testo integrale
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO IL TRIBUNALE DI REGGIO CALABRIA I SEZIONE CIVILE Il Tribunale, nella persona del giudice unico dott.ssa ### ha pronunciato la seguente SENTENZA nella causa civile di I ### iscritta al N. 65 generale per gli affari contenziosi dell'anno 2020 ritenuta in decisione su conclusioni precisate all'udienza del 21/02/2024 e decisa, alla scadenza dei termini ex art. 281 quinquies, c. 1, c.p.c., vertente TRA ### (C.F. ###), in proprio e n.q. di titolare dell'omonima impresa individuale, elettivamente domiciliato in ### BLASIO, 3 - ### presso lo studio dell'avv. ### che lo rappresenta e difende per procura in calce all'atto di citazione ATTORE e ### (C.F. ###), in persona del legale rappresentante p.t. e, per esso, del suo procuratore speciale dott.ssa ### elettivamente domiciliata in ###. 22 - NAPOLI, presso lo studio dell'avv. ### che la rappresenta e difende giusta procura in calce alla comparsa di costituzione e risposta ### OGGETTO: Responsabilità dell'istituto bancario per frode informatica. CONCLUSIONI: come da verbale in atti. ### atto di citazione, notificato il ###, ### in proprio e nella qualità di titolare dell'omonima ditta individuale, ha evocato in giudizio dinanzi all'intestato Tribunale l'### al fine di sentire ivi accogliere le seguenti conclusioni: “In via principale: 1. accertare e dichiarare la responsabilità da inadempimento per violazione della diligenza professionale della ### s.p.a., già Banco di ### s.p.a., per le ragioni tutte di cui al presente atto, nei confronti del #### per i danni subiti quale conseguenza immediata e diretta del suo inadempimento; 2. condannare la banca ### s.p.a., già Banco di ### s.p.a., al risarcimento dei danni sofferti dal #### quale conseguenza immediata e diretta del dedotto inadempimento, che si quantificano in complessivi ### 9.428,92=, ovvero in quella diversa ritenuta di giustizia oltre interessi e rivalutazione dalla maturazione sino al soddisfo; 3. condannare la banca ### s.p.a., già Banco di ### s.p.a., al rimborso della somma pagata a titolo di interessi passivi prodotti sul contratto di apertura di conto corrente del #### oltre interessi e rivalutazione dalla maturazione sino al soddisfo; 4. condannare la banca ### s.p.a., già Banco di ### s.p.a., al risarcimento dei danni all'immagine professionale sofferti dal #### quale conseguenza immediata e diretta del dedotto inadempimento, che si quantificano in complessivi euro 15.000,00=, ovvero in quella diversa ritenuta di giustizia oltre interessi e rivalutazione dalla maturazione sino al soddisfo; 5. condannare, infine, la banca ### s.p.a., già Banco di ### s.p.a., alla refusione delle spese e competenze del presente giudizio, oltre accessori nella misura di legge.”.
In particolare, espone di essere titolare del conto corrente n. 6107, aperto presso ### di ### - ### di ### sita in ### n. 12 (ora ###, su cui confluiscono i premi dei contratti assicurativi stipulati con la clientela della ###ni spa, di cui è agente.
Rileva che tra i servizi connessi al contratto di conto corrente vi è anche quello dell'home banking, che consente di effettuare disposizioni di pagamento tramite il canale informatico ed in specie, attraverso il sito internet ### della banca.
In data ### il sito era inaccessibile, in quanto risultava in manutenzione e nei giorni successivi dal 18 al 21 giugno 2018 l'attore si era dovuto recare fuori sede per motivi di salute, sicchè solo al suo rientro si era potuto avvedere, tramite accesso all'area clienti, che in data ### vi era stata una disposizione di bonifico dell'importo di € 9.428,92 in favore di tale D'### Aveva subito contattato la banca al fine di contestare l'operazione e, con pec del 21.06.2018, le aveva chiesto il risarcimento dei danni subiti in conseguenza della truffa informatica di cui era stato vittima, favorita dalle inadeguate misure di sicurezza adottate dalla banca per prevenire accessi illeciti ma la banca aveva rifiutato di effettuare il rimborso della somma bonificata.
In data ### aveva presentato formale denuncia per il reato di truffa informatica presso la stazione dei carabinieri di ### Deduce che la disposizione bancaria in oggetto gli aveva arrecato dei problemi, in quanto aveva dovuto versare all'### i premi assicurativi ricevuti oltre il termine temporale previsto ed aveva dovuto attingere all'apertura di credito concessa sul conto, con conseguente pagamento di interessi passivi.
Era poi risultata compromessa la sua reputazione nei confronti della ### assicurativa per cui lavora, che gli aveva sollevato delle contestazioni provocando in lui uno stato di turbamento e delusione.
In punto di diritto, invoca la responsabilità della banca ai sensi degli artt. 10 e 11 del d.lgs. 11 del 27.01.2010 (cd. PSD###), in quanto la stessa aveva omesso di rimborsargli la somma versata tramite un'operazione non autorizzata, con la precisazione che anche l'autenticazione del cliente apparentemente corretta non esclude una sua responsabilità.
Deduce, inoltre, che la responsabilità della banca sia inquadrabile nella disciplina del mandato ex art. 1856 c.c. e che la diligenza del buon banchiere sia una diligenza qualificata dal maggior grado di prudenza e attenzione che la connotazione professionale dell'agente consente e richiede.
Spetta, dunque, all'istituto bancario dimostrare di avere adottato tutte le misure idonee a garantire la sicurezza del servizio di home banking, gravando sulla stessa una responsabilità oggettiva o semioggettiva e l'onere di dimostrare, anche solo in via presuntiva, che l'operazione sia riconducibile al cliente.
Con comparsa di costituzione e risposta, depositata il ###, si è costituita in giudizio l'### chiedendo il rigetto dell'avversa domanda ovvero, in subordine, il riconoscimento del concorso di colpa del danneggiato, con conseguente esclusione o riduzione proporzionale del risarcimento.
In particolare, espone che per operare sul portale internet ### qualsiasi cliente è titolare di una ### di un numero personale (### e di una chiavetta cd. O-Key (un particolare dispositivo mediante il quale vengono creati dall'utente codici dispositivi sempre mutevoli e mai riutilizzabili), di cui solo egli è a conoscenza e che deve custodire con particolare attenzione.
Precisa che per effettuare una disposizione di bonifico occorre inserire i codici dispositivi generati dalla chiavetta, ove essi restano visualizzati per pochi minuti e non sono mai riutilizzabili. ### aveva diverse volte negli anni operato tramite l'home banking senza problemi e non aveva mai attivato il servizio gratuito di “sms alert” (che consente al correntista di ricevere un messaggio SMS sull'utenza cellulare indicata nella domanda di attivazione ogni volta che viene disposta un'operazione di bonifico sul proprio conto corrente).
In merito all'operazione di pagamento contestata, rileva che la stessa sia stata effettuata online e che sia andata a buon fine in quanto sono stati correttamente inseriti sia la ### sia il Pin sia il codice dispositivo generato dalla chiavetta ### in possesso dell'attore.
Peraltro, essa si inserisce in una presentazione di bonifico multiplo eseguita in pari data, il che smentisce la tesi attorea dell'inaccessibilità del sito web.
Rileva altresì che, a seguito del reclamo sporto dal cliente, sono state effettuate le opportune verifiche, da cui è risultato che il bonifico sia riconducibile proprio al ### non emergendo tentativi di immissione di credenziali errate né in fase di accesso né in fase dispositiva e tutti i dati inseriti sono corretti.
Nega poi che in data ### il sito della banca fosse in manutenzione, circostanza questa del resto smentita dal fatto che lo stesso attore in quella giornata ha effettuato altre operazioni.
Rileva, quindi, di avere operato correttamente e che la sicurezza della connessione al web è garantita dal “collegamento SSL a 128bit”, che rappresenta lo standard più avanzato in termini di crittografia dei dati che transitano sulla rete internet.
Postula che, stante il corretto utilizzo dei codici segreti in uso al cliente, essi siano stati inseriti o da soggetto che è venuto a conoscenza di essi a causa della negligenza o disattenzione dell'attore ovvero che egli sia rimasto vittima della truffa on line, meglio conosciuta come ### (tramite un link inviato dal truffatore il cliente si collega al suo sito, trasmettendogli le informazioni personali digitate) ovvero del cd. key logging (il cliente riceve dal truffatore una mail contenente un allegato, che - una volta aperto - installa automaticamente sul suo pc un programma che consente al truffatore di captare i dati inseriti dal cliente) ovvero del cd. man in the browser (installazione di uno spyware sul pc del cliente).
Deduce che in caso di phishing debba del tutto escludersi qualsiasi responsabilità della banca, che da sempre raccomanda ai propri clienti di adottare precise precauzioni per prevenire eventuali truffe.
Rileva che quanto accaduto sia ascrivibile ad esclusiva responsabilità del cliente, che non ha adeguatamente custodito i codici di accesso segreti ed ha rinunciato ad avvalersi del servizio di sms alert, grazie al quale si sarebbe potuto accorgere immediatamente dell'avvenuta illecita disposizione e bloccarla.
Infine, rileva l'infondatezza della domanda risarcitoria, stante la totale carenza di allegazioni difensive.
La prima udienza di comparizione delle parti è stata sostituita dallo scambio di note scritte ex art. 221 c. 4 del d.l. n. 34/2020, nelle quali entrambe le parti hanno chiesto concedersi i termini ex art. 183 c. 6 c.p.c..
Concessi i predetti termini, parte attrice, nella propria memoria ex art. 183 c. 6 n. 1 c.p.c., ha contestato le difese avversarie ed, in particolare, ha rilevato che sul conto corrente acceso presso ### ogni decade, effettua solo due tipologie di bonifici, di cui la prima destinata a versare i premi incassati all'### e l'altra destinata al proprio conto personale per le spese, gli stipendi e la gestione della sua agenzia. Nella data del 15.06.2018 intendeva per l'appunto effettuare i due bonifici di cui si è detto, ma aveva incontrato delle difficoltà verosimilmente perché il sito era in manutenzione, tant'è che il primo codice ### inserito era stato rifiutato dal sistema.
Ha poi addotto di essere stato vittima della frode cd. Man in the browser (### nel momento in cui ha effettuato la disposizione del bonifico multiplo. Quel giorno non era riuscito ad effettuare alcuna operazione tramite l'home banking ed era stato costretto a chiamare il numero verde del servizio di assistenza, senza però esito positivo. ### era stata effettuata a sua insaputa da un terzo soggetto, come dimostrava la pendenza del giudizio penale a carico di ### D'### presso il Tribunale di Pescara.
Ha, inoltre, negato di avere divulgato i codici di accesso, rilevando che semmai questi erano stati carpiti dal malware.
Non è poi un fattore da valutare ai fini di una sua eventuale colpa, il non avere attivato il servizio di sms alert, che comunque avrebbe funzionato solo ex post e sarebbe stato subordinato ad elementi fuori dal controllo dell'utente come la funzionalità della linea telefonica.
Ha poi evidenziato che la presenza di un virus non fosse indice di una sua negligenza, in quanto tali software sono in grado di aggirare anche i sistemi antivirus.
Nella seconda memoria istruttoria parte attrice ha replicato in merito all'effettuazione di alcune operazioni bancarie nel giorno 15.06.2018, di cui ha riferito la banca ed ha rilevato che le due operazioni di bonifico avvenute quel giorno sono state effettuate tramite il numero verde di assistenza clienti 800-312-316: la prima, previamente autorizzata il giorno prima dalla banca mediante fax era pari ad € 145.963,05, versati in favore della ### la seconda è stata diretta al conto personale del ### ed era pari ad € 20.000,00.
Ha, quindi, evidenziato che mentre per il bonifico in favore dell'###ni spa la banca aveva preteso una previa autorizzazione, lo stesso non aveva fatto per il bonifico in favore del D'### Nella terza memoria istruttoria parte convenuta ha controdedotto che in data ### l'attore, oltre ai due bonifici di cui ha detto, ha disposto ulteriori nove bonifici alle ore 9,37, con addebito su altri conti ma sempre mediante il portale ### giusta espressa facoltà in tal senso prevista nel contratto di ### sottoscritto in data ### ed all'interno del quale sono specificatamente indicati tutti i rapporti di conto corrente, intestati al ### sui quali lo stesso poteva operare on line mediante accesso telematico al suo portale ### Ciò smentisce, a suo dire, totalmente la tesi attorea secondo cui in data ### il ### non avrebbe effettuato alcuna operazione online.
Quanto al bonifico effettuato nei confronti dell'###ni spa, ha rilevato che l'autorizzazione in quel caso fosse necessaria per l'elevato importo dell'operazione.
Con ordinanza del 16.06.2021 questo Giudice ha rigettato tutte le richieste istruttorie e, con ordinanza del 19.01.2022, ha trattenuto una prima volta in decisione la causa, concedendo i termini ex art. 190 c.p.c..
Con successiva ordinanza del 21.07.2022 la causa è stata rimessa sul ruolo istruttorio, ritenendosi necessario disporre una ctu, per l'estrema tecnicità delle questioni oggetto del giudizio.
La consulenza è stata poi depositata in data ###.
La causa è stata trattenuta nuovamente in decisione all'udienza del 21.02.2024, sulle conclusioni precisate a verbale dalle parti e con concessione dei termini ex art. 190 c.p.c..
RITENUTO IN DIRITTO La domanda attorea è meritevole di rigetto.
Si osserva anzitutto che l'attore lamenta che la banca convenuta avrebbe omesso di rimborsargli la somma fraudolentemente sottrattagli da terzi tramite un'operazione di pagamento sospetta mai da lui disposta. ### in questione è un bonifico effettuato online mediante il portale ### di ### in data ###, a seguito del quale l'attore ha subito un addebito di € 9.428,92 sul proprio conto corrente n. 1000/6170. Tale somma è stata percepita da D'### soggetto sconosciuto all'attore e contro il quale egli ha presentato una denuncia-querela (all. 4 del fascicolo attoreo), tanto che risulta avviato un procedimento penale presso il Tribunale di Pescara al momento della proposizione dell'odierna domanda giudiziale, i cui esiti tuttavia sono ignoti (vedasi richiesta del PM di rinvio a giudizio dell'unico indagato D'### accusato dei reati ex artt. 648bis e 648ter c. 1 c.p., avvinti dal vincolo della continuazione, per avere messo a disposizione la propria carta prepagata al fine di ricevere la somma bonificata da terzi rimasti ignoti e per avere successivamente posto in essere operazioni tese ad ostacolare l'identificazione della provenienza illecita delle somme, che aveva poi trasferito in data ### ad una società straniera tramite n. 44 bonifici del medesimo importo di € 209,25 - all. 9 del fascicolo attoreo).
Nell'atto di citazione l'attore si è limitato a dedurre, in modo molto stringato, che in data ### il sito web della banca risultava in manutenzione ed era inaccessibile (come anche riportato nella denuncia-querela) e che in data ###, nel collegarsi alla propria area clienti, si era accorto che in data ### era stata effettuata una disposizione di bonifico dell'importo di €. 9.428,92 in favore di tale D'### concludendo di essere stato vittima di una frode informatica di cui la banca doveva rispondere ai sensi degli artt. 10 e 11 del d.lgs. n. 11/2010, gravando sulla stessa l'onere della prova circa la corretta autenticazione, registrazione e contabilizzazione dell'operazione contestata e l'assenza di malfunzionamenti dei propri sistemi.
Dal canto suo, l'istituto bancario ha evidenziato che l'operazione è stata ritenuta regolare dal sistema di ### banking, in quanto è frutto del corretto inserimento delle credenziali assegnate al cliente in virtù del contratto di prestazione del servizio di home banking (all.ti 2 e 3 del fascicolo di parte convenuta) e del codice O-key generato tramite il dispositivo in dotazione al ### Inoltre, smentisce la tesi dell'inaccessibilità del sito, evidenziando come nella medesima data del 15.06.2018 lo stesso ### avesse effettuato altre operazioni mediante il portale, risultanti dall'e/c e dalla contabile bonifici (prodotti sub all.ti 4 e 5). Si tratta di due operazioni di bonifico, di cui la prima effettuata in favore dell'### (di cui è agente generale) e l'altra in favore di se stesso su un suo conto personale.
La banca ha ulteriormente dedotto che la connessione al web era garantita dal “collegamento SSL a 128bit”, che rappresentava all'epoca lo standard più avanzato in termini di crittografia dei dati transitanti su internet e che per l'operazione di bonifico, oltre alla ### ed alla password inserite dall'utente per accedere alla propria area occorre altresì un terzo fattore di autenticazione, ovvero il codice otp generato istantaneamente dalla chiavetta in possesso del cliente.
Ha, quindi, ipotizzato che l'operazione incriminata possa essere stata effettuata da terzi, venuti a conoscenza dei codici di accesso per disattenzione del cliente ovvero tramite l'escamotage del cd. phishing, così adducendo il concorso di colpa del ### ex art. 1227 c.c., il quale aveva altresì omesso di attivare il servizio gratuito di sms alert che gli avrebbe consentito di venire immediatamente a conoscenza dell'operazione fraudolenta e di revocarla immediatamente.
Nella prima memoria istruttoria l'attore non contesta l'esecuzione dei due bonifici indicati dalla banca nella data del 15.06.2018, ma afferma di avere incontrato una serie di difficoltà legate verosimilmente alla manutenzione del sito, tanto che il primo tentativo di inserimento del codice ### non era andato a buon fine.
Ha, quindi, dedotto di essere stato vittima della frode cd. Man in the browser, come ipotizzato nella relazione prodotta dalla banca sub all. 6, e che a causa di ciò egli era stato impossibilitato ad usare l'home banking ed era stato costretto a rivolgersi al numero verde di assistenza senza esito positivo, di talchè poi le due operazioni di bonifico sarebbero avvenute mediante l'invio di due distinte lettere di manleva, entrambe controfirmate e timbrate dallo stesso ### al numero di fax 011/### di ### Ha, infine, espressamente riferito di non avere effettuato alcuna operazione tramite l'home banking in data ###.
La banca, nella propria memoria ex art. 183 c. 6 n. 1 c.p.c., ha ulteriormente precisato che l'operazione contestata è stata disposta da un indirizzo IP (n. 217.58.110.125) già utilizzato in altre occasioni dal cliente e addirittura utilizzato per operazioni eseguite nella medesima giornata del 15.06.2018, non disconosciute. Ha, infine, contestato che il cliente avesse omesso di proteggere il pc utilizzato mediante l'installazione di un programma antivirus.
Nella terza memoria istruttoria la banca ha, infine, ribadito che nella giornata del 15.06.2018 il correntista abbia effettuato numerose operazioni di bonifico tutte tramite il portale online.
Infatti, oltre al giroconto di €. 20.000,00, sarebbero stati eseguiti ben ulteriori 9 bonifici, tutti alle ore 09.37 su altri conti diversi da quello oggetto di causa, giusta espressa facoltà in tal senso prevista nel contratto di ### sottoscritto in data ###, ove sono specificatamente indicati tutti i rapporti di conto corrente intestati al ### sui quali lo stesso poteva operare on line mediante accesso telematico al suo portale ### 1) bonifico di €.1.081,00 in favore di ### 2) bonifico di €.1.813,00 in favore di ### 3) bonifico di €.1.450,00 in favore di ### 4) bonifico di €.1.153,00 in favore di ### 5) bonifico di €.1.098,00 in favore di ### 6) bonifico di €.1.431,00 in favore di ### 7) bonifico di €.1.164,00 in favore di ### 8) bonifico di €.1.358,00 in favore di ### 9) bonifico di €.1.426,00 in favore di ### (vedasi allegato della seconda memoria di parte convenuta). ###, invece, nella propria terza memoria, si è limitato a contestare la validità del documento prodotto dalla convenuta in allegato alla seconda memoria, consistendo esso in un file excel proveniente dall'istituto avente solo valenza interna ed ha ribadito che il portale ### fosse inaccessibile nella data del 15.06.2018, sicchè le operazioni di bonifico sarebbero state effettuate mediante l'ausilio dell'assistenza clienti. Ha poi rilevato che la disposizione di bonifico effettuata in favore del D'### non era stata previamente autorizzata, diversamente da quanto avvenuto per il bonifico in favore di ### comunicato via fax in data ### (all. 8 del fascicolo attoreo).
Nella prima comparsa conclusionale depositata il ### l'attore continua a ribadire di non avere utilizzato il servizio di home banking in data ### e che le due operazioni di bonifico addebitate sul suo conto corrente sono entrambe avvenute mediante il numero verde di assistenza e non online.
Orbene, dalla ricostruzione delle difese adottate dalle parti, brevemente riportata, emerge che la prospettazione attorea sia nel senso di attribuire la frode informatica ad un malfunzionamento dei sistemi della banca, il cui sito era inaccessibile nella data del 15.06.2018 ed alla presenza di uno spyware cd. Man in the browser, che avrebbe carpito fraudolentemente le sue credenziali e lo stesso codice #### allo stesso tempo però non ha specificamente contestato ed anzi talvolta ha espressamente ammesso talune circostanze riferite dalla convenuta, ossia ha ammesso di non essersi dotato del servizio di sms alert e non ha specificamente contestato né di non essere munito di antivirus né che l'IP address utilizzato per l'operazione fosse lo stesso utilizzato per altre da lui stesso né l'esecuzione di ben 9 ulteriori bonifici, di cui non ha fornito alcuna spiegazione.
Ha, infine, sempre negato di avere fornito a terzi le proprie credenziali o la propria chiavetta e di essere stato vittima di phishing, come supposto invece dalla banca.
Orbene, stante la tecnicità della vertenza, questo Giudice ha disposto una ctu, che ha sostanzialmente smentito la tesi attorea, confermando invece le eccezioni sollevate dalla banca.
In particolare, il consulente nominato ha constatato che le disposizioni di pagamento mediante il portale ### richiedono tre codici: il codice titolare (che identifica l'utente), il codice pin (che consente l'accesso al portale) ed il codice O-Key a sei cifre, ossia un codice monouso della durata di 30 secondi generato dalla chiavetta (cd. token) in possesso del cliente al momento dell'esecuzione dell'operazione.
Ha poi rilevato che, dopo un primo tentativo fallito di collegamento al portale avvenuto alle ore 9,00 del mattino del 15.06.2018, il ### su invito del servizio di assistenza, che ha negato malfunzionamenti del sito, è riuscito ad accedere al portale da altra postazione pc e ad effettuare n. 10 bonifici tra le ore 9,29 e le ore 9,38, dopodichè alle ore 10,28 si è verificato un nuovo accesso, conclusosi con il bonifico contestato, andato a buon fine alle ore 11,03 dopo un primo tentativo fallito alle ore 11,01 per codice OTP risultato errato.
La circostanza dirimente ai fini di causa, riscontrata dal ctu, afferisce all'indirizzo IP, che risulta essere sempre il medesimo sia con riferimento ai primi dieci bonifici sia con riferimento a quello delle ore 11,03 sia addirittura con riferimento a tutti i bonifici delle settimane precedenti, dal che il ctu ha desunto che l'indirizzo IP utilizzato dallo studio del ### è fisso e non variabile sulla base del contratto concluso dal ### con l'### (sul punto il consulente rileva che lo studio dell'attore sia dotato di due diverse connessioni internet ma non è dato sapere quale delle due sia stata utilizzata in data ###: la prima tramite la rete TIM della compagnia ### che si avvale del proxy centralizzato di ### e la seconda tramite provider contrattualizzato direttamente dall'### del ### con il sistema ### ma ancor di più che il bonifico disposto in favore del D'### è stato effettuato dallo studio del ### e quindi o da lui stesso ovvero da qualcuno entrato in possesso delle sue credenziali.
Il consulente ha, quindi, ipotizzato che l'attore sia stato vittima del cd. Man in the browser, ossia di un malware installatosi silenziosamente sul pc ed attivatosi al momento dell'operazione, modificandola senza che la vittima e la banca se ne potessero accorgere: “Si tratta di una ipotesi molto particolare in cui, nonostante la banca abbia messo a disposizione del cliente dispositivi tecnologicamente avanzati (come la c.d. autenticazione a due fattori) ed il cliente li abbia correttamente utilizzati, si verifica ugualmente la truffa per mezzo di un virus che permette al malfattore di intercettare e manipolare il traffico internet che l'utente crede privato e protetto.
Il malware ### si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema tali da attrarre l'attenzione dell'utente. Quando un cliente si collega al proprio conto bancario, è sufficiente che utilizzi un browser ### infetto per innescare transazioni illecite. Il malware resta completamente “dormiente” attivandosi solo nel momento in cui l'utente si colleghi ad un sito finanziario compreso fra quelli che il programma abbia posto nel mirino (targeted banks). In quel preciso istante il malware “si risveglia” ed entra in azione captando il collegamento dell'utente ed intercettando la transazione modificandola.
Anche l'utilizzo dell'autenticazione a due fattori, utilizzata nel caso in questione, non è esente da rischi. ### che si autentica, dopo aver fornito user e password, deve confermare un codice che tipicamente gli viene inviato tramite SMS o mediante codice ### Tuttavia, una tipologia di malware ### particolarmente evoluta potrebbe tuttavia intercettare i dati di un'operazione, per esempio di un bonifico, e mostrare all'utente i dati originali, ma inviare alla banca quelli alterati (ad esempio, cambiando l'importo e il beneficiario). A quel punto l'utente si troverebbe a confermare l'operazione del malware pensando invece di completare la propria.”.
Al contempo però il ctu rileva un'evidente anomalia: l'attore sostiene di non essersi più collegato dopo avere terminato i primi 10 bonifici, così negando recisamente di essersi collegato alle ore 10,28, tuttavia qualcuno dal suo studio deve necessariamente essersi collegato per due trancianti ordini di ragioni: “a. ### IP con il quale ci si collega all'home banking è di tipo statico, non varia durante il giorno, ed è lo stesso indirizzo utilizzato, nella stessa mattina, per eseguire i bonifici precedenti. b. Per potersi collegare all'home banking la procedura prevede l'inserimento di codice dinamico ### che si può solo leggere da una chiavetta e tale codice ha una validità di soli 30 secondi”.
Orbene, alla luce degli accertamenti peritali svolti, deve rilevarsi come la ricostruzione dei fatti fornita dall'attore è stata del tutto smentita.
Infatti, egli ha sempre sostenuto che il portale ### non funzionasse in data ### e che non avesse effettuato alcuna operazione online, in quanto le uniche due indicate dalla controparte erano state effettuate mediante il numero verde.
Diversamente, risulta che il portale funzionasse, tanto che lo stesso attore quella mattina ha disposto ben dieci bonifici, tra i quali figura anche quello di € 20.000,00 effettuato in favore del suo conto personale, che egli aveva sempre sostenuto essere stato effettuato tramite il numero verde.
Dunque, risulta smentita per tabulas la principale tesi attorea del malfunzionamento dei sistemi informatici di ### e dell'inaccessibilità al sito, visto che lo stesso attore ha posto in essere svariate operazioni, tutte andate a buon fine e non disconosciute.
Ancor più rilevante risulta la circostanza per cui tutti i bonifici effettuati in data ### sono riferibili ad un unico indirizzo IP pacificamente attribuibile alla connessione internet in uso presso lo studio del ### il che ha indotto il ctu ad affermare in maniera certa che il bonifico contestato sia stato disposto da uno dei pc presenti in quello studio.
Ecco che allora, considerato che il ### ha mantenuto sempre la medesima posizione in merito all'omesso collegamento al sito della banca alle ore 10,28, non può di certo optarsi per la soluzione propugnata dal consulente per cui l'attore sarebbe stato vittima di un malware denominato Man in the browser, posto che lo stesso consulente evidenzia come questo virus si attivi sul pc al momento in cui viene effettuata l'operazione, interponendosi tra il cliente e la banca, sicchè il suo presupposto indefettibile è che il ### si sia effettivamente collegato a quell'ora ed abbia disposto un bonifico, poi modificato occultamente dallo spyware.
Ed invero, lo stesso consulente mette in evidenza questa incongruenza e postula per l'appunto che l'attore si sia invece collegato, sebbene egli lo abbia sempre negato.
Orbene, rilevato che l'attore ha più volte cambiato versione (prima ha affermato che il sito della banca fosse del tutto inaccessibile il giorno 15.06.2018 e che non avesse in quella data effettuato alcuna operazione online, salvo poi ammettere in sede di operazioni peritali e nelle ultime memorie finali di essersi sì collegato, di avere effettuato i bonifici indicati dal consulente ma non anche quello contestato), è chiaro che tutte le allegazioni difensive debbano essere vagliate con molta attenzione, soprattutto in considerazione del fatto che al contrario le deduzioni difensive della banca sono risultate fondate: l'operazione contestata è stata effettuata dal ### o da soggetto in possesso dei suoi codici segreti collegandosi dal suo ufficio, tenuto conto dell'indirizzo IP utilizzato; il portale ### era funzionante, tant'è che l'attore ha effettuato ben dieci bonifici aldilà di quello contestato; il sistema di autenticazione utilizzato per l'operazione non presentava apparentemente alcuna anomalia e non è frutto di una forzatura del sistema, posto che l'operazione è stata completata solo dopo il corretto inserimento del codice OTP generato istantaneamente con la chiavetta.
È pur vero che delle stranezze nell'operazione si riscontrano: il bonifico è stato effettuato dopo trentatrè minuti dal login e nel report della banca risulta che l'accesso sia avvenuto da “e/c” anziché da login, come per i bonifici delle 9,37.
Sulla prima la banca ha spiegato che il logout automatico dopo cinque minuti non è avvenuto o perché il cliente ha navigato nella sua area magari al fine di consultare documenti oppure perché l'hacker ha mantenuto attiva la connessione inviando dei ping. Sulla seconda non ha fornito alcuna spiegazione.
Alla luce dei fatti appena descritti, occorre adesso valutare se le parti del giudizio abbiano assolto il rispettivo onere della prova e quindi se la domanda sia o meno fondata.
Sul punto, occorre premettere che l'attore invoca la responsabilità della banca ai sensi degli artt. 10 e 11 del d.lgs. 11/2010 (attuativo della ### n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, nella versione post d.lgs. 15 dicembre 2017, n. 218, che ha dato attuazione alla #### 2015/2366, cd. PSD 2)1, sicchè - stante il disconoscimento di un'operazione di pagamento da parte del cliente - è precipuo onere dell'intermediario 1 Art. 10 (Prova di autenticazione ed esecuzione delle operazioni di pagamento) 1. Qualora l'(###) di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento gia' eseguita o sostenga che questa non sia stata correttamente eseguita, e' onere del prestatore di servizi di pagamento provare he l'operazione di pagamento e' stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. ((1-bis. Se l'operazione di pagamento e' disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze, l'operazione di pagamento e' stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato.)) ((2. Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non e' di per se' necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, ne' che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o piu' degli obblighi di cui all'articolo 7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente.)).
Art. 11 (Responsabilita' del prestatore di servizi di pagamento per le operazioni di pagamento non autorizzate) ((1. Fatto salvo l'articolo 9, nel caso in cui sia stata eseguita un'operazione di pagamento non autorizzata, il prestatore di servizi di pagamento rimborsa al pagatore l'importo dell'operazione medesima immediatamente e in ogni caso al piu' tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell'operazione o riceve una comunicazione in merito. Ove per l'esecuzione dell'operazione sia stato addebitato un conto di pagamento, il prestatore di servizi di pagamento riporta il conto nello stato in cui si sarebbe trovato se l'operazione di pagamento non avesse avuto luogo, assicurando che la data valuta dell'accredito non sia successiva a quella dell'addebito dell'importo.)) 2. In caso di motivato sospetto di frode, il prestatore di servizi di pagamento puo' sospendere il rimborso di cui al comma 1 dandone immediata comunicazione ((per iscritto alla ### d'###) all'((...)). ((2-bis. Se l'operazione di pagamento e' disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, il prestatore di servizi di pagamento di radicamento del conto rimborsa al pagatore immediatamente e, in ogni caso, entro la fine della giornata operativa successiva, l'importo dell'operazione non autorizzata, riportando il conto di pagamento addebitato nello stato in cui si sarebbe trovato se l'operazione di pagamento non avesse avuto luogo. In caso di operazione di pagamento non autorizzata, se il relativo ordine di pagamento e' disposto mediante un prestatore di servizi di disposizione di ordine di pagamento, quest'ultimo e' tenuto a rimborsare immediatamente e, in ogni caso, entro la fine della giornata operativa successiva, senza che sia necessaria la costituzione in mora, al prestatore di servizi di pagamento di radicamento del conto su richiesta di quest'ultimo, gli importi rimborsati al pagatore. Se il prestatore di servizi di disposizione di ordine di pagamento e' responsabile dell'operazione di pagamento non autorizzata, risarcisce immediatamente e, in ogni caso, entro la fine della giornata operativa successiva senza che sia necessaria la costituzione in mora il prestatore di servizi di pagamento di radicamento del conto, su richiesta di quest'ultimo, anche per le perdite subite. In entrambi i casi e' fatta salva la facolta' del prestatore di servizi di disposizione di ordine di pagamento di dimostrare, in conformita' a quanto disposto dall'articolo 10, comma 1-bis, che, nell'ambito delle sue competenze, l'operazione di pagamento e' stata autenticata, correttamente registrata e non ha subito le conseguenze di guasti tecnici o altri inconvenienti relativi al servizio di pagamento da questo prestato, con conseguente diritto in questi casi alla restituzione delle dimostrare che i propri sistemi non abbiano subito malfunzionamenti e che l'operazione sia stata regolarmente autenticata ovvero che l'utilizzatore abbia agito con dolo o colpa grave, venendo meno agli obblighi di servirsi dello strumento di pagamento in conformità ai termini del servizio e di denunciare tempestivamente lo smarrimento o ogni altro uso non autorizzato dei propri codici o dispositivi di sicurezza.
Dunque, la normativa in materia delinea una responsabilità contrattuale da inadempimento della banca, da cui la stessa può liberarsi assolvendo al rigoroso onere della prova inerente la dimostrazione del funzionamento dei sistemi informatici e del dolo o della colpa grave con cui il cliente ha agito: “[…] sebbene alla vicenda non sia applicabile ratione temporis (le operazioni delle quali si discute risalgono infatti al settembre 2005) la direttiva 2007/64/CE del ### europeo e del consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno, cui è stata data attuazione con il d. Igs. 27 gennaio 2010, n. 11 (v., in particolare, artt. 10 e ss.), il punto di equilibrio divisato da tale disciplina risulta essere sostanzialmente in linea con le regole generali relative alla ripartizione della prova in tema di inadempimento contrattuale e di verifica della diligenza dell'agente professionale. Infatti, l'impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato (art. 1218 cod. civ.) richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore. Ne discende che, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.” (cfr. Cass. Sez. 1 - , Sentenza n. 2950 del 03/02/2017). somme da quest'ultimo versate al prestatore di servizi di pagamento di radicamento del conto ai sensi del presente comma.)) ((3. Il rimborso di cui ai commi precedenti non preclude la possibilita' per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l'operazione di pagamento era stata autorizzata. In tal caso, il prestatore di servizi di pagamento ha il diritto di chiedere direttamente all'utente e ottenere da quest'ultimo la restituzione dell'importo rimborsato ai sensi dei commi 1 e 2-bis.)) 4. Il risarcimento di danni ulteriori subiti puo' essere previsto in conformita' alla disciplina applicabile al contratto stipulato tra l'(###) e il prestatore di servizi di pagamento ((compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento)).
La banca, quale operatore professionale, ha l'onere di agire adottando la diligenza dell'accorto banchiere, così da mettere al riparo i propri clienti da eventuali frodi informatiche perpetrate da terzi.
Ciò posto, applicando i principi appena esposti al caso di specie, deve rilevarsi che senz'altro la banca ha pienamente assolto al proprio onere probatorio, laddove la ctu ha escluso che il sistema informatico della banca presentasse malfunzionamenti o anomalie, tanto che nella data del 15.06.2018 l'attore ha eseguito ben dieci bonifici online, tutti andati a buon fine, circa un'ora prima del secondo accesso al sito.
Inoltre, l'operazione incriminata è stata eseguita da un IP address riconducibile pacificamente all'attore e coincidente con quello utilizzato usualmente per tutti i bonifici precedenti a quello contestato, sicchè non vi erano motivi per dubitare della provenienza dell'operazione dal cliente.
Ancora, risulta confermato dal consulente che il bonifico in questione è avvenuto dopo la regolare autenticazione del cliente, che ha effettuato il login con le proprie credenziali e solo successivamente all'inserimento di un codice otp dinamico, che poteva essere inserito solo da un soggetto in possesso del token che lo ha generato.
Ciò significa che non vi è stata alcuna forzatura del sistema e l'operazione è stata completata solo grazie all'inserimento dell'### È pur vero che qualche stranezza nell'operazione vi sia, tuttavia è plausibile quanto riferito dalla banca circa il fatto che la connessione è durata mezz'ora prima della disposizione del bonifico senza che sia intervenuto il logout automatico previsto come forma di sicurezza o perchè il cliente ha navigato nella sua area clienti oppure perché l'hacker ha inviato dei ping che hanno mantenuto attiva la connessione. Nulla è stato invece dedotto dalla banca circa l'ulteriore rilievo effettuato dal ctu in merito all'origine della connessione: da login nel primo accesso effettuato dal ### alle ore 9,27 e “da e/c” nel secondo accesso.
Orbene, entrambi i rilievi del ctu non sono idonei a configurare una responsabilità della banca innanzitutto perchè trattasi di aspetti mai contestati dall'attore in nessuno dei propri scritti difensivi ed in secondo luogo perché non dimostrano in alcun modo l'esistenza di falle nel sistema informatico: è ben plausibile la spiegazione fornita dalla banca in merito alla durata del collegamento, peraltro non eccessiva (circa mezz'ora); non è dato sapere il significato delle diciture “da login” e “da e/c” ma è incontestabile che l'operazione, a prescindere da come sia avvenuto il login, si sia potuta completare solo grazie alla generazione del codice ### non avvenuta per via informatica ma meccanicamente pigiando il tastino del token. In sostanza, un eventuale ipotetico accesso illecito non sarebbe stato sufficiente per effettuare la disposizione di bonifico, richiedendo necessariamente l'utilizzo della chiavetta fisica in esclusivo possesso del ### Non vi erano, quindi, ragioni di dubitare circa la riconducibilità dell'operazione al cliente alla luce della corretta autenticazione dell'operazione con tutti i passaggi necessari e della sua provenienza dall'indirizzo IP sempre utilizzato dal cliente; circostanza invero questa che consente di affermare con certezza che l'operazione sia partita dallo studio del ### per sua mano o per mano di altro soggetto in grado di utilizzare una delle postazioni informatiche ivi situate ed in possesso del token del cliente, oltre che delle sue credenziali di accesso.
La banca ha, pertanto, dimostrato sia che il portale ### fosse perfettamente funzionante in data ###, così smentendo recisamente la tesi attorea, sia che l'operazione è stata approvata perché esente da anomalie che potessero insospettire l'istituto bancario.
Né vale quanto laconicamente affermato dall'attore circa la necessità di una previa comunicazione via fax del bonifico, come avvenuto per quello di € 145.963,05 effettuato sempre in quella data in favore della ###ni spa.
Infatti, l'attore si limita a richiamare il contratto sottoscritto con la banca (all. 1), che - a suo dire - prevedeva tale obbligo, ma in realtà nel suddetto contratto richiamato nell'atto di citazione non si rinviene alcuna clausola in tal senso.
Invero, appare plausibile che, in considerazione dell'ingente importo del bonifico effettuato nei confronti della compagnia assicurativa, fosse necessario un simile adempimento, che invece per un'operazione di valore di gran lunga inferiore non era necessario.
Sulla scorta di tali considerazioni, emerge chiaramente come la banca abbia agito in modo diligente. ### canto, risulta altresì provata la colpa grave del cliente, che esclude qualsivoglia responsabilità della banca.
Infatti, le risultanze peritali hanno consentito di appurare come l'operazione sia partita dall'ufficio del ### il quale però nega fino alla fine di essersi collegato al portale alle ore 10,28. Ciò può significare solo che l'operazione sia stata effettuata da un terzo soggetto in possesso delle credenziali del ### e della sua chiavetta da una delle postazioni informatiche presenti nell'agenzia.
Una simile ipotesi costituisce senz'altro una colpa grave del cliente, venuto meno all'obbligo previsto dall'art. 7 del d.lgs. 11/2010 di adottare tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate ed a quelli contrattuali di cui alla clausola n. 5: “Le credenziali […] devono essere custodite con la massima cura e in luogo riservato e utilizzate esclusivamente dall'utente cui sono assegnate” ed alla lettera di consegna ### ove si legge che il cliente si è impegnato a “mantenere segreti i codici di identificazione che sono strettamente personali e non cedibili a terzi, nonché a custodirli ed utilizzarli con la massima diligenza”.
Per le ragioni esposte, la domanda deve essere rigettata e conseguentemente le spese di ctu vanno poste definitivamente a carico dell'attore, così come le spese di lite, che si liquidano in complessivi € 4.230,00, per onorari, oltre iva, cpa e rimborso forfettario al 15%, quantificati ai sensi del DM 55/2014, tenuto conto del valore della controversia e dell'attività difensiva svolta (risultata non particolarmente complessa, alla luce del tenore degli atti di costituzione, con riferimento alle prime due fasi, per cui si riconoscono i minimi tariffari). P.Q.M. Il Tribunale, definitivamente pronunciando, ogni diversa istanza disattesa o assorbita, così provvede: 1. Rigetta la domanda attorea; 2. Condanna la parte attrice a rimborsare alla parte convenuta le spese di lite, che si liquidano in € 4.230,00, per onorari, oltre ### CPA e rimborso forfetario al 15%; 3. Pone le spese di ctu definitivamente a carico dell'attore.
Così deciso in ### il ###. il Giudice
Dott.ssa ###
causa n. 65/2020 R.G. - Giudice/firmatari: Luppino Elena Manuela Aurora
v5.31
