Atto di citazione del correntista per frodi informatiche nei servizi home bankingInquadramentoCon l'atto di citazione, il correntista chiede il risarcimento del danno al proprio istituto di credito per effettuazione di un'operazione di pagamento non autorizzata da parte di un terzo, venuto in possesso abusivamente delle credenziali d'accesso al servizio home banking. FormulaTRIBUNALE DI .... ATTO DI CITAZIONE1 PER Il Sig. .... (C.F. ....), nato a .... il ..../..../........, residente in .... alla via .... n. ...., rappresentato e difeso dall'Avv. .... (C.F. ....), con domicilio eletto in .... alla via .... n. .... presso lo studio dell'Avv. ...., giusta procura in calce al presente atto e reso su foglio separato, dichiarando di voler ricevere tutte le comunicazioni e gli avvisi di cui agli artt. 133 comma 3, 134 comma 3, 170 comma 4 e 176 comma 2 c.p.c., anche al seguente numero di fax ...., ovvero al seguente indirizzo PEC: ....@ ...., espone in FATTO — Il Sig. ...., è cliente e correntista presso la banca ....; — Dal .... l'istituto di credito metteva a disposizione del Sig. .... il servizio di home banking tramite il quale l'odierno attore poteva disporre dei servizi di pagamento attraverso il sistema informatico, senza la necessità di doversi recare personalmente presso gli sportelli della banca; — In data ...., il Sig. ...., accedendo all'area clienti del predetto servizio, notava con stupore che i fondi a propria disposizione erano stati azzerati; — Incredulo, l'odierno attore si metteva immediatamente in contatto con gli operatori della Banca .... i quali comunicavano al Sig. .... che dal suo conto erano state effettuate varie operazioni di acquisto di prodotti online tali da azzerare i fondi a sua disposizione; — In data .... il Sig. .... si recava presso la stazione dei carabinieri di .... per denunciare una truffa informatica; — Con lettera raccomandata a.r. del .... il Sig. .... invitava la Banca .... a risarcire tutti i danni dallo stesso sofferti a seguito della truffa di cui era stato vittima. — In data .... è stato esperito con esito negativo il procedimento di negoziazione assistita di cui all'art. 3 del d.l. 12 settembre 2014, n. 132, convertito in legge 10 novembre 2014, n. 162, come risulta dalla diffida inviata in data .... con raccomandata a.r. n. ...., in cui l'attore ha espressamente invitato la controparte a stipulare una convenzione di negoziazione con le seguenti modalità ....; — Tale invito non è stato seguito da adesione (oppure) è stato seguito da rifiuto entro trenta giorni dalla sua ricezione (oppure) è decorso il periodo di tempo di cui all'articolo 2, comma 2, lettera a) del d.l. 12 settembre 2014, n. 132, convertito in legge 10 novembre 2014, n. 162, come risulta da .... Alla luce di quanto esposto, sussiste la responsabilità della banca .... S.p.A. per i danni subiti dall'attore sulla scorta dei seguenti motivi in DIRITTO Nel caso di specie, la responsabilità della banca nelle ipotesi di truffa informatica trova fondamento nel d.lgs. 11 del 27 gennaio 2010 (c.d. PSD - Payment Services Directive), ed in particolare negli articoli 11 e 10. L'art. 11 (Responsabilità del prestatore di servizi di pagamento per le operazioni di pagamento non autorizzate) dispone che, nel caso in cui un'operazione di pagamento non sia stata autorizzata, il prestatore di servizi di pagamento rimborsa immediatamente al pagatore l'importo dell'operazione medesima. Ove per l'esecuzione dell'operazione sia stato addebitato un conto di pagamento, il prestatore di servizi di pagamento riporta il conto nello stato in cui si sarebbe trovato se l'operazione di pagamento non avesse avuto luogo. Circostanza non verificatasi nel caso di specie, atteso che la Banca .... non ha provveduto a rimborsare immediatamente l'importo del pagamento non autorizzato. L'art. 10 del d.lgs. n. 11/2010 pone pertanto a carico del prestatore dei servizi di pagamento (ossia l'intermediario finanziario) specifici precetti, che connotano di un particolare favor la posizione del cliente. E segnatamente, in caso di disconoscimento di un'operazione di pagamento, è onere dell'intermediario dimostrare che l'operazione sia stata correttamente autenticata, registrata e contabilizzata e che la sua patologia non sia dovuta a malfunzionamenti delle procedure esecutive o ad altri inconvenienti del sistema; Inoltre, stabilisce lo stesso art. 10 del d.lgs. n. 11/2010, che anche l'apparentemente corretta autenticazione non è sufficiente ad escludere la responsabilità dell'intermediario; La giurisprudenza generalmente riconosce la responsabilità del prestatore dei servizi di pagamento sul presupposto che quest'ultimo, nei rapporti contrattuali con il correntista, risponde secondo le regole del mandato ex art. 1856 c.c. e la diligenza cui è tenuto va valutata con particolare rigore: la diligenza del buon banchiere deve essere qualificata dal maggior grado di prudenza e attenzione che la connotazione professionale dell'agente consente e richiede. Per quanto sopra, il Sig. ...., come sopra rappresentato, difeso e domiciliato, con il presente atto CITA La Banca .... (C.F. ....), in persona del legale rapp.te p.t. Dott. .... a comparire innanzi il Tribunale ordinario di ...., Sezione e Giudice Istruttore a designarsi ai sensi dell'art. 168-bis c.p.c., all'udienza del ...., ora di rito, con invito alla parte convenuta a costituirsi nel termine di settanta giorni prima dell'udienza indicata ai sensi e nelle forme stabilite dall'articolo 166 e a comparire, nell'udienza indicata, dinanzi al giudice designato ai sensi dell'articolo 168-bis, AVVERTE la convenuta che:
per ivi sentire accogliere le seguenti: CONCLUSIONI 1) accertare e dichiarare la responsabilità da inadempimento per violazione della diligenza professionale della Banca .... per le ragioni tutte di cui al presente atto, nei confronti del Sig. .... per i danni subiti quale conseguenza immediata e diretta del suo inadempimento; 2) per l'effetto, condannare la Banca .... al risarcimento dei danni sofferti dal Sig. ...., quale conseguenza immediata e diretta del dedotto inadempimento, che si quantificano in complessivi Euro ...., oltre interessi, ovvero in via subordinata, condannare la convenuta al pagamento in favore del Sig. .... di quella diversa somma che il Tribunale adito dovesse ritenere comunque dovuta ed accertata a titolo di risarcimento del danno, se del caso anche a mezzo CTU contabile ovvero, in via di estremo subordine, in via equitativa; 3) condannare, infine, la Banca .... alla refusione delle spese e competenze del presente giudizio, oltre accessori nella misura di legge. Con riserva di formulare le istanze istruttorie nei termini di cui all'art. 183 comma 6, c.p.c., che sin d'ora si richiedono. Si depositano i seguenti documenti in copia: 1) estratto conto al ....; 2) messa in mora del ....; 3) invito alla negoziazione assistita del ....; 4) denuncia per truffa del ....; Ai sensi e per gli effetti del d.P.R. n. 115/2002, si dichiara che il valore del presente procedimento è pari ad Euro .... Luogo e data .... Firma Avv. .... PROCURA AD LITEM Il sottoscritto Sig. .... (C.F.: ....), nato a .... il .... e residente in .... alla Via ...., informato ai sensi dell'art. 4, comma 3, del d.lgs. n. 28/2010 della possibilità di ricorrere al procedimento di mediazione ivi previsto e dei benefici fiscali di cui agli artt. 17 e 20 del medesimo decreto, con la presente conferisco incarico all'Avv. .... (C.F.: .... ) a rappresentarmi e difendermi nel giudizio da promuovere dinanzi al Giudice di Pace / Tribunale di ...., ivi comprese le fasi esecutive e di impugnazione che da questo conseguono, con ogni più ampia facoltà di legge; a tal uopo conferisco, altresì, al nominato procuratore ogni facoltà di legge, comprese quelle di conciliare, incassare, quietanzare, rinunziare e transigere, con promessa di rato e fermo del suo operato; lo autorizzo, infine, al trattamento dei miei dati personali, conformemente alle norme del d.lgs. 196/2003 e limitatamente alle finalità connesse all'esecuzione del presente mandato. Eleggo domicilio presso il suo studio in .... alla via ...., n. .... Luogo e data .... Sig. .... È autentica Firma Avv. .... [1] La competenza per valore spetta al Giudice di Pace ove la somma richiesta sia inferiore ad euro venticinquemila e la relativa domanda si propone con ricorso chiedendo la fissazione, ai sensi dell'art. 2814 undecies comma 2 c.p.c., con decreto emesso entro cinque giorni dalla designazione del Giudice, l'udienza di comparizione delle parti, con concessione del termine per la notificazione del ricorso e del decreto di fissazione di udienza e assegnazione del termine per la costituzione dei convenuti che dovrà avvenire non oltre dieci giorni prima dell'udienza, con avvertimento che la mancata costituzione o la costituzione oltre i termini comporterà le decadenze di cui agli artt. 38,167 e 281 undecies, comma 3 e 4 c.p.c., che la difesa tecnica mediante avvocato è obbligatoria in tutti i giudizi davanti al tribunale, fatta eccezione per i casi previsti dall'articolo 86 o da leggi speciali, e che esso convenuto, sussistendone i presupposti di legge, può presentare istanza per l'ammissione al patrocinio a spese dello Stato, che in caso di mancata costituzione si procederà in sua legittima e dichiaranda contumacia. CommentoIl tema della responsabilità della banca da frodi informatiche subite dal cliente è stato oggetto, nel corso dell'ultimo decennio, di un lungo dibattito giurisprudenziale e di recenti interventi normativi che hanno inciso sull'impostazione della fattispecie risarcitoria. Dubbio è stato a lungo il fondamento della responsabilità da addebitarsi all'istituto di credito nel caso di effettuazione di operazioni bancarie non autorizzate dal cliente, a seguito di frode informatica riconducibile a diverse tecniche, come quella del c.d. phishing, o della captazione abusiva delle credenziali d'accesso al servizio c.d. home banking, o del furto d'identità informatica. Secondo un primo orientamento giurisprudenziale (si veda Trib. Palermo, 12 gennaio 2010, e Trib. Palermo 3 agosto 2015) la responsabilità dell'intermediario bancario nella fattispecie in esame andrebbe ricondotta al regime delle attività pericolose ex art. 2050 c.c., alla luce del rinvio operato dall'art. 15, d.lgs. n. 196/2003, in materia di trattamento dei dati personali. L'art. 31 d.lgs. n. 196/2006 - c.d. codice della privacy, impone che i dati personali oggetto di trattamento siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi, ivi compreso quello di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Dal disposto della norma in esame, deriva l'esposizione a responsabilità dell'istituto di credito, quale titolare del trattamento, nei confronti del cliente, per non aver impedito agli abusivi utilizzatori di introdursi illecitamente nel sistema telematico di quest'ultimo, consentendo così la captazione dei suoi codici di accesso e, ad esempio, le conseguenti illegittime disposizioni di bonifico. Secondo altra tesi, (si veda Trib. Verona, 2 ottobre 2012; Tribunale Milano, 4 dicembre 2014; Trib. Caltanissetta 3 novembre 2014; lo stesso Trib. di Palermo 3 agosto 2015 che individua un duplice titolo di responsabilità a carico di Poste Italiane S.P.A.), sarebbe preferibile una configurazione in chiave esclusivamente contrattuale della responsabilità, richiamando, in particolare, la disciplina del mandato ex art. 1856 c.c. Sul punto, la banca, nei rapporti con il cliente, nel caso di convenzione home banking, risponderebbe secondo le regole del mandato (dato l'espresso richiamo operato, al riguardo, dall'art. 1856 c.c. in tema di esecuzione di incarichi bancari) con refluenze sulla diligenza richiesta nell'esecuzione della prestazione dovuta, da valutarsi con particolare rigore. Si richiederebbe, infatti, l'adozione, da parte dell'istituto bancario, di tutte le misure idonee a garantire la sicurezza del servizio, dato che la diligenza posta a carico del professionista presenta natura tecnica e deve essere valutata considerando i rischi tipici dell'attività di impresa di riferimento ed assumendo quindi il parametro dello ”accorto banchiere”. È appena il caso di osservare, infatti, come la diligenza richiesta dall'istituto di credito non possa ricondursi a quella, per così dire, residuale, del buon padre di famiglia, posto che la diligenza del buon banchiere «che deve essere qualificata dal maggior grado di prudenza ed attenzione che la connotazione professionale dell'agente richiede - trova applicazione non solo con riguardo all'attività di esecuzione di contratti bancari in senso stretto, ma anche in relazione ad ogni tipo di atto od operazione che sia comunque oggettivamente esplicato presso una struttura bancaria e soggettivamente svolto da un funzionario bancario» (cfr. Cass. n. 4571/1992; Cass. n. 4389/99). In particolare, con specifico riferimento all'utilizzazione di servizi e strumenti, con funzione di pagamento o altra, che si avvalgono di mezzi meccanici o elettronici, la Suprema Corte ha avuto modo di osservare che: «non può essere omessa (...) la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire la sicurezza del servizio (...); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere» (cfr. Cass. n. 13777/2007). Sul tema della responsabilità dell'istituto di credito per frodi informatiche subite dal cliente, impatto decisivo ha avuto, poi, l'introduzione del d.lgs. 27 gennaio 2010, n. 11, in attuazione della direttiva 2007/64/CE del Parlamento Europeo e del consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno che, oltre a stabilire l'obbligo del prestatore del servizio di pagamento di assicurare che i dispositivi personalizzati forniti dai gestori non siano accessibili a soggetti diversi dal legittimo titolare, detta alcune disposizioni specificamente indirizzate a ripartire le responsabilità derivanti dall'utilizzazione del servizio stesso. In particolare, all'art. 10 è previsto che, «qualora l'utente neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore dei servizi di pagamento provare che l'operazione è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti». L'onere di provare la genuinità della transazione grava dunque, in forza del disposto della norma in esame, sul prestatore del servizio di pagamento. La disposizione precisa, poi, a rafforzare le garanzie dell'utilizzatore del servizio, che non risulta sufficiente a ritenere assolto il predetto onere la dimostrazione dell'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi. In punto di responsabilità, poi, l'art. 11 del d.lgs. n. 11/2010, nel caso di operazione non autorizzata dal cliente, obbliga il prestatore di servizi di pagamento al “rimborso immediato al pagatore dell'importo della prestazione medesima”. L'unica causa di sospensione del rimborso viene individuata nel “caso di motivato sospetto di frode”, rimanendo, comunque, fermo il diritto del prestatore di servizi alla restituzione di quanto versato all'utilizzatore del servizio là dove la paternità dell'operazione sia da confermare in capo al cliente. Dal lato dell'utilizzatore, di contro, vengono precisati, all'art. 7, alcuni obblighi di condotta, sia in tema di tempestiva comunicazione dell'utilizzo indebito dello strumento di pagamento, sia in relazione all'adozione delle “misure idonee a garantire la sicurezza dei dispositivi personalizzati che ne consentono l'utilizzo”. Il quadro normativo va poi completato, a livello di fonti secondarie, dal provvedimento della Banca d'Italia del 5 luglio 2011, che si occupa espressamente degli obblighi e delle responsabilità dell'utilizzatore di servizi di pagamento, in relazione alle modalità di fruizione dei medesimi. La norma si rivela di particolare interesse per il livello di dettaglio con cui vengono regolamentati, da un lato, i livelli di sicurezza dei dispositivi messi a disposizione della clientela e, dall'altro, gli obblighi di cautela gravanti sugli utilizzatori. La Cassazione, in ordine alla natura della responsabilità dell'intermediario bancario, sembra di recente aver aderito alla tesi della qualificazione contrattuale, con le note conseguenze in termini di ripartizione dell'onere probatorio, argomentando che «il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno o per l'adempimento deve provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi poi ad allegare la circostanza dell'inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo dell'altrui pretesa, costituito dall'avvenuto adempimento (v., ad es., Cass. n. 826/2005) ovvero dell'impossibilità della prestazione derivante da causa a lui non imputabile. Tale generale principio ha trovato una sua specificazione, con riguardo all'utilizzazione di servizi e strumenti con funzione di pagamento, che si avvalgono di mezzi meccanici o elettronici, in quanto si è ritenuto che “non può essere omessa (...) la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire la sicurezza del servizio (...); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere” (Cass. n. 13777/2007; v. anche Cass. n. 806/2016)» (così Cass. n. 2950/2017). La riconduzione della responsabilità della banca nell'alveo contrattuale trova giustificazione anche in ragione della peculiare attività di impresa posta in essere dall'istituto di credito. Infatti, la possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente. Da ciò la pretesa di un livello di diligenza “professionale”, nell'esecuzione della prestazione, da parte dell'istituto di credito, ai sensi dell'art. 1176 c.c., che tenga conto della natura dell'attività svolta dalla banca. La giurisprudenza di legittimità ha ritenuto una siffatta impostazione in ordine al titolo della responsabilità dell'intermediario bancario compatibile con la direttiva 2007/64/CE del Parlamento Europeo e del consiglio del 13 novembre 2007, relativa ai servizi di pagamento nel mercato interno, cui è stata data attuazione con il d.lgs. 27 gennaio 2010, n. 11 (v., in particolare, art. 10 e ss.): “il punto di equilibrio divisato da tale disciplina risulta essere sostanzialmente in linea con le regole generali relative alla ripartizione della prova in tema di inadempimento contrattuale e di verifica della diligenza dell'agente professionale” (cfr. Cass. n. 2950/2017). L'intenzione del legislatore, europeo e nazionale, è evidentemente quella di premere sul prestatore dei servizi perché garantisca elevati standard di trasparenza e sicurezza e patisca, almeno in linea di principio, le conseguenze sfavorevoli del loro uso fraudolento o comunque non autorizzato”. (ABF Collegio di Torino n. 13527/2021).Ed infatti, l'impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato (art. 1218 c.c.) richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore, rendendo la prestazione dedotta in obbligazione inesigibile o impossibile. La Cassazione arriva quindi ad affermare che «anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo» (cfr. Cass. n. 2950/2017). La condotta del cliente, che abbia imprudentemente lasciato incustodite le proprie credenziali di accesso o le abbia comunicate a terzi senza verificarne diligentemente l'affidabilità (ad es. inserendole imprudentemente in messaggi di posta o pop-up ed incappando nel c.d. phishing, avente la finalità del furto dell'identità per ottenere l'accesso ad informazioni personali o riservate; ovvero accedendo ai servizi di on line banking utilizzando connessioni internet sconosciute) può incidere in senso riduttivo sulla responsabilità dell'istituto (ai sensi dell'art. 1227 c.c.), profilandosi il concorso colposo dello stesso danneggiato nella produzione dell'evento, ovvero escluderla radicalmente quando il comportamento sia stato talmente incauto e negligente da vanificare le adeguate misure di sicurezza approntate dalla banca. Si è ritenuto integrasse colpa grave dell'utente, tale da escludere la responsabilità della Banca, la protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto. (Cass., n, 18045/19; n. 26916/20) L'indirizzo appena riportato è stato ribadito nell'ordinanza 12 aprile 2018, n. 9158 con cui si è affermato che, "in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, … anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente" (Cass. n. 2950/2017). Ne discende che, nell'ipotesi in cui all'esito del giudizio non emergano in maniera chiara le modalità fraudolente (cd. rischio da ignoto tecnologico), sulla base della ripartizione dell'onere probatorio, la responsabilità ricadrà comunque sulla Banca (Trib Firenze , n. 3282/2022). |
