LA BANCA DEVE RIMBORSARE AL PROPRIO CORRENTISTA QUANTO INDEBITAMENTE PRELEVATO DA IGNOTI CHE, ATTRAVERSO UN SOFTWARE, ABBIANO AGGIRATO IL SISTEMA DI AUTENTICAZIONE DELL’UTENTE.
Il Tribunale di Ragusa, nella sentenza n° 1134/2017, ha così statuito:
“Con atto di citazione in appello, ha impugnato la sentenza resa dal Giudice di pace di Ragusa n. 52/2013 deducendo che la predetta sentenza aveva accolto la domanda di risarcimento danno formulata dall’odierno appellato per Euro OMISSIS per operazioni mai effettuate dallo stesso o dallo stesso ordinate; che l’istruttoria si era svolta senza l’acquisizione della copia Forensis del pc in uso all’appellato al fine di cristallizzare l’accertamento e impedire la modifica dei relativi dati; che ciò aveva compromesso l’istruttoria; che erronea era stata l’esclusione della responsabilità dell’appellato per omessa custodia delle proprie credenziali atteso che la presunta frode era stata realizzata a causa di una non regolare custodia dei codici di accesso; che pertanto tale condotta doveva assumere rilevanza sul piano della responsabilità ex art. 1227 c.c.; che era emerso che l’appellato conservava in chiaro le mail contenenti i codici Postepay; che sul pc era installato un file/applicazione che consentiva il recupero di password e altri dati; che tale applicazione permetteva ai malintenzionati di carpire informazioni dal pc; che gli autori dei prelevamenti del OMISSIS avevano utilizzato la password e username dell’appellato; che pertanto si doveva ritenere che gli stessi fossero in possesso di tali dati; che sul pc dell’appellato non risultava installato un adeguato software antivirus; che, pertanto, essendo gli ordini del OMISSIS pervenuti a OMISSIS in maniera regolare, nessuna responsabilità per gli stessi poteva essere ascritta in capo all’appellante; OMISSIS. Per questi motivi, ha chiesto la riforma della sentenza appellata OMISSIS
Si è costituito l’appellato rilevando che l’istruttoria era stata correttamente espletata; che il CTU non aveva riscontrato alcuna alterazione del pc in uso all’appellato; che il CTU aveva altresì accertato che i codici di sicurezza e password erano stati carpiti da terzi mediante un sistema automatico mediante il quale, partendo da un dato conosciuto era stato possibile poi ricavare le ulteriori informazioni, data scadenza e CVV 2 della carta, attraverso l’utilizzo di combinazioni di codici; che il sistema di sicurezza di OMISSIS non era adeguato; che le operazioni del OMISSIS erano state poste in essere da IP diversi e dislocati contemporaneamente su tutta Italia; OMISSIS che, come riscontrato dal CTU, il sistema di autenticazione predisposto dall’appellante non era idoneo a tutelare i clienti; che era evidente allora la responsabilità dell’appellante per il danno patito dall’appellato; OMISSIS Per questi motivi, ha chiesto il rigetto dell’appello.
All’udienza del OMISSIS, le parti hanno precisato le conclusioni come da verbale in atti e la causa è stata trattenuta in decisione, previa assegnazione dei termini ex art. 190 c.p.c… In via preliminare, si osserva che l’appello è ammissibile trattandosi di appello avverso sentenza del giudice di pace pronunciata secondo diritto in quanto attinente a contratti conclusi ex art. 1342 c.c. ossia mediante moduli o formulari.
Ciò premesso, l’appello è OMISSIS fondato. Non possono essere condivise le osservazioni circa le deficienze della fase istruttoria per non essere stata compiuta una copia Forensis del computer in uso all’appellato, apparendo irrilevante alla luce dell’esito della CTU.
Il CTU ha infatti potuto accertare che, oltre a non emergere elementi da cui desumere un eventuale phishing ai danni dell’appellato, le operazioni del OMISSIS denunciate dall’odierno appellato sono state svolte secondo modalità del tutto peculiari atteso che, per completare i campi obbligatori ai fini del perfezionamento dell’operazione, erano stati compiuti, nell’arco di un’ora circa, 516 tentativi di inserimento dei codici di sicurezza dell’appellante mediante l’utilizzo di 3 IP differenti, previo ottenimento mediante eventuale phishing o meccanismi di Mail Pass View o altri dell’user name e password in uso all’appellante.
Proprio il numero di tentativi eseguiti per l’inserimento dei codici di sicurezza e l’utilizzo di 3 diversi IP al fine dell’accesso, a prescindere dalla natura certificata del sistema di protezione di OMISSIS, porta a ritenere sussistente la responsabilità dell’appellante dovendo tali circostanze determinare un allarme nella società appellante e quindi il dovere di segnalare prontamente al titolare della carta la sussistenza di tali operazioni al fine di verificarne l’effettiva riconducibilità al relativo titolare.
In questo contesto, il ragionamento non è inficiato dalla affermazione del CTU al punto 3 delle conclusioni circa la necessaria previa conoscenza dei dati di accesso al profilo dell’appellato per l’esecuzione delle operazioni di cui è causa atteso che, pur essendo emersa una conservazione non corretta dei dati relativi al conto in esame da parte dell’appellato, non vi è prova in atti che lo stesso abbia imprudentemente divulgato a terzi tali dati ovvero siano stati carpiti mediante i sistemi di cui al punto 2 delle conclusioni, essendo solo ipotizzati phishing e l’utilizzo del software Mail Pass View.
E’ infatti chiaro, come risulta dal confronto eseguito dal CTU di cui al punto 2.6 della relazione, che il sistema utilizzato da OMISSIS, per quanto omologato secondo le disposizioni di legge, non prevedeva il meccanismo di autenticazione a 2 fattori che avrebbe, secondo il criterio “ del più probabile che non” , evitato con alta certezza il verificarsi delle operazioni di cui è causa.
Ne consegue che nessuna responsabilità può essere ravvisata in capo all’utente, odierno appellato.
OMISSIS
P.Q.M.
Il Tribunale di Ragusa, ogni altra domanda reietta, definitivamente pronunciando, così provvede) Rigetta OMISSIS l’appello;