Tribunale di Firenze, sentenza 17.03.2025, n.956
Domanda dei ricorrenti
Con ricorso ex art. 702 c.p.c. i ricorrenti citavano in giudizio la Banca presso la quale avevano acceso il conto corrente, chiedendo di accertarne e dichiararne la responsabilità – contrattuale e/o extracontrattuale – dell’Istituto di credito con riferimento a sei disposizioni eseguite a tramite carta di credito virtuale e canale Home Banking non autorizzate e disconosciute con conseguente richiesta di condanna al rimborso dell’importo sottratto in maniera fraudolenta e in subordine al risarcimento per danno patrimoniale, oltre alla remissione delle spese di lite.
Fatto
I ricorrenti allegavano che oltre al conto, avevano ottenuto la concessione di un fido bancario di euro 2.000,00, il quale consentiva loro di poter operare in negativo fino alla soglia massima concessa, con la possibilità di rientrarvi progressivamente.
Uno dei cointestatari riceveva sulla propria utenza telefonica una notifica push da un’applicazione, con la quale veniva informato dell’avvenuto pagamento, mediante carta di credito a lui intestata, di alcuni importi non da lui autorizzati.
Allarmatosi, si attivava immediatamente contattando il numero verde al fine di bloccare la carta. Successivamente si recava di persona in Filiale per denunciare l’accaduto e scopriva che vi erano state ulteriori operazioni fraudolente effettuate nella medesima data, con la sottrazione di ulteriori somme dal proprio conto corrente, che presentava pertanto un saldo in negativo.
Dunque, le operazioni fraudolente avevano interessato sia la carta di credito che il conto corrente.
Disamina
Il Tribunale di Firenze ha inteso preliminarmente esaminare la eventuale responsabilità della banca per utilizzo abusivo degli strumenti di pagamento, in virtù della normativa applicabile, ovvero il d.lgs. n. 11/2010 e ss.mm.ii..
Tale decreto ha introdotto la c.d. autenticazione forte del cliente (Strong Customer Authentication – SCA), basata sull’uso di due o più elementi di autenticazione (cd. “autenticazione a due fattori”), appartenenti ad almeno due categorie tra le seguenti:
√ conoscenza (qualcosa che solo l’utente conosce, come una password o un PIN);
√ possesso (qualcosa che solo l’utente possiede, come un token/chiavetta, o uno smartphone);
√ inerenza (qualcosa che caratterizza l’utente, come l’impronta digitale o il riconoscimento facciale).
L’art. 10 del d.lgs. 11/2010, che ha individuato i criteri di ripartizione dell’onere probatorio, pone a carico del prestatore di servizi, chiamato a rispondere di danno da phishing, un duplice onere:
- in primo luogo, deve provare “che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”;
- ove tale prova sia raggiunta, per andare esente da responsabilità, deve provare il dolo o la colpa grave dell’utente.
Invero, la giurisprudenza di legittimità, che ha ricondotto la fattispecie nell’alveo della responsabilità contrattuale, ha affermato che: “in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente (Cass. 16417/2022; Cass. 9158/2018; Cass. 2959/2017)”.
Nel caso in cui ricorra sia una violazione degli obblighi posti in capo all’istituto di credito che la colpa grave del cliente potrà configurarsi un concorso di colpa ex art. 1227 c.c..
Conclusione
Nel caso di specie, la Banca non ha provato il dolo o la colpa grave dell’utente.
Parallelamente, il CTU ha rilevato mancanze del sistema informatico adottato dalla Banca in ragione di alcune criticità.
Sebbene il cliente abbia subito un attacco phishing, il CTU ha sottolineato che la responsabilità per il danno subito è da ascrivere interamente al prestatore di servizi per non aver adottato tempestive misure di protezione. La carenza del sistema antifrode, infatti, ha reso l’attacco particolarmente efficace.
Pertanto, il Tribunale ha escluso il concorso di colpa ex art. 1227 c.c., ritenendo la Banca unica responsabile della frode subita dal cliente.
Principio
Oltre all’autenticazione, la banca deve disporre di sistemi di monitoraggio in tempo reale in grado di rilevare e bloccare operazioni anomale o sospette.
La responsabilità della banca può sussistere anche in presenza di una corretta autenticazione, qualora il suo sistema antifrode non abbia reagito a evidenti segnali di allarme, quali:
- operazioni eseguite da indirizzi IP localizzati in paesi esteri e anomali rispetto alla consueta operatività del cliente;
- la registrazione di un nuovo dispositivo (es. un nuovo smartphone) seguita immediatamente da operazioni bancarie;
- una serie di operazioni ravvicinate e di importo elevato, atipiche per il profilo del cliente;
- operazioni tramite OTP su dispositivi nuovi.
Se il sistema antifrode non rileva tali anomalie, si configura una carenza nelle misure di sicurezza che contribuisce causalmente al successo della frode, determinando la responsabilità della banca.
Legal Advice
Per non incorrere in responsabilità l’Istituto di credito deve:
- adottare sistemi di sicurezza rigidi;
- autenticare il Cliente con la cd. autenticazione forte;
- prevedere tempestive misure di protezione tali da rendere l’attacco tramite push inefficace, con il conseguente rapido blocco dell’operazione (sistema antifrode);
- provare la corretta autenticazione e registrazione dell’operazione;
- provare il dolo o la colpa grave del Cliente (riconducibilità dell’operazione a quest’ultimo).
