TRIB
Sentenza 30 ottobre 2025
Sentenza 30 ottobre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Pescara, sentenza 30/10/2025, n. 1161 |
|---|---|
| Giurisdizione : | Trib. Pescara |
| Numero : | 1161 |
| Data del deposito : | 30 ottobre 2025 |
Testo completo
R.G. 3948/2022
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE DI PESCARA
SEZIONE CIVILE
nella persona della Dott.ssa Cleonice G. CORDISCO in funzione di giudice unico, ha pronunciato la seguente
SENTENZA
nella causa civile di primo grado, iscritta al n. 3948 ruolo generale affari contenziosi dell'anno 2022, vertente
TRA
(C.F. ), in proprio e quale legale rappresentate “pro Parte_1 CodiceFiscale_1 tempore” della (P.I. ), rappresentato e difeso dagli avv.ti Parte_2 P.IVA_1
MA IT Di MB e RC CI come da procura in atti ATTORE
E
(C.F e P.I. ), in persona del legale Controparte_1 P.IVA_2 rappresentante “pro tempore”, rappresentata e difesa dall'avv. Lucio Stenio De Benedictis come da procura in atti CONVENUTA
OGGETTO: contratti bancari e risarcimento danni.
CONCLUSIONI: come in atti.
RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
Con atto di citazione ritualmente notificato, , in proprio e quale legale rappresentate Parte_1
“pro tempore” della conveniva in giudizio, davanti a questo Tribunale, la Parte_2
1 Contr (di seguito , in persona del legale rappresentante “pro Controparte_1 tempore”, e – premesso di essere titolare di due rapporti di conto corrente, attivati anche in home Contr banking e che pertanto consentivano operazioni on line, accesi presso la filiale della di
Pescara; che, in particolare, detti rapporti erano il c/c n. 05302001049 intestato all'attore, cui era collegata la carta di debito n. 32776746, e il c/c n. 05302003365 intestato alla Parte_2
(di cui il medesimo era legale rappresentante), cui era collegata la carta di debito n.
[...] Pt_1
33134723; che, il 9.11.2020 era stato contattato dal personale della filiale e invitato a recarsi in banca in quanto risultavano eseguite operazioni anomale su entrambi i rapporti di cui sopra;
che, giunto in filiale e informato del contenuto delle singole operazioni (analiticamente indicate in citazione), aveva rilevato di non averle autorizzate né disposte;
che, a causa di tanto, gli erano state addebitate le seguenti somme:
- euro 21.961,82 sul c/c n. 05302001049, con azzeramento della provvista accantonata,
- euro 1.606,60 sul c/c n. 05302003365,
e così per un importo complessivo di euro 23.566,42;
che egli aveva disconosciuto formalmente tutte le operazioni, specificando di non aver smarrito né ceduto a terzi le carte di debito e di non aver rivelato né subito il furto/smarrimento del codice personale segreto;
che aveva quindi chiesto alla banca la restituzione sui propri conti delle somme oggetto delle operazioni contestate;
che, tuttavia, l'istituto di credito aveva respinto ogni addebito e Contr negato il rimborso – tanto premesso, chiedeva riconoscersi la responsabilità della con conseguente condanna della stessa al pagamento, in suo favore di complessivi €. 23.566,40, con rivalutazione decorrente “dalla data delle singole disposizioni fino alla data della sentenza, oltre interessi compensativi a far data dalla proposizione della domanda giudiziale e sino all'intervenuta decisione, ed oltre ancora interessi legali dalla data della sentenza sino all'effettivo soddisfo”.
Contr In particolare, l'attore riteneva la responsabile dell'accaduto ai sensi dell'art. 10 D. Lgs. n.
11/2010, per non avere adottato le misure idonee a garantire la sicurezza del servizio offerto;
il inoltre, evidenziava ulteriori profili di responsabilità della banca, che non si era avveduta Pt_1 dell'anomalia delle operazioni in considerazione delle concrete modalità di esecuzione delle stesse
(frazionate nel corso di tre giorni e, nell'ambito della stessa giornata, effettuate a distanza di pochi minuti l'una dall'altra, su conti correnti che non avevano mai avuto ingenti movimentazioni e senza assicurarsi che le operazioni provenissero dall'effettivo titolare dei rapporti).
2 Ed ancora, lamentava che la convenuta aveva omesso di segnalare le operazioni medesime agli organi competenti, in violazione delle prescrizioni di cui al D. Lgs. n. 231/07.
Contr Costituitasi in giudizio, la contestava puntualmente l'assunto avversario, di cui chiedeva il rigetto.
La domanda è fondata e, pertanto, deve essere accolta.
Nella fattispecie che ci occupa trova applicazione l'art. 10 D. Lgs. n. 11/2010, a mente del quale:
“Qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
1-bis. Se l'operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze,
l'operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato.
2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Detta normativa pone, dunque, a carico del prestatore del servizio di pagamento un duplice onere probatorio, dovendo questi in concreto dimostrare sia che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che il sistema non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti, sia la frode, il dolo o la colpa grave dell'utente.
3 Contr Ciò posto, ritiene il giudicante che nella specie la non abbia adempiuto a detto onere probatorio, non avendo in particolare dimostrato di aver adottato sistemi di sicurezza come prescritti dalla normativa di riferimento, in grado di precludere l'accesso a soggetti non abilitati al sistema, così consentendo di dare corso alle richiamate, contestate operazioni.
A tali conclusioni si giunge all'esito della disposta CTU, volta a verificare se la Banca abbia utilizzato un sistema di autenticazione forte multifattore, come da normativa in vigore, e se tutte le operazioni oggetto ci causa siano state autenticate, correttamente registrate e contabilizzate. Al CTU
è stato altresì chiesto se il sistema di autenticazione utilizzato dalla convenuta “sia conforme ai requisiti della Strong Customer Authentication definiti dall'Opinion Eba del 21.06.2019”.
Ebbene, l'ausiliare, in via preliminare e con riferimento alla disponibilità dei dati, ha premesso che
“…tutti i sistemi informatici della banca convenuta risultano di fatto inaccessibili per gli scopi di questa consulenza tecnica, ovviamente per ragioni di sicurezza ma anche per semplice complessità degli stessi. Di fatto, quindi, tutte le informazioni ed i dati disponibili relativi alle transazioni bancarie di interesse per questa consulenza tecnica sono quelle fornite dalla banca convenuta e già presente agli atti, di cui però si sconosce la metodologia di estrazione, elaborazione e sulla cui veridicità e validità non è possibile allo stato effettuare alcuna valutazione che possa essere considerata tecnicamente valida” precisando che “già il semplice formato dei log allegati agli atti
(PDF, screenshot di schermata e formato Excel) non possono in alcun modo garantire né la provenienza, né tantomeno la veridicità e validità dei dati in essi contenuti”.
Il CTU ha quindi affermato che “non essendovi allo stato la concreta possibilità di verificare de facto la veridicità dei dati forniti dalla banca convenuta — ovviamente fondamentali per la questione oggetto di causa — si procederà considerando gli stessi validi, non essendovi alcun elemento utile né — come detto — per la validazione degli stessi, né per la loro contestazione”.
Tale premessa ha chiaramente inciso sulle conclusioni cui è pervenuto il consulente, le quali, infatti, sono state formulate con giudizio di “verosimiglianza”, come tale inidoneo a fornire un inequivoco mezzo di prova.
In particolare, il CTU ha dichiarato che “Nei log non vi è traccia delle operazioni eseguite attraverso le carte di debito, verosimilmente in quanto le stesse carte di debito erano state abbinate al dispositivo cellulare mediante l'attivazione del servizio Applepay”; si legge, altresì, nell'elaborato che con l'accesso all'app “verosimilmente non effettuato in precedenza”, sarebbe stata effettuata la procedura di abbinamento del dispositivo con conseguente verifica a doppio fattore dell'utente tramite “OTP inviato verosimilmente a mezzo SMS”.
4 A tale ultimo proposito, l'ausiliare ha tuttavia precisato (nota 4 p. 10) che l'elenco degli SMS inviati al correntista, e riportato nello screenshot prodotto dalla banca “oltre ad avere le stesse criticità riguardo all'autenticità del contenuto come gli altri documenti in atti”, è privo di tutti gli orari, sicché il primo SMS “è plausibile si riferisca all'autenticazione a doppio fattore tramite OTP, non potendosi evidentemente riferire ad altro”.
E anche con riferimento alla protezione dei dati il CTU si è espresso in termini probabilistici, affermando che “sebbene non vi sia alcun elemento che possa portare indicazioni utili in merito alla tipologia di connessione e di crittografia tra i canali di comunicazione tra il sistema bancario e l'app presente all'interno del dispositivo, ed invero non vi siano elementi per poter stabilire, a posteriori, tali elementi alla data di accadimento dei fatti, nulla è possibile dire in merito;
ad ogni buon conto, è necessario sottolineare come la crittografia end-to-end nei canali di comunicazioni è ormai da anni standard anche nei normali siti internet (ad es. protocollo HTTPS), e pertanto è plausibile supporre che anche all'epoca dei fatti la protezione dei dati scambiati tra sistema bancario ed app fosse da ritenersi “sicura” e quindi conforme al requisito della normativa”.
A tanto si aggiunga che l'ausiliare, nel rispondere all'ulteriore quesito postogli, ha affermato che
“per soddisfare i requisiti del Regolamento delegato (UE) 3 2018/389 e le raccomandazioni fornite nell'opinione EBA-Op-2019-06, un sistema di autenticazione multifattore (MFA) implementato da una banca dovrebbe includere le seguenti specifiche caratteristiche tecniche e funzionali: 1)
Elementi di autenticazione indipendenti… 2) Autenticazione Dinamica…; 3) Protezione dei Dati…;
4) Valutazione del Rischio…; 5) Gestione delle Eccezioni ed Esenzioni…”.
Ha quindi concluso affermando che “il sistema di autenticazione adottato dalla banca convenuta, relativamente ai requisiti del Regolamento delegato (UE) 2018/389 e le raccomandazioni fornite nell'opinione EBA-Op-2019-06, risulta conforme a tre dei cinque requisiti richiesti (presenza di
Elementi di Autenticazione Indipendenti, presenza di un sistema di Autenticazione Dinamica e
Protezione dei dati), mentre nulla è possibile dire in merito agli altri due punti richiesti dalla normativa (Valutazione del rischio e Gestione delle eccezioni)”.
Contr Le considerazioni in ordine alla veridicità e validità della documentazione prodotta dalla posta a fondamento dell'elaborato peritale, in uno al mancato rispetto di tutti i presidi di sicurezza di cui alla normativa di riferimento, depongono per il non corretto assolvimento dell'onere probatorio gravante sull'intermediario ai sensi del richiamato artt. 10 D. Lgs. n. 11/2010.
5 Ad ogni buon conto, qualora non si dovessero condividere dette argomentazioni, si rileva come l'istituto di credito non abbia dimostrato la sussistenza di profili di colpa scrivibili all'utilizzatore nella gestione dello strumento di pagamento.
Ed invero, anche nel caso in cui il prestatore d'opera fornisca la prova che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti, non va per sé solo esente da responsabilità.
Infatti, il comma 2 del ripetuto art. 10 prevede, come già evidenziato, che “l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sè necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, nè che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7”.
In altri termini, come condivisibilmente sostenuto, “ancorché il prestatore dimostri che l'operazione
è stata autorizzata nel rispetto delle procedure di autenticazione previste dalla banca, e che quindi sia giuridicamente imputabile all'utente, da tale circostanza non si può direttamente inferire che sia quest'ultimo a versare in colpa grave in relazione agli obblighi posti dall'art. 7, ovvero che abbia, ad esempio, incautamente comunicato le credenziali a soggetti terzi. Non si può pertanto ritenere che la pressoché totale invulnerabilità del sistema di autenticazione forte a “due fattori” sia tale di per sé a fondare la presunzione di una colpa grave in capo al cliente, in assenza di altri elementi di prova” (Tribunale Firenze, 10 marzo 2025 n. 956).
Non è dunque sufficiente, al fine di accertare la legittimità delle operazioni bancarie, che risultino inserite le credenziali per attribuire la volontarietà dell'azione al correntista, essendo “necessario, invece, un quid pluris, a carico dell'intermediario, sui cui grava l'onere di accertare l'effettiva volontà del correntista medesimo di dar luogo all'operazione in conto corrente prima di dar corso alla stessa (Tribunale Santa MA Capua Venere, 20.07.2023, n. 3022).
Contr Nella specie, la non ha fornito prova alcuna circa la presunta condotta gravemente colposa o dolosa del cliente, essendosi limitata ad ipotizzarne la sussistenza (asserita incauta custodia, da parte del degli strumenti di pagamento o comunicazione a terzi delle proprie credenziali o, Pt_1 ancora, incauta risposta da parte dell'attore ad una mail o un sms di phishing) sulla scorta di inammissibile, per quanto sopra, automatismo.
6 E' pur vero che, proprio in considerazione delle difficoltà nell'ottenere le evidenze necessarie per dimostrare la fondatezza del proprio assunto, all'intermediario - che non ha accesso ad informazioni relative all'organizzazione dei propri clienti ed alle modalità di custodia dei dispositivi, ulteriori rispetto a quelle dichiarate dai clienti stessi in sede di denuncia e, eventualmente, di giudizio- va riconosciuta l'ammissibilità del ricorso a prove di natura presuntiva ex art. 2729 cc. Tuttavia, nell'ipotesi in cui all'esito del giudizio non emergano in maniera chiara le modalità fraudolente (cd. rischio da ignoto tecnologico), sulla base della ripartizione dell'onere probatorio, la responsabilità ricadrà comunque sulla Banca, conformemente alla regola di ripartizione di responsabilità posta dall'art. 10 (cfr. Tribunale Firenze, cit.).
Sul punto si è espressa la giurisprudenza di legittimità che, dopo aver ricondotto la fattispecie nell'alveo della responsabilità contrattuale, ha affermato che: “in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (Cass. 16417/2022; Cass.
9158/2018; Cass. 2959/2017).
Nella specie, l'istituto di credito non ha fornito la prova neppure presuntiva dell'incauta rivelazione a terzi dei codici personali da parte dell'attore. Per altro verso, il fatto che il conto corrente on line potesse essere accessibile da parte di soggetti fraudolentemente entrati in possesso delle credenziali dell'utente e da questi non comunicate con dolo o assoluta imprudenza dimostra essa stessa l'inesistenza di un adeguato meccanismo di protezione dei dati dei correntisti da parte dell'Istituto di credito (cfr. Tribunale Parma, 06.09.2018, n. 1268).
Come recentemente affermato dalla S.C., “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli
7 oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass.,1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del
26/11/2020)” (Cass. n. 3780/24, in motivazione).
Contr Costituiva, dunque, onere della dimostrare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova, deve essere imputato alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente (cfr. Cass. n. 3780/24, cit.; si veda anche Cass. n. 23683/24).
In definitiva, in applicazione di tali principi al caso di specie ed assorbita ogni ulteriore questione, Contr deve concludersi per l'accoglimento della domanda, con conseguente condanna della al pagamento della somma complessiva di euro 23.566,40.
Poiché trattasi di debito di valore, detto importo deve essere rivalutato con decorrenza dalle date delle singole disposizioni alla presente sentenza (cfr. Cass. n. 13225/2016), e a tale somma devono aggiungersi gli interessi compensativi dalla domanda alla presente pronuncia, oltre interessi legali dalla data odierna al saldo (cfr. Tribunale Parma, n. 1268/18 e Tribunale Busto Arsizio, n. 1434/22).
Le spese del giudizio seguono la soccombenza e vengono liquidate come da dispositivo.
Infine, restano definitivamente a carico della convenuta le spese di cui alla disposta CTU, così come liquidate in corso di causa con decreto del 13 marzo 2024.
P.Q.M.
Il Tribunale di Pescara, in composizione monocratica, definitivamente pronunciando sulla domanda proposta da , in proprio e quale legale rappresentate “pro tempore” della Parte_1 [...]
nei confronti della in persona del legale Parte_2 Controparte_1 rappresentante “pro tempore”, ogni ulteriore istanza, difesa ed eccezione disattesa, così provvede:
8 a) accoglie la domanda e, per l'effetto, condanna la al pagamento, Controparte_1 in favore dell'istante, della somma complessiva di euro 23.566,40, oltre rivalutazione con decorrenza dalle singole disposizioni alla presente sentenza, interessi compensativi dalla domanda alla presente sentenza ed interessi legali dalla data odierna al saldo;
b) condanna la convenuta al pagamento delle spese di lite, liquidate nella misura di euro
5.077,00 per compenso professionale ed euro 264,00 per spese, oltre accessori come per legge;
c) restano definitivamente a carico della convenuta le spese di cui alla disposta CTU, così come liquidate con decreto del 13 marzo 2024.
Così deciso in Pescara, il 24 ottobre 2025
IL GIUDICE
dott.ssa Cleonice G. Cordisco
9
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE DI PESCARA
SEZIONE CIVILE
nella persona della Dott.ssa Cleonice G. CORDISCO in funzione di giudice unico, ha pronunciato la seguente
SENTENZA
nella causa civile di primo grado, iscritta al n. 3948 ruolo generale affari contenziosi dell'anno 2022, vertente
TRA
(C.F. ), in proprio e quale legale rappresentate “pro Parte_1 CodiceFiscale_1 tempore” della (P.I. ), rappresentato e difeso dagli avv.ti Parte_2 P.IVA_1
MA IT Di MB e RC CI come da procura in atti ATTORE
E
(C.F e P.I. ), in persona del legale Controparte_1 P.IVA_2 rappresentante “pro tempore”, rappresentata e difesa dall'avv. Lucio Stenio De Benedictis come da procura in atti CONVENUTA
OGGETTO: contratti bancari e risarcimento danni.
CONCLUSIONI: come in atti.
RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
Con atto di citazione ritualmente notificato, , in proprio e quale legale rappresentate Parte_1
“pro tempore” della conveniva in giudizio, davanti a questo Tribunale, la Parte_2
1 Contr (di seguito , in persona del legale rappresentante “pro Controparte_1 tempore”, e – premesso di essere titolare di due rapporti di conto corrente, attivati anche in home Contr banking e che pertanto consentivano operazioni on line, accesi presso la filiale della di
Pescara; che, in particolare, detti rapporti erano il c/c n. 05302001049 intestato all'attore, cui era collegata la carta di debito n. 32776746, e il c/c n. 05302003365 intestato alla Parte_2
(di cui il medesimo era legale rappresentante), cui era collegata la carta di debito n.
[...] Pt_1
33134723; che, il 9.11.2020 era stato contattato dal personale della filiale e invitato a recarsi in banca in quanto risultavano eseguite operazioni anomale su entrambi i rapporti di cui sopra;
che, giunto in filiale e informato del contenuto delle singole operazioni (analiticamente indicate in citazione), aveva rilevato di non averle autorizzate né disposte;
che, a causa di tanto, gli erano state addebitate le seguenti somme:
- euro 21.961,82 sul c/c n. 05302001049, con azzeramento della provvista accantonata,
- euro 1.606,60 sul c/c n. 05302003365,
e così per un importo complessivo di euro 23.566,42;
che egli aveva disconosciuto formalmente tutte le operazioni, specificando di non aver smarrito né ceduto a terzi le carte di debito e di non aver rivelato né subito il furto/smarrimento del codice personale segreto;
che aveva quindi chiesto alla banca la restituzione sui propri conti delle somme oggetto delle operazioni contestate;
che, tuttavia, l'istituto di credito aveva respinto ogni addebito e Contr negato il rimborso – tanto premesso, chiedeva riconoscersi la responsabilità della con conseguente condanna della stessa al pagamento, in suo favore di complessivi €. 23.566,40, con rivalutazione decorrente “dalla data delle singole disposizioni fino alla data della sentenza, oltre interessi compensativi a far data dalla proposizione della domanda giudiziale e sino all'intervenuta decisione, ed oltre ancora interessi legali dalla data della sentenza sino all'effettivo soddisfo”.
Contr In particolare, l'attore riteneva la responsabile dell'accaduto ai sensi dell'art. 10 D. Lgs. n.
11/2010, per non avere adottato le misure idonee a garantire la sicurezza del servizio offerto;
il inoltre, evidenziava ulteriori profili di responsabilità della banca, che non si era avveduta Pt_1 dell'anomalia delle operazioni in considerazione delle concrete modalità di esecuzione delle stesse
(frazionate nel corso di tre giorni e, nell'ambito della stessa giornata, effettuate a distanza di pochi minuti l'una dall'altra, su conti correnti che non avevano mai avuto ingenti movimentazioni e senza assicurarsi che le operazioni provenissero dall'effettivo titolare dei rapporti).
2 Ed ancora, lamentava che la convenuta aveva omesso di segnalare le operazioni medesime agli organi competenti, in violazione delle prescrizioni di cui al D. Lgs. n. 231/07.
Contr Costituitasi in giudizio, la contestava puntualmente l'assunto avversario, di cui chiedeva il rigetto.
La domanda è fondata e, pertanto, deve essere accolta.
Nella fattispecie che ci occupa trova applicazione l'art. 10 D. Lgs. n. 11/2010, a mente del quale:
“Qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
1-bis. Se l'operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze,
l'operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato.
2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Detta normativa pone, dunque, a carico del prestatore del servizio di pagamento un duplice onere probatorio, dovendo questi in concreto dimostrare sia che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che il sistema non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti, sia la frode, il dolo o la colpa grave dell'utente.
3 Contr Ciò posto, ritiene il giudicante che nella specie la non abbia adempiuto a detto onere probatorio, non avendo in particolare dimostrato di aver adottato sistemi di sicurezza come prescritti dalla normativa di riferimento, in grado di precludere l'accesso a soggetti non abilitati al sistema, così consentendo di dare corso alle richiamate, contestate operazioni.
A tali conclusioni si giunge all'esito della disposta CTU, volta a verificare se la Banca abbia utilizzato un sistema di autenticazione forte multifattore, come da normativa in vigore, e se tutte le operazioni oggetto ci causa siano state autenticate, correttamente registrate e contabilizzate. Al CTU
è stato altresì chiesto se il sistema di autenticazione utilizzato dalla convenuta “sia conforme ai requisiti della Strong Customer Authentication definiti dall'Opinion Eba del 21.06.2019”.
Ebbene, l'ausiliare, in via preliminare e con riferimento alla disponibilità dei dati, ha premesso che
“…tutti i sistemi informatici della banca convenuta risultano di fatto inaccessibili per gli scopi di questa consulenza tecnica, ovviamente per ragioni di sicurezza ma anche per semplice complessità degli stessi. Di fatto, quindi, tutte le informazioni ed i dati disponibili relativi alle transazioni bancarie di interesse per questa consulenza tecnica sono quelle fornite dalla banca convenuta e già presente agli atti, di cui però si sconosce la metodologia di estrazione, elaborazione e sulla cui veridicità e validità non è possibile allo stato effettuare alcuna valutazione che possa essere considerata tecnicamente valida” precisando che “già il semplice formato dei log allegati agli atti
(PDF, screenshot di schermata e formato Excel) non possono in alcun modo garantire né la provenienza, né tantomeno la veridicità e validità dei dati in essi contenuti”.
Il CTU ha quindi affermato che “non essendovi allo stato la concreta possibilità di verificare de facto la veridicità dei dati forniti dalla banca convenuta — ovviamente fondamentali per la questione oggetto di causa — si procederà considerando gli stessi validi, non essendovi alcun elemento utile né — come detto — per la validazione degli stessi, né per la loro contestazione”.
Tale premessa ha chiaramente inciso sulle conclusioni cui è pervenuto il consulente, le quali, infatti, sono state formulate con giudizio di “verosimiglianza”, come tale inidoneo a fornire un inequivoco mezzo di prova.
In particolare, il CTU ha dichiarato che “Nei log non vi è traccia delle operazioni eseguite attraverso le carte di debito, verosimilmente in quanto le stesse carte di debito erano state abbinate al dispositivo cellulare mediante l'attivazione del servizio Applepay”; si legge, altresì, nell'elaborato che con l'accesso all'app “verosimilmente non effettuato in precedenza”, sarebbe stata effettuata la procedura di abbinamento del dispositivo con conseguente verifica a doppio fattore dell'utente tramite “OTP inviato verosimilmente a mezzo SMS”.
4 A tale ultimo proposito, l'ausiliare ha tuttavia precisato (nota 4 p. 10) che l'elenco degli SMS inviati al correntista, e riportato nello screenshot prodotto dalla banca “oltre ad avere le stesse criticità riguardo all'autenticità del contenuto come gli altri documenti in atti”, è privo di tutti gli orari, sicché il primo SMS “è plausibile si riferisca all'autenticazione a doppio fattore tramite OTP, non potendosi evidentemente riferire ad altro”.
E anche con riferimento alla protezione dei dati il CTU si è espresso in termini probabilistici, affermando che “sebbene non vi sia alcun elemento che possa portare indicazioni utili in merito alla tipologia di connessione e di crittografia tra i canali di comunicazione tra il sistema bancario e l'app presente all'interno del dispositivo, ed invero non vi siano elementi per poter stabilire, a posteriori, tali elementi alla data di accadimento dei fatti, nulla è possibile dire in merito;
ad ogni buon conto, è necessario sottolineare come la crittografia end-to-end nei canali di comunicazioni è ormai da anni standard anche nei normali siti internet (ad es. protocollo HTTPS), e pertanto è plausibile supporre che anche all'epoca dei fatti la protezione dei dati scambiati tra sistema bancario ed app fosse da ritenersi “sicura” e quindi conforme al requisito della normativa”.
A tanto si aggiunga che l'ausiliare, nel rispondere all'ulteriore quesito postogli, ha affermato che
“per soddisfare i requisiti del Regolamento delegato (UE) 3 2018/389 e le raccomandazioni fornite nell'opinione EBA-Op-2019-06, un sistema di autenticazione multifattore (MFA) implementato da una banca dovrebbe includere le seguenti specifiche caratteristiche tecniche e funzionali: 1)
Elementi di autenticazione indipendenti… 2) Autenticazione Dinamica…; 3) Protezione dei Dati…;
4) Valutazione del Rischio…; 5) Gestione delle Eccezioni ed Esenzioni…”.
Ha quindi concluso affermando che “il sistema di autenticazione adottato dalla banca convenuta, relativamente ai requisiti del Regolamento delegato (UE) 2018/389 e le raccomandazioni fornite nell'opinione EBA-Op-2019-06, risulta conforme a tre dei cinque requisiti richiesti (presenza di
Elementi di Autenticazione Indipendenti, presenza di un sistema di Autenticazione Dinamica e
Protezione dei dati), mentre nulla è possibile dire in merito agli altri due punti richiesti dalla normativa (Valutazione del rischio e Gestione delle eccezioni)”.
Contr Le considerazioni in ordine alla veridicità e validità della documentazione prodotta dalla posta a fondamento dell'elaborato peritale, in uno al mancato rispetto di tutti i presidi di sicurezza di cui alla normativa di riferimento, depongono per il non corretto assolvimento dell'onere probatorio gravante sull'intermediario ai sensi del richiamato artt. 10 D. Lgs. n. 11/2010.
5 Ad ogni buon conto, qualora non si dovessero condividere dette argomentazioni, si rileva come l'istituto di credito non abbia dimostrato la sussistenza di profili di colpa scrivibili all'utilizzatore nella gestione dello strumento di pagamento.
Ed invero, anche nel caso in cui il prestatore d'opera fornisca la prova che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti, non va per sé solo esente da responsabilità.
Infatti, il comma 2 del ripetuto art. 10 prevede, come già evidenziato, che “l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sè necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, nè che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7”.
In altri termini, come condivisibilmente sostenuto, “ancorché il prestatore dimostri che l'operazione
è stata autorizzata nel rispetto delle procedure di autenticazione previste dalla banca, e che quindi sia giuridicamente imputabile all'utente, da tale circostanza non si può direttamente inferire che sia quest'ultimo a versare in colpa grave in relazione agli obblighi posti dall'art. 7, ovvero che abbia, ad esempio, incautamente comunicato le credenziali a soggetti terzi. Non si può pertanto ritenere che la pressoché totale invulnerabilità del sistema di autenticazione forte a “due fattori” sia tale di per sé a fondare la presunzione di una colpa grave in capo al cliente, in assenza di altri elementi di prova” (Tribunale Firenze, 10 marzo 2025 n. 956).
Non è dunque sufficiente, al fine di accertare la legittimità delle operazioni bancarie, che risultino inserite le credenziali per attribuire la volontarietà dell'azione al correntista, essendo “necessario, invece, un quid pluris, a carico dell'intermediario, sui cui grava l'onere di accertare l'effettiva volontà del correntista medesimo di dar luogo all'operazione in conto corrente prima di dar corso alla stessa (Tribunale Santa MA Capua Venere, 20.07.2023, n. 3022).
Contr Nella specie, la non ha fornito prova alcuna circa la presunta condotta gravemente colposa o dolosa del cliente, essendosi limitata ad ipotizzarne la sussistenza (asserita incauta custodia, da parte del degli strumenti di pagamento o comunicazione a terzi delle proprie credenziali o, Pt_1 ancora, incauta risposta da parte dell'attore ad una mail o un sms di phishing) sulla scorta di inammissibile, per quanto sopra, automatismo.
6 E' pur vero che, proprio in considerazione delle difficoltà nell'ottenere le evidenze necessarie per dimostrare la fondatezza del proprio assunto, all'intermediario - che non ha accesso ad informazioni relative all'organizzazione dei propri clienti ed alle modalità di custodia dei dispositivi, ulteriori rispetto a quelle dichiarate dai clienti stessi in sede di denuncia e, eventualmente, di giudizio- va riconosciuta l'ammissibilità del ricorso a prove di natura presuntiva ex art. 2729 cc. Tuttavia, nell'ipotesi in cui all'esito del giudizio non emergano in maniera chiara le modalità fraudolente (cd. rischio da ignoto tecnologico), sulla base della ripartizione dell'onere probatorio, la responsabilità ricadrà comunque sulla Banca, conformemente alla regola di ripartizione di responsabilità posta dall'art. 10 (cfr. Tribunale Firenze, cit.).
Sul punto si è espressa la giurisprudenza di legittimità che, dopo aver ricondotto la fattispecie nell'alveo della responsabilità contrattuale, ha affermato che: “in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente (Cass. 16417/2022; Cass.
9158/2018; Cass. 2959/2017).
Nella specie, l'istituto di credito non ha fornito la prova neppure presuntiva dell'incauta rivelazione a terzi dei codici personali da parte dell'attore. Per altro verso, il fatto che il conto corrente on line potesse essere accessibile da parte di soggetti fraudolentemente entrati in possesso delle credenziali dell'utente e da questi non comunicate con dolo o assoluta imprudenza dimostra essa stessa l'inesistenza di un adeguato meccanismo di protezione dei dati dei correntisti da parte dell'Istituto di credito (cfr. Tribunale Parma, 06.09.2018, n. 1268).
Come recentemente affermato dalla S.C., “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell'utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l'uso non autorizzato dello strumento di pagamento ma il riparto degli
7 oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell'altrui pretesa, sicché non può omettere la verifica dell'adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d'impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass.,1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del
26/11/2020)” (Cass. n. 3780/24, in motivazione).
Contr Costituiva, dunque, onere della dimostrare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova, deve essere imputato alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente (cfr. Cass. n. 3780/24, cit.; si veda anche Cass. n. 23683/24).
In definitiva, in applicazione di tali principi al caso di specie ed assorbita ogni ulteriore questione, Contr deve concludersi per l'accoglimento della domanda, con conseguente condanna della al pagamento della somma complessiva di euro 23.566,40.
Poiché trattasi di debito di valore, detto importo deve essere rivalutato con decorrenza dalle date delle singole disposizioni alla presente sentenza (cfr. Cass. n. 13225/2016), e a tale somma devono aggiungersi gli interessi compensativi dalla domanda alla presente pronuncia, oltre interessi legali dalla data odierna al saldo (cfr. Tribunale Parma, n. 1268/18 e Tribunale Busto Arsizio, n. 1434/22).
Le spese del giudizio seguono la soccombenza e vengono liquidate come da dispositivo.
Infine, restano definitivamente a carico della convenuta le spese di cui alla disposta CTU, così come liquidate in corso di causa con decreto del 13 marzo 2024.
P.Q.M.
Il Tribunale di Pescara, in composizione monocratica, definitivamente pronunciando sulla domanda proposta da , in proprio e quale legale rappresentate “pro tempore” della Parte_1 [...]
nei confronti della in persona del legale Parte_2 Controparte_1 rappresentante “pro tempore”, ogni ulteriore istanza, difesa ed eccezione disattesa, così provvede:
8 a) accoglie la domanda e, per l'effetto, condanna la al pagamento, Controparte_1 in favore dell'istante, della somma complessiva di euro 23.566,40, oltre rivalutazione con decorrenza dalle singole disposizioni alla presente sentenza, interessi compensativi dalla domanda alla presente sentenza ed interessi legali dalla data odierna al saldo;
b) condanna la convenuta al pagamento delle spese di lite, liquidate nella misura di euro
5.077,00 per compenso professionale ed euro 264,00 per spese, oltre accessori come per legge;
c) restano definitivamente a carico della convenuta le spese di cui alla disposta CTU, così come liquidate con decreto del 13 marzo 2024.
Così deciso in Pescara, il 24 ottobre 2025
IL GIUDICE
dott.ssa Cleonice G. Cordisco
9