Trib. Milano, sentenza 28/06/2024, n. 6528

RG 13605/2022
N. R.G. 13605/2022
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di MILANO
SESTA CIVILE
Il Tribunale di Milano, in composizione monocratica, nella persona del GOP dott.ssa
Alessandra Caiazzo, ha pronunciato ai sensi dell'art. 281 quinquies comma primo c.p.c., la seguente
SENTENZA nella causa civile di I Grado iscritta al n. R.G. 13605/2022 promossa da:
NE AD (C.F. [...]) e LA FA (C.F.
[...]), elettivamente domiciliati in MILANO, VIA SANT'ANDREA n°23, presso lo studio dei difensori avvocati BOZZATO MAURIZIO e BIANCHI LORENZO che li rappresentano e difendono giusta procura rilasciata in calce all'atto introduttivo del giudizio.
ATTORI contro
BANCO BPM SOCIETA' PER AZIONI (C.F. 09722490969), elettivamente domiciliata in
FIRENZE, VIA CAVOUR n°80, presso lo studio del difensore avvocato BEI GIACOMO che la rappresenta e difende giusta delega allegata alla comparsa di costituzione e risposta.
CONVENUTO
OGGETTO: Bancari (deposito bancario, cassetta di sicurezza, apertura di credito bancario)
CONCLUSIONI
Le parti hanno concluso come da fogli depositati nel fascicolo telematico ed allegati al verbale
d'udienza di precisazione delle conclusioni, tenutasi in forma cartolare ex art. 127 ter c.p.c., da intendersi qui integralmente richiamate.
1

---

RG 13605/2022
RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE

1. Con atto di citazione notificato via PEC il 30 marzo 2022, i coniugi IA NE e
NO LA hanno convenuto in giudizio BANCO BPM S.p.a. (d'ora in poi BPM) al fine di accertare la sua responsabilità contrattuale ed ottenere la sua condanna alla restituzione di complessivi euro 70.000# oltre interessi, sottratti in modo fraudolento, previo accertamento del compimento di alcune operazioni abusive eseguite sul conto corrente intestato agli attori, vinte le spese.
Gli attori hanno sostenuto:
- di essere contitolari dal mese di luglio 2004 del conto corrente bancario n°00519 presso la filiale di MA EL (MB) di BPM;

- che il giorno 10 agosto 2021 alle ore 12.45 la signora EL aveva ricevuto sul proprio cellulare una comunicazione SMS tramite l'applicazione denominata “You alert” di BPM con la quale veniva informata come un dispositivo non autorizzato risultasse connesso al suo conto on line e veniva invitata a “clicca il modulo correlato id-youalert.com”, qualora disconoscesse tale accesso;

- che la signora EL aveva cliccato sul link id-youalert.com per mettersi in contatto con un operatore BPM;

- che alle ore 13.17 la signora EL aveva ricevuto prima una telefonata e poi anche una comunicazione SMS da persona qualificatasi quale operatore BPM, fornendo il proprio nominativo ed il numero identificativo, che la informava come estranei avessero tentato di effettuare bonifici a terzi;
come i bonifici al momento della telefonata non risultavano processati ma “a disposizione” e che era, pertanto, necessario procedere all'operazione di
“conferma di blocco”. L'operatore spiegava la procedura che andava seguita ovvero che
l'applicazione “You alert” andava disinstallata per impedire ulteriori accessi al conto corrente ed era poi necessario comunicare all'operatore i codici che avrebbe ricevuto da BPM;

- che la signora EL procedeva come da istruzioni ricevute a comunicare all'operatore i codici che man mano giungevano al suo cellulare del seguente contenuto “inserisci il codice xxxx per l'attivazione del token app” senza che venisse identificata l'operazione che veniva autorizzata;

- che la signora EL riceveva dal sistema informatico della banca 14 SMS con i quali apprendeva come in realtà i codici inviati non erano destinati a bloccare le operazioni, ma
2

---

RG 13605/2022
bensì ad autorizzare 14 bonifici di euro 5.000# ciascuno per un totale di euro 70.000#;
proprio mentre giungevano i predetti messaggi, l'operatore iniziava a parlare in dialetto e così la signora EL si rendeva conto di essere stata truffata;

- che subito cercava di mettersi in contatto telefonico con la filiale della propria banca ad
MA EL che purtroppo risultava chiusa per la pausa pranzo: solo alle 14.40 riusciva a parlare con il dipendente di BPM, sig. Massimiliano Pasut, il quale confermava l'esistenza delle disposizioni di bonifico sul conto corrente degli attori e riferiva come le stesse non potevano essere bloccate, poiché “la transazione transitava da una banca denominata Mybank”;

- che poco dopo veniva riferito agli attori che era stato contattato l'Ufficio Frodi e che parte dei bonifici erano stati bloccati, notizia questa che poi la banca convenuta ha smentito;

- che gli attori si erano immediatamente attivati sporgendo il medesimo giorno - 10 agosto
2021 - denuncia presso la stazione dei Carabinieri di Arcore, successivamente integrata il giorno 11 agosto 2021 nonché formalizzando in data 12 agosto 2021 un esposto presso la filiale della banca convenuta, disconoscendo le operazioni bancarie;

- che successivamente in data 1 settembre 2021 BPM, tramite il proprio ufficio Gestione
Reclami, dava riscontro al reclamo presentato dagli attori non contestando la ricostruzione dei fatti fornita dagli attori stessi, ma respingendo la configurabilità di responsabilità della banca
e negando rimborsi o risarcimenti, in ragione del fatto che la truffa era addebitabile solamente agli attori per aver collaborato con i malfattori, fornendo i codici di disposizione.
La difesa degli attori ha quindi invocato la responsabilità della banca in relazione alla disciplina delineata dal D. Lgs n°11/2010, come modificato dal D. Lgs n°218/2017, in virtù della quale grava sull'intermediario, al fine di escludere la propria responsabilità, l'onere di provare l'esecuzione di una corretta autenticazione, registrazione e contabilizzazione delle operazioni nonché di indicare elementi dai quali desumere la colpa grave dell'utente.
Ancora, la parte attrice ha eccepito che la frode non si sarebbe verificata se la banca avesse apprestato un sistema di sicurezza per le transazioni informatiche, evidenziando altresì come fosse mancato del tutto un sistema di blocco di quei 14 ripetuti bonifici, ciascuno di pari importo, eseguiti in un breve arco temporale, per un importo totale consistente ed evidentemente sospetti rispetto alla normale operatività del conto corrente, da sempre dedicato ad un uso familiare. Di più i messaggi che comunicavano l'inserimento dei bonifici contenevano la dicitura che il bonifico “era annullabile entro le ore”, con indicazione del
3

---

RG 13605/2022
numero verde da contattare, così creando negli attori il legittimo affidamento che le disposizioni potessero essere bloccate e/o revocate.

2. Si costituiva in giudizio Banco BPM S.p.a., chiedendo il rigetto delle domande proposte dagli attori, deducendo l'assenza di responsabilità della banca in relazione alle operazioni contestate e la configurabilità della responsabilità esclusiva degli attori o comunque della loro colpa grave;
in via subordinata, chiedeva di ridurre e/o escludere il danno risarcibile, riconoscendo il concorso di colpa degli attori nella produzione del danno ai sensi e per gli effetti di cui all'art. 1227 comma primo e comma secondo cod. civ..
In particolare, la banca ha sostenuto che:
- il primo SMS che aveva permesso ai malfattori di ottenere le credenziali di accesso al conto corrente on line degli attori, mediante l'invito a cliccare sul link in esso contenuto, era solo apparentemente riferibile a BPM, in quanto conteneva degli errori grammaticali e non riportava la solita intestazione grafica di BPM ma solo l'intestazione “You alert”;
si trattava quindi di una tipica ipotesi di c.d. spoofing ovvero camuffamento da parte di un soggetto della propria identità per far credere che le informazioni inviate o ricevute provenissero da una fonte attendibile;

- risultava pacifico ed incontestato che, ricevuta alle ore 13.17 una telefonata da un sedicente operatore BPM da un numero di cellulare non riferibile a BPM, gli attori avessero comunicato i codici via via generati dal token ai malfattori, in violazione degli obblighi di custodia e del divieto di trasferimento dei dati come previsto dall'art. 7 del D. Lgs n°11/2010;

- solo la condotta negligente degli attori aveva determinato il danno, avendo gli stessi comunicato i propri dati a terzi in violazione dell'obbligo di custodia delle proprie credenziali, con ciò dovendosi escludere che nella fattispecie potesse ricorrere una mancata protezione dei dati da parte della banca.
La difesa della banca ha evidenziato, inoltre, di aver adottato tutte le misure di sicurezza imposte dalla normativa