Nota a Trib. Modena, Sez. II, 30 aprile 2026, n. 603.
Massima redazionale
Nel caso di specie, parte attrice era stata vittima di “spoofing bancario”, truffa in cui “la vittima riceve un messaggio che sembra provenire dalla propria banca che informa la vittima che il suo conto è stato bloccato a causa di svariate ragioni. Per riattivare il conto, la vittima deve cliccare su un link presente nel messaggio stesso e seguire le istruzioni. Il link conduce a un sito web falso che assomiglia appunto a quello della banca. La vittima inserisce le proprie credenziali di accesso e i truffatori le rubano. A questo punto, i truffatori possono utilizzare le credenziali rubate per accedere al conto della vittima e autorizzare le transazioni fraudolente”. È circostanza altrettanto storicamente certa che il truffatore, ottenute dalla cliente le credenziali di accesso online al conto (ovvero utente e password) sia riuscito a disporre dal conto di costei i due bonifici per cui è causa, che hanno avuto regolare esecuzione.
La Banca ha documentato che il proprio servizio offre due livelli di sicurezza, mediante richiesta di password c.d. “statica”, nota solo all’utente, e di altra password c.d. “dinamica”, costituita da un codice numerico temporaneo (One Time Password, od OTP) istantaneamente generato in modo casuale a richiesta dell’utente. Ebbene, è noto che l’OTP può essere generato da un apposito dispositivo manuale a ciò dedicato, noto come token OTP hardware, hardware token, o token fisico, ovvero può essere generato da un’applicazione, per lo più gestita tramite smartphone, ed in tal caso si parla di Mobile Token, o token virtuale, che è il caso ricorrente.
L’autenticazione forte richiede la compresenza di almeno due elementi, ciascuno riconducibile ad una delle diverse categorie della: a) conoscenza, ovvero qualcosa che l’utente sa (password, PIN); b) possesso, ovvero qualcosa che l’utente ha (telefono, token fisico); c) inerenza, ovvero qualcosa che l’utente è (impronta, volto). Oltre che differenti, detti fattori devono essere fra loro indipendenti, in modo che l’appropriazione dell’uno da parte di terzi non comprometta l’affidabilità degli altri.
Nel caso di token virtuale, è necessario che il codice ATP venga generato su un dispositivo precedentemente registrato presso la banca, poiché soltanto in tal modo si combina ciò che l’utente sa (PIN) con ciò che ha (il dispositivo che riceve l’OTP). Se l’OTP, invece, viene direttamente reso noto all’utente remoto in quanto tale, mediante automatica generazione dall’applicazione di home banking in uso, a prescindere dall’hardware utilizzato per l’accesso, non ricorre il fattore di possesso, ma soltanto, più volte, quello di conoscenza, perché in tal caso all’utente è sufficiente farsi riconoscere come tale dall’interfaccia software all’accesso, per ottenere da essa il dato mancante per ordinare il bonifico. In tal caso, all’evidenza, non si tratta di autenticazione forte, perché i due elementi di identificazione sono entrambi riconducibili alla medesima categoria, e non sono affatto fra loro indipendenti, perché l’acquisizione del primo compromette definitivamente l’affidabilità dell’altro, permettendo al suo possessore, per ciò solo, di ottenere il dispositivo personalizzato, al di fuori delle procedure concordate tra l’utente e il prestatore di servizi di pagamento; sicché il successivo ordine di pagamento risulterà impartito in assenza di valido strumento di pagamento.
Nella specie, la Banca ha documentato che, per ciascuna operazione di bonifico è stata utilizzata la doppia autenticazione, costituita da PIN + OTP generato da Mobile Token. Che i truffatori abbiano utilizzato, per tali operazioni, i dispositivi fisici dei clienti (eventualmente carpendone a distanza i dati sensibili) è circostanza neppure ipotizzata dalla banca. La Banca, invece, opina che l’OTP generato dal Mobile Token sia pervenuto ai truffatori “molto probabilmente registrando a loro nome un nuovo dispositivo”. Perché ciò sia avvenuto, occorre però ipotizzare che ogni utente, in possesso delle credenziali di accesso al servizio di home banking della banca convenuta, possa, da solo e senza essere sottoposto ad ulteriori verifiche, aggiungere -e perché no, sostituire- l’hardware su cui verrà generato il codice temporaneo. A tale constatazione consegue, inevitabilmente, la considerazione che per il procedimento di autenticazione non sono stati utilizzati due elementi di identificazione diversi ed indipendenti. Anche in tal caso, infatti, il possesso non viene in rilievo quale fattore indipendente dalla conoscenza, poiché è irrimediabilmente compromesso dalla possibilità di reperire il dispositivo in autonomia, utilizzando soltanto la conoscenza statica iniziale; che resta pertanto elemento ex se sufficiente per completare con successo l’operazione dispositiva sul conto. Si tratta di considerazioni che, ovviamente, appartengono naturalmente al patrimonio conoscitivo dei prestatori dei servizi de qua, cui è richiesta una diligenza “di natura tecnica, da valutarsi con il parametro dell’accorto banchiere”[1].
Va, pertanto, ritenuta la responsabilità della Banca convenuta, perché con la sua condotta -poco importa se riconducibile ad una errata impostazione del sistema di autenticazione a due fattori, alla mancata adozione delle necessarie misure di sicurezza collaterali, ovvero ad un malfunzionamento delle procedure di sicurezza al momento delle operazioni- ha consentito all’utente, in possesso delle sole credenziali statiche, di ottenere anche quelle dinamiche, e quindi di completare utilmente le due operazioni dispositive oggetto di causa.
Come efficacemente riassunto dalle Sezioni Unite della Corte Suprema di Cassazione[2], la materia della responsabilità civile “è regolata dai principi di cui agli artt. 40 e 41 c.p., in virtù dei quali un evento è da considerare causato da un altro se, ferme restando le altre condizioni, il primo non si sarebbe verificato in assenza del secondo (c.d. teoria della condicio sine qua non)…. E’ stato precisato in particolare che, in presenza di un evento dannoso riconducibile a più azioni od omissioni, il rigore del principio dell’equivalenza delle cause, posto dall’art. 40 c.p., in virtù del quale deve riconoscersi a ciascuna di esse efficienza causale, trova il suo temperamento nel principio di causalità efficiente, desumibile dall’art. 41 c.p., comma 2, in base al quale l’evento dannoso può essere attribuito esclusivamente all’autore della condotta sopravvenuta soltanto se questa condotta risulti tale da rendere irrilevanti le altre cause preesistenti, ponendosi al di fuori delle normali linee di sviluppo della serie causale già in atto. L’interruzione del nesso causale può essere anche l’effetto del comportamento dello stesso danneggiato, quando il fatto di costui si ponga come unica ed esclusiva causa dell’evento dannoso, sì da privare di efficienza causale e da rendere giuridicamente irrilevante il comportamento dell’autore dell’illecito; quando invece il comportamento colposo del soggetto danneggiato non sia stato tale da interrompere il nesso di causalità tra il fatto del terzo e l’evento dannoso, ma abbia solo concorso alla produzione di quest’ultimo, trova applicazione l’art. 1227 c.c., comma 1, il quale afferma il principio secondo cui il danno che taluno arreca a sè medesimo non può essere posto a carico dell’autore della causa concorrente. Tali principi, enunciati con riguardo al comportamento del danneggiato sopravvenuto alla commissione del fatto illecito, sono stati ritenuti applicabili anche al comportamento coevo o anteriore, purchè legato da nesso eziologico con l’evento dannoso, essendosi affermato che il fatto colposo cui fa riferimento l’art. 1227 c.c., comma 1, comprende qualsiasi condotta negligente o imprudente che abbia costituito causa concorrente dell’evento”.
Nella specie, è facile constatare che la condotta sopravvenuta della banca, sul piano eziologico, esclude in radice il concorso causale delle condotte anteriori dei soggetti danneggiati. Ammesso che costoro, con un comportamento incauto, abbiano permesso a terzi di appropriarsi delle loro credenziali di sicurezza statiche, resta il fatto che, nonostante ciò, ove la banca avesse utilizzato, per l’identificazione dell’ordinante, due fattori realmente indipendenti, i due bonifici non avrebbero avuto luogo, perché costui non sarebbe stato in grado di superare la fase di autenticazione. Del resto, lo scopo della Direttiva 2015/2366/UE e della normativa interna di recepimento è proprio quello di contrastare il diffuso fenomeno delle truffe in danno dei clienti delle banche attraverso nuove e più articolate procedure che, partendo dalla constatazione empirica che il cliente non sempre riesce a proteggere adeguatamente la riservatezza delle proprie credenziali, proprio per questo richiedono almeno un altro fattore indipendente, in grado di impedire l’evento nonostante la condotta negligente del cliente. È la stessa legge, pertanto, che nella specie considera indifferente sul piano causale la condotta anteatta dell’utente, rispetto agli eventi di danno causati dalla mancata adozione delle misure di sicurezza imposte al prestatore di servizi di pagamento a distanza, proprio a fini di prevenzione del rischio specifico.
Gli attori, venuti a conoscenza dei fatti, hanno immediatamente allertato la banca e sporto denuncia. Non è quindi alla loro condotta post factum che può imputarsi la circostanza -pacifica in causa- che i terzi beneficiati dalle operazioni illecite non sono stati rintracciati, sicché nessun recupero è possibile. 9) Ne consegue l’accoglimento della domanda, che va intesa nelle sue articolazioni come complessivamente volta ad ottenere il risarcimento dei danni causati dall’altrui inadempimento contrattuale.
_________________________________________________________________
[1] V. Cass. n. 2950/2017.
[2] Cfr. Cass. Civ., Sez. Un., n. 9769/2020.