TRIB
Sentenza 28 gennaio 2025
Sentenza 28 gennaio 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Viterbo, sentenza 28/01/2025, n. 63 |
|---|---|
| Giurisdizione : | Trib. Viterbo |
| Numero : | 63 |
| Data del deposito : | 28 gennaio 2025 |
Testo completo
RG. N. 2506 /2022
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE ORDINARIO DI VITERBO sezione civile, in persona del G.U. dott. Eugenio Maria Turco, ha pronunciato la seguente
SENTENZA nella causa iscritta al R.G.N. 2506/2022 avente ad oggetto: restituzioni somme a seguito di cd. accesso abusivo in home banking
TRA
(P.IVA AR_1
), in persona del legale rappresentante, con l'Avv. PADOVAN Luigi del P.IVA_1
Foro di Viterbo – ATTRICE –
E
in persona del legale rappresentante, (C.F. /P.IVA COtroparte_1
) con l'Avv. STAZI Lucia del Foro di Roma PartitaIVA_2 in persona del legale rappresentante, (C.F. ) con l'Avv. DE CP_2 P.IVA_3
ANGELIS Paolo del Foro di Roma – CONVENUTI –
CONCLUSIONI: all'udienza del 19.09.2024, le parti hanno così precisato le conclusioni, AR attrice: “Piaccia al Tribunale adito, disattesa ogni contraria istanza ed eccezione: - accertare e dichiarare la responsabilità di e/o di COtroparte_3 CP_2 solidalmente o parziariamente tra loro, nella causazione dei danni subiti della
[...]
, per i motivi tutti dedotti negli scritti difensivi, nelle AR_1 verbalizzazioni e in ragione dei documenti tutti giacenti in atti;
- per l'effetto, condannare
[...]
e/o alla restituzione, al risarcimento e/o al riaccredito, a favore della COtroparte_3 CP_2 medesima , dell'importo di Euro 49.806,50 AR_1 oltre interessi e rivalutazione dal giorno 12 gennaio 2021 al saldo effettivo;
- sempre per l'effetto e per i motivi di cui in premessa, condannare le stesse e/o al COtroparte_3 CP_2 risarcimento, solidalmente o parziariamente tra loro, in favore della AR_1
, in via equitativa, della componente non patrimoniale dei danni subiti dalla
[...] medesima, per come parametrata e quantificata in atti, in Euro 23.000 o in quella somma maggiore
o minore che verrà ritenuta di giustizia. In ogni caso con vittoria di spese e competenze del presente giudizio, maggiorate del 30% per come disposto dall'Art. 4 comma 1-bis D.M. 8 marzo 2018, n°37 e ss. mm. ii. in ragione della redazione degli atti di causa con tecniche informatiche idonee ad agevolare la consultazione o la fruizione e, in particolare, la ricerca testuale all'interno dell'atto e dei documenti allegati nonché la navigazione all'interno dell'atto stesso, il tutto oltre 15% S.G., spese vive e accessori come per legge dovuti.” AR convenuta “Piaccia al Tribunale adito, ogni contraria istanza COtroparte_1 respinta: in via preliminare: a) accertare e dichiarare la tardività ex art. 167, 2° comma, c.p.c. dell'eccezione e della domanda formulate da nei confronti di ai sensi CP_2 COtroparte_3 dell'art. 1227, 2 comma, c.c.; - in via istruttoria: b) respingere le istanze istruttorie avversarie;
- in via principale: c) rigettare ogni domanda delle controparti nei confronti di COtroparte_3 perché infondata in fatto e in diritto, anche ai sensi dell'art. 1227, 1 comma, c.c. - in via subordinata: d) rigettare ogni domanda delle controparti nei confronti di perché infondata COtroparte_3 in fatto e in diritto ai sensi dell'art. 1227, 2 comma, c.c. e) nella denegata ipotesi di condanna di a qualsiasi titolo al pagamento di somme in favore di parte attrice, accertare COtroparte_3
e dichiarare, eventualmente ai sensi dell'art. 2055 c.c. in ipotesi di condanna solidale, la prevalente responsabilità contrattuale, o extracontrattuale o da contatto sociale dell'altra convenuta CP_2 e per l'effetto condannarla a risarcire il danno causato a , pari alla medesima somma COtroparte_3 complessivamente riconosciuta a parte attrice, anche a titolo di spese legali liquidate alla controparte – ovvero pari alla somma che sarà ritenuta di giustizia - con sua condanna diretta al pagamento in favore dell'attrice ovvero con sua condanna al relativo rimborso in favore di
[...]
. CO vittoria di spese, competenze e onorari di giudizio, oltre spese generali in misura CP_3 forfettaria ed oltre oneri fiscali”. AR convenuta “In via principale di merito: - Accertare e dichiarare – per quanto CP_2 Co argomentato in narrativa – l'infondatezza delle domande nei confronti di gravando la responsabilità unicamente sulla correntista e sulla e, per l'effetto, rigettarle COtroparte_3 integralmente sia nel merito sia sotto il profilo risarcitorio. In via subordinata di merito: - Nella Co denegata ipotesi in cui dovesse essere ritenuta responsabile e/o corresponsabile solidale e, pertanto, condannata al risarcimento del danno, accertare e dichiarare - in ogni caso - il concorso di colpa della parte attrice e della nella causazione del danno medesimo e rigettarne la pretesa CP_4 e/o ridurne proporzionalmente l'entità ex art.1227 c.c. II e I comma. CO vittoria di compensi professionali”.
CONCISA ESPOSIZIONE DELLE RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
La società (di seguito AR_1 T_
) ha citato in giudizio le società e al fine di fare
[...] COtroparte_1 CP_2 accertare e dichiarare la responsabilità delle convenute nella determinazione dei danni subiti dall'istante a seguito di un accesso abusivo eseguito nel sistema “home banking”, con condanna delle società convenute alla restituzione della somma di euro 49.806,50 corrispondente all'importo di quattro bonifici effettuati mediante un accesso abusivo e al pagamento di euro 23.000,00 per danno non patrimoniale.
A fondamento delle proprie ragioni parte attrice ha dedotto: a) di essere titolare del conto corrente n. 0676310006125 aperto presso e di aver COtroparte_1 sottoscritto il contratto relativo all'home banking installando sul proprio cellulare l'app del servizio;
b) che in data 12.01.2021, intorno alle ore 14.00, il Sig. AR_1 della società oggi istante, poiché aveva registrato anomalie sulla linea telefonica della CO AR
, aveva segnalato il fatto sia alla che al socio della , T_
[...]
, avendo poco dopo la provveduto a riattivare l'utenza telefonica AR_1 CP_2 in possesso del mediante attivazione di una nuova sim;
c) che in data T_
13.01.2021 entrambi i soci avevano riscontrato che il giorno precedente, tra le ore
15:12 e le 16:16 erano stati effettuati quattro bonifici bancari a favore di terzi, per complessivi 49.806,50 euro;
d) che in ragione di tanto la aveva denunciato T_ il fatto e disconosciuto formalmente tale operazioni presso la filiale di COtroparte_1 che aveva sostituito l'APP home banking sui cellulari di entrambi i soci;
d) che l'accesso abusivo era stato eseguito attraverso l'introduzione illecita da parte di terzi nel sistema informatico della banca la quale, in un primo momento, aveva rimborsato il controvalore dei bonifici, addebitando, però, poi nuovamente le somme sul conto corrente;
e) che per tale fatto in ragione, in particolare, del mancato rimborso della somma sottratta, aveva subito danni nella gestione dell'attività d'impresa..
In ragione di tali fatti, tipici di una frode cd. sim swap eseguita mediante duplicazione della sim telefonica abbinata al conto corrente, parte attrice ha ritenuto di addebitare la responsabilità di tale attività fraudolenta ad entrambe le società convenute;
in particolare, era da ritenere responsabile del fatto oggi in esame COtroparte_1 per violazione del Regolamento 2016/679 (GDPR) in materia di protezione di dati personali e del d.lgs. 11/2010, attuativo della direttiva 2007/64/CE relativa ai servizi di pagamento, nonché per inadempimento ai sensi dell'art. 5 del contratto “servizi via CO internet, cellulare e telefono”; la , da parte sua, per aver reso possibile la c.d. sim swap fraud consegnando negligentemente un duplicato della sim a terzi omettendo di verificarne correttamente l'identità e per avere, dunque, violato gli obblighi di correttezza e diligenza professionali richiesti ad un operatore qualificato.
Per tali ragioni, la ha concluso per l'accertamento della responsabilità delle T_ società convenute con condanna delle stesse al risarcimento dei danni subiti.
Costituendosi in giudizio , ha chiesto il rigetto della domanda in COtroparte_1 quanto ritenuta infondata. A tal riguardo ha precisato: a) che le operazioni in questione erano da ritenere tutte legittime in quanto correttamente autenticate attraverso il servizio di autentificazione basato sull'utilizzo di più credenziali, come previsto dalle indicazioni introdotte dalla c.d. PSD2 e dall'art. 10 del d.lgs 11/2010 ; b) che il sistema di sicurezza adottato per il servizio home banking era conforme allo stato dell'arte, tale da soddisfare lo standard per la sicurezza delle informazioni e da essere certificato
ISO/IEC 27001; c) che nel caso in esame era ravvisabile una condotta gravemente colposa di parte attrice che non aveva informato la banca del malfunzionamento del telefono cellulare, così da potere tempestivamente bloccare il proprio conto corrente;
COt d) che anche all'operatore telefonico era addebitabile una condotta colposa avendo omesso ogni necessario controllo e cautela nelle fasi di identificazione dei soggetti richiedenti il duplicato della sim.
Alla luce di tali deduzioni, ha concluso per il rigetto della domanda, chiedendo, in subordine, l'accertamento di una concorrente responsabilità di parte attrice;
in ulteriore subordine, ha chiesto di accertare l'esclusiva o prevalente responsabilità di CP_2 nella causazione del danno e comunque di essere manlevata da quest'ultima. Costituendosi in giudizio ha contestato ogni responsabilità in merito ai fatti, CP_2 deducendo, in particolare: a) che in data 12.01.2021 a fronte di una richiesta di sostituzione sim, con causale “rottura”, aveva adempiuto ai propri oneri di identificazione del cliente, non essendo ravvisabile alcuna violazione degli obblighi gravanti su di essa ai sensi del contratto o del Reg. n. 679/2016 ; b) che sulla base della normativa vigente al momento del fatto (Codice delle Comunicazioni Elettroniche, art. 55, comma 71), l'obbligo di identificazione era previsto solo al momento dell'attivazione del servizio prepagato e non al cambio di sim, non potendo trovare applicazione la delibera n. 86/21/CIR dell'AGCOM; c) di non essere a conoscenza che l'utenza telefonica in parola fosse associata ad un rapporto bancario;
d) che gli amministratori della avevano tenuto più condotte negligenti considerando T_ che in data 26.12.2020, dopo avere riscontrato anomali tentativi di accesso sull'home banking, non avevano modificato i codici di accesso, né avevano custoditi gli stessi con diligenza. COtestava, infine le deduzioni della banca svolte nei suoi confronti.
Per tali ragioni ha chiesto il rigetto della domanda di parte attrice o, in via subordinata, l'accertamento di un concorso di colpa di parte attrice e della banca nella determinazione dell'accaduto.
Nel corso del processo, assunte le prove richieste, all'udienza del 19.9.2024, la causa veniva trattenuta in decisione.
La domanda di parte attrice è fondata nei limiti che seguono.
Costituisce dato pacifico e non contestato che in data 12.01.2021 dal conto corrente intestato alla società acceso presso , era stata prelevata la T_ COtroparte_1 complessiva somma di euro 49.806,50 tramite quattro operazioni di bonifico, operazioni, queste, portate a termine utilizzando il duplicato di una sim, avente lo stesso COt numero di utenza cellulare abbinato al conto e che era stata rilasciata dalla a soggetti rimasti ignoti sulla base di una richiesta di cambio.
La normativa di riferimento da considerare per il caso in esame, il d.lgs. n. 11/2010, stabilisce, come regola generale, la responsabilità della banca nel caso di operazioni non autorizzate dal cliente, potendo l'istituto di credito rimanere indenne da tale responsabilità, (art. 10 co. 2 citato d.lgs) nel caso riesca a fornire una duplice prova: quella di avere tenuto un elevato grado di diligenza nell'adempimento dei propri oneri contrattuali e la presenza di una condotta fraudolenta dell'utilizzatore o il dolo o la colpa grave del cliente.
In mancanza di tale duplice prova l'istituto di credito risponde del costo delle operazioni disconosciute dal cliente.
Ciò premesso, con specifico riferimento al caso in esame, la società dalla T_ documentazione in atti risulta che aveva stipulato con un contratto COtroparte_1 “servizi via internet, cellulare e telefono” per accedere al proprio conto corrente ed operare online sullo stesso.
Quanto al primo aspetto idoneo ad escludere la responsabilità della banca, CP_1
, ha fatto rilevare di avere adottato un sistema di autentificazione c.d. forte del
[...] cliente, basato sull'utilizzo di più credenziali.
Nel dettaglio, il sistema di autentificazione, come descritto nella Guida ai servizi (cfr. doc. 3), si articolava nella combinazione di credenziali di accesso c.d. statiche (codice titolare e password) e credenziali c.d. dinamiche inviate tramite sms o notifica push nell'app scaricata sul telefono cellulare, consistenti in codici temporanei.
Tali credenziali, come descritte, erano tutte necessarie per completare l'accesso ai servizi e per autorizzare le operazioni.
Il sistema prevedeva altresì, in occasione della richiesta di compiere operazioni potenzialmente sospette, l'invio tramite sms di un'ulteriore password dinamica (OTP).
A sostegno della regolarità delle operazioni in contestazione, ritenute correttamente eseguite mediante il sistema di autentificazione come sopra descritto, COtroparte_1 ha prodotto le tracciature informatiche (files log) che documentano le modalità
[...] di conclusione delle operazioni contestate (cfr.doc. 25 e 25bis).
Da tale documentazione si evince che il giorno 12.01.2021 alle ore 15:12, 15:24, 15:49,
16:16 erano state inserite quattro richieste di bonifici da circa euro 12.400,00 ciascuno;
per ogni richiesta il sistema di sicurezza di aveva generato e COtroparte_1 inviato mediante sms prima il codice OTP e, successivamente, avendo rilevato il sistema tali operazioni come sospette, l'ulteriore codice OTS necessario al perfezionamento delle stesse.
Tali operazioni erano state, poi, concluse in quanto erano state inserite sia le credenziali dinamiche che quelle statiche.
Tuttavia, sebbene abbia dato prova che i bonifici fossero stati COtroparte_1 poi autenticati nel rispetto formale della normativa vigente, tale la circostanza non vale, di per sé, a escludere la responsabilità della banca. Risulta, infatti, necessaria, ai sensi dell'art. 10 del d.lgs. 11/2010, la prova di elementi fattuali caratterizzanti concretamente le operazioni contestate e dai quali ricavare la presenza di una condotta colposa del cliente, non potendosi ammettere la colpa del cliente basandosi sulla sola regolarità formale delle operazioni, come per il caso in esame.
Sotto questo ulteriore profilo, non può, quindi, dirsi che la banca abbia fornito prova della condotta dolosa o colposa di parte attrice.
La convenuta ha poi fatto rilevare ulteriori elementi tali da integrare, COtroparte_1
a suo dire, condotte gravemente colpose del cliente: il non avere la società Pt_2 informato tempestivamente la banca del malfunzionamento del cellullare così da bloccare il proprio conto corrente e non aver custodito diligentemente le credenziali di accesso.
Ora mentre il primo rilievo non può dirsi risolutivo, non potendosi ammettere la necessità di una comunicazione da parte del cliente nel caso di un qualsiasi malfunzionamento del cellulare e/o della linea telefonica, con riguardo al secondo rilievo si rileva l'assenza di elementi istruttori da cui desumere che le credenziali fossero state colposamente fornite da parte attrice attraverso condotte negligenti o imprudenti (tramite phishing o mediante altre modalità).
Può inoltre, ritenersi che la responsabilità della trovi fondamento in ulteriori CP_4 rilievi.
Appare opportuno evidenziare come il sistema adottato da , sebbene COtroparte_1 preveda l'autentificazione a due fattori c.d. forte, sia apparso inidoneo nel prevenire le tipologie di frodi come quella in esame, tutelando l'utilizzatore del servizio.
La frode in esame è, infatti, caratterizzata dalla sottrazione e dall'utilizzo di terzi della propria utenza telefonica. Di conseguenza, l'autentificazione con credenziali dinamiche inviate tramite sms sulla propria linea telefonica risulta inadeguata a tutelare il cliente. Quest'ultimo, infatti, a seguito della (illecita) disattivazione della sim ad opera di terzi, può trovarsi nella condizione di non poter ricevere alcuna comunicazione dalla banca circa le operazioni in corso di esecuzione;
né di ricevere ulteriori messaggi dalla banca, non trovandosi, quindi, nella condizione di segnalare l'irregolarità e impedire il perpetrarsi dell'illecito.
Nel caso in esame, parte attrice aveva tempestivamente avvisato la banca subito dopo avere scoperto il fatto.
Alla luce di tali elementi, non si ritiene che avesse adottato tutte COtroparte_1 le misure possibili volte ad evitare operazioni non autorizzate e non riconducibili ai correntisti, non avendo, inoltre, da parte sua dato prova del dolo o della colpa di parte attrice.
Del pari, deve essere ammessa la responsabilità della concorrente con quella CP_2 di , che ha tenuto una condotta causalmente connessa con il COtroparte_1 compimento delle operazioni in esame.
Infatti, considerate le caratteristiche della truffa c.d. sim swap fraud, questa non avrebbe potuto perfezionarsi senza l'utilizzo della linea telefonica di parte attrice.
L'operatore telefonico non ha allegato né dimostrato di aver posto in essere i dovuti accertamenti documentali e di riconoscimento dell'identità del richiedente prima della duplicazione della sim.
CO Dalla schermata di sistema prodotta da si evince che in data 12.01.2021, alle ore 13:23, era stato emesso l'ordine 7-60839259266 di cambio SIM con causale “rottura”. Dalla riproduzione in atti della schermata in corrispondenza della voce “esito controllo documentazione” non è riportato l'esito del controllo. CO La società , nelle sue difese, ha rappresentato che, non trovando applicazione all'epoca dei fatti la delibera AGCOM n. 86/21/CIR dell'8.7.2021, non era tenuta ad acquisire copia del documento di identità in quanto l'art 55 co. 7 del d.lgs. 259 del 2003 (Codice delle Comunicazioni Elettroniche) non prevedeva tale forma di identificazione del soggetto richiedente il duplicato di una sim, avendo, pertanto, rispettato le procedure all'epoca in vigore.
La procedura di “riconoscimento del cliente per la gestione delle esigenze online” CO prevede che l'operatore , a fronte di una richiesta, debba accertare che
“l'interlocutore sia l'intestatario della linea” richiedendo “cognome, nome e c.f. del cliente o in alternativa luogo e data di nascita e verificare a sistema la coincidenza dei dati forniti rispetto a quanto presente a sistema” (cfr. doc. 3).
Sul punto occorre rilevare che la Delibera AGCOM n.86/21/CIR ha rafforzato l'obbligo di identificazione del richiedente una sostituzione di sim con l'intenzione di prevenire attività fraudolente garantendo una maggiore protezione degli utenti.
La giurisprudenza di merito ha ritenuto che la sussistenza di un obbligo di identificazione dei clienti anche per la mera sostituzione della sim si ricava dall'art. 1 co. 46 della Legge n. 124/2017 che prevede misure di identificazione in via indiretta del cliente “in modo da consentire che la richiesta di migrazione e di integrazione di sim card e di tutte le operazioni ad essa connesse possano essere svolte per via telematica” (cfr. ex multis, Trib. Milano sent. 8562/2022, Trib. Savona sent. 428/2022).
Dalla documentazione in atti non emerge che in relazione al caso in esame la società CO
, avesse mai verificato in modo adeguato l'identità del soggetto richiedente il duplicato della sim;
né aveva mai posto in essere quelle cautele di diligenza e buona fede richieste nell'esecuzione del contratto, in particolare da parte di un gestore telefonico che operava professionalmente nel mercato delle comunicazioni.
Ciò anche considerando, inoltre, il fatto che le truffe c.d. sim swap costituiscono fenomeni oramai conosciuti a tutti gli operatori di settore.
Si è legittimamente, inoltre, segnalato che, sebbene la Delibera AGCOM n.86/21/CIR sia entrata in vigore in un momento successivo all'epoca dei fatti, nel 2020 la Delibera dell'AGCM n. 334/20/CIR ha avviato una consultazione pubblica con lo scopo di introdurre meccanismi volti a tutelare i clienti da eventuali truffe.
Nell'allegato B alla delibera n. 334/20/CIR si legge che rispetto alle fattispecie di sostituzione sim “l'Autorità ha registrato un aumento preoccupante di segnalazioni di casi di sostituzione SIM, per passaggio ad altro operatore o per presunto furto o deterioramento, all'insaputa dell'utente finale titolare della SIM” e ancora “la sostituzione della SIM di un utente da parte di un soggetto terzo non autorizzato e malintenzionato può permettere allo stesso di entrare in possesso anche di ulteriori dati riservati, rispetto a quelli utili per un effettuare un furto per via telematica presso gli istituti bancari, come per esempio il furto di dati personali sensibili utilizzati anche al fine di effettuare ulteriori attività dolose”.
Sebbene dunque tale obbligo di identificazione più stringente sia stato introdotto espressamente con la Delibera AGCOM n.86/21/CIR, trattandosi di operazioni gestite da operatori professionali una attività adeguata di identificazione del richiedente, lo stesso può ritenersi che rientri tra gli obblighi di diligenza media esigibili da un operatore professionale. Tanto più considerando che il legislatore aveva già segnalato e posto all'attenzione degli operatori tali modalità di truffe, rafforzando di conseguenza gli obblighi di diligenza richiesti nell'esecuzione del servizio. CO Alla luce di tali considerazioni, può ritenersi che la , nel caso in esame, sia venuta meno agli obblighi contrattuali di diligenza nell'esecuzione del contratto avendo colposamente omesso di effettuare i dovuti controlli nei confronti di coloro che avevano richiesto la sostituzione della sim, consentendo in tal modo a costoro di venire in possesso, in maniera illecita, dell'utenza telefonica CO Per tali ragioni può dirsi che la società abbia contribuito alla realizzazione dell'evento dannoso, rendendosi, quindi responsabile in via solidale con CP_1
, in relazione al danno patrimoniale subito da parte attrice e quantificato in euro
[...]
49.806,50.
Quanto alla domanda di risarcimento del danno non patrimoniale, la stessa è risultata non provata, non essendo emerso, all'esito dell'istruttoria espletata alcuna prova di tale pregiudizio causalmente riconducibile all'illecito. In merito a tale aspetto si segnala che i testi e , dipendenti della , rispettivamente Tes_1 Testimone_2 T_ nelle mansioni di addetta a paghe e contributi e di contabilità e fatture, nel corso del processo hanno negato che nei primi mesi del 2021 gli stipendi avessero subito dei ritardi, (cfr. udienza del 09.11.2023).
CO riguardo ai ritardi nell'assunzione di nuovo personale e di aggiornamento dei sistemi informatici della non risulta, inoltre, provata la correlazione tra tali T_ eventi e l'evento illecito di cui è causa.
Per tali ragioni la domanda di risarcimento del danno non patrimoniale deve essere rigettata.
Le spese di lite seguono la soccombenza e sono liquidate come da dispositivo (calcolo delle spese: parametro da euro 26.001,00, a euro 52.000,00, quattro fasi di legge valori di poco superiori ai medi), mentre tra le parti convenute le spese devono essere compensate.
P.Q.M.
Il Tribunale, definitivamente pronunciando, così provvede:
1) Accoglie la domanda di parte attrice e per l'effetto condanna COtroparte_1
e in solido tra loro, al risarcimento di euro 49.806,50 in favore della CP_2 [...]
oltre oltre interessi e AR_1 rivalutazione dal giorno 12.01.2021 al saldo effettivo;
2) COdanna e in solido tra loro, al pagamento delle COtroparte_1 CP_2 spese processuali in favore di parte attrice, spese che si liquidano in complessivi Euro 8.000,00 oltre IVA, C.P.A. e 15 % spese generali;
3) Compensa le spese legali tra e COtroparte_1 CP_2
Viterbo, 28.01.2025
Il Giudice
Dott. Eugenio Maria Turco
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE ORDINARIO DI VITERBO sezione civile, in persona del G.U. dott. Eugenio Maria Turco, ha pronunciato la seguente
SENTENZA nella causa iscritta al R.G.N. 2506/2022 avente ad oggetto: restituzioni somme a seguito di cd. accesso abusivo in home banking
TRA
(P.IVA AR_1
), in persona del legale rappresentante, con l'Avv. PADOVAN Luigi del P.IVA_1
Foro di Viterbo – ATTRICE –
E
in persona del legale rappresentante, (C.F. /P.IVA COtroparte_1
) con l'Avv. STAZI Lucia del Foro di Roma PartitaIVA_2 in persona del legale rappresentante, (C.F. ) con l'Avv. DE CP_2 P.IVA_3
ANGELIS Paolo del Foro di Roma – CONVENUTI –
CONCLUSIONI: all'udienza del 19.09.2024, le parti hanno così precisato le conclusioni, AR attrice: “Piaccia al Tribunale adito, disattesa ogni contraria istanza ed eccezione: - accertare e dichiarare la responsabilità di e/o di COtroparte_3 CP_2 solidalmente o parziariamente tra loro, nella causazione dei danni subiti della
[...]
, per i motivi tutti dedotti negli scritti difensivi, nelle AR_1 verbalizzazioni e in ragione dei documenti tutti giacenti in atti;
- per l'effetto, condannare
[...]
e/o alla restituzione, al risarcimento e/o al riaccredito, a favore della COtroparte_3 CP_2 medesima , dell'importo di Euro 49.806,50 AR_1 oltre interessi e rivalutazione dal giorno 12 gennaio 2021 al saldo effettivo;
- sempre per l'effetto e per i motivi di cui in premessa, condannare le stesse e/o al COtroparte_3 CP_2 risarcimento, solidalmente o parziariamente tra loro, in favore della AR_1
, in via equitativa, della componente non patrimoniale dei danni subiti dalla
[...] medesima, per come parametrata e quantificata in atti, in Euro 23.000 o in quella somma maggiore
o minore che verrà ritenuta di giustizia. In ogni caso con vittoria di spese e competenze del presente giudizio, maggiorate del 30% per come disposto dall'Art. 4 comma 1-bis D.M. 8 marzo 2018, n°37 e ss. mm. ii. in ragione della redazione degli atti di causa con tecniche informatiche idonee ad agevolare la consultazione o la fruizione e, in particolare, la ricerca testuale all'interno dell'atto e dei documenti allegati nonché la navigazione all'interno dell'atto stesso, il tutto oltre 15% S.G., spese vive e accessori come per legge dovuti.” AR convenuta “Piaccia al Tribunale adito, ogni contraria istanza COtroparte_1 respinta: in via preliminare: a) accertare e dichiarare la tardività ex art. 167, 2° comma, c.p.c. dell'eccezione e della domanda formulate da nei confronti di ai sensi CP_2 COtroparte_3 dell'art. 1227, 2 comma, c.c.; - in via istruttoria: b) respingere le istanze istruttorie avversarie;
- in via principale: c) rigettare ogni domanda delle controparti nei confronti di COtroparte_3 perché infondata in fatto e in diritto, anche ai sensi dell'art. 1227, 1 comma, c.c. - in via subordinata: d) rigettare ogni domanda delle controparti nei confronti di perché infondata COtroparte_3 in fatto e in diritto ai sensi dell'art. 1227, 2 comma, c.c. e) nella denegata ipotesi di condanna di a qualsiasi titolo al pagamento di somme in favore di parte attrice, accertare COtroparte_3
e dichiarare, eventualmente ai sensi dell'art. 2055 c.c. in ipotesi di condanna solidale, la prevalente responsabilità contrattuale, o extracontrattuale o da contatto sociale dell'altra convenuta CP_2 e per l'effetto condannarla a risarcire il danno causato a , pari alla medesima somma COtroparte_3 complessivamente riconosciuta a parte attrice, anche a titolo di spese legali liquidate alla controparte – ovvero pari alla somma che sarà ritenuta di giustizia - con sua condanna diretta al pagamento in favore dell'attrice ovvero con sua condanna al relativo rimborso in favore di
[...]
. CO vittoria di spese, competenze e onorari di giudizio, oltre spese generali in misura CP_3 forfettaria ed oltre oneri fiscali”. AR convenuta “In via principale di merito: - Accertare e dichiarare – per quanto CP_2 Co argomentato in narrativa – l'infondatezza delle domande nei confronti di gravando la responsabilità unicamente sulla correntista e sulla e, per l'effetto, rigettarle COtroparte_3 integralmente sia nel merito sia sotto il profilo risarcitorio. In via subordinata di merito: - Nella Co denegata ipotesi in cui dovesse essere ritenuta responsabile e/o corresponsabile solidale e, pertanto, condannata al risarcimento del danno, accertare e dichiarare - in ogni caso - il concorso di colpa della parte attrice e della nella causazione del danno medesimo e rigettarne la pretesa CP_4 e/o ridurne proporzionalmente l'entità ex art.1227 c.c. II e I comma. CO vittoria di compensi professionali”.
CONCISA ESPOSIZIONE DELLE RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
La società (di seguito AR_1 T_
) ha citato in giudizio le società e al fine di fare
[...] COtroparte_1 CP_2 accertare e dichiarare la responsabilità delle convenute nella determinazione dei danni subiti dall'istante a seguito di un accesso abusivo eseguito nel sistema “home banking”, con condanna delle società convenute alla restituzione della somma di euro 49.806,50 corrispondente all'importo di quattro bonifici effettuati mediante un accesso abusivo e al pagamento di euro 23.000,00 per danno non patrimoniale.
A fondamento delle proprie ragioni parte attrice ha dedotto: a) di essere titolare del conto corrente n. 0676310006125 aperto presso e di aver COtroparte_1 sottoscritto il contratto relativo all'home banking installando sul proprio cellulare l'app del servizio;
b) che in data 12.01.2021, intorno alle ore 14.00, il Sig. AR_1 della società oggi istante, poiché aveva registrato anomalie sulla linea telefonica della CO AR
, aveva segnalato il fatto sia alla che al socio della , T_
[...]
, avendo poco dopo la provveduto a riattivare l'utenza telefonica AR_1 CP_2 in possesso del mediante attivazione di una nuova sim;
c) che in data T_
13.01.2021 entrambi i soci avevano riscontrato che il giorno precedente, tra le ore
15:12 e le 16:16 erano stati effettuati quattro bonifici bancari a favore di terzi, per complessivi 49.806,50 euro;
d) che in ragione di tanto la aveva denunciato T_ il fatto e disconosciuto formalmente tale operazioni presso la filiale di COtroparte_1 che aveva sostituito l'APP home banking sui cellulari di entrambi i soci;
d) che l'accesso abusivo era stato eseguito attraverso l'introduzione illecita da parte di terzi nel sistema informatico della banca la quale, in un primo momento, aveva rimborsato il controvalore dei bonifici, addebitando, però, poi nuovamente le somme sul conto corrente;
e) che per tale fatto in ragione, in particolare, del mancato rimborso della somma sottratta, aveva subito danni nella gestione dell'attività d'impresa..
In ragione di tali fatti, tipici di una frode cd. sim swap eseguita mediante duplicazione della sim telefonica abbinata al conto corrente, parte attrice ha ritenuto di addebitare la responsabilità di tale attività fraudolenta ad entrambe le società convenute;
in particolare, era da ritenere responsabile del fatto oggi in esame COtroparte_1 per violazione del Regolamento 2016/679 (GDPR) in materia di protezione di dati personali e del d.lgs. 11/2010, attuativo della direttiva 2007/64/CE relativa ai servizi di pagamento, nonché per inadempimento ai sensi dell'art. 5 del contratto “servizi via CO internet, cellulare e telefono”; la , da parte sua, per aver reso possibile la c.d. sim swap fraud consegnando negligentemente un duplicato della sim a terzi omettendo di verificarne correttamente l'identità e per avere, dunque, violato gli obblighi di correttezza e diligenza professionali richiesti ad un operatore qualificato.
Per tali ragioni, la ha concluso per l'accertamento della responsabilità delle T_ società convenute con condanna delle stesse al risarcimento dei danni subiti.
Costituendosi in giudizio , ha chiesto il rigetto della domanda in COtroparte_1 quanto ritenuta infondata. A tal riguardo ha precisato: a) che le operazioni in questione erano da ritenere tutte legittime in quanto correttamente autenticate attraverso il servizio di autentificazione basato sull'utilizzo di più credenziali, come previsto dalle indicazioni introdotte dalla c.d. PSD2 e dall'art. 10 del d.lgs 11/2010 ; b) che il sistema di sicurezza adottato per il servizio home banking era conforme allo stato dell'arte, tale da soddisfare lo standard per la sicurezza delle informazioni e da essere certificato
ISO/IEC 27001; c) che nel caso in esame era ravvisabile una condotta gravemente colposa di parte attrice che non aveva informato la banca del malfunzionamento del telefono cellulare, così da potere tempestivamente bloccare il proprio conto corrente;
COt d) che anche all'operatore telefonico era addebitabile una condotta colposa avendo omesso ogni necessario controllo e cautela nelle fasi di identificazione dei soggetti richiedenti il duplicato della sim.
Alla luce di tali deduzioni, ha concluso per il rigetto della domanda, chiedendo, in subordine, l'accertamento di una concorrente responsabilità di parte attrice;
in ulteriore subordine, ha chiesto di accertare l'esclusiva o prevalente responsabilità di CP_2 nella causazione del danno e comunque di essere manlevata da quest'ultima. Costituendosi in giudizio ha contestato ogni responsabilità in merito ai fatti, CP_2 deducendo, in particolare: a) che in data 12.01.2021 a fronte di una richiesta di sostituzione sim, con causale “rottura”, aveva adempiuto ai propri oneri di identificazione del cliente, non essendo ravvisabile alcuna violazione degli obblighi gravanti su di essa ai sensi del contratto o del Reg. n. 679/2016 ; b) che sulla base della normativa vigente al momento del fatto (Codice delle Comunicazioni Elettroniche, art. 55, comma 71), l'obbligo di identificazione era previsto solo al momento dell'attivazione del servizio prepagato e non al cambio di sim, non potendo trovare applicazione la delibera n. 86/21/CIR dell'AGCOM; c) di non essere a conoscenza che l'utenza telefonica in parola fosse associata ad un rapporto bancario;
d) che gli amministratori della avevano tenuto più condotte negligenti considerando T_ che in data 26.12.2020, dopo avere riscontrato anomali tentativi di accesso sull'home banking, non avevano modificato i codici di accesso, né avevano custoditi gli stessi con diligenza. COtestava, infine le deduzioni della banca svolte nei suoi confronti.
Per tali ragioni ha chiesto il rigetto della domanda di parte attrice o, in via subordinata, l'accertamento di un concorso di colpa di parte attrice e della banca nella determinazione dell'accaduto.
Nel corso del processo, assunte le prove richieste, all'udienza del 19.9.2024, la causa veniva trattenuta in decisione.
La domanda di parte attrice è fondata nei limiti che seguono.
Costituisce dato pacifico e non contestato che in data 12.01.2021 dal conto corrente intestato alla società acceso presso , era stata prelevata la T_ COtroparte_1 complessiva somma di euro 49.806,50 tramite quattro operazioni di bonifico, operazioni, queste, portate a termine utilizzando il duplicato di una sim, avente lo stesso COt numero di utenza cellulare abbinato al conto e che era stata rilasciata dalla a soggetti rimasti ignoti sulla base di una richiesta di cambio.
La normativa di riferimento da considerare per il caso in esame, il d.lgs. n. 11/2010, stabilisce, come regola generale, la responsabilità della banca nel caso di operazioni non autorizzate dal cliente, potendo l'istituto di credito rimanere indenne da tale responsabilità, (art. 10 co. 2 citato d.lgs) nel caso riesca a fornire una duplice prova: quella di avere tenuto un elevato grado di diligenza nell'adempimento dei propri oneri contrattuali e la presenza di una condotta fraudolenta dell'utilizzatore o il dolo o la colpa grave del cliente.
In mancanza di tale duplice prova l'istituto di credito risponde del costo delle operazioni disconosciute dal cliente.
Ciò premesso, con specifico riferimento al caso in esame, la società dalla T_ documentazione in atti risulta che aveva stipulato con un contratto COtroparte_1 “servizi via internet, cellulare e telefono” per accedere al proprio conto corrente ed operare online sullo stesso.
Quanto al primo aspetto idoneo ad escludere la responsabilità della banca, CP_1
, ha fatto rilevare di avere adottato un sistema di autentificazione c.d. forte del
[...] cliente, basato sull'utilizzo di più credenziali.
Nel dettaglio, il sistema di autentificazione, come descritto nella Guida ai servizi (cfr. doc. 3), si articolava nella combinazione di credenziali di accesso c.d. statiche (codice titolare e password) e credenziali c.d. dinamiche inviate tramite sms o notifica push nell'app scaricata sul telefono cellulare, consistenti in codici temporanei.
Tali credenziali, come descritte, erano tutte necessarie per completare l'accesso ai servizi e per autorizzare le operazioni.
Il sistema prevedeva altresì, in occasione della richiesta di compiere operazioni potenzialmente sospette, l'invio tramite sms di un'ulteriore password dinamica (OTP).
A sostegno della regolarità delle operazioni in contestazione, ritenute correttamente eseguite mediante il sistema di autentificazione come sopra descritto, COtroparte_1 ha prodotto le tracciature informatiche (files log) che documentano le modalità
[...] di conclusione delle operazioni contestate (cfr.doc. 25 e 25bis).
Da tale documentazione si evince che il giorno 12.01.2021 alle ore 15:12, 15:24, 15:49,
16:16 erano state inserite quattro richieste di bonifici da circa euro 12.400,00 ciascuno;
per ogni richiesta il sistema di sicurezza di aveva generato e COtroparte_1 inviato mediante sms prima il codice OTP e, successivamente, avendo rilevato il sistema tali operazioni come sospette, l'ulteriore codice OTS necessario al perfezionamento delle stesse.
Tali operazioni erano state, poi, concluse in quanto erano state inserite sia le credenziali dinamiche che quelle statiche.
Tuttavia, sebbene abbia dato prova che i bonifici fossero stati COtroparte_1 poi autenticati nel rispetto formale della normativa vigente, tale la circostanza non vale, di per sé, a escludere la responsabilità della banca. Risulta, infatti, necessaria, ai sensi dell'art. 10 del d.lgs. 11/2010, la prova di elementi fattuali caratterizzanti concretamente le operazioni contestate e dai quali ricavare la presenza di una condotta colposa del cliente, non potendosi ammettere la colpa del cliente basandosi sulla sola regolarità formale delle operazioni, come per il caso in esame.
Sotto questo ulteriore profilo, non può, quindi, dirsi che la banca abbia fornito prova della condotta dolosa o colposa di parte attrice.
La convenuta ha poi fatto rilevare ulteriori elementi tali da integrare, COtroparte_1
a suo dire, condotte gravemente colpose del cliente: il non avere la società Pt_2 informato tempestivamente la banca del malfunzionamento del cellullare così da bloccare il proprio conto corrente e non aver custodito diligentemente le credenziali di accesso.
Ora mentre il primo rilievo non può dirsi risolutivo, non potendosi ammettere la necessità di una comunicazione da parte del cliente nel caso di un qualsiasi malfunzionamento del cellulare e/o della linea telefonica, con riguardo al secondo rilievo si rileva l'assenza di elementi istruttori da cui desumere che le credenziali fossero state colposamente fornite da parte attrice attraverso condotte negligenti o imprudenti (tramite phishing o mediante altre modalità).
Può inoltre, ritenersi che la responsabilità della trovi fondamento in ulteriori CP_4 rilievi.
Appare opportuno evidenziare come il sistema adottato da , sebbene COtroparte_1 preveda l'autentificazione a due fattori c.d. forte, sia apparso inidoneo nel prevenire le tipologie di frodi come quella in esame, tutelando l'utilizzatore del servizio.
La frode in esame è, infatti, caratterizzata dalla sottrazione e dall'utilizzo di terzi della propria utenza telefonica. Di conseguenza, l'autentificazione con credenziali dinamiche inviate tramite sms sulla propria linea telefonica risulta inadeguata a tutelare il cliente. Quest'ultimo, infatti, a seguito della (illecita) disattivazione della sim ad opera di terzi, può trovarsi nella condizione di non poter ricevere alcuna comunicazione dalla banca circa le operazioni in corso di esecuzione;
né di ricevere ulteriori messaggi dalla banca, non trovandosi, quindi, nella condizione di segnalare l'irregolarità e impedire il perpetrarsi dell'illecito.
Nel caso in esame, parte attrice aveva tempestivamente avvisato la banca subito dopo avere scoperto il fatto.
Alla luce di tali elementi, non si ritiene che avesse adottato tutte COtroparte_1 le misure possibili volte ad evitare operazioni non autorizzate e non riconducibili ai correntisti, non avendo, inoltre, da parte sua dato prova del dolo o della colpa di parte attrice.
Del pari, deve essere ammessa la responsabilità della concorrente con quella CP_2 di , che ha tenuto una condotta causalmente connessa con il COtroparte_1 compimento delle operazioni in esame.
Infatti, considerate le caratteristiche della truffa c.d. sim swap fraud, questa non avrebbe potuto perfezionarsi senza l'utilizzo della linea telefonica di parte attrice.
L'operatore telefonico non ha allegato né dimostrato di aver posto in essere i dovuti accertamenti documentali e di riconoscimento dell'identità del richiedente prima della duplicazione della sim.
CO Dalla schermata di sistema prodotta da si evince che in data 12.01.2021, alle ore 13:23, era stato emesso l'ordine 7-60839259266 di cambio SIM con causale “rottura”. Dalla riproduzione in atti della schermata in corrispondenza della voce “esito controllo documentazione” non è riportato l'esito del controllo. CO La società , nelle sue difese, ha rappresentato che, non trovando applicazione all'epoca dei fatti la delibera AGCOM n. 86/21/CIR dell'8.7.2021, non era tenuta ad acquisire copia del documento di identità in quanto l'art 55 co. 7 del d.lgs. 259 del 2003 (Codice delle Comunicazioni Elettroniche) non prevedeva tale forma di identificazione del soggetto richiedente il duplicato di una sim, avendo, pertanto, rispettato le procedure all'epoca in vigore.
La procedura di “riconoscimento del cliente per la gestione delle esigenze online” CO prevede che l'operatore , a fronte di una richiesta, debba accertare che
“l'interlocutore sia l'intestatario della linea” richiedendo “cognome, nome e c.f. del cliente o in alternativa luogo e data di nascita e verificare a sistema la coincidenza dei dati forniti rispetto a quanto presente a sistema” (cfr. doc. 3).
Sul punto occorre rilevare che la Delibera AGCOM n.86/21/CIR ha rafforzato l'obbligo di identificazione del richiedente una sostituzione di sim con l'intenzione di prevenire attività fraudolente garantendo una maggiore protezione degli utenti.
La giurisprudenza di merito ha ritenuto che la sussistenza di un obbligo di identificazione dei clienti anche per la mera sostituzione della sim si ricava dall'art. 1 co. 46 della Legge n. 124/2017 che prevede misure di identificazione in via indiretta del cliente “in modo da consentire che la richiesta di migrazione e di integrazione di sim card e di tutte le operazioni ad essa connesse possano essere svolte per via telematica” (cfr. ex multis, Trib. Milano sent. 8562/2022, Trib. Savona sent. 428/2022).
Dalla documentazione in atti non emerge che in relazione al caso in esame la società CO
, avesse mai verificato in modo adeguato l'identità del soggetto richiedente il duplicato della sim;
né aveva mai posto in essere quelle cautele di diligenza e buona fede richieste nell'esecuzione del contratto, in particolare da parte di un gestore telefonico che operava professionalmente nel mercato delle comunicazioni.
Ciò anche considerando, inoltre, il fatto che le truffe c.d. sim swap costituiscono fenomeni oramai conosciuti a tutti gli operatori di settore.
Si è legittimamente, inoltre, segnalato che, sebbene la Delibera AGCOM n.86/21/CIR sia entrata in vigore in un momento successivo all'epoca dei fatti, nel 2020 la Delibera dell'AGCM n. 334/20/CIR ha avviato una consultazione pubblica con lo scopo di introdurre meccanismi volti a tutelare i clienti da eventuali truffe.
Nell'allegato B alla delibera n. 334/20/CIR si legge che rispetto alle fattispecie di sostituzione sim “l'Autorità ha registrato un aumento preoccupante di segnalazioni di casi di sostituzione SIM, per passaggio ad altro operatore o per presunto furto o deterioramento, all'insaputa dell'utente finale titolare della SIM” e ancora “la sostituzione della SIM di un utente da parte di un soggetto terzo non autorizzato e malintenzionato può permettere allo stesso di entrare in possesso anche di ulteriori dati riservati, rispetto a quelli utili per un effettuare un furto per via telematica presso gli istituti bancari, come per esempio il furto di dati personali sensibili utilizzati anche al fine di effettuare ulteriori attività dolose”.
Sebbene dunque tale obbligo di identificazione più stringente sia stato introdotto espressamente con la Delibera AGCOM n.86/21/CIR, trattandosi di operazioni gestite da operatori professionali una attività adeguata di identificazione del richiedente, lo stesso può ritenersi che rientri tra gli obblighi di diligenza media esigibili da un operatore professionale. Tanto più considerando che il legislatore aveva già segnalato e posto all'attenzione degli operatori tali modalità di truffe, rafforzando di conseguenza gli obblighi di diligenza richiesti nell'esecuzione del servizio. CO Alla luce di tali considerazioni, può ritenersi che la , nel caso in esame, sia venuta meno agli obblighi contrattuali di diligenza nell'esecuzione del contratto avendo colposamente omesso di effettuare i dovuti controlli nei confronti di coloro che avevano richiesto la sostituzione della sim, consentendo in tal modo a costoro di venire in possesso, in maniera illecita, dell'utenza telefonica CO Per tali ragioni può dirsi che la società abbia contribuito alla realizzazione dell'evento dannoso, rendendosi, quindi responsabile in via solidale con CP_1
, in relazione al danno patrimoniale subito da parte attrice e quantificato in euro
[...]
49.806,50.
Quanto alla domanda di risarcimento del danno non patrimoniale, la stessa è risultata non provata, non essendo emerso, all'esito dell'istruttoria espletata alcuna prova di tale pregiudizio causalmente riconducibile all'illecito. In merito a tale aspetto si segnala che i testi e , dipendenti della , rispettivamente Tes_1 Testimone_2 T_ nelle mansioni di addetta a paghe e contributi e di contabilità e fatture, nel corso del processo hanno negato che nei primi mesi del 2021 gli stipendi avessero subito dei ritardi, (cfr. udienza del 09.11.2023).
CO riguardo ai ritardi nell'assunzione di nuovo personale e di aggiornamento dei sistemi informatici della non risulta, inoltre, provata la correlazione tra tali T_ eventi e l'evento illecito di cui è causa.
Per tali ragioni la domanda di risarcimento del danno non patrimoniale deve essere rigettata.
Le spese di lite seguono la soccombenza e sono liquidate come da dispositivo (calcolo delle spese: parametro da euro 26.001,00, a euro 52.000,00, quattro fasi di legge valori di poco superiori ai medi), mentre tra le parti convenute le spese devono essere compensate.
P.Q.M.
Il Tribunale, definitivamente pronunciando, così provvede:
1) Accoglie la domanda di parte attrice e per l'effetto condanna COtroparte_1
e in solido tra loro, al risarcimento di euro 49.806,50 in favore della CP_2 [...]
oltre oltre interessi e AR_1 rivalutazione dal giorno 12.01.2021 al saldo effettivo;
2) COdanna e in solido tra loro, al pagamento delle COtroparte_1 CP_2 spese processuali in favore di parte attrice, spese che si liquidano in complessivi Euro 8.000,00 oltre IVA, C.P.A. e 15 % spese generali;
3) Compensa le spese legali tra e COtroparte_1 CP_2
Viterbo, 28.01.2025
Il Giudice
Dott. Eugenio Maria Turco