TRIB
Sentenza 23 dicembre 2025
Sentenza 23 dicembre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Bologna, sentenza 23/12/2025, n. 3804 |
|---|---|
| Giurisdizione : | Trib. Bologna |
| Numero : | 3804 |
| Data del deposito : | 23 dicembre 2025 |
Testo completo
TRIBUNALE ORDINARIO DI BOLOGNA
SEZIONE CIVILE
Verbale dell'udienza del 23 dicembre 2025 della causa iscritta al numero 2104 del ruolo generale degli affari contenziosi del 2022, promossa da: residente in [...] (C.F. Parte_1 C.F._1
)
[...] rappresentato e difeso, in forza di mandato in calce all'atto di citazione, anche disgiuntamente fra loro, dagli avvocati Daniela Brioli (ora in pensione) e Riccardo Bentley ed elettivamente domiciliato presso lo studio della prima in Bologna, Via Indipendenza n.
24 nei confronti di: in persona dei Procuratori avvocato Lorenza Prati e dott. CP_1 [...] giusta procura in data 18 febbraio 2021 n. 14173 Notaio con Controparte_2 Per_1 sede in Amsterdam (Paesi Bassi) e sede secondaria in Milano, Viale Fulvio Testi n. 250
(C.F. ) P.IVA_1 rappresentata e difesa, in forza di mandato allegato alla comparsa di costituzione e risposta, dall'avvocato Paola Polacchini ed elettivamente domiciliata presso il suo studio in Milano,
Via Quadronno n. 24
Oggi 23 dicembre 2025 ore 9.35 compaiono, dinanzi al Giudice dott. Paola Matteucci,
l'avvocato Stefania Marchesi in sostituzione dell'avv. Bentley giusta delega orale per la parte attrice (l'avv. Brioli è in pensione) e l'avvocato Maddalena Graziani in sostituzione dell'avv. Polacchini per la parte convenuta.
L'avv. Marchesi conclude come da foglio di p.c. depositato telematicamente il 7 settembre
2023 con nota spese.
pagina 1 di 26 L'avv. Graziani in via istruttoria insiste affinché venga disposta la CTU richiesta nella memoria 2; nel merito conclude come da I memoria 183/6 del 21.10.2022.
L'avv. Marchesi si oppone all'espletamento della CTU in quanto esplorativa.
I procuratori delle parti discutono la causa riportandosi agli atti.
Il giudice, dato atto della discussione orale ai sensi dell'art. 281 sexies c.p.c., al termine di essa, previa camera di consiglio, alle ore 9.50 avanti ai predetti avvocati pronuncia, mediante lettura del dispositivo e della concisa esposizione delle ragioni di fatto e di diritto, la seguente
SENTENZA
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE CIVILE E PENALE DI BOLOGNA
in composizione monocratica nella persona della dott. Paola Matteucci;
Visti gli atti e le conclusioni formulate dalle parti;
Preso atto della discussione della causa;
osserva e statuisce quanto segue
A)
con atto di citazione notificato a mezzo pec in data 23 febbraio 2022 Parte_1 conveniva vanti al Tribunale intestato. CP_1
Richiamava il contratto di conto corrente n. 970778 di cui era Parte_2 titolare dal 2015 presso il conto era collegato alla Filiale di Genova, CP_1
Piazza Dante n. 33.
Lamentava di essere stato vittima, nel maggio 2021, di una truffa informatica insidiosa e subdola, effettuata con modalità smishing. In particolare, in data 12 maggio 2021 veniva effettuato a sua insaputa un bonifico per euro 29.000,00 a favore di tale Persona_2 del tutto sconosciuto a parte attrice. pagina 2 di 26 Evidenziava di avere sporto denuncia-querela per l'occorso, e di avere vanamente chiesto alla l'accredito dell'importo indebitamente prelevato dal conto corrente. CP_3
Documentava di avere svolto la procedura di mediazione, con esito negativo.
In diritto:
-richiamava il disposto dell'articolo 10 del d. lgs. 11/2010, deducendo di non avere posto in essere condotte connotate da colpa grave nel momento in cui si era relazionato al soggetto che lo induceva a fare uso dei sistemi di autenticazione utili per agire sul conto corrente;
-si doleva della condotta della la quale non aveva attivato alcuna operazione di CP_3 blocco o controllo nel momento in cui era stato richiesto il bonifico, e non aveva informato preventivamente il correntista delle truffe informatiche;
-deduceva che doveva considerarsi ingiustificato il rifiuto di rimborso, avendo egli inoltrato alla Banca sin dal 14 maggio 2021 la denuncia-querela e il modulo di disconoscimento.
Concludeva quindi come segue:
“Voglia l'Ecc.mo Tribunale adito, contrariis reiectis, previa ogni altra e più opportuna od occorrenda pronuncia, del caso e di legge, presupposta o conseguente
-Dichiarare tenuta e conseguentemente condannare la Banca convenuta, in persona del suo legale rappresentante pro tempore, a rimborsare all'attore l'importo di € 29.000,00 oltre interessi come dovuti dal 10/05/2021 al saldo.
-Dichiarare tenuta e conseguentemente condannare la convenuta, in persona del suo CP_3 legale rappresentante pro tempore, a rifondere all'attore le spese ed i compensi di avvocato, questi ultimi liquidati secondo valori medi dei vigenti parametri ministeriali in rapporto al valore della controversia, per l'attività stragiudiziale e per il procedimento di mediazione, oltre interessi come dovuti dall'esborso al saldo.
-Con ogni ulteriore pronuncia presupposta, inerente o conseguente, del caso e di legge.
-In ogni caso, con vittoria di spese e compensi tutti di avvocato per il presente procedimento oltre rimborso spese generali, CPA ed IVA come per legge.
Spese di CTU e CTP interamente rifuse”.
Con decreto -emesso ex art. 168 bis co. 5 c.p.c. in data 4 marzo 2022- la scrivente
Giudicante differiva la prima udienza al 7 luglio 2022.
pagina 3 di 26 La convenuta tempestivamente costituitasi in data 11 maggio 2022, CP_1 esponeva:
-che l'attore era stato destinatario di campagna anti phishing prima dell'evento;
-che il cliente aveva comunicato il disconoscimento del bonifico (in uscita in data 12 maggio 2021) in data 14 maggio 2021, quando ormai il bonifico era stato accreditato;
-di avere tentato la recall del bonifico, declinata dal beneficiario della somma;
-che l'operazione era stata eseguita mediante la c.d. autenticazione forte, cioè con inserimento di codici sia statici che dinamici e a seguito di apposita conferma di esecuzione dell'operazione.
Evidenziava di avere adottato misure di sicurezza idonee a garantire ai clienti il più elevato livello di sicurezza (accesso alla propria pagina personale;
inserimento del proprio codice cliente;
inserimento della data di nascita e del codice PIN composto da 6 cifre;
inserimento di codice OTP o in alternativa di impronta digitale o altri dati biometrici del cliente;
richiesta di autorizzazione dell'operazione; autorizzazione da effettuarsi dal cliente con smart code / codice biometrico).
Nel caso di specie non era stata riscontrata alcuna manomissione nel sistema informatico;
l'operazione era stata effettuata dal cliente stesso, mediante l'inserimento di tutti i codici di sicurezza richiesti dal sistema.
Era quindi palese che era stata la condotta dell'attore, connotata da colpa grave, a consentire l'uscita della somma dal conto, in quanto l'operazione era stata da lui stesso autorizzata.
Oltretutto il cliente non aveva contattato la Banca non appena questa gli aveva inviato un alert sia mediante sms, sia sulla app, sia con mail, per avvisarlo della richiesta di bonifico per 29.000 euro in data 12 maggio 2021; se il cliente avesse contattato subito la CP_3
l'operazione avrebbe potuto essere bloccata;
quando la fu contattata, l'operazione CP_3 era già al di fuori della sua sfera di controllo, e quindi nessun blocco poteva essere effettuato.
In ogni caso, palesemente, la non può chiedere i codici di accesso al conto;
e CP_3 informa i clienti di non comunicare mai i propri dati personali.
Da ciò doveva derivare il rigetto della domanda.
In subordine, evidenziava che andava riconosciuta ex art. 1227 co. 1 c.c. la responsabilità concorrente del cliente al 70%; egli infatti nel fornire spontaneamente i propri codici pagina 4 di 26 personali aveva consentito ai frodatori di agire indisturbati sul conto, e non aveva tenuto conto degli alert ricevuti.
Concludeva quindi come segue:
“Voglia l'Ill.mo Tribunale, reiectis adversis, previe tutte le dichiarazioni e gli accertamenti del caso, con richiamo alle deduzioni di diritto
In via principale
➢ RIGETTARE le domande svolte dall'attore nei confronti di Controparte_4
;
[...]
➢ CONDANNARE l'attore alla refusione delle spese di lite in favore di
[...]
. Controparte_4
In subordine
➢ RIDURRE la richiesta risarcitoria in considerazione del concorso colposo ex art. 1227 c.c. dell'attore nella causazione del danno lamentato;
➢ RIDURRE e/o COMPENSARE le spese di lite in conseguenza del parziale accoglimento della domanda e comunque del concorso ex art. 1227 commi 1 e 2
c.c. dell'attore nella produzione dell'evento.
In ogni caso
➢ RIDURRE la richiesta di controparte applicando la franchigia di importo prevista
(dal) D. Lgs. 11/2010 vigente alla data di esecuzione dell'operazione non autorizzata”.
All'udienza del 7 luglio 2022:
-le parti deducevano come a verbale;
-la scrivente Giudicante su istanza di entrambe le parti assegnava i termini perentori per il deposito delle memorie ex art. 183/6 c.p.c., con decorrenza dal 26 settembre 2022 compreso, fissando udienza di prosecuzione in data 18 gennaio 2023.
Le parti depositavano le memorie entro i termini perentori assegnati.
All'udienza del 18 gennaio 2023:
-le parti deducevano come a verbale;
pagina 5 di 26 -il Giudice onorario dott. G. Benenati, ritenuta la maturità della causa per la decisione, fissava udienza per la precisazione delle conclusioni e la discussione orale ex art. 281 sexies c.p.c. in data 4 luglio 2023.
La scrivente Giudicante con provvedimenti in data 31 marzo 2023, 2 ottobre 2023, 8 novembre 2024 e 11 novembre 2025 aggiornava via via la data d'udienza per esigenze di ruolo, da ultimo fissando udienza in data 23 dicembre 2025 per la precisazione delle conclusioni e la discussione orale ex art. 281 sexies c.p.c.
In data 7 settembre 2023 parte attrice depositava foglio di precisazione delle conclusioni.
La causa è stata oggi discussa e viene ora decisa.
B)
La domanda attorea è infondata e va rigettata, per le seguenti ragioni.
1.
La vicenda per cui è causa può essere sintetizzata come segue.
L'attore nel 2015 attivava il conto corrente n. 970778 presso la Pt_1 Pt_2
Divisione Retail di (doc. 1 attoreo). Controparte_4
Nel contratto egli indicava il proprio numero di cellulare (348-1214360) e la propria mail
). Email_1
Come si evince dai documenti 7 e 8 prodotti dalla Banca unitamente alla memoria n. 2 (cfr. punto 5 pagina 2 memoria citata), in data 18 febbraio 2016 il modificava Pt_1
l'indirizzo email indicando alla Banca la mail , mentre Email_2 manteneva invariata l'indicazione del numero di telefono cellulare;
da allora non si verificavano altri cambiamenti.
Tali documenti non sono stati specificamente contestati da parte attrice nella memoria n. 3.
pagina 6 di 26 Nel 2019 la Banca introduceva la c.d. autenticazione forte, cioè la doppia autenticazione
SCA prescritta dalla normativa europea.
La circostanza si desume dal documento 6 prodotto dalla con la memoria n. 2; si CP_3 tratta dell'estratto conto trimestrale al 30 giugno 2019, destinato al Pt_1
Alle pagine da 13 in poi si può leggere il dettaglio delle nuove regole, finalizzate a rafforzare la tutela del cliente in occasione di operazioni bancarie e comportanti la sua identificazione sicura mediante l'utilizzo di due o più elementi solo da lui conosciuti
(password personale o PIN), posseduti (password temporanea) o a lui inerenti (quali una impronta digitale o altri dati biometrici), con conseguente protezione della riservatezza e integrità delle credenziali di sicurezza personalizzate.
Dal 10 al 12 maggio 2021 si verificava la condotta in frode, di cui risultò destinatario il
Pt_1
L'aggancio del d opera di soggetti rimasti ignoti lo si desume dai documenti 2 Pt_1
e 3 attorei, costituenti gli screenshot di messaggi SMS da lui ricevuti nelle giornate di lunedì 10 maggio, martedì 11 maggio e mercoledì 12 maggio.
Essi saranno commentati infra.
Tali messaggi, cui si accompagnavano due telefonate da utenza cellulare privata da parte di soggetto che si qualificava quale operatore della Banca, portavano il a Pt_1 utilizzare i propri codici per autorizzare quella che egli ritenne essere una operazione di blocco rispetto a un “accesso anomalo” sul conto . Pt_2
Il ttemperò alle richieste dell'ignoto. Pt_1
In concreto, si verificò l'esatto contrario di ciò che era stato fatto credere al Pt_1 non vi era alcuna operazione anomala da bloccare, bensì l'ignoto riuscì in tal modo a farsi accreditare in data 12 maggio 2021 la somma di euro 29.000,00 uscita dal conto Pt_2 del doc. 4 attoreo). Pt_1
Il beneficiario, di fantasia, era tale “ , e la causale del pagamento era Persona_2
“saldo fattura”.
pagina 7 di 26 Il in data 14 maggio 2021 sporgeva denuncia-querela, e nella stessa data Pt_1 inoltrava alla Banca il modulo di disconoscimento del bonifico con il quale segnalava di essere stato vittima di phishing (documenti 5 e 6 attorei).
La rifiutava il rimborso richiesto (documenti 7 e 8 attorei). CP_3
In forza di ciò, nel presente giudizio:
-parte attrice assume l'inadempimento della (la quale non avrebbe contrastato il CP_3 fenomeno di smishing) e chiede il rimborso della somma sottrattagli;
-la Banca contesta recisamente la domanda, poiché il cliente agiva con colpa grave, avendo posto in essere condotte contrarie alla necessaria prudenza.
Giova sin d'ora precisare che lo smishing, anche noto come phishing tramite SMS
(smishing è la crasi di SMS e phishing), è una tipologia di phishing che utilizza messaggi di testo e sistemi di messaggistica per appropriarsi di dati personali.
Mediante SMS gli ignoti raggiungono migliaia di utenti, intimorendoli anche ventilando l'utilizzo irregolare del loro conto on line e invitandoli a cliccare su un link.
Una volta che si clicca sul link, si viene indirizzati a pagine web fasulle anche di Banche, che appaiono identiche a quelle ufficiali e che portano gli ignoti a carpire i dati personali del malcapitato, tra cui le credenziali di accesso all'home banking (user id, password e PIN dispositivo).
Il tutto viene agevolato dal fatto che gli SMS sembrano provenire direttamente dal numero ufficiale della Banca.
Nel caso di specie, il i attivò mettendo a disposizione di ignoti i propri codici, Pt_1
e gli ignoti sviarono l'uso di tali codici al fine fraudolento di carpire denari dal conto corrente del Pt_1
In tale contesto, l'operazione di bonifico venne necessariamente percepita dal sistema informatico della Banca come se fosse stata autorizzata/acconsentita dal Pt_1
pagina 8 di 26 2.
Si rende a questo punto necessario affrontare il quadro normativo sotteso a tale fattispecie, avvalendosi dei condivisibili passaggi motivazionali rinvenibili nella sentenza del
Tribunale di Milano n. 4995/2022 pubblicata il 7 giugno 2022 - n. 48358/2021 R.G. (qui offerta in produzione da parte convenuta), riportati qui di seguito per quanto qui di interesse:
Sul quadro normativo relativo alle operazioni di pagamento non autorizzate
In materia di servizi di pagamento, il d. lgs. 27/01/2010, n. 11, in attuazione della direttiva
2007/64/CE, ha allocato, in ragione della capacità organizzativa e preventiva dei prestatori dei servizi di pagamento (di seguito, PSP), i rischi derivanti da attività fraudolente a danno degli utenti.
La direttiva citata, su cui sono intervenute diverse novelle, è stata successivamente abrogata dalla direttiva 2015/2366/UE, relativa ai servizi di pagamento nel mercato interno, la quale è stata attuata, nel nostro ordinamento, con d. lgs. 15/12/2017, n. 218, che ha apportato modifiche al d. lgs. 11/2010.
La direttiva è stata, infine, integrata a livello eurounitario con il regolamento delegato
2018/389/UE del 27 novembre 2017 della Commissione europea per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri.
La disciplina in materia di servizi di pagamento ruota intorno al consenso, preventivo, contestuale o successivo, del pagatore, ossia “il soggetto titolare di un conto di pagamento
a valere sul quale viene impartito un ordine di pagamento ovvero, in mancanza di un conto di pagamento, il soggetto che impartisce un ordine di pagamento” (art. 1, d. lgs. 11/2010).
L'art. 5, co. 1, d. lgs. 11/2010, stabilisce, infatti, che “il consenso del pagatore è un elemento necessario per la corretta esecuzione di un'operazione di pagamento. In assenza del consenso, un'operazione di pagamento non può considerarsi autorizzata”.
Il consenso del pagatore deve essere distinto dall'ordine di pagamento il quale, nella normalità dei casi, lo presuppone, costituendone la manifestazione procedimentalizzata e autenticata tramite le moderne procedure informatiche. L'ordine di pagamento è, infatti,
l'istruzione formale data dall'utente al proprio PSP con la quale viene chiesta l'esecuzione di un'operazione di pagamento.
pagina 9 di 26 Il consenso è il presupposto volitivo dell'ordine di pagamento, ossia la volontà del pagatore di dare avvio ad un'“operazione di pagamento” avvalendosi dei “servizi di pagamento” offerti da un “prestatore di servizi di pagamento”. In sostanza, con un esempio che si addice al caso in esame, è la volontà del cliente di ordinare alla propria banca di disporre un bonifico bancario in favore di un beneficiario determinato.
L'art. 5, co. 2, d. lgs. 11/2010 recepisce la distinzione tra i due concetti, in armonia con l'evoluzione tecnologica delle infrastrutture tecniche di comunicazione e, in particolare, delle procedure di autenticazione che consentono ai clienti di identificarsi e di disporre, a distanza, gli ordini di pagamento alla propria banca. Istituisce, pertanto, una procedimentalizzazione della manifestazione del consenso del pagatore (“il consenso ad eseguire un'operazione di pagamento o una serie di operazioni di pagamento è prestato nella forma e secondo la procedura concordata nel contratto quadro o nel contratto relativo a singole operazioni di pagamento”) e, di questa caratteristica, ne tiene conto in sede di allocazione dei rischi derivanti, tra le altre cose, dalle condotte fraudolente dei terzi che simulano un consenso del pagatore, dando avvio ad un'operazione di pagamento non voluta.
Per comprendere la distribuzione degli obblighi di protezione e delle rispettive responsabilità, si deve tener presente che, alla luce del complessivo impianto normativo, nazionale ed eurounitario, i PSP sono considerati i soggetti più idonei ad investire risorse per prevenire i rischi connessi alla trasmissione del consenso e, pertanto, nella loro sfera giuridica (nel c.d. rischio di impresa) sono posti sia l'obbligo di assicurare che le credenziali di autenticazione attribuite ai propri clienti “non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento” sia i “rischi derivanti dalla spedizione di uno strumento di pagamento o delle relative credenziali di sicurezza personalizzate” (artt. 8 e 11 d. lgs. 11/2010).
In generale, … è quindi configurata una responsabilità aggravata del PSP nel caso abbia dato seguito ad un'operazione non autorizzata, proprio in virtù di questa sua maggiore capacità di elaborare meccanismi sicuri di gestione e trasmissione del consenso, nonché di tempestiva ed esatta esecuzione degli ordini di pagamento così ricevuti. In quest'ottica, la dir. 2366/2015/UE, prima, e il reg. del. 2018/389/UE della Commissione, poi, hanno imposto agli PSP, salvo alcune eccezioni, di predisporre meccanismi di autenticazione forte, per la trasmissione del consenso, basati su due o più elementi che sono classificati pagina 10 di 26 nelle categorie della conoscenza, del possesso e dell'inerenza, con la generazione di un codice di autenticazione.
Come contraltare di questa disciplina impositiva per gli PSP, sono stati introdotti degli obblighi di diligenza in capo agli utenti di tali servizi per quanto concerne la propria sfera di influenza. Costoro, infatti, ricevono e devono custodire le credenziali di sicurezza personalizzate per accedere ai propri conti di pagamento ed impartire quegli ordini di pagamento che sono la manifestazione procedimentalizzata al PSP della propria volontà di dare corso ad un'operazione di pagamento. In quest'ottica, l'art. 7, d. lgs. 11/2010, prescrive che “1. L'utente abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di: a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso e che devono essere obiettivi, non discriminatori e proporzionati;
b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza. 2. Ai fini di cui al comma 1, lettera a), l'utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”. Ciò è, infatti, necessario per una completa prevenzione dai rischi connessi a queste operazioni, senza estendere eccessivamente la responsabilità, e i correlativi obblighi, dei PSP, responsabilità che inevitabilmente comporterebbe un irrigidimento e un rallentamento del mercato, con danno per i consumatori stessi. Questa esigenza di fluidità e celerità dei pagamenti, garantita dalla procedimentalizzazione della manifestazione del consenso e dalla sua automatica processazione, è, invero, espressamente riconosciuta nella dir. 2366/2015/UE (si veda considerando 79 e 80) ed è un valore su cui gli utenti possono fare affidamento: “Il funzionamento corretto ed efficiente del sistema di pagamento dipende dal fatto che
l'utente possa fare affidamento sul fatto che il prestatore di servizi di pagamento esegua
l'operazione di pagamento in modo corretto ed entro i tempi stabiliti” (considerando 85; si veda inoltre il considerando 77). Essa è alla base di diversi istituti, tra cui l'irrevocabilità del consenso non appena ricevuto dai PSP, i ristretti termini per adempiere ad un ordine di pagamento e la responsabilità dei PSP in caso di ritardo. Risponde, pertanto, ad un interesse del mercato e, come riconosciuto dalla Corte di Giustizia, anche dei consumatori stessi: “È nell'interesse, infatti, non soltanto del prestatore di servizi di pagamento, ma anche del suo cliente, disporre, purché quest'ultimo lo desideri e sia sufficientemente pagina 11 di 26 tutelato, di mezzi di pagamento innovativi, rapidi e di facile utilizzo” (Corte giustizia
Unione Europea, Sez. I, Sent., 11/11/2020, n. 287/19).
Il delicato bilanciamento delle responsabilità in capo ad ambo le parti risente, ciononostante, dello spartiacque della comunicazione di cui all'art. 7, co. 1, lett. b), la quale mette il PSP nelle condizioni di comprendere, per tempo, la discrasia tra consenso e manifestazione procedimentalizzata dello stesso.
Ciò premesso, è opportuno circoscrivere l'analisi del riparto di responsabilità alle sole operazioni di pagamento non autorizzate eseguite dal PSP a seguito della corretta ricezione di un ordine di pagamento. Difatti, trattandosi di operazioni non autorizzate, ossia eseguite senza il consenso dell'utente, il decreto legislativo pone sul PSP (la banca) l'onere di
“provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti” (art. 10 d. lgs. 11/2010). In difetto di tale prova, non vi sarebbe alcun dubbio sulla responsabilità del PSP, il quale non potrebbe altrimenti aver fatto affidamento su un apparente consenso dell'utente manifestato attraverso quella procedimentalizzazione e autenticazione a cui si ha accennato.
Al di fuori di tale ipotesi, e prima della comunicazione di cui all'art. 7, co. 1, lett. b), d.lgs.
11/2010, si possono verificare sostanzialmente tre situazioni: il PSP risponde, di regola, di tutte le operazioni di pagamento non autorizzate a cui ha dato corso, salvo fornisca la prova del caso fortuito o della forza maggiore (o nei casi l'evento dannoso si sia verificato a causa dell'adeguamento del PSP a “vincoli derivanti da altri obblighi di legge”, art. 28, d. lgs. 11/2010); la responsabilità del PSP concorre [con: ndr] quella dell'utente nel caso di colpa lieve di quest'ultimo (si veda, a contrario, l'art. 12, co.
2-ter, d. lgs. 11/2010), il quale
è così tenuto a sopportare le perdite nei limiti dell'importo di cui all'art. 12, co. 3 e 4, d. lgs. 11/2010; la responsabilità del PSP è, infine, esclusa nel caso in cui esso dimostri che il proprio utente pagatore abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, agli obblighi di diligenza e di tempestiva comunicazione di cui all'art. 7 (art. 12, d. lgs. 11/2010).
Il regime di responsabilità del PSP si aggrava, infine, dopo la comunicazione di cui all'art. 7, co. 1, lett. b), d. lgs. 11/2010, oppure nel caso in cui non abbia predisposto degli strumenti adeguati a consentire al proprio cliente di inviare tale comunicazione tempestivamente o, infine, nelle ipotesi in cui il sistema di autenticazione con il PSP non esiga un'autenticazione forte del cliente nel trasmettere gli ordini di pagamento. In tutti pagina 12 di 26 questi casi, il PSP può liberarsi dalla propria responsabilità solo provando che il proprio cliente abbia agito in modo fraudolento.
Per completare il quadro, il riferimento ad “altri inconvenienti” contenuto nell'art. 10, co.
1, d. lgs. 11/2020 comporta un'estensione della responsabilità dei PSP per tutte le cause e fattori sconosciuti che hanno condotto all'esecuzione di operazioni di pagamento non autorizzate>.
Prosegue poi la sentenza a pagina 12 s.:
interpretativo della normativa nazionale di attuazione, “per valutare l'eventuale negligenza
o grave negligenza da parte dell'utente di servizi di pagamento, dovrebbero essere prese in considerazione tutte le circostanze. È opportuno che di norma le prove e il grado della presunta negligenza siano valutati sulla base del diritto nazionale. Non di meno, il concetto di negligenza implica la violazione del dovere di diligenza, mentre per negligenza grave si dovrebbe intendere un comportamento che si spinge oltre la semplice negligenza e implica un grado significativo di mancanza di diligenza;
ad esempio, lasciare le credenziali usate per autorizzare un'operazione di pagamento vicino allo strumento di pagamento, in un formato aperto e facilmente individuabile da terzi”. In sintesi, possono costituire colpa grave solo le condotte negligenti dell'utente pagatore che afferiscono alla propria sfera di influenza, condotte che, in particolare, comportano una grave violazione degli obblighi di cui di cui all'art. 7, tra cui il dovere di custodia e sicurezza delle credenziali personalizzate di autenticazione>.
A commento, si può procedere alla seguente sintesi: la Banca deve garantire un sistema complessivo connotato da sicurezza (vedasi la c.d. autenticazione forte), ma il cliente della
Banca a propria volta è tenuto a comportarsi con estrema diligenza nel conservare e preservare le proprie credenziali di sicurezza, altrimenti versa in colpa grave e se ciò accade la Banca va esente da responsabilità ove si determini una operazione non autorizzata (ma simulatamente consentita dal cliente a svantaggio del quale ha operato l'ignoto frodatore).
Tutto ciò mira a garantire il rapido funzionamento del mercato, degli scambi e dei pagamenti, anche a vantaggio dell'utente.
pagina 13 di 26 3.
Anche la giurisprudenza di legittimità si è occupata dei fenomeni truffaldini qui in esame.
E così si veda la recente pronuncia n. 3780/2024, così massimata:
“La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente. (Nella specie, la S.C. in applicazione del detto principio, ha confermato la decisione di merito che aveva ritenuto gravante su ai fini della non Controparte_5 riferibilità al cliente delle operazioni fraudolente eseguite con la sua carta Postepay, la dimostrazione della previa adozione di mezzi di prevenzione dell'uso illecito dei sistemi elettronici di pagamento, quali, ad esempio, l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione)”.
Si trattava di un caso del tutto simile a quello qui in esame: il cliente aveva ricevuto una mail in apparenza proveniente da , con la quale era stato invitato ad accedere CP_5 al proprio conto mediante un link contenuto nella mail inserendo le proprie credenziali per effettuare il cambio della password;
l'utente aveva effettuato l'operazione richiesta ed aveva successivamente riscontrato un addebito di 2.900,00 euro per un'operazione a favore di soggetto terzo, da lui mai ideata né compiuta.
La Suprema Corte ha chiarito in motivazione quanto segue:
“La giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere (Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo. pagina 14 di 26 La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019;
Cass., 6-3, n. 26916 del 26/11/2020).
Era pertanto onere di , come correttamente ritenuto dalla impugnata CP_5 sentenza, a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente”.
A sintesi, nel nostro caso, la va esente da responsabilità se prova di avere posto in CP_3 essere adeguati sistemi di prevenzione o riduzione dell'uso fraudolento dei sistemi elettronici di pagamento.
4.
Nel caso di specie, vari elementi portano a ravvisare colpa grave nella condotta del di per sé sola risultata idonea a consentire che la condotta di smishing si Pt_1
pagina 15 di 26 svolgesse indisturbata;
con conseguente infondatezza della pretesa qui fatta valere nei confronti della Banca convenuta.
4.a.
La convenuta costituendosi ha prodotto i documenti 1,1bis,2 e 4 al fine di CP_3 dimostrare quale fosse stata la tracciatura informatica lasciata dalle operazioni per cui è causa.
L'attore in occasione della prima udienza:
-ha contestato l'efficacia e idoneità probatoria di tali documenti;
-ha dichiarato che i documenti 2 e 4 della convenuta non erano stati da lui ricevuti, né erano da lui conosciuti o a lui riferibili.
Sempre l'attore nella memoria n. 1 ha qualificato le proprie asserzioni quale disconoscimento.
Orbene, occorre soppesare la effettiva valenza del dedotto “disconoscimento”:
§ non si tratta di disconoscimento ex art. 214 c.p.c. in quanto non si tratta di scritture private sottoscritte dall'attore, bensì si tratta di documentazione bancaria proveniente dal sistema informatico della Banca e prodotta in causa nella sua versione analogica;
§ il “disconoscimento” è stato effettuato in modo vago, e comunque l'attore non ha dedotto la non conformità della documentazione prodotta rispetto all'originale esistente nel sistema informatico della Banca;
§ in ogni caso, anche a volere ipotizzare che si sia trattato di contestazione della conformità all'originale, la giurisprudenza di legittimità (Cass. 26200/2024) ha avuto modo di chiarire a tal proposito che “Il disconoscimento della conformità all'originale della copia informatica di scrittura analogica depositata telematicamente è disciplinato dall'art. 2719
c.c., e non dalla normativa in tema di processo civile telematico, sicché tale disconoscimento deve essere effettuato, a pena di inefficacia, mediante dichiarazione che evidenzia in modo chiaro e univoco il documento che si intende contestare e gli aspetti differenziali rispetto all'originale, essendo poi rimesso al giudice l'accertamento di detta conformità attraverso le prove offerte in giudizio, comprese le presunzioni, a differenza di pagina 16 di 26 quanto si verifica per il disconoscimento della scrittura privata ex art. 215, comma 1, n. 2),
c.p.c. che, in mancanza di verificazione, ne impedisce l'utilizzabilità”; si veda anche Cass. 23213/2024: “Ai fini del disconoscimento della conformità all'originale di copia analogica di un documento informatico occorre una contestazione chiara, circostanziata ed esplicita, che si concreti nell'allegazione di elementi significanti la non corrispondenza tra la realtà fattuale e la realtà riprodotta”.
Ne consegue che nel presente giudizio è consentito fare uso anche dei documenti 1,1bis,2 e
4 di parte convenuta, i quali debbono considerarsi liberamente valutabili ai fini del decidere.
4.b.
La parte attrice nella memoria 1 ha richiamato le determinazioni della European Banking
Authority del 21 giugno 2019, deducendo che nel caso di specie la Banca avrebbe omesso di introdurre la c.d. autenticazione forte del cliente o SCA (Strong Customer
Authentication) basata su due o più elementi di autenticazione.
L'assunto è errato.
Basti richiamare quanto prima evidenziato rispetto a ciò che la convenuta ha idoneamente dedotto e prodotto mediante la memoria n. 2, rispetto all'adeguamento in questione.
Quindi è da considerarsi pacifico che la alla data della condotta di smishing (maggio CP_3
2021) si fosse allineata da anni alle prescrizioni europee attinenti alla c.d. autenticazione forte, e di ciò va tenuto conto a favore della stessa.
4.c.
Sia il contenuto dei documenti 2 e 3 attorei, sia il tenore (ammissivo) della denuncia- querela sporta dal in data 14 maggio 2021 (doc. 5 attoreo), sia i documenti Pt_1 prodotti dalla sub 1,1bis,2 e 4 attestano la inescusabile colpa grave che ha connotato CP_3 la condotta del Pt_1
pagina 17 di 26 Si è trattato di una operazione che l'ignoto è riuscito a porre in essere agganciando agevolmente la volontà del on modalità che avrebbero invece dovuto mettere Pt_1 il medesimo mmediatamente in allerta, e portarlo a immediatamente contattare Pt_1 la mediante canali ufficiali. CP_3
Egli invece per giorni non esitò a farsi condurre per mano dall'ignoto, precipitando da solo nell'errore inescusabile consistito nel rendere manifeste le proprie credenziali a mezzo telefono.
L'attore mediante la propria condotta consentì all'ignoto di eseguire l'operazione di bonifico del 12 maggio 2021 avvalendosi della procedura di autenticazione forte del pagamento.
Solo ex post, tardivamente, l'attore si mosse segnalando il tutto alla Banca, ma era già troppo tardi e non certo per fatto e colpa della Banca.
Nel dettaglio, accadde quanto segue.
Innanzitutto, il i fidò colposamente di un messaggio SMS (non riconducibile Pt_1 al vero intermediario) inviatogli nel pomeriggio del giorno lunedì 10 maggio 2021.
Mediante tale messaggio l'asserito mittente (solo a prima vista corrispondente all'utenza salvata dall'attore sul cellulare) segnalava che era stato effettuato “un Parte_2 accesso anomalo” sul conto del e aggiungeva la frase “inserire i dati” (cioè i Pt_1 dati bancari del al link ivi inserito. Pt_1
Il messaggio, già per come si presentava, era poco affidabile, sia perché conteneva una palese sgrammaticatura (vi si legge, con riferimento all'accesso anomalo, “e stato effettuato” invece che “è stato effettuato”), sia perché l'ignoto senza mezzi termini intimava al i cliccare su un link che neppure riportava il nome della Pt_1 CP_3
Già allora erano passati due anni dall'adeguamento del sistema bancario -quindi anche di alla c.d. autenticazione forte, e l'attore sapeva o doveva sapere quanto Parte_2 delicato fosse l'utilizzo dei propri parametri di accesso al sito bancario per l'esecuzione di operazioni.
Sarebbe bastato che immediatamente il si relazionasse ufficialmente alla Pt_1
Banca; così, egli avrebbe immediatamente appreso la natura frodatoria dell'SMS ricevuto;
ma egli superficialmente e inescusabilmente non agì in tal modo. pagina 18 di 26 Il ha ammesso nella denuncia-querela di avere eseguito l'operazione Pt_1 richiestagli, e di avere cliccato sul link dell'SMS inserendo i propri dati sensibili.
Non pago di ciò che aveva fatto, il vedasi la querela) -dopo avere ricevuto il Pt_1 giorno successivo e cioè martedì 11 maggio 2021 una telefonata da un cellulare privato “da un uomo italiano con accento meridionale il quale si dichiarava come operatore di
[...]
e il quale diceva che era giunta una richiesta di bonifico da lui non autorizzata e Pt_2 che tale bonifico era stato bloccato- non esitava colposamente a porre in essere un ulteriore imperdonabile errore, fornendo telefonicamente e “prontamente” a costui i dati personali e addirittura il codice cliente (quando invece è noto che mai le Banche chiedono per telefono ai propri clienti i loro dati sensibili per l'accesso alla APP).
Si veda a tal proposito l'SMS di martedì 11 maggio 2021 ore 16.53 del seguente tenore:
“Apri app ING e fai login e autorizza operazione per il blocco bonifico”.
Sempre nella denuncia-querela si legge che il non riusciva ad accedere alla Pt_1 propria app “in quanto non avevo al momento una connessione internet Parte_2 stabile”; è verosimile che il disturbo alla linea sia stato cagionato dall'ignoto, che così indusse il per nulla insospettito) a fornirgli con leggerezza a mezzo telefono i Pt_1 dati sensibili, codice cliente compreso;
il osì si illuse inescusabilmente che il Pt_1 supposto bonifico sarebbe stato bloccato.
E ancora, mercoledì 12 maggio 2021 alle ore 14.26 il medesimo ignoto contattava il alla stessa utenza cellulare in precedenza utilizzata, dicendogli “che sarebbero Pt_1 giunti dei codici numerici da inserire nella APP per non consentire il bonifico” e che fino al giorno successivo non avrebbe potuto accedere alla propria APP;
durante la telefonata l'ignoto faceva pervenire al codici, e il on esitava a inserirli nella Pt_1 Pt_1 propria APP cambiando i codici personali.
Ciò è attestato anche dal tenore dei seguenti SMS del 12 maggio 2021, ricevuti dal alle 14.27: “Apri app ING e fai login e autorizza operazione di blocco Pt_1 bonifico” “Bonifico bloccato con successo” e “Ecco il tuo codice cliente 541673” (si badi che si trattava di codice cliente diverso da quello del contratto, che era il n. 8502390).
In tal modo l'ignoto, grazie alla inescusabile fiducia prestatagli dal riuscì Pt_1 agevolmente a posizionarsi nella APP e a fare partire immediatamente il bonifico di pagina 19 di 26 29.000,00 euro in favore di tale “ con la causale di comodo “saldo Persona_2 fattura” (doc. 4 attoreo), creando un impoverimento nelle finanze del Pt_1
A questo punto il sistema informatico della Banca convenuta si attivò come sempre accade quando vengono eseguiti dei bonifici on line.
Precisamente, come si evince dal documento 4 convenuta, il 12 maggio 2021 alle ore 14.28
-e quindi 1 secondo dopo che il aveva consentito all'ignoto di eseguire il Pt_1 bonifico di 29.000 euro- la lanciò un triplice ordine di a tutela del CP_3 CP_6 in ottemperanza alla c.d. autenticazione forte e cioè: Pt_1
-un messaggio sms al suo esatto numero di telefono cellulare
-una notifica PUSH con cui gli si diceva che era stato eseguito un bonifico sul suo conto corrente e che se non gli risultava occorreva contattare subito la Banca Pt_2
-un messaggio via mail all'indirizzo (che, a differenza di Email_2 quanto sostenuto dall'attore, era la mail -diversa da quella originaria che compare nel contratto del 2015- ma corrispondente a quella che lui stesso aveva inserito a modifica nel sito della Banca sin dal 2016).
La tracciatura dei vari passaggi posti in essere in data 12 maggio 2021 la si desume anche dai documenti 1 e 1bis di parte convenuta.
In particolare, il documento 1bis consiste nella sintetica descrizione dei log cioè degli eventi occorsi il 12 maggio 2021 nel sistema informatico della Banca.
Il log è il resoconto di ciò che accade all'interno di un sistema. I log possono registrare errori, avvisi o semplici informazioni, fornendo così una preziosa fonte di informazioni per gli amministratori di sistema.
Orbene, dal documento 1bis convenuta risulta:
-che alle ore 14.26 del 12 maggio 2021 veniva effettuato dal cliente un accesso dal WEB all'Area Riservata della APP, accedendo alla pagina bonifici e predisponendo il bonifico di euro 29.000,00; dopodiché il servizio DGW acquisiva i conti correnti attivi del cliente;
-che in data 12 maggio 2021 veniva disposto alle ore 14.28 un ordine di bonifico in uscita dal conto del er euro 29.000,00; dopodiché il servizio DGW ne controllava Pt_1 con esito positivo la validità formale;
-che subito dopo i servizi DGW inviavano la PUSH al device del cliente per autorizzare il bonifico;
pagina 20 di 26 -che il bonifico veniva autorizzato alle ore 14.28.36, cosicché la challenge veniva chiusa con stato CLOSED / RESOLVED;
-che, come si evince dal documento 4 convenuta, alle ore 14.28.39 partivano le notifiche verso il CP_6 Pt_1
-che alle ore 14.28.40 il bonifico veniva acquisito e registrato con CRO 08845411711.
Stando così le cose, il ediante le notifiche fu posto nella condizione Pt_1 CP_6 di contattare subito la e così l'operazione avrebbe potuto essere bloccata. CP_3
Egli non può difendersi affermando di non avere ricevuto alcuno dei tre tipi di ALERT sudescritti.
Egli non ha offerto elementi in contrario, idonei a inficiare la valenza probatoria degli attendibili documenti qui prodotti dalla prima illustrati. CP_3
Né ha offerto un principio di prova mediante una perizia di parte, offrendo il proprio cellulare e/o il proprio tablet per la disamina informatica al fine di vedere escluso che tutti e tre gli gli fossero pervenuti. CP_6
Oltretutto, il asciò passare altri due giorni, dopo il 12 maggio 2021, in attesa Pt_1 che la APP ricominciasse a funzionare venerdì 14 maggio 2021; ma in realtà egli non ha dedotto né provato che il blocco della APP fosse avvenuto per tutti i clienti della Banca, e non solo per lui per effetto dei trucchi posti in essere dall'ignoto.
A maggior ragione egli a fronte del mancato funzionamento della APP avrebbe dovuto contattare il numero verde della Banca per segnalare il supposto blocco;
se lo avesse fatto, avrebbe consentito alla di intervenire subito, annullando l'operazione eseguita in CP_3 frode dall'ignoto.
Giocoforza l'operazione eseguita si consolidò e a fronte di ciò si giustifica la posizione della che non ha potuto far altro che rifiutare la restituzione della somma al CP_3 la Banca convenuta poteva anche interfacciarsi a propria volta con la Banca Pt_1 terza presso la quale era arrivato il bonifico di 29.000 euro;
ma la Banca terza probabilmente, se fosse stata compulsata a restituire la somma, avrebbe rimarcato la condotta del onnotata da colpa grave e si sarebbe esattamente rifiutata di fare Pt_1 regredire il tutto alla situazione ante bonifico-).
pagina 21 di 26 Insomma, il iolò platealmente e inescusabilmente e reiteratamente gli obblighi Pt_1 di sicurezza dettati per i clienti delle Banche dall'articolo 7 del d. lgs. 11/2010 prima illustrato, il quale prescrive all'utente di adottare ”tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”.
Le modalità adottate dall'ignoto rientrano tra quelle più diffuse e conosciute, che qualunque fruitore medio di servizi on line dotato di normale avvedutezza e prudenza deve essere in grado di riconoscere ed evitare.
La colpevole credulità del fa completamente cadere la prospettazione di Pt_1 assenza di diligenza qualificata ex art. 1176 co. 2 c.c. che nel caso di specie secondo l'attore avrebbe connotato l'operato della convenuta. CP_3
4.d.
Infine si rileva che la parte attrice ha cercato di infirmare la posizione della CP_3 convenuta deducendo a pagina 3 dell'atto di citazione quanto segue: “Risulta inoltre, per quanto spontaneamente riferito dal servizio clienti, che il giorno successivo all'operazione descritta, ben prima del disconoscimento del bonifico per cui è causa e prima di ricevere alcuna segnalazione da parte del la di sua iniziativa abbia bloccato Pt_1 CP_3 ulteriori due bonifici non autorizzati, altrimenti destinati a transitare sul medesimo conto corrente suindicati”.
A significare che la come aveva bloccato due ulteriori bonifici, avrebbe potuto CP_3 bloccare anche quello per cui è causa.
A dire il vero, però, la prospettazione di parte attrice risulta connotata da genericità e non risulta oggettivamente riscontrata da documentazione bancaria che la medesima parte attrice avrebbe potuto agevolmente procurarsi sol che lo avesse chiesto alla Banca di cui era correntista.
Ne consegue che rispetto alla prospettazione attorea non può dirsi maturata alcuna non contestazione ex adverso.
pagina 22 di 26 4.e.
Dato che gli argomenti esposti sono dirimenti, si determina l'assorbimento di ogni altra questione affrontata dalle parti, e risulta superflua/irrilevante la CTU chiesta dalla Banca convenuta.
C)
Secondo il principio della soccombenza, le spese del presente giudizio vanno poste a carico della parte attrice.
1.
La liquidazione del compenso va effettuata ai sensi del Decreto del Ministero della
Giustizia n. 55/2014, novellato in forza del D.M. 147 del 13 agosto 2022, le cui disposizioni ai sensi dell'art. 6 si applicano alle prestazioni professionali esaurite successivamente alla sua entrata in vigore (corrispondente al quindicesimo giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale dell'8 ottobre 2022) e quindi dal 23 ottobre 2022 in poi.
In particolare, in considerazione del disputatum, si applica lo scaglione da euro 26.000,01 a euro 52.000,00 (Tabella 2).
Le fasi da prendere in considerazione sono quelle di studio, introduttiva, trattazione/istruttoria e decisoria.
2.
Va tenuto conto anche della fase di attivazione della procedura di mediazione, non sfociata in un accordo (Tabella 25-bis; stesso scaglione da euro 26.000,01 a euro 52.000,00).
pagina 23 di 26 2.a.
A tal proposito si rinvia ai documenti 9-10-11 attorei, dai quali si evince:
a) che il CARBONI attivava la procedura avanti all'Organismo di Mediazione denominato
CO A.D.R. s.r.l. avente sede legale in Bologna, depositando domanda in data 22 novembre 2021;
b) che faceva pervenire ad CO dichiarazione datata 30 Controparte_4 novembre 2021 di adesione alla domanda di avvio della mediazione sottoscritta dal
Procuratore inviando in allegato la procura speciale rilasciata in data 3 dicembre CP_2
2021 dai Procuratori avv. Prati e dott. in favore degli avvocati Polacchini e CP_2
Dimagli di Milano proprio in relazione alla procedura di mediazione instaurata dal con firma digitale); Pt_1
c) che il primo incontro di mediazione si svolgeva il 19 gennaio 2022, con la partecipazione telematica degli avvocati Polacchini e Dimagli per;
CP_1
d) che a tutti gli effetti la risultava rappresentata all'incontro di mediazione da CP_3 avvocati muniti di procura speciale facente espresso riferimento a quella specifica procedura di mediazione.
A tutto ciò consegue che la all'incontro di mediazione del 19 gennaio 2022 risultava CP_3 ritualmente rappresentata dagli avvocati Polacchini e Dimagli;
resta quindi incomprensibile la dedotta “irritualità” di tale rappresentanza, ventilata da parte attrice a pagina 5 dell'atto di citazione, e poi anche a pagina 6 della prima memoria ex art. 183/6
c.p.c.
A dire il vero la parte convenuta, forse dimenticandosi di avere inviato ad CO la procura speciale per quella mediazione, costituendosi ha prodotto il documento 3 che corrisponde a precedente procura rilasciata all'avvocato Polacchini in data 21 maggio 2019 con riferimento a qualsivoglia procedimento di mediazione.
Ma con tutta evidenza la procura speciale allegata alla adesione alla mediazione è assorbente rispetto alla precedente procura di cui si duole la parte attrice (vedasi anche a pagina 6 della memoria n. 1 attorea, ove la parte attrice ribadisce la carenza di una procura speciale sostanziale per la mediazione;
in realtà la parte attrice avrebbe dovuto cogliere il succedersi fra la procura del maggio 2019 e la procura speciale rilasciata dalla Banca ai pagina 24 di 26 due avvocati Polacchini e Dimagli a fine 2021 in relazione alla procedura intrapresa dal vanti ad CO). Pt_1
2.b.
Né può condividersi l'ulteriore assunto attoreo in forza del quale la “indisponibilità alla mediazione”, in tesi dimostrata dalla Banca, giustificherebbe l'applicazione del combinato disposto degli articoli 8 comma 4 bis del d. lgs. 28/2010 e dell'articolo 116 c.p.c. (così a pag. 6 dell'atto di citazione).
L'articolo 8 comma 4 bis è del seguente tenore: “Dalla mancata partecipazione senza giustificato motivo al procedimento di mediazione, il giudice può desumere argomenti di prova nel successivo giudizio ai sensi dell'articolo 116, secondo comma, del codice di procedura civile”.
Nel caso di specie è di palmare evidenza che la ha partecipato a tutti gli effetti al CP_3 procedimento di mediazione, dapprima inviando il modulo di adesione alla domanda di mediazione proposta dal e poi partecipando telematicamente all'incontro del Pt_1
19 gennaio 2022 per il tramite dei procuratori muniti di specifica procura (corrispondente, si ripete, a quella allegata alla dichiarazione di adesione alla domanda di mediazione, prodotta dalla stessa parte attrice col doc. 10: vedasi la pag. 7 a schermo).
Libera poi la di non prestare adesione in sede di mediazione alla pretesa del CP_3
i vedersi corrispondere/rimborsare i 29.000 euro di cui si è detto. Pt_1
3.
Tanto precisato, sussistono i presupposti per liquidare complessivi euro 6.699,50 arrotondati a euro 6.700,00 (valori medi per le fasi di studio, introduttiva e istruttoria e così euro 1.701 + 1.204 + 1.806; valori minimi per la fase decisoria, nel difetto di scritti difensivi conclusivi a fronte della scelta della modalità della discussione orale, e così euro
1.452,50; valori medi per la fase di attivazione della mediazione, e così euro 536), oltre pagina 25 di 26 rimborso spese forfettarie del 15% ai sensi dell'articolo 2 comma 2 D.M. citato, IVA e
CPA come per legge.
P.Q.M.
Il Tribunale, definitivamente pronunciando, ogni diversa istanza, difesa, eccezione, deduzione disattesa così provvede:
• Rigetta ogni domanda proposta da nei confronti di Parte_1 Controparte_4
.
[...]
• Condanna al pagamento in favore di Parte_1 Controparte_4
delle spese del presente giudizio, che si liquidano in euro 6.700,00 per
[...] compenso di avvocato, oltre rimborso forfettario 15%, CPA 4% e IVA se dovuta.
Così deciso in Bologna in data 23 dicembre 2025.
IL GIUDICE
(dott. Paola Matteucci)
pagina 26 di 26
SEZIONE CIVILE
Verbale dell'udienza del 23 dicembre 2025 della causa iscritta al numero 2104 del ruolo generale degli affari contenziosi del 2022, promossa da: residente in [...] (C.F. Parte_1 C.F._1
)
[...] rappresentato e difeso, in forza di mandato in calce all'atto di citazione, anche disgiuntamente fra loro, dagli avvocati Daniela Brioli (ora in pensione) e Riccardo Bentley ed elettivamente domiciliato presso lo studio della prima in Bologna, Via Indipendenza n.
24 nei confronti di: in persona dei Procuratori avvocato Lorenza Prati e dott. CP_1 [...] giusta procura in data 18 febbraio 2021 n. 14173 Notaio con Controparte_2 Per_1 sede in Amsterdam (Paesi Bassi) e sede secondaria in Milano, Viale Fulvio Testi n. 250
(C.F. ) P.IVA_1 rappresentata e difesa, in forza di mandato allegato alla comparsa di costituzione e risposta, dall'avvocato Paola Polacchini ed elettivamente domiciliata presso il suo studio in Milano,
Via Quadronno n. 24
Oggi 23 dicembre 2025 ore 9.35 compaiono, dinanzi al Giudice dott. Paola Matteucci,
l'avvocato Stefania Marchesi in sostituzione dell'avv. Bentley giusta delega orale per la parte attrice (l'avv. Brioli è in pensione) e l'avvocato Maddalena Graziani in sostituzione dell'avv. Polacchini per la parte convenuta.
L'avv. Marchesi conclude come da foglio di p.c. depositato telematicamente il 7 settembre
2023 con nota spese.
pagina 1 di 26 L'avv. Graziani in via istruttoria insiste affinché venga disposta la CTU richiesta nella memoria 2; nel merito conclude come da I memoria 183/6 del 21.10.2022.
L'avv. Marchesi si oppone all'espletamento della CTU in quanto esplorativa.
I procuratori delle parti discutono la causa riportandosi agli atti.
Il giudice, dato atto della discussione orale ai sensi dell'art. 281 sexies c.p.c., al termine di essa, previa camera di consiglio, alle ore 9.50 avanti ai predetti avvocati pronuncia, mediante lettura del dispositivo e della concisa esposizione delle ragioni di fatto e di diritto, la seguente
SENTENZA
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE CIVILE E PENALE DI BOLOGNA
in composizione monocratica nella persona della dott. Paola Matteucci;
Visti gli atti e le conclusioni formulate dalle parti;
Preso atto della discussione della causa;
osserva e statuisce quanto segue
A)
con atto di citazione notificato a mezzo pec in data 23 febbraio 2022 Parte_1 conveniva vanti al Tribunale intestato. CP_1
Richiamava il contratto di conto corrente n. 970778 di cui era Parte_2 titolare dal 2015 presso il conto era collegato alla Filiale di Genova, CP_1
Piazza Dante n. 33.
Lamentava di essere stato vittima, nel maggio 2021, di una truffa informatica insidiosa e subdola, effettuata con modalità smishing. In particolare, in data 12 maggio 2021 veniva effettuato a sua insaputa un bonifico per euro 29.000,00 a favore di tale Persona_2 del tutto sconosciuto a parte attrice. pagina 2 di 26 Evidenziava di avere sporto denuncia-querela per l'occorso, e di avere vanamente chiesto alla l'accredito dell'importo indebitamente prelevato dal conto corrente. CP_3
Documentava di avere svolto la procedura di mediazione, con esito negativo.
In diritto:
-richiamava il disposto dell'articolo 10 del d. lgs. 11/2010, deducendo di non avere posto in essere condotte connotate da colpa grave nel momento in cui si era relazionato al soggetto che lo induceva a fare uso dei sistemi di autenticazione utili per agire sul conto corrente;
-si doleva della condotta della la quale non aveva attivato alcuna operazione di CP_3 blocco o controllo nel momento in cui era stato richiesto il bonifico, e non aveva informato preventivamente il correntista delle truffe informatiche;
-deduceva che doveva considerarsi ingiustificato il rifiuto di rimborso, avendo egli inoltrato alla Banca sin dal 14 maggio 2021 la denuncia-querela e il modulo di disconoscimento.
Concludeva quindi come segue:
“Voglia l'Ecc.mo Tribunale adito, contrariis reiectis, previa ogni altra e più opportuna od occorrenda pronuncia, del caso e di legge, presupposta o conseguente
-Dichiarare tenuta e conseguentemente condannare la Banca convenuta, in persona del suo legale rappresentante pro tempore, a rimborsare all'attore l'importo di € 29.000,00 oltre interessi come dovuti dal 10/05/2021 al saldo.
-Dichiarare tenuta e conseguentemente condannare la convenuta, in persona del suo CP_3 legale rappresentante pro tempore, a rifondere all'attore le spese ed i compensi di avvocato, questi ultimi liquidati secondo valori medi dei vigenti parametri ministeriali in rapporto al valore della controversia, per l'attività stragiudiziale e per il procedimento di mediazione, oltre interessi come dovuti dall'esborso al saldo.
-Con ogni ulteriore pronuncia presupposta, inerente o conseguente, del caso e di legge.
-In ogni caso, con vittoria di spese e compensi tutti di avvocato per il presente procedimento oltre rimborso spese generali, CPA ed IVA come per legge.
Spese di CTU e CTP interamente rifuse”.
Con decreto -emesso ex art. 168 bis co. 5 c.p.c. in data 4 marzo 2022- la scrivente
Giudicante differiva la prima udienza al 7 luglio 2022.
pagina 3 di 26 La convenuta tempestivamente costituitasi in data 11 maggio 2022, CP_1 esponeva:
-che l'attore era stato destinatario di campagna anti phishing prima dell'evento;
-che il cliente aveva comunicato il disconoscimento del bonifico (in uscita in data 12 maggio 2021) in data 14 maggio 2021, quando ormai il bonifico era stato accreditato;
-di avere tentato la recall del bonifico, declinata dal beneficiario della somma;
-che l'operazione era stata eseguita mediante la c.d. autenticazione forte, cioè con inserimento di codici sia statici che dinamici e a seguito di apposita conferma di esecuzione dell'operazione.
Evidenziava di avere adottato misure di sicurezza idonee a garantire ai clienti il più elevato livello di sicurezza (accesso alla propria pagina personale;
inserimento del proprio codice cliente;
inserimento della data di nascita e del codice PIN composto da 6 cifre;
inserimento di codice OTP o in alternativa di impronta digitale o altri dati biometrici del cliente;
richiesta di autorizzazione dell'operazione; autorizzazione da effettuarsi dal cliente con smart code / codice biometrico).
Nel caso di specie non era stata riscontrata alcuna manomissione nel sistema informatico;
l'operazione era stata effettuata dal cliente stesso, mediante l'inserimento di tutti i codici di sicurezza richiesti dal sistema.
Era quindi palese che era stata la condotta dell'attore, connotata da colpa grave, a consentire l'uscita della somma dal conto, in quanto l'operazione era stata da lui stesso autorizzata.
Oltretutto il cliente non aveva contattato la Banca non appena questa gli aveva inviato un alert sia mediante sms, sia sulla app, sia con mail, per avvisarlo della richiesta di bonifico per 29.000 euro in data 12 maggio 2021; se il cliente avesse contattato subito la CP_3
l'operazione avrebbe potuto essere bloccata;
quando la fu contattata, l'operazione CP_3 era già al di fuori della sua sfera di controllo, e quindi nessun blocco poteva essere effettuato.
In ogni caso, palesemente, la non può chiedere i codici di accesso al conto;
e CP_3 informa i clienti di non comunicare mai i propri dati personali.
Da ciò doveva derivare il rigetto della domanda.
In subordine, evidenziava che andava riconosciuta ex art. 1227 co. 1 c.c. la responsabilità concorrente del cliente al 70%; egli infatti nel fornire spontaneamente i propri codici pagina 4 di 26 personali aveva consentito ai frodatori di agire indisturbati sul conto, e non aveva tenuto conto degli alert ricevuti.
Concludeva quindi come segue:
“Voglia l'Ill.mo Tribunale, reiectis adversis, previe tutte le dichiarazioni e gli accertamenti del caso, con richiamo alle deduzioni di diritto
In via principale
➢ RIGETTARE le domande svolte dall'attore nei confronti di Controparte_4
;
[...]
➢ CONDANNARE l'attore alla refusione delle spese di lite in favore di
[...]
. Controparte_4
In subordine
➢ RIDURRE la richiesta risarcitoria in considerazione del concorso colposo ex art. 1227 c.c. dell'attore nella causazione del danno lamentato;
➢ RIDURRE e/o COMPENSARE le spese di lite in conseguenza del parziale accoglimento della domanda e comunque del concorso ex art. 1227 commi 1 e 2
c.c. dell'attore nella produzione dell'evento.
In ogni caso
➢ RIDURRE la richiesta di controparte applicando la franchigia di importo prevista
(dal) D. Lgs. 11/2010 vigente alla data di esecuzione dell'operazione non autorizzata”.
All'udienza del 7 luglio 2022:
-le parti deducevano come a verbale;
-la scrivente Giudicante su istanza di entrambe le parti assegnava i termini perentori per il deposito delle memorie ex art. 183/6 c.p.c., con decorrenza dal 26 settembre 2022 compreso, fissando udienza di prosecuzione in data 18 gennaio 2023.
Le parti depositavano le memorie entro i termini perentori assegnati.
All'udienza del 18 gennaio 2023:
-le parti deducevano come a verbale;
pagina 5 di 26 -il Giudice onorario dott. G. Benenati, ritenuta la maturità della causa per la decisione, fissava udienza per la precisazione delle conclusioni e la discussione orale ex art. 281 sexies c.p.c. in data 4 luglio 2023.
La scrivente Giudicante con provvedimenti in data 31 marzo 2023, 2 ottobre 2023, 8 novembre 2024 e 11 novembre 2025 aggiornava via via la data d'udienza per esigenze di ruolo, da ultimo fissando udienza in data 23 dicembre 2025 per la precisazione delle conclusioni e la discussione orale ex art. 281 sexies c.p.c.
In data 7 settembre 2023 parte attrice depositava foglio di precisazione delle conclusioni.
La causa è stata oggi discussa e viene ora decisa.
B)
La domanda attorea è infondata e va rigettata, per le seguenti ragioni.
1.
La vicenda per cui è causa può essere sintetizzata come segue.
L'attore nel 2015 attivava il conto corrente n. 970778 presso la Pt_1 Pt_2
Divisione Retail di (doc. 1 attoreo). Controparte_4
Nel contratto egli indicava il proprio numero di cellulare (348-1214360) e la propria mail
). Email_1
Come si evince dai documenti 7 e 8 prodotti dalla Banca unitamente alla memoria n. 2 (cfr. punto 5 pagina 2 memoria citata), in data 18 febbraio 2016 il modificava Pt_1
l'indirizzo email indicando alla Banca la mail , mentre Email_2 manteneva invariata l'indicazione del numero di telefono cellulare;
da allora non si verificavano altri cambiamenti.
Tali documenti non sono stati specificamente contestati da parte attrice nella memoria n. 3.
pagina 6 di 26 Nel 2019 la Banca introduceva la c.d. autenticazione forte, cioè la doppia autenticazione
SCA prescritta dalla normativa europea.
La circostanza si desume dal documento 6 prodotto dalla con la memoria n. 2; si CP_3 tratta dell'estratto conto trimestrale al 30 giugno 2019, destinato al Pt_1
Alle pagine da 13 in poi si può leggere il dettaglio delle nuove regole, finalizzate a rafforzare la tutela del cliente in occasione di operazioni bancarie e comportanti la sua identificazione sicura mediante l'utilizzo di due o più elementi solo da lui conosciuti
(password personale o PIN), posseduti (password temporanea) o a lui inerenti (quali una impronta digitale o altri dati biometrici), con conseguente protezione della riservatezza e integrità delle credenziali di sicurezza personalizzate.
Dal 10 al 12 maggio 2021 si verificava la condotta in frode, di cui risultò destinatario il
Pt_1
L'aggancio del d opera di soggetti rimasti ignoti lo si desume dai documenti 2 Pt_1
e 3 attorei, costituenti gli screenshot di messaggi SMS da lui ricevuti nelle giornate di lunedì 10 maggio, martedì 11 maggio e mercoledì 12 maggio.
Essi saranno commentati infra.
Tali messaggi, cui si accompagnavano due telefonate da utenza cellulare privata da parte di soggetto che si qualificava quale operatore della Banca, portavano il a Pt_1 utilizzare i propri codici per autorizzare quella che egli ritenne essere una operazione di blocco rispetto a un “accesso anomalo” sul conto . Pt_2
Il ttemperò alle richieste dell'ignoto. Pt_1
In concreto, si verificò l'esatto contrario di ciò che era stato fatto credere al Pt_1 non vi era alcuna operazione anomala da bloccare, bensì l'ignoto riuscì in tal modo a farsi accreditare in data 12 maggio 2021 la somma di euro 29.000,00 uscita dal conto Pt_2 del doc. 4 attoreo). Pt_1
Il beneficiario, di fantasia, era tale “ , e la causale del pagamento era Persona_2
“saldo fattura”.
pagina 7 di 26 Il in data 14 maggio 2021 sporgeva denuncia-querela, e nella stessa data Pt_1 inoltrava alla Banca il modulo di disconoscimento del bonifico con il quale segnalava di essere stato vittima di phishing (documenti 5 e 6 attorei).
La rifiutava il rimborso richiesto (documenti 7 e 8 attorei). CP_3
In forza di ciò, nel presente giudizio:
-parte attrice assume l'inadempimento della (la quale non avrebbe contrastato il CP_3 fenomeno di smishing) e chiede il rimborso della somma sottrattagli;
-la Banca contesta recisamente la domanda, poiché il cliente agiva con colpa grave, avendo posto in essere condotte contrarie alla necessaria prudenza.
Giova sin d'ora precisare che lo smishing, anche noto come phishing tramite SMS
(smishing è la crasi di SMS e phishing), è una tipologia di phishing che utilizza messaggi di testo e sistemi di messaggistica per appropriarsi di dati personali.
Mediante SMS gli ignoti raggiungono migliaia di utenti, intimorendoli anche ventilando l'utilizzo irregolare del loro conto on line e invitandoli a cliccare su un link.
Una volta che si clicca sul link, si viene indirizzati a pagine web fasulle anche di Banche, che appaiono identiche a quelle ufficiali e che portano gli ignoti a carpire i dati personali del malcapitato, tra cui le credenziali di accesso all'home banking (user id, password e PIN dispositivo).
Il tutto viene agevolato dal fatto che gli SMS sembrano provenire direttamente dal numero ufficiale della Banca.
Nel caso di specie, il i attivò mettendo a disposizione di ignoti i propri codici, Pt_1
e gli ignoti sviarono l'uso di tali codici al fine fraudolento di carpire denari dal conto corrente del Pt_1
In tale contesto, l'operazione di bonifico venne necessariamente percepita dal sistema informatico della Banca come se fosse stata autorizzata/acconsentita dal Pt_1
pagina 8 di 26 2.
Si rende a questo punto necessario affrontare il quadro normativo sotteso a tale fattispecie, avvalendosi dei condivisibili passaggi motivazionali rinvenibili nella sentenza del
Tribunale di Milano n. 4995/2022 pubblicata il 7 giugno 2022 - n. 48358/2021 R.G. (qui offerta in produzione da parte convenuta), riportati qui di seguito per quanto qui di interesse:
Sul quadro normativo relativo alle operazioni di pagamento non autorizzate
In materia di servizi di pagamento, il d. lgs. 27/01/2010, n. 11, in attuazione della direttiva
2007/64/CE, ha allocato, in ragione della capacità organizzativa e preventiva dei prestatori dei servizi di pagamento (di seguito, PSP), i rischi derivanti da attività fraudolente a danno degli utenti.
La direttiva citata, su cui sono intervenute diverse novelle, è stata successivamente abrogata dalla direttiva 2015/2366/UE, relativa ai servizi di pagamento nel mercato interno, la quale è stata attuata, nel nostro ordinamento, con d. lgs. 15/12/2017, n. 218, che ha apportato modifiche al d. lgs. 11/2010.
La direttiva è stata, infine, integrata a livello eurounitario con il regolamento delegato
2018/389/UE del 27 novembre 2017 della Commissione europea per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri.
La disciplina in materia di servizi di pagamento ruota intorno al consenso, preventivo, contestuale o successivo, del pagatore, ossia “il soggetto titolare di un conto di pagamento
a valere sul quale viene impartito un ordine di pagamento ovvero, in mancanza di un conto di pagamento, il soggetto che impartisce un ordine di pagamento” (art. 1, d. lgs. 11/2010).
L'art. 5, co. 1, d. lgs. 11/2010, stabilisce, infatti, che “il consenso del pagatore è un elemento necessario per la corretta esecuzione di un'operazione di pagamento. In assenza del consenso, un'operazione di pagamento non può considerarsi autorizzata”.
Il consenso del pagatore deve essere distinto dall'ordine di pagamento il quale, nella normalità dei casi, lo presuppone, costituendone la manifestazione procedimentalizzata e autenticata tramite le moderne procedure informatiche. L'ordine di pagamento è, infatti,
l'istruzione formale data dall'utente al proprio PSP con la quale viene chiesta l'esecuzione di un'operazione di pagamento.
pagina 9 di 26 Il consenso è il presupposto volitivo dell'ordine di pagamento, ossia la volontà del pagatore di dare avvio ad un'“operazione di pagamento” avvalendosi dei “servizi di pagamento” offerti da un “prestatore di servizi di pagamento”. In sostanza, con un esempio che si addice al caso in esame, è la volontà del cliente di ordinare alla propria banca di disporre un bonifico bancario in favore di un beneficiario determinato.
L'art. 5, co. 2, d. lgs. 11/2010 recepisce la distinzione tra i due concetti, in armonia con l'evoluzione tecnologica delle infrastrutture tecniche di comunicazione e, in particolare, delle procedure di autenticazione che consentono ai clienti di identificarsi e di disporre, a distanza, gli ordini di pagamento alla propria banca. Istituisce, pertanto, una procedimentalizzazione della manifestazione del consenso del pagatore (“il consenso ad eseguire un'operazione di pagamento o una serie di operazioni di pagamento è prestato nella forma e secondo la procedura concordata nel contratto quadro o nel contratto relativo a singole operazioni di pagamento”) e, di questa caratteristica, ne tiene conto in sede di allocazione dei rischi derivanti, tra le altre cose, dalle condotte fraudolente dei terzi che simulano un consenso del pagatore, dando avvio ad un'operazione di pagamento non voluta.
Per comprendere la distribuzione degli obblighi di protezione e delle rispettive responsabilità, si deve tener presente che, alla luce del complessivo impianto normativo, nazionale ed eurounitario, i PSP sono considerati i soggetti più idonei ad investire risorse per prevenire i rischi connessi alla trasmissione del consenso e, pertanto, nella loro sfera giuridica (nel c.d. rischio di impresa) sono posti sia l'obbligo di assicurare che le credenziali di autenticazione attribuite ai propri clienti “non siano accessibili a soggetti diversi dall'utente abilitato a usare lo strumento di pagamento” sia i “rischi derivanti dalla spedizione di uno strumento di pagamento o delle relative credenziali di sicurezza personalizzate” (artt. 8 e 11 d. lgs. 11/2010).
In generale, … è quindi configurata una responsabilità aggravata del PSP nel caso abbia dato seguito ad un'operazione non autorizzata, proprio in virtù di questa sua maggiore capacità di elaborare meccanismi sicuri di gestione e trasmissione del consenso, nonché di tempestiva ed esatta esecuzione degli ordini di pagamento così ricevuti. In quest'ottica, la dir. 2366/2015/UE, prima, e il reg. del. 2018/389/UE della Commissione, poi, hanno imposto agli PSP, salvo alcune eccezioni, di predisporre meccanismi di autenticazione forte, per la trasmissione del consenso, basati su due o più elementi che sono classificati pagina 10 di 26 nelle categorie della conoscenza, del possesso e dell'inerenza, con la generazione di un codice di autenticazione.
Come contraltare di questa disciplina impositiva per gli PSP, sono stati introdotti degli obblighi di diligenza in capo agli utenti di tali servizi per quanto concerne la propria sfera di influenza. Costoro, infatti, ricevono e devono custodire le credenziali di sicurezza personalizzate per accedere ai propri conti di pagamento ed impartire quegli ordini di pagamento che sono la manifestazione procedimentalizzata al PSP della propria volontà di dare corso ad un'operazione di pagamento. In quest'ottica, l'art. 7, d. lgs. 11/2010, prescrive che “1. L'utente abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di: a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso e che devono essere obiettivi, non discriminatori e proporzionati;
b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza. 2. Ai fini di cui al comma 1, lettera a), l'utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”. Ciò è, infatti, necessario per una completa prevenzione dai rischi connessi a queste operazioni, senza estendere eccessivamente la responsabilità, e i correlativi obblighi, dei PSP, responsabilità che inevitabilmente comporterebbe un irrigidimento e un rallentamento del mercato, con danno per i consumatori stessi. Questa esigenza di fluidità e celerità dei pagamenti, garantita dalla procedimentalizzazione della manifestazione del consenso e dalla sua automatica processazione, è, invero, espressamente riconosciuta nella dir. 2366/2015/UE (si veda considerando 79 e 80) ed è un valore su cui gli utenti possono fare affidamento: “Il funzionamento corretto ed efficiente del sistema di pagamento dipende dal fatto che
l'utente possa fare affidamento sul fatto che il prestatore di servizi di pagamento esegua
l'operazione di pagamento in modo corretto ed entro i tempi stabiliti” (considerando 85; si veda inoltre il considerando 77). Essa è alla base di diversi istituti, tra cui l'irrevocabilità del consenso non appena ricevuto dai PSP, i ristretti termini per adempiere ad un ordine di pagamento e la responsabilità dei PSP in caso di ritardo. Risponde, pertanto, ad un interesse del mercato e, come riconosciuto dalla Corte di Giustizia, anche dei consumatori stessi: “È nell'interesse, infatti, non soltanto del prestatore di servizi di pagamento, ma anche del suo cliente, disporre, purché quest'ultimo lo desideri e sia sufficientemente pagina 11 di 26 tutelato, di mezzi di pagamento innovativi, rapidi e di facile utilizzo” (Corte giustizia
Unione Europea, Sez. I, Sent., 11/11/2020, n. 287/19).
Il delicato bilanciamento delle responsabilità in capo ad ambo le parti risente, ciononostante, dello spartiacque della comunicazione di cui all'art. 7, co. 1, lett. b), la quale mette il PSP nelle condizioni di comprendere, per tempo, la discrasia tra consenso e manifestazione procedimentalizzata dello stesso.
Ciò premesso, è opportuno circoscrivere l'analisi del riparto di responsabilità alle sole operazioni di pagamento non autorizzate eseguite dal PSP a seguito della corretta ricezione di un ordine di pagamento. Difatti, trattandosi di operazioni non autorizzate, ossia eseguite senza il consenso dell'utente, il decreto legislativo pone sul PSP (la banca) l'onere di
“provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti” (art. 10 d. lgs. 11/2010). In difetto di tale prova, non vi sarebbe alcun dubbio sulla responsabilità del PSP, il quale non potrebbe altrimenti aver fatto affidamento su un apparente consenso dell'utente manifestato attraverso quella procedimentalizzazione e autenticazione a cui si ha accennato.
Al di fuori di tale ipotesi, e prima della comunicazione di cui all'art. 7, co. 1, lett. b), d.lgs.
11/2010, si possono verificare sostanzialmente tre situazioni: il PSP risponde, di regola, di tutte le operazioni di pagamento non autorizzate a cui ha dato corso, salvo fornisca la prova del caso fortuito o della forza maggiore (o nei casi l'evento dannoso si sia verificato a causa dell'adeguamento del PSP a “vincoli derivanti da altri obblighi di legge”, art. 28, d. lgs. 11/2010); la responsabilità del PSP concorre [con: ndr] quella dell'utente nel caso di colpa lieve di quest'ultimo (si veda, a contrario, l'art. 12, co.
2-ter, d. lgs. 11/2010), il quale
è così tenuto a sopportare le perdite nei limiti dell'importo di cui all'art. 12, co. 3 e 4, d. lgs. 11/2010; la responsabilità del PSP è, infine, esclusa nel caso in cui esso dimostri che il proprio utente pagatore abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, agli obblighi di diligenza e di tempestiva comunicazione di cui all'art. 7 (art. 12, d. lgs. 11/2010).
Il regime di responsabilità del PSP si aggrava, infine, dopo la comunicazione di cui all'art. 7, co. 1, lett. b), d. lgs. 11/2010, oppure nel caso in cui non abbia predisposto degli strumenti adeguati a consentire al proprio cliente di inviare tale comunicazione tempestivamente o, infine, nelle ipotesi in cui il sistema di autenticazione con il PSP non esiga un'autenticazione forte del cliente nel trasmettere gli ordini di pagamento. In tutti pagina 12 di 26 questi casi, il PSP può liberarsi dalla propria responsabilità solo provando che il proprio cliente abbia agito in modo fraudolento.
Per completare il quadro, il riferimento ad “altri inconvenienti” contenuto nell'art. 10, co.
1, d. lgs. 11/2020 comporta un'estensione della responsabilità dei PSP per tutte le cause e fattori sconosciuti che hanno condotto all'esecuzione di operazioni di pagamento non autorizzate>.
Prosegue poi la sentenza a pagina 12 s.:
interpretativo della normativa nazionale di attuazione, “per valutare l'eventuale negligenza
o grave negligenza da parte dell'utente di servizi di pagamento, dovrebbero essere prese in considerazione tutte le circostanze. È opportuno che di norma le prove e il grado della presunta negligenza siano valutati sulla base del diritto nazionale. Non di meno, il concetto di negligenza implica la violazione del dovere di diligenza, mentre per negligenza grave si dovrebbe intendere un comportamento che si spinge oltre la semplice negligenza e implica un grado significativo di mancanza di diligenza;
ad esempio, lasciare le credenziali usate per autorizzare un'operazione di pagamento vicino allo strumento di pagamento, in un formato aperto e facilmente individuabile da terzi”. In sintesi, possono costituire colpa grave solo le condotte negligenti dell'utente pagatore che afferiscono alla propria sfera di influenza, condotte che, in particolare, comportano una grave violazione degli obblighi di cui di cui all'art. 7, tra cui il dovere di custodia e sicurezza delle credenziali personalizzate di autenticazione>.
A commento, si può procedere alla seguente sintesi: la Banca deve garantire un sistema complessivo connotato da sicurezza (vedasi la c.d. autenticazione forte), ma il cliente della
Banca a propria volta è tenuto a comportarsi con estrema diligenza nel conservare e preservare le proprie credenziali di sicurezza, altrimenti versa in colpa grave e se ciò accade la Banca va esente da responsabilità ove si determini una operazione non autorizzata (ma simulatamente consentita dal cliente a svantaggio del quale ha operato l'ignoto frodatore).
Tutto ciò mira a garantire il rapido funzionamento del mercato, degli scambi e dei pagamenti, anche a vantaggio dell'utente.
pagina 13 di 26 3.
Anche la giurisprudenza di legittimità si è occupata dei fenomeni truffaldini qui in esame.
E così si veda la recente pronuncia n. 3780/2024, così massimata:
“La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente. (Nella specie, la S.C. in applicazione del detto principio, ha confermato la decisione di merito che aveva ritenuto gravante su ai fini della non Controparte_5 riferibilità al cliente delle operazioni fraudolente eseguite con la sua carta Postepay, la dimostrazione della previa adozione di mezzi di prevenzione dell'uso illecito dei sistemi elettronici di pagamento, quali, ad esempio, l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione)”.
Si trattava di un caso del tutto simile a quello qui in esame: il cliente aveva ricevuto una mail in apparenza proveniente da , con la quale era stato invitato ad accedere CP_5 al proprio conto mediante un link contenuto nella mail inserendo le proprie credenziali per effettuare il cambio della password;
l'utente aveva effettuato l'operazione richiesta ed aveva successivamente riscontrato un addebito di 2.900,00 euro per un'operazione a favore di soggetto terzo, da lui mai ideata né compiuta.
La Suprema Corte ha chiarito in motivazione quanto segue:
“La giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell'accorto banchiere (Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo. pagina 14 di 26 La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019;
Cass., 6-3, n. 26916 del 26/11/2020).
Era pertanto onere di , come correttamente ritenuto dalla impugnata CP_5 sentenza, a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l'invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente”.
A sintesi, nel nostro caso, la va esente da responsabilità se prova di avere posto in CP_3 essere adeguati sistemi di prevenzione o riduzione dell'uso fraudolento dei sistemi elettronici di pagamento.
4.
Nel caso di specie, vari elementi portano a ravvisare colpa grave nella condotta del di per sé sola risultata idonea a consentire che la condotta di smishing si Pt_1
pagina 15 di 26 svolgesse indisturbata;
con conseguente infondatezza della pretesa qui fatta valere nei confronti della Banca convenuta.
4.a.
La convenuta costituendosi ha prodotto i documenti 1,1bis,2 e 4 al fine di CP_3 dimostrare quale fosse stata la tracciatura informatica lasciata dalle operazioni per cui è causa.
L'attore in occasione della prima udienza:
-ha contestato l'efficacia e idoneità probatoria di tali documenti;
-ha dichiarato che i documenti 2 e 4 della convenuta non erano stati da lui ricevuti, né erano da lui conosciuti o a lui riferibili.
Sempre l'attore nella memoria n. 1 ha qualificato le proprie asserzioni quale disconoscimento.
Orbene, occorre soppesare la effettiva valenza del dedotto “disconoscimento”:
§ non si tratta di disconoscimento ex art. 214 c.p.c. in quanto non si tratta di scritture private sottoscritte dall'attore, bensì si tratta di documentazione bancaria proveniente dal sistema informatico della Banca e prodotta in causa nella sua versione analogica;
§ il “disconoscimento” è stato effettuato in modo vago, e comunque l'attore non ha dedotto la non conformità della documentazione prodotta rispetto all'originale esistente nel sistema informatico della Banca;
§ in ogni caso, anche a volere ipotizzare che si sia trattato di contestazione della conformità all'originale, la giurisprudenza di legittimità (Cass. 26200/2024) ha avuto modo di chiarire a tal proposito che “Il disconoscimento della conformità all'originale della copia informatica di scrittura analogica depositata telematicamente è disciplinato dall'art. 2719
c.c., e non dalla normativa in tema di processo civile telematico, sicché tale disconoscimento deve essere effettuato, a pena di inefficacia, mediante dichiarazione che evidenzia in modo chiaro e univoco il documento che si intende contestare e gli aspetti differenziali rispetto all'originale, essendo poi rimesso al giudice l'accertamento di detta conformità attraverso le prove offerte in giudizio, comprese le presunzioni, a differenza di pagina 16 di 26 quanto si verifica per il disconoscimento della scrittura privata ex art. 215, comma 1, n. 2),
c.p.c. che, in mancanza di verificazione, ne impedisce l'utilizzabilità”; si veda anche Cass. 23213/2024: “Ai fini del disconoscimento della conformità all'originale di copia analogica di un documento informatico occorre una contestazione chiara, circostanziata ed esplicita, che si concreti nell'allegazione di elementi significanti la non corrispondenza tra la realtà fattuale e la realtà riprodotta”.
Ne consegue che nel presente giudizio è consentito fare uso anche dei documenti 1,1bis,2 e
4 di parte convenuta, i quali debbono considerarsi liberamente valutabili ai fini del decidere.
4.b.
La parte attrice nella memoria 1 ha richiamato le determinazioni della European Banking
Authority del 21 giugno 2019, deducendo che nel caso di specie la Banca avrebbe omesso di introdurre la c.d. autenticazione forte del cliente o SCA (Strong Customer
Authentication) basata su due o più elementi di autenticazione.
L'assunto è errato.
Basti richiamare quanto prima evidenziato rispetto a ciò che la convenuta ha idoneamente dedotto e prodotto mediante la memoria n. 2, rispetto all'adeguamento in questione.
Quindi è da considerarsi pacifico che la alla data della condotta di smishing (maggio CP_3
2021) si fosse allineata da anni alle prescrizioni europee attinenti alla c.d. autenticazione forte, e di ciò va tenuto conto a favore della stessa.
4.c.
Sia il contenuto dei documenti 2 e 3 attorei, sia il tenore (ammissivo) della denuncia- querela sporta dal in data 14 maggio 2021 (doc. 5 attoreo), sia i documenti Pt_1 prodotti dalla sub 1,1bis,2 e 4 attestano la inescusabile colpa grave che ha connotato CP_3 la condotta del Pt_1
pagina 17 di 26 Si è trattato di una operazione che l'ignoto è riuscito a porre in essere agganciando agevolmente la volontà del on modalità che avrebbero invece dovuto mettere Pt_1 il medesimo mmediatamente in allerta, e portarlo a immediatamente contattare Pt_1 la mediante canali ufficiali. CP_3
Egli invece per giorni non esitò a farsi condurre per mano dall'ignoto, precipitando da solo nell'errore inescusabile consistito nel rendere manifeste le proprie credenziali a mezzo telefono.
L'attore mediante la propria condotta consentì all'ignoto di eseguire l'operazione di bonifico del 12 maggio 2021 avvalendosi della procedura di autenticazione forte del pagamento.
Solo ex post, tardivamente, l'attore si mosse segnalando il tutto alla Banca, ma era già troppo tardi e non certo per fatto e colpa della Banca.
Nel dettaglio, accadde quanto segue.
Innanzitutto, il i fidò colposamente di un messaggio SMS (non riconducibile Pt_1 al vero intermediario) inviatogli nel pomeriggio del giorno lunedì 10 maggio 2021.
Mediante tale messaggio l'asserito mittente (solo a prima vista corrispondente all'utenza salvata dall'attore sul cellulare) segnalava che era stato effettuato “un Parte_2 accesso anomalo” sul conto del e aggiungeva la frase “inserire i dati” (cioè i Pt_1 dati bancari del al link ivi inserito. Pt_1
Il messaggio, già per come si presentava, era poco affidabile, sia perché conteneva una palese sgrammaticatura (vi si legge, con riferimento all'accesso anomalo, “e stato effettuato” invece che “è stato effettuato”), sia perché l'ignoto senza mezzi termini intimava al i cliccare su un link che neppure riportava il nome della Pt_1 CP_3
Già allora erano passati due anni dall'adeguamento del sistema bancario -quindi anche di alla c.d. autenticazione forte, e l'attore sapeva o doveva sapere quanto Parte_2 delicato fosse l'utilizzo dei propri parametri di accesso al sito bancario per l'esecuzione di operazioni.
Sarebbe bastato che immediatamente il si relazionasse ufficialmente alla Pt_1
Banca; così, egli avrebbe immediatamente appreso la natura frodatoria dell'SMS ricevuto;
ma egli superficialmente e inescusabilmente non agì in tal modo. pagina 18 di 26 Il ha ammesso nella denuncia-querela di avere eseguito l'operazione Pt_1 richiestagli, e di avere cliccato sul link dell'SMS inserendo i propri dati sensibili.
Non pago di ciò che aveva fatto, il vedasi la querela) -dopo avere ricevuto il Pt_1 giorno successivo e cioè martedì 11 maggio 2021 una telefonata da un cellulare privato “da un uomo italiano con accento meridionale il quale si dichiarava come operatore di
[...]
e il quale diceva che era giunta una richiesta di bonifico da lui non autorizzata e Pt_2 che tale bonifico era stato bloccato- non esitava colposamente a porre in essere un ulteriore imperdonabile errore, fornendo telefonicamente e “prontamente” a costui i dati personali e addirittura il codice cliente (quando invece è noto che mai le Banche chiedono per telefono ai propri clienti i loro dati sensibili per l'accesso alla APP).
Si veda a tal proposito l'SMS di martedì 11 maggio 2021 ore 16.53 del seguente tenore:
“Apri app ING e fai login e autorizza operazione per il blocco bonifico”.
Sempre nella denuncia-querela si legge che il non riusciva ad accedere alla Pt_1 propria app “in quanto non avevo al momento una connessione internet Parte_2 stabile”; è verosimile che il disturbo alla linea sia stato cagionato dall'ignoto, che così indusse il per nulla insospettito) a fornirgli con leggerezza a mezzo telefono i Pt_1 dati sensibili, codice cliente compreso;
il osì si illuse inescusabilmente che il Pt_1 supposto bonifico sarebbe stato bloccato.
E ancora, mercoledì 12 maggio 2021 alle ore 14.26 il medesimo ignoto contattava il alla stessa utenza cellulare in precedenza utilizzata, dicendogli “che sarebbero Pt_1 giunti dei codici numerici da inserire nella APP per non consentire il bonifico” e che fino al giorno successivo non avrebbe potuto accedere alla propria APP;
durante la telefonata l'ignoto faceva pervenire al codici, e il on esitava a inserirli nella Pt_1 Pt_1 propria APP cambiando i codici personali.
Ciò è attestato anche dal tenore dei seguenti SMS del 12 maggio 2021, ricevuti dal alle 14.27: “Apri app ING e fai login e autorizza operazione di blocco Pt_1 bonifico” “Bonifico bloccato con successo” e “Ecco il tuo codice cliente 541673” (si badi che si trattava di codice cliente diverso da quello del contratto, che era il n. 8502390).
In tal modo l'ignoto, grazie alla inescusabile fiducia prestatagli dal riuscì Pt_1 agevolmente a posizionarsi nella APP e a fare partire immediatamente il bonifico di pagina 19 di 26 29.000,00 euro in favore di tale “ con la causale di comodo “saldo Persona_2 fattura” (doc. 4 attoreo), creando un impoverimento nelle finanze del Pt_1
A questo punto il sistema informatico della Banca convenuta si attivò come sempre accade quando vengono eseguiti dei bonifici on line.
Precisamente, come si evince dal documento 4 convenuta, il 12 maggio 2021 alle ore 14.28
-e quindi 1 secondo dopo che il aveva consentito all'ignoto di eseguire il Pt_1 bonifico di 29.000 euro- la lanciò un triplice ordine di a tutela del CP_3 CP_6 in ottemperanza alla c.d. autenticazione forte e cioè: Pt_1
-un messaggio sms al suo esatto numero di telefono cellulare
-una notifica PUSH con cui gli si diceva che era stato eseguito un bonifico sul suo conto corrente e che se non gli risultava occorreva contattare subito la Banca Pt_2
-un messaggio via mail all'indirizzo (che, a differenza di Email_2 quanto sostenuto dall'attore, era la mail -diversa da quella originaria che compare nel contratto del 2015- ma corrispondente a quella che lui stesso aveva inserito a modifica nel sito della Banca sin dal 2016).
La tracciatura dei vari passaggi posti in essere in data 12 maggio 2021 la si desume anche dai documenti 1 e 1bis di parte convenuta.
In particolare, il documento 1bis consiste nella sintetica descrizione dei log cioè degli eventi occorsi il 12 maggio 2021 nel sistema informatico della Banca.
Il log è il resoconto di ciò che accade all'interno di un sistema. I log possono registrare errori, avvisi o semplici informazioni, fornendo così una preziosa fonte di informazioni per gli amministratori di sistema.
Orbene, dal documento 1bis convenuta risulta:
-che alle ore 14.26 del 12 maggio 2021 veniva effettuato dal cliente un accesso dal WEB all'Area Riservata della APP, accedendo alla pagina bonifici e predisponendo il bonifico di euro 29.000,00; dopodiché il servizio DGW acquisiva i conti correnti attivi del cliente;
-che in data 12 maggio 2021 veniva disposto alle ore 14.28 un ordine di bonifico in uscita dal conto del er euro 29.000,00; dopodiché il servizio DGW ne controllava Pt_1 con esito positivo la validità formale;
-che subito dopo i servizi DGW inviavano la PUSH al device del cliente per autorizzare il bonifico;
pagina 20 di 26 -che il bonifico veniva autorizzato alle ore 14.28.36, cosicché la challenge veniva chiusa con stato CLOSED / RESOLVED;
-che, come si evince dal documento 4 convenuta, alle ore 14.28.39 partivano le notifiche verso il CP_6 Pt_1
-che alle ore 14.28.40 il bonifico veniva acquisito e registrato con CRO 08845411711.
Stando così le cose, il ediante le notifiche fu posto nella condizione Pt_1 CP_6 di contattare subito la e così l'operazione avrebbe potuto essere bloccata. CP_3
Egli non può difendersi affermando di non avere ricevuto alcuno dei tre tipi di ALERT sudescritti.
Egli non ha offerto elementi in contrario, idonei a inficiare la valenza probatoria degli attendibili documenti qui prodotti dalla prima illustrati. CP_3
Né ha offerto un principio di prova mediante una perizia di parte, offrendo il proprio cellulare e/o il proprio tablet per la disamina informatica al fine di vedere escluso che tutti e tre gli gli fossero pervenuti. CP_6
Oltretutto, il asciò passare altri due giorni, dopo il 12 maggio 2021, in attesa Pt_1 che la APP ricominciasse a funzionare venerdì 14 maggio 2021; ma in realtà egli non ha dedotto né provato che il blocco della APP fosse avvenuto per tutti i clienti della Banca, e non solo per lui per effetto dei trucchi posti in essere dall'ignoto.
A maggior ragione egli a fronte del mancato funzionamento della APP avrebbe dovuto contattare il numero verde della Banca per segnalare il supposto blocco;
se lo avesse fatto, avrebbe consentito alla di intervenire subito, annullando l'operazione eseguita in CP_3 frode dall'ignoto.
Giocoforza l'operazione eseguita si consolidò e a fronte di ciò si giustifica la posizione della che non ha potuto far altro che rifiutare la restituzione della somma al CP_3 la Banca convenuta poteva anche interfacciarsi a propria volta con la Banca Pt_1 terza presso la quale era arrivato il bonifico di 29.000 euro;
ma la Banca terza probabilmente, se fosse stata compulsata a restituire la somma, avrebbe rimarcato la condotta del onnotata da colpa grave e si sarebbe esattamente rifiutata di fare Pt_1 regredire il tutto alla situazione ante bonifico-).
pagina 21 di 26 Insomma, il iolò platealmente e inescusabilmente e reiteratamente gli obblighi Pt_1 di sicurezza dettati per i clienti delle Banche dall'articolo 7 del d. lgs. 11/2010 prima illustrato, il quale prescrive all'utente di adottare ”tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”.
Le modalità adottate dall'ignoto rientrano tra quelle più diffuse e conosciute, che qualunque fruitore medio di servizi on line dotato di normale avvedutezza e prudenza deve essere in grado di riconoscere ed evitare.
La colpevole credulità del fa completamente cadere la prospettazione di Pt_1 assenza di diligenza qualificata ex art. 1176 co. 2 c.c. che nel caso di specie secondo l'attore avrebbe connotato l'operato della convenuta. CP_3
4.d.
Infine si rileva che la parte attrice ha cercato di infirmare la posizione della CP_3 convenuta deducendo a pagina 3 dell'atto di citazione quanto segue: “Risulta inoltre, per quanto spontaneamente riferito dal servizio clienti, che il giorno successivo all'operazione descritta, ben prima del disconoscimento del bonifico per cui è causa e prima di ricevere alcuna segnalazione da parte del la di sua iniziativa abbia bloccato Pt_1 CP_3 ulteriori due bonifici non autorizzati, altrimenti destinati a transitare sul medesimo conto corrente suindicati”.
A significare che la come aveva bloccato due ulteriori bonifici, avrebbe potuto CP_3 bloccare anche quello per cui è causa.
A dire il vero, però, la prospettazione di parte attrice risulta connotata da genericità e non risulta oggettivamente riscontrata da documentazione bancaria che la medesima parte attrice avrebbe potuto agevolmente procurarsi sol che lo avesse chiesto alla Banca di cui era correntista.
Ne consegue che rispetto alla prospettazione attorea non può dirsi maturata alcuna non contestazione ex adverso.
pagina 22 di 26 4.e.
Dato che gli argomenti esposti sono dirimenti, si determina l'assorbimento di ogni altra questione affrontata dalle parti, e risulta superflua/irrilevante la CTU chiesta dalla Banca convenuta.
C)
Secondo il principio della soccombenza, le spese del presente giudizio vanno poste a carico della parte attrice.
1.
La liquidazione del compenso va effettuata ai sensi del Decreto del Ministero della
Giustizia n. 55/2014, novellato in forza del D.M. 147 del 13 agosto 2022, le cui disposizioni ai sensi dell'art. 6 si applicano alle prestazioni professionali esaurite successivamente alla sua entrata in vigore (corrispondente al quindicesimo giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale dell'8 ottobre 2022) e quindi dal 23 ottobre 2022 in poi.
In particolare, in considerazione del disputatum, si applica lo scaglione da euro 26.000,01 a euro 52.000,00 (Tabella 2).
Le fasi da prendere in considerazione sono quelle di studio, introduttiva, trattazione/istruttoria e decisoria.
2.
Va tenuto conto anche della fase di attivazione della procedura di mediazione, non sfociata in un accordo (Tabella 25-bis; stesso scaglione da euro 26.000,01 a euro 52.000,00).
pagina 23 di 26 2.a.
A tal proposito si rinvia ai documenti 9-10-11 attorei, dai quali si evince:
a) che il CARBONI attivava la procedura avanti all'Organismo di Mediazione denominato
CO A.D.R. s.r.l. avente sede legale in Bologna, depositando domanda in data 22 novembre 2021;
b) che faceva pervenire ad CO dichiarazione datata 30 Controparte_4 novembre 2021 di adesione alla domanda di avvio della mediazione sottoscritta dal
Procuratore inviando in allegato la procura speciale rilasciata in data 3 dicembre CP_2
2021 dai Procuratori avv. Prati e dott. in favore degli avvocati Polacchini e CP_2
Dimagli di Milano proprio in relazione alla procedura di mediazione instaurata dal con firma digitale); Pt_1
c) che il primo incontro di mediazione si svolgeva il 19 gennaio 2022, con la partecipazione telematica degli avvocati Polacchini e Dimagli per;
CP_1
d) che a tutti gli effetti la risultava rappresentata all'incontro di mediazione da CP_3 avvocati muniti di procura speciale facente espresso riferimento a quella specifica procedura di mediazione.
A tutto ciò consegue che la all'incontro di mediazione del 19 gennaio 2022 risultava CP_3 ritualmente rappresentata dagli avvocati Polacchini e Dimagli;
resta quindi incomprensibile la dedotta “irritualità” di tale rappresentanza, ventilata da parte attrice a pagina 5 dell'atto di citazione, e poi anche a pagina 6 della prima memoria ex art. 183/6
c.p.c.
A dire il vero la parte convenuta, forse dimenticandosi di avere inviato ad CO la procura speciale per quella mediazione, costituendosi ha prodotto il documento 3 che corrisponde a precedente procura rilasciata all'avvocato Polacchini in data 21 maggio 2019 con riferimento a qualsivoglia procedimento di mediazione.
Ma con tutta evidenza la procura speciale allegata alla adesione alla mediazione è assorbente rispetto alla precedente procura di cui si duole la parte attrice (vedasi anche a pagina 6 della memoria n. 1 attorea, ove la parte attrice ribadisce la carenza di una procura speciale sostanziale per la mediazione;
in realtà la parte attrice avrebbe dovuto cogliere il succedersi fra la procura del maggio 2019 e la procura speciale rilasciata dalla Banca ai pagina 24 di 26 due avvocati Polacchini e Dimagli a fine 2021 in relazione alla procedura intrapresa dal vanti ad CO). Pt_1
2.b.
Né può condividersi l'ulteriore assunto attoreo in forza del quale la “indisponibilità alla mediazione”, in tesi dimostrata dalla Banca, giustificherebbe l'applicazione del combinato disposto degli articoli 8 comma 4 bis del d. lgs. 28/2010 e dell'articolo 116 c.p.c. (così a pag. 6 dell'atto di citazione).
L'articolo 8 comma 4 bis è del seguente tenore: “Dalla mancata partecipazione senza giustificato motivo al procedimento di mediazione, il giudice può desumere argomenti di prova nel successivo giudizio ai sensi dell'articolo 116, secondo comma, del codice di procedura civile”.
Nel caso di specie è di palmare evidenza che la ha partecipato a tutti gli effetti al CP_3 procedimento di mediazione, dapprima inviando il modulo di adesione alla domanda di mediazione proposta dal e poi partecipando telematicamente all'incontro del Pt_1
19 gennaio 2022 per il tramite dei procuratori muniti di specifica procura (corrispondente, si ripete, a quella allegata alla dichiarazione di adesione alla domanda di mediazione, prodotta dalla stessa parte attrice col doc. 10: vedasi la pag. 7 a schermo).
Libera poi la di non prestare adesione in sede di mediazione alla pretesa del CP_3
i vedersi corrispondere/rimborsare i 29.000 euro di cui si è detto. Pt_1
3.
Tanto precisato, sussistono i presupposti per liquidare complessivi euro 6.699,50 arrotondati a euro 6.700,00 (valori medi per le fasi di studio, introduttiva e istruttoria e così euro 1.701 + 1.204 + 1.806; valori minimi per la fase decisoria, nel difetto di scritti difensivi conclusivi a fronte della scelta della modalità della discussione orale, e così euro
1.452,50; valori medi per la fase di attivazione della mediazione, e così euro 536), oltre pagina 25 di 26 rimborso spese forfettarie del 15% ai sensi dell'articolo 2 comma 2 D.M. citato, IVA e
CPA come per legge.
P.Q.M.
Il Tribunale, definitivamente pronunciando, ogni diversa istanza, difesa, eccezione, deduzione disattesa così provvede:
• Rigetta ogni domanda proposta da nei confronti di Parte_1 Controparte_4
.
[...]
• Condanna al pagamento in favore di Parte_1 Controparte_4
delle spese del presente giudizio, che si liquidano in euro 6.700,00 per
[...] compenso di avvocato, oltre rimborso forfettario 15%, CPA 4% e IVA se dovuta.
Così deciso in Bologna in data 23 dicembre 2025.
IL GIUDICE
(dott. Paola Matteucci)
pagina 26 di 26