente condanna della Banca convenuta, in solido con la terza chiamata al Controparte_2 risarcimento del danno in favore dell'attore, da quantificarsi nella somma fraudolentemente sottratta di € 104.000,00.
Su tale somma, trattandosi di debito di valore, decorre la rivalutazione monetaria dalla data dei bonifici illecitamente effettuati fino alla pubblicazione della presente sentenza.
L'obbligazione di risarcimento del danno, infatti, sebbene derivante da inadempimento contrattuale, costituisce debito di valore, sicché deve essere quantificata tenendo conto, anche d'ufficio, della svalutazione monetaria sopravvenuta fino alla data della liquidazione (Cass. civ. sez. 3 sent. 27 giugno 2016 n. 13225) costituendo questa l'imprescindibile presupposto dell'espressione, in termini di equivalenza monetaria attuale, del valore che va appunto reintegrato dal debitore e facendo parte del c.d. danno emergente. La somma di € 104.000,00 va maggiorata della rivalutazione - secondo i noti indici ISTAT – dalle date dei bonifici alla presente sentenza.
Quanto, invece, alla richiesta degli interessi, occorre osservare quanto segue.
L'obbligazione risarcitoria - come noto - è finalizzata a porre il creditore nella stessa situazione nella quale si sarebbe trovato, se il pagamento dell'equivalente monetario del bene perduto fosse stato tempestivo.
Tuttavia, mentre la rivalutazione della somma ha lo scopo di risarcire il danno emergente, gli interessi hanno lo scopo di risarcire il lucro cessante. Del resto, a differenza dei crediti di valuta,
i crediti di valore non producono automaticamente interessi, non potendosi parlare di normale fruttuosità della somma di denaro. In realtà, infatti, con la liquidazione degli interessi si va a risarcire un danno, e precisamente il maggior danno non coperto dalla rivalutazione monetaria.
Tradizionalmente, tale danno è stato equitativamente risarcito riconoscendo, sulla somma capitale via via rivalutata annualmente, anche la corresponsione degli interessi (solitamente al tasso legale). Tali interessi sono stati denominati dalla giurisprudenza “interessi compensativi”
(Cass. civ. sez. III sentenza 9.2.2005 n. 2654), che rappresentano, quindi, una modalità per liquidare, in via equitativa ed in mancanza di specifica quantificazione, il danno da ritardo nei debiti di valore (Cass. civ. sez. III sentenza 24.3.2003 n. 4242).
Tale danno però - come tutte le voci di danno - va allegato e dimostrato, anche attraverso presunzioni (Cass. civ. sez. III sentenza 25.8.2003 n. 12452; Cass. civ. sez. III sentenza
22.10.2004 n. 20591; Cass. civ. sez. III sentenza 24.10.2007 n. 22347), tanto con riferimento all'entità quanto con riferimento al nesso causale, dovendosi escludere l'ipotizzabilità di un danno in re ipsa, che diversamente verrebbe a coincidere con l'evento (Cass. civ. S.U. sentenza
11.11.2008 n. 26972), trattandosi invece di danno-conseguenza.
Questi principi, dettati in ordine all'eventuale risarcibilità di un danno da ritardo, sono stati recentemente ribaditi anche da Cass. civ. sez. III sentenza 12.2.2010 n. 3355, che in motivazione così precisa: “va ricordato che nei debiti di valore il riconoscimento di interessi costituisce una mera modalità liquidatoria del possibile danno da lucro cessante, cui è consentito al giudice di far ricorso col limite costituito dall'impossibilità di calcolare gli interessi sulle somme integralmente rivalutate dalla data dell'illecito. Non gli è invece inibito di riconoscere interessi anche al tasso legale su somme progressivamente rivalutate;
ovvero sulla somma integralmente rivalutata, ma da epoca intermedia;
ovvero di determinare il tasso di interesse in misura diversa da quella legale;
ovvero, ancora, di non riconoscere affatto gli interessi se, in relazione ai parametri di valutazione costituiti dal tasso medio di svalutazione monetaria e dalla redditività media del denaro nel periodo considerato, un danno da lucro cessante debba essere positivamente escluso (Cass., n. 748/2000, cfr. anche Cass., nn.
490/1999 e 10751/2002)”.
Dunque, il riconoscimento degli interessi compensativi, dalla data del fatto o dai singoli esborsi,
è possibile solo nel caso di allegazione e prova, da parte del creditore, su di un eventuale danno da ritardo, ulteriore e maggiore rispetto a quello risarcito con la rivalutazione (Cass. civ. sez.
III sentenza 25.8.2003 n. 12452; Cass. civ. sez. III sentenza 9.2.2005 n. 2654 in motivazione:
“Gli interessi che vengono qui in considerazione sono interessi “compensativi”…possono… non riconoscersi affatto se il giudice ritenga che la rivalutazione abbia interamente coperto il danno da ritardato conseguimento dell'equivalente monetario (in relazione ai parametri di valutazione costituiti dal tasso medio di svalutazione monetaria e dalla redditività media del denaro nel periodo considerato, come precisato da Cass. n. 4729/2001 e n. 12788/98), essendo inibito solo il calcolo degli interessi al tasso legale sulle somme integralmente rivalutate a far data dall'evento dannoso”).
Del resto, anche la nota Cass. n. 1712 del 17.2.1995 richiede la prova - ed ancor prima -
l'allegazione di detto danno da mancato guadagno, in conseguenza del lamentato ritardato pagamento della somma dovuta a titolo di risarcimento del danno emergente (Cass. civ. S.U.
17.2.1995 n. 1712: “Tale prova può essere offerta dalla parte e riconosciuta dal giudice mediante criteri presuntivi ed equitativi, quale l'attribuzione degli interessi, ad un tasso stabilito valutando tutte le circostanze obiettive e soggettive del caso”).
In conclusione, solo qualora l'equivalente monetario attuale del danno dovesse risultare in concreto, in base alle allegazioni e prove del danneggiato, non sufficiente a tenere indenne costui da tutte le conseguenze pregiudizievoli del fatto dannoso, a causa del ritardo con il quale la somma gli è stata erogata, il giudice può liquidare tale danno anche sotto forma di interessi,
a condizione che tale danno sia ritenuto esistente prima del riconoscimento di detti interessi, che - come detto - costituiscono una mera modalità di liquidazione del danno.
Nel caso di specie, tuttavia, nulla risulta allegato e provato da parte del danneggiato, per cui non possono essere riconosciuti gli interessi c.d. compensativi in aggiunta alla rivalutazione monetaria. Invece, sull'importo complessivamente riconosciuto - in quanto convertito con la liquidazione in credito di valuta - spettano gli interessi moratori legali dalla data di pubblicazione della sentenza al saldo.
Le spese di lite seguono la soccombenza, cedono a carico di convenuta e terza chiamata in favore di parte attrice e sono liquidate, sull'accertato, nella misura indicata in dispositivo, secondo i parametri di cui al DM 147/2022, tra minimo e medio.
P.Q.M.
Il Tribunale Ordinario di Roma, in composizione monocratica, definitivamente pronunciando nel giudizio N.R.G. 29970/2021 tra ed in persona del Parte_1 Controparte_3 legale rappresentante pro tempore, nonché con la chiamata in causa della Controparte_2
in persona del legale rappresentante pro tempore, ogni diversa istanza ed eccezione
[...] disattesa o assorbita, così provvede:
1) DICHIARA tenuta e, per l'effetto, CO le società e Controparte_3
in solido tra loro, al pagamento in favore di della Controparte_2 Parte_1 somma di € 104.000,00, oltre alla rivalutazione monetaria dalla data dei bonifici illecitamente effettuati fino alla pubblicazione della presente sentenza ed agli interessi al tasso legale dalla presente sentenza al saldo;
2) RIGETTA ogni altra domanda posta dalle parti in causa;
3) CO e a rifondere al le spese Controparte_3 Controparte_2 Parte_1 di lire, che liquida in € 379,50 per spese vive ed € 9.000,00 per compenso professionale, oltre al 15% per rimborso delle spese generali, IVA e CPA come per legge.
Così deciso in Roma, li 6.10.2025
Il Giudice
RI OC
REPUBBLICA ITALIANA
I N N O M E D E L P O P O L O I T A L I A N O
TRIBUNALE ORDINARIO DI ROMA
SEZIONE XVI CIVILE
Il Giudice, in persona della dott.ssa RI OC, ha pronunciato la seguente
S E N T E N Z A nel procedimento civile di I grado iscritto al n. 29970/2021 del Ruolo Generale degli Affari
Civili, promosso da:
, C.F. , nato a [...] il [...], residente Parte_1 C.F._1 in Roma al viale Città d'Europa n. 10, rappresentato e difeso dall'Avv. Emilio Franzese, elettivamente domiciliato presso lo studio professionale dell'Avv. Claudia Knoke sito in Roma, viale XXI Aprile n. 24, come da procura depositata in via telematica unitamente al ricorso introduttivo
ATTORE contro
C.F. , P.I. , con sede legale in Controparte_1 P.IVA_1 P.IVA_2
Torino alla piazza San Carlo n. 156, in persona del legale rappresentante pro tempore, rappresentata e difesa dall'Avv. Lucia Stazi, elettivamente domiciliata presso il suo studio professionale in Roma al corso Vittorio Emanuele II n. 173, come da delega depositata in via telematica unitamente alla comparsa di costituzione
CONVENUTA nonché
C.F. e P.I. con sede legale in Ivrea (TO) alla via Controparte_2 P.IVA_3
Jervis n. 13, in persona del legale rappresentante pro tempore, rappresentata e difesa dall'Avv.
CA ZI, elettivamente domiciliata presso il suo studio sito in Napoli, via Santa
Lucia n. 15, come da procura depositata in via telematica unitamente alla comparsa di costituzione del terzo
RZ AT OGGETTO: 146041 - Contratti bancari
CONCLUSIONI DELLE PARTI
PARTE ATTRICE: “Voglia il Tribunale di Roma accogliere le domande attrici e condannare la (P.I. , in persona del suo legale rappresentante Controparte_3 P.IVA_2 p.t., con sede in Torino al pagamento della somma di € 149.320,00 oltre interessi legali dal fatto all'effettivo soddisfo, oltre, ancora, la somma da liquidarsi equitativamente, in favore di
da Roma, per la causale di cui in narrativa, con vittoria di spese e compenso Parte_1 d'avvocato, oltre le spese generali e forfetarie, Iva e Ca come per Legge.”
PARTE CONVENUTA INTESA SA spa: “Piaccia al Tribunale adito, ogni contraria istanza respinta:
- in via istruttoria: a) autorizzare il deposito in cancelleria su supporto informatico dei files Excel già allegati in formato pdf alla comparsa di costituzione e risposta (docc. 8-15) e in formato Excel alla memoria ex art. 183, 6° comma, n. 2, c.p.c. (doc. 45);
- in via principale: b) rigettare ogni domanda avanzata contro da parte attrice perché infondata Controparte_1 in fatto e in diritto, anche ai sensi dell'art. 1227, 1° comma, c.c.; c) rigettare ogni domanda avanzata contro dalla terza chiamata Controparte_1 [...] perché infondata in fatto e in diritto;
CP_2
- in via subordinata: d) rigettare ogni domanda avanzata contro da parte attrice perché infondata Controparte_1 in fatto e in diritto ai sensi dell'art. 1227, 2° comma, c.c.; e) nella denegata ipotesi di condanna della convenuta a qualsiasi titolo al pagamento di somme in favore dell'attore, accertare e dichiarare, eventualmente ai sensi dell'art. 2055 c.c. in ipotesi di condanna solidale, la prevalente responsabilità contrattuale, o extracontrattuale o da contatto sociale della terza chiamata e per l'effetto condannarla a Controparte_2 risarcire il danno causato a , pari alla medesima somma complessivamente Controparte_1 riconosciuta all'attore, anche a titolo di spese legali liquidate alla controparte, con sua condanna diretta al pagamento in favore del sig. ovvero con sua condanna al relativo Parte_1 rimborso in favore di . Controparte_1 in via istruttoria: f) non emettere gli ordini di esibizione di documenti richiesti dal sig.
contro
Parte_1 [...]
e CP_1 CP_4 g) non ammettere la prova testimoniale proposta dal sig. In subordine, ammettere Parte_1 la prova contraria con gli stessi testi di parte attrice;
h) non ammettere le CTU richieste dal sig. Parte_1 i) Non ammettere i quesiti di CTU proposti da Controparte_2 Con vittoria di spese, competenze e onorari di giudizio, oltre spese generali in misura forfettaria ed oltre oneri fiscali e il contributo unificato corrisposto per la chiamata in causa”.
RZ AT : “Voglia l'Ill.mo Tribunale adito, reiectis Controparte_2 contrariis, così provvedere: In via preliminare: Autorizzare alla chiamata in causa, a norma dell'art. 106 c.p.c., di Controparte_2 [...]
in persona del legale rappresentante pro tempore, e di provvedere con decreto a CP_5 norma dell'art. 269, 2° comma, c.p.c. alla fissazione della prima udienza di comparizione, allo scopo di consentire la citazione delle terze chiamate nel rispetto dei termini di cui all'art. 163- bis c.p.c.; In via principale: Rigettare tutte le domande proposte nei confronti di , perché infondate in Controparte_2 fatto ed in diritto ed in ogni caso non provate. In via subordinata: per i motivi esposti in narrativa, nella denegata e non creduta ipotesi in cui dovesse essere ritenuta una qualche responsabilità da parte di in relazione agli asseriti danni CP_2 lamentati dall'attore: a) accertare e dichiarare ai sensi dell'art. 1227 c.c. la partecipazione colposa totale, ovvero parziale, dell'attore, di e di nella causazione dei Controparte_3 Controparte_5 pretesi danni dallo stesso asseritamente patiti, e/o evitabili usando l'orinaria diligenza, e, per l'effetto, anche per quanto detto in narrativa, rigettare le domande di parte attrice;
b) nella non creduta ipotesi in cui fosse, eventualmente, chiamata a corrispondere CP_2 all'attrice e/o ad altra parte processuale, qualsivoglia somma a titolo di indennizzo e/o risarcimento danni ovvero nella denegata ipotesi di accoglimento totale e/o parziale delle domande dell'attrice e/o altra parte processuale, accertare e dichiarare l'esclusiva responsabilità di , in persona del legale rappresentante pro Controparte_3 tempore, e di , in persona del legale rappresentante pro tempore, in ordine ai Controparte_5 fatti per cui è causa, tenendo assolta/indenne da qualsivoglia pronuncia CP_2 pregiudizievole ovvero, a titolo di garanzia e/o manleva, tenute , in Controparte_3 persona del legale rappresentante pro tempore, e , in persona del legale Controparte_5 rappresentante pro tempore, a pagare e/o restituire a quanto eventualmente CP_2 quest'ultima fosse condannata a corrispondere all'attrice e/o ad altra parte processuale ovvero, a titolo di ripetizione e/o rivalsa e/o regresso, tenute , in Controparte_3 persona del legale rappresentante pro tempore, e , in persona del legale Controparte_5 rappresentante pro tempore, a pagare e/o restituire a quanto eventualmente CP_2 quest'ultima fosse condannata a corrispondere all'attrice e/o ad altra parte processuale, il tutto oltre interessi. In via istruttoria: La scrivente difesa chiede disporsi Consulenza Tecnica d'ufficio al fine di accertare:
1. Previe ed opportune verifiche di natura informatica, il funzionamento del servizio di Home Banking di e se l'eventuale acquisizione delle credenziali di accesso ad esso Controparte_1 da parte di terzi sia stato antecedente e/o contestuale all'acquisizione del numero mobile 3495682660.
2. Previe ed opportune verifiche di natura informatica, il funzionamento del servizio di Home Banking di e se il sistema di autenticazione dalla predetta adottato possa Controparte_1 essere violato indipendentemente dal tipo di dispositivo utilizzato per l'accesso e dal possesso del numero telefonico collegato ai servizi telematici.
3. Se il servizio di Home Banking di possa contestualmente funzionare Controparte_3 allorquando tale App risulti installata su due dispositivi differenti. (Si vuol chiedere al Ctu se sia possibile che una volta installata l'app su un dispositivo ed effettuato il primo accesso - e poi ovviamente essersi disconnessi -, sia possibile installare la medesima app su altro dispositivo e collegarsi allo stesso conto corrente. Ad esempio, registra il primo CP_6 accesso effettuato dal correntista e non permette di “entrare” nello stesso conto corrente da altro dispositivo se non viene disinstallata l'app nel primo dispositivo da cui è stato effettuato il primo accesso). La presente richiesta appare fondata visto il deserto probatorio offerto dalla banca e dell'attore e potrà essere utile anche al fine di comprendere se una semplice sostituzione di una sim possa provocare una situazione come quella per cui è causa sui dati sensibili di un correntista della banca.”
MOTIVI DI FATTO E DI DIRITTO DELLA DECISIONE
1.- Con ricorso ex art. 702-bis c.p.c. depositato in data 26.4.2021 agiva in Parte_1 giudizio avverso la società in persona del legale rappresentante Controparte_3 pro tempore, esponendo in fatto:
- di aver acceso con la filiale di Roma via Cesare Pavese n. 397, Controparte_3 il rapporto di conto corrente n. 00451/1000/00070950, su cui era attivato il servizio di home banking;
- di aver ricevuto in data 19.3.2020 dal sistema ABC - un messaggio con il Controparte_1 quale era stato avvisato che erano in corso accessi al suo conto corrente effettuati da un browser diverso da quello usuale;
- che, allarmato da quanto successo, aveva immediatamente risposto alla Banca con messaggi del seguente tenore:
1) messaggio delle ore 11:16: “Buongiorno i è arrivato un sms che mi avvertiva che Per_1 qualcuno ha aperto questa mattina da un brauser diverso”;
2) messaggio delle ore 11:17: “Ho già mandato un sms online dicendo di fare attenzione perché non sono stato io”;
3) messaggio delle ore 11:18: “Ripeto non sono stato io quindi qualcuno ha cercato di forzare il sistema. Attenzione”;
- che il 20.3.2020 un funzionario della Banca aveva risposto alle ore 10:08 con un messaggio del seguente tenore: “Gentile i servizi tecnici mi scrivono quanto segue “il Parte_1 cliente ha fatto vari accessi sia da app sia da pc, pertanto, può essere che ha utilizzato diversi browser e gli sia comunque arrivato l'sms”. Cordiali saluti”;
- che ancora in data 20.3.2020 il ricorrente aveva precisato quanto segue:
1) messaggio delle ore 10.29: “Buongiorno non ho fatto accessi da altro pc”; Per_1
2) messaggio delle ore 10.30: “Per questo vi ho scritto non vorrei che qualcuno avesse provato accesso non autorizzato. Vi prego di verificare”;
- che il 26.3.2020, nonostante i ripetuti avvisi prontamente recapitati alla il ricorrente CP_3 era venuto a conoscenza del fatto che il 23-24.3.2020 i seguenti bonifici erano stati fraudolentemente effettuati sul suo conto corrente, azzerandone il saldo:
1) bonifico per € 60.000,00 del 23.3.2020 in favore di;
CP_7
2) bonifico per € 15.000,00 del 24.3.2020 in favore di;
Persona_2 3) bonifico per € 15.000,00 del 24.3.2020 in favore di Persona_3
4) bonifico per € 14.000,00 del 24.3.2020 in favore di;
Parte_2
- di aver sporto denuncia il 26.3.2020 presso il Comando Stazione Carabinieri Roma Torrino
Nord;
- di essere stato costretto a integrare la denuncia in data 7.4.2020, in quanto, avvedutosi di un malfunzionamento del proprio telefono cellulare, aveva appreso che la scheda SIM del suo cellulare era stata clonata e che la relativa utenza era stata illecitamente migrata dall'operatore CP_ a quello;
CP_2
- che la aveva riconosciuto la natura fraudolenta dei citati pagamenti, tanto da disporre CP_3 il riaccredito delle somme illegittimamente sottratte, ma il 13.7.2020 aveva negato la propria responsabilità per l'accaduto, tanto da addebitare nuovamente al le somme Parte_1 precedentemente accreditate;
- che il ricorrente non era solito effettuare bonifici di rilevante entità su conti esteri, come avvenuto nel caso di specie;
- che il ricorrente, dipendente di un centro sportivo, nella prima metà del 2020 era stato in procinto di investire parte dei propri risparmi, depositati sul conto corrente acceso presso la convenuta, nel centro sportivo YMCA per realizzare due campi da padel e, come CP_3 risultante dalla CTU contabile allegata agli atti, i due campi da padel, a fronte di un investimento di € 70.000,00 circa, avrebbero determinato introiti per € 45.320,00;
- che la procedura di mediazione obbligatoria si era conclusa con esito negativo.
Tanto premesso in fatto, parte attrice deduceva:
- la responsabilità della per i fatti sopra esposti, non avendo quest'ultima garantito la CP_3 riservatezza dei dati di accesso al sistema informatico di home banking;
- l'incapacità della di custodire i risparmi del poiché, nonostante i tempestivi CP_3 Parte_1 avvisi, non aveva impedito a terzi di operare sul conto corrente dell'attore;
- la violazione da parte della convenuta dei doveri di accortezza, prudenza e perizia professionale, con conseguente sua responsabilità per il danno emergente ed il lucro cessante patiti dall'attore;
- la responsabilità della per aver indotto il a fare affidamento sulla ripetizione CP_3 Parte_1 delle somme illegittimamente sottrattegli, atteso che questo, proprio in dipendenza di tale riaccredito, aveva deciso di mantenere il suo usuale tenore di vita;
- la applicabilità al caso di specie dell'art. 2050 c.c. nonché dei decreti legislativi n. 11 del 2010
e n. 218 del 2017, con le dovute conseguenze in punto di onere probatorio.
Parte attrice concludeva quindi come in epigrafe riportato. 2.- Con comparsa dell'11.11.2021 si costituiva in giudizio in persona Controparte_3 del legale rappresentante pro tempore, la quale, premessi brevi cenni sulla disciplina contenuta nel compendio contrattuale sottoscritto dal esponeva: Parte_1
- che in data 1.2.2018 il aveva sottoscritto con la il contratto di conto corrente Parte_1 CP_3
n. 00451/1000/00070950 ed il relativo contratto My Key n. 08396449;
- che, in esecuzione dei suddetti contratti, il aveva ottenuto dalla le credenziali Parte_1 CP_3 necessarie ad operare a distanza, attraverso computer o applicazione mobile, sul conto corrente in oggetto;
- che il aveva indicato il n. 0039-3495682660 quale utenza telefonica mobile Parte_1 certificata, che faceva parte delle credenziali utilizzate dalla per identificare a distanza il CP_3 cliente e consentirgli di accedere ai relativi servizi;
- che il regolamento contrattuale specificamente approvato dal aveva determinato in Parte_1 capo a questo un obbligo di custodia delle credenziali, che non dovevano essere comunicate o rese disponibili a terzi;
- che il sistema di sicurezza ad autenticazione forte adottato dalla Banca, articolato nella combinazione di credenziali di accesso statiche - codice titolare (c.d. user id) e password generata dal correntista (c.d. pin) - e dinamiche, segnatamente codici autorizzativi monouso e temporizzati c.d. OTP generati dal sistema a valere sul cellulare certificato, era conforme alla normativa vigente e allo stato dell'arte, con conseguente infondatezza delle doglianze di controparte circa la sua presunta inadeguatezza;
- che nel sistema di sicurezza in oggetto veniva altresì prevista la comunicazione di un'ulteriore password dinamica (c.d. OTS) in caso di operazioni potenzialmente sospette;
- che il era stato informato dalla sulle corrette modalità di utilizzo del servizio Parte_1 CP_3 di home banking e sul rischio di subire truffe;
- che i bonifici in oggetto erano stati autorizzati all'esito del raggiungimento del livello di sicurezza previsto, ossia dopo il corretto inserimento delle specifiche password c.d. OTP ed
“OTS” generate tramite sms, come documentato dai registri informatici versati in atti;
- che il era responsabile di tutte le operazioni contestate, atteso che queste, ancorché Parte_1 non volute dal ricorrente, dovevano essere comunque a lui imputate, poiché concluse con l'utilizzo delle credenziali di accesso autentiche, senza alcuna violazione del sistema;
- che il aveva lamentato una frode c.d. sim swap fraud, senza tuttavia nulla provare Parte_1 in ordine al presunto malfunzionamento (nel periodo 19-21.3.2020) del suo telefono cellulare certificato, evidenziando che i bonifici controversi erano stati disposti successivamente a tale malfunzionamento, con conseguente ingiustificata inerzia del Parte_1 - che il nonostante fosse stato tempestivamente avvisato dalla della Parte_1 CP_3 sussistenza delle operazioni in oggetto e nonostante fosse stato esortato a richiedere il blocco delle funzionalità di internet banking, si era rivolto ad un impiegato di filiale senza peraltro chiedere il blocco del sistema di home banking (al quale il semplice impiegato non era comunque in grado di adempiere) e senza dolersi del mancato funzionamento del suo telefono cellulare, così tenendo una condotta gravemente negligente;
- che le pretese restitutorie e risarcitorie attoree erano prive di fondamento;
- che, in ogni caso, il aveva tenuto una condotta negligente, rilevante ex art. 1227, Parte_1 comma II c.c..
La convenuta, inoltre, chiedeva di essere autorizzata alla chiamata in causa ex art. 106 c.p.c. della da cui chiedeva di essere tenuta indenne dalle eventuali Controparte_2 conseguenze negative del giudizio, deducendo in via subordinata:
- la violazione dell'art. 55, comma 7 del D.Lgs. n. 259 del 2003, poiché la Controparte_2
con comportamento gravemente colposo, aveva acconsentito indebitamente alla
[...] portabilità del numero di cellulare del nonché alla consegna di un duplicato della Parte_1 relativa SIM pur in mancanza del suo assenso e senza procedere alla verifica dell'identità del soggetto richiedente, così violando sia gli obblighi di legge che le regole di diligenza;
- la violazione dell'art. 14 del D.Lgs. n. 259 del 2003, dell'art. 5, co. 1, lett. f) del Regolamento per la protezione dei dati personali n. 679 del 2016, nonché dell'art. 132-ter del D.Lgs. n. 196 del 2003, atteso che questa aveva omesso di verificare adeguatamente l'identità del soggetto interessato all'accesso ai dati personali del e per non aver adeguatamente protetto i Parte_1 suoi dati personali incorporati nella carta SIM;
- la violazione dell'art. 2, co. 2, lett. b) e c) del D.Lgs. n. 206 del 2005, atteso che questa aveva omesso di avvisare il dell'avvenuta sostituzione della sua carta SIM e del suo Parte_1 trasferimento ad altro operatore, nonché del pericolo di eventuali frodi;
- la violazione degli obblighi di correttezza e diligenza professionali richiesti ad un operatore qualificato che aveva in gestione un servizio di rilevanza nazionale;
- la rilevanza nei confronti della del comportamento inadempiente tenuto Controparte_3 della verso il sia per responsabilità da contatto sociale ex art. Controparte_2 Parte_1
1173 c.c. sia ex artt. 2043 e 2049 c.c., atteso che questa aveva tenuto un comportamento illecito causalmente efficace nel processo che aveva reso possibile la frode, unitamente al comportamento negligente del correntista.
Tanto premesso, parte convenuta concludeva come in epigrafe riportato. 3.- All'udienza del 23.11.2021 il giudice disponeva il mutamento del rito ed autorizzava la chiamata in causa della , che si costituiva con comparsa depositata in Controparte_2 data 15.3.2022, resistendo all'avversa domanda e deducendo in fatto: CP_
- che il 17.3.2020 aveva ricevuto da una richiesta di portabilità dell'utenza telefonica intestata al (n. 3495682660); Parte_1
- che la richiesta di portabilità era stata correttamente espletata il 19.3.2020;
- che, in base alla delibera n. 147/11/CIR dell'AGCOM, come modificata dalla successiva delibera n. 86/21/CIR, il nuovo gestore aveva l'obbligo di compiere tutti gli accertamenti necessari, tra cui la corretta identificazione del richiedente la migrazione mediante la c.d. validazione preventiva, consistente in una serie di attività volte ad accertare la reale volontà di migrare dal gestore telefonico mediante sms o chiamata di conferma all'utente;
- che la in qualità di operatore cedente, era invece tenuta a verificare la Controparte_2 correttezza della richiesta di portabilità, così come pervenuta dall'operatore cessionario, e, in particolare, la corrispondenza tra il numero seriale della SIM (c.d. ICCID) e il numero telefonico oggetto di portabilità, come era avvenuto nel caso di specie, con conseguente difetto di responsabilità ascrivibile alla per la truffa subita dal atteso Controparte_2 Parte_1
CP_ che in data 23-24.3.2020 la sua utenza telefonica era pienamente attiva e funzionante in , essendo stata disattivata in dal 19.3.2020; Controparte_2
- che, contrariamente a quanto affermato dalla convenuta, la non aveva Controparte_2 illecitamente consentito a terzi non autorizzati di operare sulla linea mobile n. 3495682660;
- che il D.Lgs. 259 del 2003 non era applicabile al caso di specie, non essendo finalizzato ad evitare la commissione di reati o frodi poste in essere con modalità telematiche in materia di servizi di pagamento, che dovevano essere prevenute dalle Banche, evidenziando che gli obblighi di verifica previsti dalla disciplina in esame si riferivano alla sola pregressa fase di acquisto ed attivazione di una SIM, non anche alla fase di sostituzione e disattivazione della stessa, rilevante nel caso di specie;
- che, per accedere al servizio di home banking, era necessario il possesso delle credenziali statiche (c.d. username e codice pin) quale presupposto per poter richiedere ed ottenere il codice dinamico (c.d. OTP);
- che il era stato asseritamente vittima di una frode c.d. sim swap fraud; Parte_1
- che tanto il quanto la avevano tenuto un comportamento inerte e negligente, Parte_1 CP_3 rilevante ex art. 1227 c.c., in quanto il cliente non aveva custodito con la dovuta diligenza i propri dati personali, non aveva verificato la sussistenza di disposizioni bancarie non autorizzate e non aveva chiesto il blocco immediato del proprio conto corrente, nonostante il tempestivo avviso proveniente dalla Banca e non aveva eseguito le verifiche sulla propria utenza mobile certificata, nonostante fosse pienamente consapevole del suo malfunzionamento;
mentre la banca non aveva adottato le misure tecnologiche idonee a bloccare tempestivamente eventuali attacchi o incidenti informatici, non aveva inviato tempestivamente la segnalazione e non aveva proceduto al blocco delle operazioni bancarie, evidentemente sospette, compiute in danno del Tanto premesso, la chiamata in causa concludeva come in epigrafe. Parte_1
4.- La convenuta, con la memoria ex art. 183, co. 6, n. 1 c.p.c., precisava che al caso di specie non era applicabile la procedura di portabilità semplificata ex art. 6 del regolamento allegato alla delibera dell'AGCOM n. 147/11/CIR, bensì la procedura standard prevista dall'art. 5 del medesimo regolamento, non trattandosi di trasferimento di un contratto prepagato, sicché la era tenuta ad eseguire la validazione ordinaria della richiesta di Controparte_2 portabilità e, pertanto, ad acquisire la conferma della volontà del di procedervi. Parte_1
Parte attrice, con la memoria ex art. 183, co. 6, n. 1 c.p.c., precisava di non aver mai consegnato o comunicato a terzi le credenziali bancarie e di non aver ceduto ad alcuno, direttamente o indirettamente, il proprio telefono cellulare o la propria scheda telefonica, né i suoi documenti di identità.
Il precisava, inoltre, che gravava sulla l'onere della prova che il fatto dannoso Parte_1 CP_3 era dipeso dalla condotta colposa del danneggiato e che il 19.3.2020 i truffatori, effettuato un accesso non autorizzato all'area riservata, avevano modificato la domanda di sicurezza per l'accesso al suo profilo. Tali evidenti anomalie, corroborate dal disconoscimento effettuato dal avrebbero dovuto indurre la a bloccare il conto. Parte_1 CP_3
La terza chiamata in causa, con la memoria ex art. 183, co. 6, n. 2 c.p.c., precisava che, all'epoca dei fatti, non aveva alcun potere in ordine al controllo dell'effettiva autenticità dei dati e dei documenti d'identità presentati dal richiedente per la sostituzione della SIM, precisando di non avere alcun obbligo di identificazione dei clienti in caso di prestazioni accessorie (tra cui la sostituzione di una SIM card), obblighi stabiliti successivamente al verificarsi dei fatti controversi.
Esperiti gli incombenti preliminari, la causa veniva istruita documentalmente e mediante ordine di esibizione ex art. 210 c.p.c. avente ad oggetto il messaggio elettronico spedito da
[...] al sistema online della convenuta il 19.3.2020 in orario prossimo ed antecedente alle Parte_1 ore 11:16. La convenuta, con nota del 30.10.2023, dava atto di trovarsi nell'impossibilità di adempiere all'ordine di esibizione ex art. 210 c.p.c., non avendo ricevuto il messaggio “sms online” cui aveva fatto riferimento parte attrice. La causa veniva quindi trattenuta in decisione sulle conclusioni rassegnate dalle parti e soprariportate, con assegnazione alle parti dei termini di legge ex art. 190 c.p.c. per il deposito di conclusionali e repliche.
5.- Ai fini della delimitazione del thema decidendum, si rileva che l'attore ha chiesto di accertare la responsabilità dell' per l'esecuzione, ad opera di terzi ignoti, Controparte_3 dal conto corrente n. 00451/1000/00070950 a lui intestato, di quattro bonifici bancari emessi tra il 23 ed il 24.3.2020, per complessivi € 104.000,00. ha, quindi, chiesto la condanna della convenuta al rimborso della somma Parte_1 corrispondente alla perdita complessivamente subita ed al risarcimento del danno derivante della indisponibilità della somma in oggetto sul suo conto corrente, corrispondente al lucro cessante per la mancata conclusione di un investimento avente ad oggetto la costruzione di due campi da “padel”. L'attore ha chiesto, inoltre, la liquidazione equitativa del danno patito per aver confidato sul riaccredito provvisorio della suddetta somma da parte della banca, che lo avevano indotto a mantenere il precedente tenore di vita.
L'attore ha allegato di essere stato vittima di una frode informatica c.d. sim swap fraud, consistente nella sottrazione di denaro da un conto corrente ad opera di terzi, tramite il fraudolento ottenimento del duplicato della SIM del correntista mediante migrazione ad altro gestore. La duplicazione della SIM consente, previo accesso all'home banking utilizzando nome utente e password del cliente memorizzati, di ottenere i codici dinamici temporanei indispensabili al perfezionamento delle operazioni di gestione del conto e di pagamento a distanza.
Orbene, alla luce delle difese delle parti e dei documenti prodotti, può essere affermata la responsabilità sia della convenuta che della terza chiamata.
Va premesso che è documentale che in data 1.2.2018 ha stipulato con l' Parte_1 [...] il contratto di conto corrente n. 00451/1000/00070950 ed il contratto “My Controparte_3
Key” n. 08396449, con il relativo modulo di variazione, aventi ad oggetto il servizio di home banking, ossia l'esercizio di servizi bancari a distanza tramite il sistema di autenticazione forte del cliente, denominato “a due fattori”, che prevede l'utilizzo congiunto di credenziali statiche
(delle quali fa parte, per espressa previsione dell'art. 1 del citato contratto, anche il numero di cellulare certificato - nel caso di specie abbinato all'utenza mobile n. 3495682660) e CP_2 di credenziali dinamiche inviate tramite SMS o notifica push nell'applicazione mobile scaricata sul cellulare, consistenti in codici temporanei, generati per completare l'accesso al servizio e per autorizzare le disposizioni sui rapporti connessi. Risulta, quindi, pacifico che è titolare del conto corrente bancario n. Parte_1
00451/1000/00070950 acceso presso la e che il conto è abilitato Controparte_3 all'esecuzione di operazioni bancarie on line.
E' altresì pacifico che soggetti terzi si sono impossessati delle credenziali (userid e password) del correntista e che, introdottisi con l'uso di tali credenziali nel sistema informatico della
[...]
hanno effettuato in data 23-24.3.2020 quattro bonifici bancari telematici per Controparte_3 complessivi € 104.000,00, in favore di diversi beneficiari.
Gli ordini di bonifico apparivano formalmente corretti, essendo state utilizzate, per impartirli, le credenziali del correntista.
Occorre, dunque, verificare se sussiste la responsabilità dell'istituto di credito per l'utilizzazione fraudolenta di uno strumento di pagamento e se sussiste o meno una responsabilità del cliente.
La disciplina applicabile al caso di specie è prevista dal D.Lgs. n. 11 del 27.1.2010, che ha attuato nell'ordinamento interno la direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno europeo, individuando gli obblighi esistenti in capo al prestatore di servizi di pagamento, in relazione agli strumenti di pagamento, nonché le responsabilità per operazioni non autorizzate e per l'utilizzo non autorizzato di strumenti o servizi di pagamento.
Tale normativa prevede la responsabilità del prestatore del servizio di pagamento, salvo che lo stesso dimostri la frode, il dolo o la colpa grave dell'utente.
L'art. 10 del citato decreto legislativo dispone che, qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita, è onere del prestatore dei servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. L'art. 12 commi 2-ter, 3 e
4 stabilisce, inoltre, che il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento, e negli altri casi, può sopportare, per un importo comunque non superiore ad € 50,00, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita. L'utente dei servizi di pagamento, invece, sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate, senza alcun limite, qualora abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, agli obblighi previsti dall'art. 7, ovvero utilizzare lo strumento di pagamento in conformità con le regole sull'emissione e l'uso e comunicare senza indugio al prestatore di servizi di pagamento il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza.
La giurisprudenza è concorde nel ritenere che la responsabilità della per operazioni CP_3 effettuate a mezzo di strumenti elettronici, avendo natura contrattuale, è esclusa se ricorre colpa grave dell'utente e che rientra nel rischio tipico professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo (Cass. civ. sez. 1 ord. 20 maggio 2022 n. 16417: “La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto” e Cass. civ. sez. 6 ord. 12 aprile 2018 n. 9158: “In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente”).
Il D.Lgs. n. 11 del 2010 pone anche a carico del gestore dei servizi di pagamento: l'obbligo di assicurare, tramite l'adozione delle misure più idonee alla luce dello sviluppo tecnologico, che i dispositivi personalizzati per l'utilizzo dello strumento di pagamento non siano accessibili a soggetti diversi dall'utilizzatore legittimato (art. 8, comma primo, lett. a); l'obbligo di assicurare che siano sempre disponibili gratuitamente strumenti adeguati affinché l'utilizzatore possa effettuare la comunicazione di cui all'art. 7, comma primo, lett. b (art. 8, comma primo, lett. c);
l'obbligo di impedire l'utilizzo dello strumento di pagamento in seguito al blocco (art. 8, comma primo, lett. d); l'obbligo di attuare l'autenticazione forte del cliente, quando l'utente accede al suo conto di pagamento online, dispone un'operazione di pagamento elettronico o effettua qualsiasi azione tramite un canale di pagamento a distanza, che può determinare un rischio di frode nei pagamenti o altri abusi (art. 10-bis, comma primo).
Di talché, per far sì che l'utilizzatore sopporti le perdite derivate da un uso illegittimo dello strumento di pagamento ad opera di terzi, non è sufficiente che il prestatore del servizio dia prova di una condotta fraudolenta o dell'inadempimento degli obblighi ex art. 7 del D.Lgs. n.
11 del 2010 sorretto da dolo o colpa grave del cliente, dovendo, altresì, dimostrare, preventivamente, di aver adempiuto i doveri di tutela del consumatore prescritti a suo carico dalla normativa di settore (Cass. civ. sez. 6 ord. 26 novembre 2020 n. 26916).
In conclusione, è possibile affermare che l'imputazione di responsabilità all'utilizzatore dello strumento di pagamento ex art. 12, co. 3 del D.Lgs. n. 11 del 2010, postula che l'istituto di credito fornisca la prova di aver usato un elevato grado di diligenza nell'adempimento dei propri oneri, e che, con sufficiente grado di attendibilità giuridica, l'inadempimento degli obblighi del cliente sia dovuto a frode, dolo o colpa grave.
A tal proposito, si deve aggiungere che la colpa grave è costituita da una “straordinaria e inescusabile” imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del buon padre di famiglia di cui all'art. 1176 comma I c.c. ma anche
“quel grado minimo ed elementare di diligenza generalmente osservato da tutti” (Cass. civ. sez. 3 sent. 19 novembre 2001 n. 14456). Osserva la Suprema Corte, inoltre, che la prova della sussistenza della colpa grave può essere fornita anche per mezzo di presunzioni, purché queste, com'è noto, siano gravi, precise e concordanti secondo quanto dispone l'art. 2729 c.c. (Cass. civ. sez. 2 sent. 18 gennaio 2009 n. 654).
Infatti, nonostante il dato testuale dell'art. 10 del D.Lgs. citato sembrerebbe escludere automaticamente qualsiasi tipo di presunzione, deve invece ritenersi che l'unica presunzione che appare vietata dalla richiamata disposizione sia quella relativa dell'affermazione della colpa grave esclusivamente collegata all'utilizzo dello strumento di pagamento;
da ciò ne discende, a contrario, che sia invece ammissibile tale presunzione, laddove sussista una serie di elementi di fatto particolarmente univoca e convergente, tale per cui possa ragionevolmente ritenersi che l'utilizzo fraudolento sia effettivamente riconducibile sul piano causale alla condotta dell'utilizzatore.
Nel caso di specie, l' a sostegno dell'asserita regolarità formale delle Controparte_3 operazioni in contestazione, ritenute correttamente autenticate, registrate e contabilizzate, nonché eseguite secondo un sistema di autenticazione a due fattori, supportato dalla certificazione UNI CEI ISO / IEC 27001:2017, da cui evincere l'elevato livello di sicurezza dello strumento di pagamento, ha prodotto in atti i file log contenenti la tracciatura delle operazioni di bonifico svolte sul portale home banking della nonché i file log da cui CP_3 evincere specificamente gli accessi, gli SMS, le notifiche push, le caratteristiche degli IP unici relativi agli accessi concernenti i bonifici in oggetto.
Da tale documentazione informatica risulta che:
1) il 19.3.2020, alle ore 11:04:42, dal web è stato eseguito un accesso proveniente dall'indirizzo
IP 79.41.31.179, che il codice PIN è stato validato correttamente, che è stata inviata una notifica push verso il dispositivo con chiave b61f36c33e781998, che successivamente è stato effettuato l'annullamento del processo di attesa su WEB della conferma della push da parte del dispositivo, che tale annullamento ha provocato l'invio di un SMS verso il cellulare certificato del cliente e che l'inserimento dell'okey SMS ha autorizzato l'accesso;
2) il 19.3.2020 alle 11:07:08 da WEB è stato registrato il censimento delle domande segrete, confermato a seguito del corretto inserimento della specifica OTS inviata al cellulare certificato e che la variazione è stata comunicata tramite notifica push ed SMS;
3) il 20.3.2020, alle 00:38:19, da WEB è stato eseguito un accesso proveniente dall'indirizzo
IP 79.41.31.179, che il codice PIN è stato validato correttamente ed è stata inviata una notifica push verso il dispositivo con chiave b61f36c33e781998, che successivamente è stato effettuato l'annullamento del processo di attesa su WEB della conferma della notifica push da parte del dispositivo, che tale annullamento ha provocato l'invio di un SMS verso il cellulare certificato del cliente e che l'inserimento dell'okey SMS ha autorizzato l'accesso;
4) il 23.3.2020 alle 16:41:29 da WEB è stato richiesto un accesso proveniente dall'indirizzo IP
37.161.178.116, che il codice PIN è stato validato correttamente, che è stata inviata una notifica push verso il dispositivo con chiave b61f36c33e781998, che successivamente è stato effettuato l'annullo del processo di attesa su WEB della conferma della notifica push da parte del dispositivo, che tale annullo ha provocato l'invio di un SMS verso il cellulare certificato del cliente e che l'inserimento dell'okey SMS ha autorizzato l'accesso;
5) il 23.3.2020 alle 16:47:14 da WEB è stato disposto un bonifico europeo di € 60.000,00 in favore di (IBAN ES1921002947300200207146) con causale “bonifico”; sono CP_7 stati inviati al numero certificato del cliente il messaggio SMS contenente il codice OTS ed una okey sms necessari per autorizzare il bonifico;
l'inserimento del codice OTS corretto sul WEB, la verifica dell'Okey SMS e il controllo delle domande segrete WEB hanno condotto all'esecuzione del bonifico WEB;
6) il 24.3.2020 alle 14:23:49 da WEB è stato eseguito un accesso proveniente dall'indirizzo IP
37.163.35.170, il codice PIN è stato validato correttamente, è stata inviata una notifica push verso il dispositivo con chiave b61f36c33e781998, successivamente è stato effettuato l'annullamento del processo di attesa su WEB della conferma della notifica push da parte del dispositivo, tale annullaento ha provocato l'invio di un SMS verso il telefono cellulare certificato del cliente e l'inserimento dell'okey SMS ha autorizzato l'accesso;
7) il 24.3.2020 alle 14:27:37 da WEB è stato disposto un bonifico europeo di € 15.000,00 a favore di (IBAN AT423200000013011101) con causale Persona_3
“investment”; sono stati inviati al numero certificato del cliente il messaggio SMS contenente il codice OTS nonché il codice okey SMS necessari per autorizzare il bonifico;
l'inserimento delle domande segrete, del codice OTS corretto sul WEB e la verifica dell'okey SMS hanno portato all'esecuzione del bonifico;
8) il 24.3.2020 alle 15:16:44 da WEB è stato eseguito un accesso proveniente dall'indirizzo IP
79.26.152.15, il codice PIN è stato validato correttamente, è stata inviata una notifica push verso il dispositivo con chiave b61f36c33e781998, successivamente è stato effettuato l'annullo del processo di attesa su WEB della conferma della push da parte del dispositivo, che tale annullamento ha provocato l'invio di un SMS verso il cellulare certificato del cliente e l'inserimento dell'okey SMS ha autorizzato l'accesso;
9) il 24.3.2020 alle 15:21:44 da WEB è stato disposto un bonifico europeo di € 14.000,00 a favore di (IBAN [...]) con causale “acquisti Parte_2 online”; sono stati inviati, al numero certificato del cliente, il messaggio SMS contenente il codice OTS ed il codice okey SMS necessari per autorizzare il bonifico;
l'inserimento delle domande segrete, del codice OTS corretto sul WEB e la verifica dell'okey SMS, hanno portato all'esecuzione del bonifico;
10) il 24.3.2020 alle 15:57:10 da WEB è stato eseguito un accesso proveniente dall'indirizzo
IP 79.26.152.15, il codice PIN è stato validato correttamente, è stata inviata una notifica push verso il dispositivo con chiave 61f36c33e781998, successivamente è stato annullato il processo di attesa su WEB della conferma della push da parte del dispositivo;
tale annullamento ha provocato l'invio di un SMS verso il cellulare certificato del cliente e l'inserimento dell'okey
SMS ha autorizzato l'accesso;
- il 24.3.2020 alle 16:02:01 da WEB è stato inserito il bonifico europeo di € 15.000,00 a favore di (IBAN ES4100730100520601077294) con causale “bonifico”; sono Persona_2 stati inviati al numero certificato del cliente il messaggio SMS contenente il codice OTS e il codice okey SMS necessari per autorizzare il bonifico;
l'inserimento delle domande segrete, del codice OTS corretto sul WEB e la verifica dell'okey SMS hanno portato all'esecuzione del bonifico. ha consentito l'operatività da remoto a seguito del corretto inserimento Controparte_3 delle credenziali statiche e dinamiche teoricamente riconducibili al correntista e che ha regoinviato sul telefono cellulare certificato le dovute comunicazioni di allerta.
Senonché, l'istituto di credito, a sostegno della propria difesa, ha dedotto in via presuntiva dalla disposizione di bonifici on line non autorizzati mediante il corretto inserimento delle credenziali la colpa grave di parte attrice, ritenendo che tale fatto sarebbe sufficiente a dimostrare la colpa grave dell'attore in relazione agli obblighi negoziali e legali di custodia delle credenziali e dei codici di sicurezza ai sensi dell'art. 7 del D.Lgs. n. 11/2010.
Tuttavia, l'esecuzione dei bonifici da parte di terzi mediante l'uso delle credenziali assegnate all'attore non è sufficiente a comprovare la comunicazione delle credenziali di accesso a terzi da parte dei titolari. Solo in quest'ultimo caso, infatti, si potrebbe affermare la sussistenza di un comportamento gravemente colposo di parte attrice, in contrasto con gli obblighi legali e negoziali che fanno capo al titolare di uno strumento di pagamento.
Nel caso di specie non solo non risulta una condotta del cliente di comunicazione delle credenziali, ma è comprovata una sua condotta positiva volta ad evitare le operazioni fraudolente.
Risulta, da un lato, provato che in data 19.3.2020 il sistema informatico della convenuta, mediante notifica push inoltrata sull'utenza mobile del ha segnalato al correntista la Parte_1 sussistenza di un accesso al sito di da un browser non utilizzato di Controparte_3 recente, con conseguente invito rivolto al correntista a mettersi in contatto con la filiale online della qualora l'accesso non fosse stato da questo effettuato. CP_3
E' parimenti pacifico che il con tre distinti messaggi diretti all'impiegato della Parte_1 [...]
, inoltrati tramite l'applicazione mobile della Banca convenuta denominata Parte_3
“ABC”, ha disconosciuto di aver effettuato tale accesso.
Non è stata contestata in modo specifico ed è provata documentalmente la sequenza di messaggi che l'attore ha inviato alla Banca e il messaggio ricevuto al riguardo, nello specifico:
1) messaggio delle ore 11:16: “Buongiorno i è arrivato un sms che mi avvertiva che Per_1 qualcuno ha aperto questa mattina da un brauser diverso”;
2) messaggio delle ore 11:17: “Ho già mandato un sms online dicendo di fare attenzione perché non sono stato io”;
3) messaggio delle ore 11:18: “Ripeto non sono stato io quindi qualcuno ha cercato di forzare il sistema. Attenzione”; - che il 20.3.2020 un funzionario della Banca aveva risposto alle ore 10:08 con un messaggio del seguente tenore: “Gentile i servizi tecnici mi scrivono quanto segue “il Parte_1 cliente ha fatto vari accessi sia da app sia da pc, pertanto, può essere che ha utilizzato diversi browser e gli sia comunque arrivato l'sms”. Cordiali saluti”;
- che ancora in data 20.3.2020 il ricorrente aveva precisato quanto segue:
1) messaggio delle ore 10.29: “Buongiorno non ho fatto accessi da altro pc”; Per_1
2) messaggio delle ore 10.30: “Per questo vi ho scritto non vorrei che qualcuno avesse provato accesso non autorizzato. Vi prego di verificare”;
Il ha, dunque, tempestivamente avvisato la della circostanza Parte_1 Controparte_3 secondo cui questo non ha effettuato accessi da altro dispositivo non abitualmente utilizzato, invitando la ad effettuare delle verifiche e prestare particolare attenzione. CP_3
Non è stato richiesto dalla né il era tenuto al blocco delle funzionalità di home CP_3 Parte_1 banking insistenti sul proprio conto corrente, avendo avvisato di non aver effettuato l'accesso e tenuto conto che nessuna operazione era stata tentata sino a tale momento,
Si deve, dunque, ritenere che, per quanto il sistema della convenuta prevede una verifica a doppio fattore, nondimeno l' non ha tenuto una condotta diligente, essendosi accorta di CP_8 una anomalia nella provenienza del collegamento, ma avendo poi trascurato i messaggi del cliente di avviso, senza successivamente monitorare l'andamento del conto, sul quale è stato effettuato, in un giorno in cui il cliente ha comunicato di non aver effettuato accesso anche i censimento delle domande segrete e, dunque, la verifica e modifica del profilo dell'utente, che aveva, come detto, comunicato di non aver effettuato accessi. Un monitoraggio più attento del conto avrebbe consentito una reazione anche dinanzi a bonifici obiettivamente inusuali rispetto all'operatività media del correntista con riferimento all'entità dei pagamenti, pari ad un importo complessivo di € 104.000,00 (mentre il bonifico effettuato in data 23.3.2020 per € 60.000,00 supera di € 30.000,00 il limite operativo giornaliero ed integra da solo il limite operativo mensile di € 60.000,00, i tre bonifici effettuati in data 24.3.2020 per la somma complessiva di
€ 44.000,00 superano di € 14.000,00 il limite operativo giornaliero e sono stati peraltro disposti successivamente al raggiungimento del limite operativo mensile, limiti contrattualmente posti dal contratto My Key).
L'istituto di credito, osservando nell'esercizio dell'attività professionale la diligenza di natura tecnica propria dell'accorto banchiere richiesta dall'art. 1176, comma secondo c.c. (Cass. civ. sez. 1 sent. 19 gennaio 2016 n. 806), avrebbe dovuto quantomeno disporre il blocco temporaneo delle operazioni, allertando il cliente dell'esposizione al rischio tramite canali di comunicazione alternativi agli SMS ed alle notifiche push sul numero certificato, come espressamente contemplato dal contratto My Key, che nell'art. 9 della sezione “Norme del servizio a distanza” al comma primo afferma: “Ciascuna Banca del Gruppo può sospendere il servizio a distanza per motivi obiettivamente giustificati, legati: alla sicurezza del servizio a distanza (...); al sospetto di un utilizzo del servizio a distanza improprio o difforme dalle norme indicate in questo contratto o nella Guida ai Servizi (...)”; introducendo poi al comma terzo l'onere della banca di comunicare, se possibile preventivamente, la sospensione del servizio e le relative motivazioni al cliente, utilizzando i recapiti dallo stesso forniti, tra cui viene menzionato a titolo esemplificativo anche l'indirizzo di posta elettronica.
Al tempo risulta documentalmente che il ha effettuato una integrazione della propria Parte_1 denuncia in data 7 aprile 2020, comunicando che aveva appreso del trasferimento della propria utenza mobile ad altro gestore, operazione che egli disconosceva. CP_ Tale mutamento di gestore, da a ha consentito a terzi ignoti di entrare nella CP_2 disponibilità delle credenziali bancarie del cliente sia statiche che, poi dinamiche, senza che risulti una diretta responsabilità del in tale passaggio. Parte_1
In ordine alla sostituzione del gestore si rileva la responsabilità concorrente della
[...]
operatrice telefonica chiamata in causa, la cui condotta negligente, estrinsecatasi CP_2 nella mancata verifica dell'identità del richiedente la sostituzione e della verifica con il proprio cliente, è causalmente connessa con l'esecuzione dei bonifici indebiti.
A tal proposito, deve rilevarsi che l'operatore telefonico non ha allegato né comprovato di aver posto in essere i dovuti accertamenti documentali e di riconoscimento dell'identità del richiedente prima del rilascio del trasferimento dell'utenza telefonica verso altro operatore
( , incentrando la propria difesa sull'assunto per cui l'obbligo di identificare Controparte_5 il cliente sussiste solo al momento della prima attivazione della SIM e non anche in occasione del rilascio di duplicato della stessa o della portabilità del numero di utenza.
Sul punto occorre rilevare che l'art. 55, comma settimo del D.Lgs. n. 259 del 2003 ha previsto in capo agli operatori di telefonia mobile un obbligo di identificazione degli abbonati e degli acquirenti prima dell'attivazione del servizio, stabilendo che ogni impresa è tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati del Ministero dell'interno gli elenchi di tutti i propri abbonati e di tutti gli acquirenti del traffico prepagato della telefonia mobile, i quali devono essere identificati prima dell'attivazione del servizio, al momento della consegna o messa a disposizione della occorrente scheda elettronica. A tal fine, le suddette imprese di telefonia sono tenute ad adottare tutte le necessarie misure affinché venga garantita l'acquisizione dei dati anagrafici riportati sul documento di identità esibito dal cliente e dei dati relativi al tipo e al numero del documento, nonché tutte le misure atte a garantire la corretta acquisizione della riproduzione del documento presentato dall'acquirente e ad assicurare il corretto trattamento dei dati ottenuti.
Ciò detto, la sussistenza nell'ordinamento di un obbligo di identificazione dei clienti anche per la sostituzione della SIM o il cambio di gestore è del tutto similare a quello previsto in caso di attivazione della SIM, si evince senza dubbio dalla disposizione di cui all'art. 1, comma 46 della L. n. 124 del 2017, secondo cui “Al fine di semplificare le procedure di migrazione tra operatori di telefonia mobile e le procedure per l'integrazione di SIM card aggiuntive o per la sostituzione di SIM card richieste da utenti già clienti di un operatore, con decreto del
Ministero dell'Interno, di concerto con il Ministero dello sviluppo economico, da adottare entro sei mesi dalla data di entrata in vigore della presente legge, sono previste misure per
l'identificazione in via indiretta del cliente, anche utilizzando il sistema pubblico dell'identità digitale previsto dall'art. 64 del codice dell'amministrazione digitale, di cui al D.Lgs. 7 marzo
2005, n. 82 e successive modificazioni, in modo da consentire che la richiesta di migrazione e di integrazione di SIM card e di tutte le operazioni ad essa connesse possano essere svolte per via telematica”, giacché la ratio di tale intervento normativo, ossia semplificare le modalità di identificazione del cliente nelle operazioni di migrazione, integrazione o sostituzione della SIM, trova un antecedente logico necessario nell'esistenza di un dovere in capo agli operatori telefonici di provvedere all'identificazione del cliente in occasione delle operazioni menzionate
(ex multis Trib. Milano sent. 8562/2022, Trib. Ivrea sent. 543/2018, Trib. Savona sent.
428/2022).
Ad abundantiam, deve essere evidenziato che proprio la rilevanza del suddetto dovere ha determinato l'Autorità per le Garanzie nelle Comunicazioni (ACCOM) all'emanazione della
Delib. n. 86/21/CR dell'8.7.2021, citata dalle parti, ma non applicabile al caso di specie poiché successiva al verificarsi dei fatti di causa, che ha ulteriormente rafforzato l'obbligo di identificazione del richiedente la duplicazione della SIM da parte dei gestori dei servizi di telefonia, con l'espressa intenzione di garantire maggiore protezione ai dati personali dei clienti e di prevenire attività dolose attuabili tramite la sostituzione della SIM dell'utente da parte di soggetti terzi non autorizzati (tra cui, è specificamente citato il furto per via telematica presso gli istituti bancari) (Trib. Roma sez. 16 sent. 11 settembre 2023 n. 12832).
Per i suddetti motivi, deve ritenersi che venendo meno al dovere di Controparte_2 diligenza qualificata che si richiede ad un operatore professionale che gestisce dati personali altrui, non ha adempiuto all'obbligo di opportuna identificazione del soggetto che in data
19.3.2020 ha chiesto ed ottenuto il trasferimento dell'utenza telefonica mobile n. 3495682660 intestata ad nonché il duplicato della SIM, così contribuendo con la sua Parte_1 condotta colposa, al pari della Banca convenuta, a rendere possibile la truffa ai danni dell'attore.
Non emerge dagli atti in che momento il passaggio del gestore si sia effettivamente verificato, ovverosia da quando il non è più stato in grado di ricevere chiamate e sms sul proprio Parte_1 dispositivo, ma tali disfunzioni, peraltro in periodo iniziale della epidemia da COVID-19 che ha creato un notevole aumento della utilizzazione degli strumenti informativi e telefonici, non risultano di per sé idonee a generare nell'utente la consapevolezza, o anche solo il dubbio, di essere vittima di una frode bancaria.
In conclusione, la convenuta e la terza chiamata sono responsabili delle perdite subite CP_3 dall'utilizzatore per effetto dell'esecuzione dei bonifici non autorizzati, per la somma complessiva di € 104.000,00, non avendo comprovato la né la propria diligenza, né il CP_3 dolo o la colpa grave del cliente, e non avendo comprovato la di aver effettuato Controparte_9 idonea verifica prima di procedere alla migrazione dell'utente ad altro gestore.
La convenuta e la terza chiamata vanno condannate in solido al risarcimento del cliente, dovendosi ritenere corresponsabili del danno subito dall'odierno attore in pari misura.
In particolare si deve ritenere estesa la domanda dell'attore al terzo chiamato, stante l'unicità dell'evento dannoso causato da più condotte concorrenti da parte di due soggetti legati all'attore da vincolo contrattuale, in ossequio all'orientamento della Suprema Corte che ha ritenuto che
“in tema di responsabilità civile, nell'ipotesi in cui la parte convenuta chiami in causa un terzo in qualità di corresponsabile dell'evento dannoso, la richiesta risarcitoria deve intendersi estesa al medesimo terzo anche in mancanza di un'espressa dichiarazione in tal senso dell'attore, poiché la diversità e pluralità delle condotte produttive dell'evento dannoso non dà luogo a distinte obbligazioni risarcitorie, non mutando l'oggetto del giudizio;
un'esplicita domanda dell'attore è, invece, necessaria quando la chiamata del terzo si fondi sulla deduzione di un rapporto sostanziale differente da quello invocato dall'attore nei confronti del convenuto.
(Nella specie, la S.C. ha ritenuto la domanda risarcitoria proposta contro l'ente comunale, convenuto quale custode ex art. 2051 c.c. di una strada pubblica, automaticamente estesa al terzo ente provinciale, chiamato ai sensi dell'art. 2043 c.c., in considerazione dell'unicità del fatto costitutivo delle due responsabilità, del diritto soggettivo al risarcimento del danno e dell'azione a favore del danneggiato) .(Cass.civ. sez. 3, 28 novembre 2019, n. 31066).
Va, pertanto, accolta la domanda proposta nei confronti della convenuta e della terza chiamata in quanto la stessa è responsabile in via solidale ex art. 2055 c.c. con la Controparte_2
Banca delle conseguenze pregiudizievoli patite dall'attore, in quanto la sostituzione della SIM card del ha consentito a chi ha effettuato l' accesso abusivo all'internet banking Parte_1 ricevesse le notifiche e gli avvisi da parte della ricevuti in concreto non dal CP_3 Parte_1 ma da chi ha provveduto a trasferire l'utenza e si è procurato nuova SIM, nella inconsapevolezza del cliente. Cosicché, è evidente il contributo causale offerto dalla compagnia telefonica al danno in concreto patito dall'attrice ai sensi dell'art. 2055 c.c., non essendo stata documentata alcuna verifica della richiesta di trasferimento dell'utenza né l'acquisizione di alcun documento da parte del gestore destinatario, né è stata richiesta alcuna conferma al cliente.
Va per completezza evidenziato che a nulla vale il tentativo della terza chiamata di invocare la responsabilità esclusiva della deducendo che l'accesso abusivo al servizio bancario CP_3 online è stato necessariamente antecedente alla sostituzione della SIM: a prescindere dall'anteriorità temporale di una o dell'altra circostanza, ciò che rileva ai fini della corresponsabilità ex art. 2055 c.c. è, infatti, che anche la condotta della compagnia telefonica abbia contribuito causalmente, insieme all'accesso abusivo al sistema bancario, a cagionare il danno patito dall'attore, avendo consentito a terzi di ottenere la migrazione dell'utenza e altra sim.
La è quindi responsabile in solido con della Controparte_2 Controparte_3 perdita subita da per effetto dei bonifici bancari non autorizzati, per l'importo Parte_1 complessivo di € 104.000,00: nei rapporti interni le parti vanno ritenute responsabili in pari misura, atteso che, se le operazioni truffaldine sono state effettuate tramite un abusivo accesso al sistema informatico della Banca che ha consentito la sottrazione delle credenziali, la truffa è stata poi perfezionata proprio grazie all'indebita e negligente migrazione dell'utenza telefonica e sostituzione della SIM card associata all'utenza registrata.
Concludendo sul punto la terza chiamata va condannata a risarcire al in solido con Parte_1 la convenuta, la somma di € 104.000,00. CP_3
Risultano invece prive di idonea allegazione e prova le ulteriori domande risarcitorie proposte dal Parte_1
Quanto alla pretesa risarcitoria relativa al mancato guadagno, che, secondo la prospettazione attorea, deriverebbe dal mancato investimento delle somme depositate sul conto corrente n.
00451/1000/00070950 nella costruzione di due campi da “padel”, si rileva che il non Parte_1 ha documentato di essere in procinto di effettuare tale operazione economica, atteso che il suo nominativo non compare nel contratto di locazione depositato in atti (afferente all'area dove i campi dovevano essere realizzati), né nella visura camerale della società che ha effettivamente sottoscritto tale contratto, né appare idonea la consulenza di parte effettuata in epoca ben successiva ai fatti. Quanto all'ulteriore domanda risarcitoria per la mancanza di liquidità dipesa dal riaccredito temporaneo della somma di € 104.000,00, basti rilevare che, indipendentemente dal fatto che il ben sapeva che il riaccredito di tale somma aveva natura precaria, attesa la necessità Parte_1 della Banca di compiere i richiesti accertamenti circa la natura fraudolenta o meno dei bonifici, la liquidazione equitativa ex art. 1226 c.c. consente di sopperire alle difficoltà di quantificazione del danno, al fine di assicurare l'effettività della tutela risarcitoria, ma non può assumere valenza surrogatoria della prova, incombente sulla parte, dell'esistenza dello stesso e del nesso di causalità giuridica che lo lega all'inadempimento o al fatto illecito extracontrattuale. (Cass. civ. sez. 6 ord. del 18 marzo 2022 n. 8941).
Ai fini della risarcibilità ex art. 1223 c.c., in relazione all'art. 1218 c.c. o agli artt. 2043 e 2056
c.c., il creditore o il preteso danneggiato deve infatti allegare non solo l'altrui inadempimento ovvero allegare e provare l'altrui fatto illecito, ma in entrambi i casi deve pur sempre allegare e provare l'esistenza di una lesione, cioè della riduzione del bene della vita (patrimonio, salute, immagine, ecc.) di cui chiede il ristoro, e la riconducibilità della lesione al fatto del debitore o del danneggiante: in ciò appunto consiste il danno risarcibile, che è un quid pluris rispetto alla condotta asseritamente inadempiente o illecita;
in difetto di tale allegazione e prova la domanda risarcitoria mancherebbe di oggetto (Cass. civ. sez. 3 sent. 18 marzo 2005 n. 5960).
In adesione al principio ermeneutico basato sul concetto di danno-conseguenza in contrapposizione a quello di danno-evento ed escludendo l'ipotizzabilità di un risarcimento automatico e di un danno in re ipsa, così da coincidere con l'evento, appare quindi evidente che la domanda risarcitoria deve essere provata, sia pure ricorrendo a presunzioni, sulla base di conferente allegazione: non si può invero provare ciò che non è stato oggetto di rituale ed adeguata allegazione (Cass. civ. sez. un. sent. 11 novembre 2008 n. 26972).
Nel caso di specie il si è invero limitato ad allegare quanto segue: “A questi vanno Parte_1 aggiunti tutti i danni connessi all'affidamento che il sig. ha posto sull'accredito, per Parte_1 quanto provvisorio, delle somme sottratte. Accredito che riteneva si sarebbe trasformato in definitivo, considerata la dinamica dei fatti e le più che evidenti sue ragioni. Affidamento che, determinandolo a proseguire nel suo normale tenore di vita, affrontando spese altrimenti evitabili, lo ha ulteriormente danneggiato aumentando la sua esposizione debitoria”.
In conclusione, la domanda attorea deve essere parzialmente accolta, con conseguente condanna della Banca convenuta, in solido con la terza chiamata al Controparte_2 risarcimento del danno in favore dell'attore, da quantificarsi nella somma fraudolentemente sottratta di € 104.000,00.
Su tale somma, trattandosi di debito di valore, decorre la rivalutazione monetaria dalla data dei bonifici illecitamente effettuati fino alla pubblicazione della presente sentenza.
L'obbligazione di risarcimento del danno, infatti, sebbene derivante da inadempimento contrattuale, costituisce debito di valore, sicché deve essere quantificata tenendo conto, anche d'ufficio, della svalutazione monetaria sopravvenuta fino alla data della liquidazione (Cass. civ. sez. 3 sent. 27 giugno 2016 n. 13225) costituendo questa l'imprescindibile presupposto dell'espressione, in termini di equivalenza monetaria attuale, del valore che va appunto reintegrato dal debitore e facendo parte del c.d. danno emergente. La somma di € 104.000,00 va maggiorata della rivalutazione - secondo i noti indici ISTAT – dalle date dei bonifici alla presente sentenza.
Quanto, invece, alla richiesta degli interessi, occorre osservare quanto segue.
L'obbligazione risarcitoria - come noto - è finalizzata a porre il creditore nella stessa situazione nella quale si sarebbe trovato, se il pagamento dell'equivalente monetario del bene perduto fosse stato tempestivo.
Tuttavia, mentre la rivalutazione della somma ha lo scopo di risarcire il danno emergente, gli interessi hanno lo scopo di risarcire il lucro cessante. Del resto, a differenza dei crediti di valuta,
i crediti di valore non producono automaticamente interessi, non potendosi parlare di normale fruttuosità della somma di denaro. In realtà, infatti, con la liquidazione degli interessi si va a risarcire un danno, e precisamente il maggior danno non coperto dalla rivalutazione monetaria.
Tradizionalmente, tale danno è stato equitativamente risarcito riconoscendo, sulla somma capitale via via rivalutata annualmente, anche la corresponsione degli interessi (solitamente al tasso legale). Tali interessi sono stati denominati dalla giurisprudenza “interessi compensativi”
(Cass. civ. sez. III sentenza 9.2.2005 n. 2654), che rappresentano, quindi, una modalità per liquidare, in via equitativa ed in mancanza di specifica quantificazione, il danno da ritardo nei debiti di valore (Cass. civ. sez. III sentenza 24.3.2003 n. 4242).
Tale danno però - come tutte le voci di danno - va allegato e dimostrato, anche attraverso presunzioni (Cass. civ. sez. III sentenza 25.8.2003 n. 12452; Cass. civ. sez. III sentenza
22.10.2004 n. 20591; Cass. civ. sez. III sentenza 24.10.2007 n. 22347), tanto con riferimento all'entità quanto con riferimento al nesso causale, dovendosi escludere l'ipotizzabilità di un danno in re ipsa, che diversamente verrebbe a coincidere con l'evento (Cass. civ. S.U. sentenza
11.11.2008 n. 26972), trattandosi invece di danno-conseguenza.
Questi principi, dettati in ordine all'eventuale risarcibilità di un danno da ritardo, sono stati recentemente ribaditi anche da Cass. civ. sez. III sentenza 12.2.2010 n. 3355, che in motivazione così precisa: “va ricordato che nei debiti di valore il riconoscimento di interessi costituisce una mera modalità liquidatoria del possibile danno da lucro cessante, cui è consentito al giudice di far ricorso col limite costituito dall'impossibilità di calcolare gli interessi sulle somme integralmente rivalutate dalla data dell'illecito. Non gli è invece inibito di riconoscere interessi anche al tasso legale su somme progressivamente rivalutate;
ovvero sulla somma integralmente rivalutata, ma da epoca intermedia;
ovvero di determinare il tasso di interesse in misura diversa da quella legale;
ovvero, ancora, di non riconoscere affatto gli interessi se, in relazione ai parametri di valutazione costituiti dal tasso medio di svalutazione monetaria e dalla redditività media del denaro nel periodo considerato, un danno da lucro cessante debba essere positivamente escluso (Cass., n. 748/2000, cfr. anche Cass., nn.
490/1999 e 10751/2002)”.
Dunque, il riconoscimento degli interessi compensativi, dalla data del fatto o dai singoli esborsi,
è possibile solo nel caso di allegazione e prova, da parte del creditore, su di un eventuale danno da ritardo, ulteriore e maggiore rispetto a quello risarcito con la rivalutazione (Cass. civ. sez.
III sentenza 25.8.2003 n. 12452; Cass. civ. sez. III sentenza 9.2.2005 n. 2654 in motivazione:
“Gli interessi che vengono qui in considerazione sono interessi “compensativi”…possono… non riconoscersi affatto se il giudice ritenga che la rivalutazione abbia interamente coperto il danno da ritardato conseguimento dell'equivalente monetario (in relazione ai parametri di valutazione costituiti dal tasso medio di svalutazione monetaria e dalla redditività media del denaro nel periodo considerato, come precisato da Cass. n. 4729/2001 e n. 12788/98), essendo inibito solo il calcolo degli interessi al tasso legale sulle somme integralmente rivalutate a far data dall'evento dannoso”).
Del resto, anche la nota Cass. n. 1712 del 17.2.1995 richiede la prova - ed ancor prima -
l'allegazione di detto danno da mancato guadagno, in conseguenza del lamentato ritardato pagamento della somma dovuta a titolo di risarcimento del danno emergente (Cass. civ. S.U.
17.2.1995 n. 1712: “Tale prova può essere offerta dalla parte e riconosciuta dal giudice mediante criteri presuntivi ed equitativi, quale l'attribuzione degli interessi, ad un tasso stabilito valutando tutte le circostanze obiettive e soggettive del caso”).
In conclusione, solo qualora l'equivalente monetario attuale del danno dovesse risultare in concreto, in base alle allegazioni e prove del danneggiato, non sufficiente a tenere indenne costui da tutte le conseguenze pregiudizievoli del fatto dannoso, a causa del ritardo con il quale la somma gli è stata erogata, il giudice può liquidare tale danno anche sotto forma di interessi,
a condizione che tale danno sia ritenuto esistente prima del riconoscimento di detti interessi, che - come detto - costituiscono una mera modalità di liquidazione del danno.
Nel caso di specie, tuttavia, nulla risulta allegato e provato da parte del danneggiato, per cui non possono essere riconosciuti gli interessi c.d. compensativi in aggiunta alla rivalutazione monetaria. Invece, sull'importo complessivamente riconosciuto - in quanto convertito con la liquidazione in credito di valuta - spettano gli interessi moratori legali dalla data di pubblicazione della sentenza al saldo.
Le spese di lite seguono la soccombenza, cedono a carico di convenuta e terza chiamata in favore di parte attrice e sono liquidate, sull'accertato, nella misura indicata in dispositivo, secondo i parametri di cui al DM 147/2022, tra minimo e medio.
P.Q.M.
Il Tribunale Ordinario di Roma, in composizione monocratica, definitivamente pronunciando nel giudizio N.R.G. 29970/2021 tra ed in persona del Parte_1 Controparte_3 legale rappresentante pro tempore, nonché con la chiamata in causa della Controparte_2
in persona del legale rappresentante pro tempore, ogni diversa istanza ed eccezione
[...] disattesa o assorbita, così provvede:
1) DICHIARA tenuta e, per l'effetto, CO le società e Controparte_3
in solido tra loro, al pagamento in favore di della Controparte_2 Parte_1 somma di € 104.000,00, oltre alla rivalutazione monetaria dalla data dei bonifici illecitamente effettuati fino alla pubblicazione della presente sentenza ed agli interessi al tasso legale dalla presente sentenza al saldo;
2) RIGETTA ogni altra domanda posta dalle parti in causa;
3) CO e a rifondere al le spese Controparte_3 Controparte_2 Parte_1 di lire, che liquida in € 379,50 per spese vive ed € 9.000,00 per compenso professionale, oltre al 15% per rimborso delle spese generali, IVA e CPA come per legge.
Così deciso in Roma, li 6.10.2025
Il Giudice
RI OC