Svolgimento del processo / Motivi della decisione
Con atto di citazione notificato in data #### titolare di conto corrente bancario presso ### S.p.A. cui erano collegate carte di credito e di debito, conveniva in giudizio avanti al Tribunale di Ragusa l'### di credito, al fine di chiedere che venisse accertata e dichiarata la responsabilità della ### per l'illecita sottrazione delle somme subite per una truffa, con condanna dello stesso ### di credito al risarcimento del danno patrimoniale quantificabile in € 6.394,00, ovvero in quella somma maggiore o minore risultante dal giudizio, oltre interessi legali sulla somma rivalutata dal dì della sottrazione delle somme al soddisfo.
In via subordinata, parte attrice chiedeva che venisse riconosciuta la responsabilità di ### S.p.A. con riferimento alle operazioni riguardanti il momento successivo alla conoscenza da parte dell'### di credito della condotta criminosa, ovvero dopo le ore 15:41 del 23.09.2020, con condanna al risarcimento del danno patrimoniale quantificabile in € 6.000,00, ovvero in quella somma maggiore o minore risultante dal giudizio, oltre interessi legali e rivalutazione.
In particolare, in data ###, alle ore 15:03, l'attore riceveva una chiamata da parte di un soggetto che si presentava come l'addetto al servizio di assistenza e di sicurezza di ### S.p.a., il quale gli riferiva che per evitare l'illecito utilizzo della sua carta era necessario un intervento immediato onde inibire le transazioni in essere a suo danno. ### fidandosi che l'operatore fosse un dipendente ufficiale della banca, seguiva le istruzioni dell'interlocutore, fornendo tutte le informazioni idonee al perpetrarsi della truffa.
Conclusa la telefonata, il ### riceveva un'ulteriore chiamata, stavolta da un effettivo operatore della ### convenuta, il quale riferiva il riscontro di alcune operazioni sospette eseguite con la carta di credito al medesimo intestata e di alcune modifiche ambigue apportate all'applicazione di #### apprendeva inoltre che erano state eseguite sulla propria carta di credito due pagamenti di importo pari ad € 99,00 ed uno di € 196,00 in favore di un destinatario a lui sconosciuto. ### di ### provvedeva pertanto al blocco della carta di credito.
In data ### l'attore si recava presso la locale filiale della ### e veniva a conoscenza che sull'### erano stati modificati il suo numero di cellulare ed il suo indirizzo e-mail; mediante le suddette modifiche i malfattori avevano eseguito ulteriori transazioni in conto corrente, ovvero: un bonifico di € 5.000,00 effettuato il ### alle ore 19:09, in favore di destinatario sconosciuto all'attore, e due prelievi del 24.9.2020 di importo pari ad € 250,00 ed € 750,00 presso un ATM a Napoli. Preso atto di quanto sopra, il ### della ### provvedeva al blocco del conto corrente.
In data ### il ### provvedeva a sporgere denuncia/querela presso la ### di ### nonché ad avviare la procedura di disconoscimento delle suddette operazioni.
In seguito, la ### effettuate le verifiche del caso, stornava l'importo, inizialmente rimborsato al cliente, facendo presente che le transazioni in commento erano state eseguite tramite l'utilizzo delle credenziali di commercio elettronico sicuro e con la corretta digitazione della password in esclusivo possesso del cliente.
In data ###, su istanza dell'attore, veniva preventivamente esperito il procedimento di mediazione, che si chiudeva con esito negativo per la mancata partecipazione della parte convenuta, come da verbale in atti.
Con deposito di comparsa di costituzione e risposta del 19.11.2021 si costituiva nel giudizio ###
S.p.A. la quale sosteneva nel merito ed in via principale il rigetto di tutte le domande formulate da parte attrice, in quanto infondate in fatto e in diritto, nonché non provate, per i motivi esposti nelle proprie difese. In via subordinata, in caso di accoglimento delle domande formulate dall'attore, la convenuta chiedeva la riduzione, anche in via di compensazione, della somma richiesta dall'attore in ragione del comportamento colposo tenuto da quest'ultimo ex art. 1227, comma 1, c.c.. Il tutto con vittoria di spese e compensi del giudizio.
All'esito della prima udienza del 10.12.2021 venivano concessi i termini di cui all'art. 183 comma 6 c.p.c. richiesti dalle parti. La causa risultava documentale e, pertanto, nessuna ulteriore istruttoria veniva ritenuta necessaria.
All'udienza del 7.10.2022 la causa veniva ritenuta matura per la decisione e rinviata per la precisazione delle conclusioni alla successiva udienza del 17.11.2023 nella quale il procedimento veniva trattenuto in decisione con assegnazione dei termini di cui all'art. 190 c.p.c. per il deposito delle comparse conclusionali e delle memorie di replica.
§ Sulla responsabilità dell'istituto di credito in merito alla sottrazione di somme subita dall'attore. Il vigente D.Lgs. 27 gennaio 2010, n. 11 come modificato dal D. Lgs. n. 218/17 di attuazione della direttiva 2015/2366/EU (### - ### 2) prevede in capo al prestatore di servizi di pagamento l'onere di provare che l'operazione di pagamento, disconosciuta dall'utente, “è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti” (art. 10, comma 1). Il comma 2 aggiunge che “quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento (...) non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Inoltre, secondo la giurisprudenza, la responsabilità contrattuale della banca per operazioni di pagamento disconosciute dal correntista (riconducibili allo schema del c.d. “phishing”) viene esclusa dalla prova di avvenuta adozione di tutte le misure idonee ad evitare il danno e di aver osservato la diligenza qualificata propria dell'accorto banchiere, nonché dalla prova della riconducibilità delle disposizioni di pagamento al dolo o alla colpa grave del correntista, caratterizzata dall'assenza di quel minimo grado di diligenza riconoscibile da chiunque. Nella sostanza la banca è tenuta a provare non solo di aver adottato tutte le misure idonee ad evitare il danno e di aver osservato la diligenza qualificata propria dell'accorto banchiere (da intendere come corretta funzionalità dei propri sistemi informatici anche ai fini della prevenzione delle frodi), ma deve altresì fornire la prova positiva della riconducibilità delle operazioni disconosciute dal cliente alla volontà di quest'ultimo o comunque alla sua grave negligenza (cfr. Tribunale Roma, sez. VI civile, 9 aprile 2023).
Ed infatti, richiamando la giurisprudenza di legittimità, ‘‘la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente'' (cfr. Cass. Civ., sez. VI, ord. 26916/2020). Più in particolare, proprio in tema di phishing, si registra una recentissima pronuncia della Suprema Corte di Cassazione, la quale, nel delineare il dovere di diligenza gravante sul correntista, ha precisato che ‘‘non può dubitarsi del comportamento decisamente imprudente e negligente del danneggiato, il quale aveva digitato i propri codici personali (verosimilmente richiestigli con una e-mail fraudolenta), in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto del danneggiato'' (cfr. Cass. Civ. sez. I, 13/03/2023, n. 7214).
Ancora, da ultimo, secondo Cassazione civile sez. III, 12/02/2024, n.3780: “La possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente è una eventualità rientrante nel rischio d'impresa; la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (nella specie, relativa ad un truffa informatica ai danni di un correntista di ### la Corte ha sottolineato che era onere di ### dover provare di aver adottato soluzioni idonee a prevenire o ridurre l'uso fraudolento dei sistemi elettronici di pagamento, sulla base di un principio di buona fede nell'esecuzione del contratto. In assenza di tale prova, per la Corte è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente)”.
Tutto ciò premesso, dall'esame della documentazione prodotta dalle parti e dalla ricostruzione dei fatti offerta dallo stesso attore, emerge la ricezione, da parte del ### di una telefonata in data ###, alle ore 15:03, nella quale l'attore, seppur inconsapevolmente, ha dichiarato di avere seguito tutte le istruzioni fornite telefonicamente dal presunto operatore di ### fornendogli le informazioni ed i dati richiesti necessari all'accesso nell'area personale dell'home-banking.
In conseguenza di ciò venivano nell'immediatezza eseguite sulla carta di credito del ### tre operazioni (due di pari importo di € 99,00 ed una di € 196,00) in favore di un soggetto sconosciuto allo stesso, per complessivi € 394,00.
Ed ancora, risulta altresì provata, e comunque non contestata ex art. 115 c.p.c., l'applicazione da parte della ### del protocollo di sicurezza a due fattori, con protezione derivante da codici segreti nella disponibilità esclusiva del cliente e dall'utilizzo di password “usa e getta”, generate dai dispositivi utilizzati dal cliente, per autorizzare le operazioni dispositive sulla ### via internet. Inoltre, la chiamata da numero di utenza con prefisso 02, non può di certo rendere credibile la telefonata del presunto operatore della ### al punto tale da indurre il ### a riferire le proprie credenziali personali per l'accesso ai servizi di home banking. Tra l'altro parte convenuta ha escluso che il numero di telefono utilizzato per la chiamata truffa sia corrispondente ad alcuno dei numeri di ### e parte attrice nulla ha contestato e provato sul punto.
Per quanto sopra esposto deve ritenersi provato che l'evento fraudolento che ha portato alle tre operazioni di pagamento del 23.9.2020, per un importo complessivo di € 394,00, sia stato reso possibile proprio grazie alla condotta colposa dello stesso attore, nonostante i presidi di sicurezza predisposti dalla ### a tutela dei pagamenti on-line.
Ciò posto, risulta altresì provato dagli atti, e comunque non contestato, che alle ore 15:41 del 23.9.2020 il ### riceveva un'ulteriore chiamata, stavolta dall'effettivo operatore del ### di ### S.p.A., e che detto intervento portava al solo blocco delle carte di pagamento del cliente.
Successivamente venivano registrate delle ulteriori transazioni in conto corrente (e, specificamente, un bonifico di € 5.000,00 effettuato il ###, alle ore 19:09, e due prelievi del 24.9.2020 di importo pari ad € 250,00 ed € 750,00) per un importo complessivo pari ad € 6.000,00.
Dette operazioni sono state disconosciute dall'attore e risultano effettuate quando la ### era già al corrente della frode perpetrata ai danni del proprio cliente. In particolare, il ### ha evidenziato la colpevole omissione e la negligenza nella condotta posta in essere dalla ### che avrebbe dovuto procedere anche al blocco del conto corrente intestato al cliente e del servizio di home banking.
Si evidenzia infatti come sia stato lo stesso servizio antifrode di ### a segnalare al cliente la truffa ed a riferire di modifiche sospette dall'App della ### comunicando la sussistenza di “alcune operazioni sospette eseguite con la carta di credito al medesimo intestata e di alcune modifiche ambigue apportate alla applicazione di ###” (cfr. scritti difensivi di parte convenuta: pag. 2 comparsa di costituzione e risposta, pag. 2 memoria n. 1 ex art. 183, comma 6, c.p.c., nonché pag. 2 comparsa conclusionale).
Di contro, l'attore nella prima difesa utile successiva alla costituzione in giudizio della ### e nelle memorie ex art. 183, comma 6, n. 1 c.p.c., ha specificamente contestato il fatto di aver ricevuto le notifiche push e di aver autorizzato le operazioni in contestazione. Risulta tra l'altro pacifica e non contestata la modifica dei recapiti dell'App del cliente (mail e numero di telefono).
A riprova di ciò dalla denuncia/querela del ### depositata in atti, a cui la stessa ### convenuta ha fatto più volte riferimento nei propri scritti difensivi, emerge che l'attore ha dichiarato testualmente: “(…) dando per scontato che si trattasse di un operatore vero, ho fornito i codici di accesso online al mio conto (…).
Inoltre, mi chiedevano di disinstallare l'app della banca dal mio telefono, cosa che effettuavo. Al termine di detta chiamata ho ricevuto un'altra chiamata questa volta dal vero centro assistenza della ### dove mi riferivano che erano state eseguite alcune operazioni sospette con la mia carta di credito (…) e che erano state apportate delle modifiche alla mia app (…)” (cfr. doc. 3 allegato ad atto di citazione: ###querela del 30.09.2020).
A fronte delle contestazioni dell'attore nulla ha saputo replicare la ### la cui condotta deve ritenersi inescusabile. Infatti, il servizio antifrode dell'### di credito, dopo aver rilevato le anomalie e le modifiche all'utenza del cliente, ha colpevolmente omesso di bloccare nel modo più adeguato il servizio di home banking. Tale negligenza ha determinato la prosecuzione e l'aggravio della truffa, consentendo ai truffatori di agire anche in un momento successivo alla scoperta della loro condotta fraudolenta.
Alla luce di tutto quanto sopra esposto e dei principi giurisprudenziali sopra citati, deve ritenersi provata la parziale responsabilità della ### la quale nonostante fosse ben a conoscenza della illegittima sottrazione dei dati (credenziali e password) ad opera di terzi ed ai danni del proprio correntista non abbia cautelativamente ed immediatamente provveduto al blocco del conto corrente del cliente.
Le superiori argomentazioni determinano il rigettato della richiesta formulata in subordine dalla convenuta sul concorso del fatto colposo del danneggiato ex art. 1227, comma 1, cod. civ.. Infatti, successivamente alla chiamata del servizio antifrode dell'### di credito, nessuna colpa è ravvisabile nella condotta dell'attore il quale ha riferito l'accaduto al proprio ### di credito senza che questi si sia attivato tempestivamente a tutela del cliente correntista.
Pertanto, deve essere riconosciuta la responsabilità di ### S.p.A. in relazione alle operazioni effettuate sul conto corrente del ### successivamente alle ore 15:41 del 23.9.2020, con il conseguente accoglimento della domanda formulata dall'attore in via subordinata e del diritto di questi al pagamento del risarcimento del danno che qui si liquida in € 6.000,00, oltre interessi e rivalutazione.
§ Sulle spese di lite.
Le spese di lite seguono la soccombenza e sono liquidate come da dispositivo.
P.Q.M.
Il giudice unico definitivamente pronunciando sulle domande proposte: ACCOGLIE parzialmente la domanda proposta dall'attore e per l'effetto: CONDANNA parte convenuta ###
S.P.A. al pagamento in favore dell'attore ### della somma di € 6.000,00, oltre interessi legali sulla somma rivalutata dal 23.9.2020 sino al soddisfo; CONDANNA parte convenuta ### S.P.A. al rimborso delle spese processuali sostenute dall'attore ### e per questi al suo procuratore distrattario Avv. ###, il quale ha dichiarato di aver anticipato spese e di non aver ricevuto alcun acconto sui compensi, che, ai sensi del D.M. n. 147/2022, liquida in complessivi € 3.000,00 per compensi professionali, oltre spese generali al 15%, IVA e CPA se dovute, come per legge, ed oltre alla ripetizione delle spese sostenute dall'attore per l'avvio del procedimento di mediazione obbligatorio, pari ad € 48,80.