Frode informatica mediante bonifici: la responsabilità della banca

Con la sentenza n. 1352 del 25 maggio 2020 la Corte di Appello di Bologna ha affrontato la peculiare problematica di una frode relativa a bonifici impartiti da ignoti sottraendo al correntista le credenziali di accesso all’infrastruttura informatica regolamentata dal Corporate Banking Interbancario CBI .

Stabilisce la Corte di Appello che, alla stregua della normativa regolamentare CBI e delle norme in tema di mandato, l’obbligo di controllare la correttezza formale e sostanziale delle istruzioni ricevute dal cliente grava esclusivamente sulla banca c.d. passiva e non su quella c.d. proponente che mette a disposizione l’infrastruttura informatica e che non ha conoscenza del contenuto sostanziale dei flussi e delle informazioni in essa contenute. Per andare esente da responsabilità, grava sulla banca passiva l’onere di provare la riconducibilità dell’operazione a un comportamento doloso o gravemente colpevole del cliente. La fattispecie descritta nella decisione in commento può essere sintetizzata nei seguenti termini. Una società consortile conveniva dinanzi al Tribunale di Modena la propria banca lamentando di essere stata vittima di una frode informatica ad opera di ignoti e chiedendo la restituzione di una ingente somma di denaro oggetto di due bonifici pagati dalla banca convenuta. Il primo bonifico presentava quale destinatario una società avente sede nella Repubblica Ceca e come causale il pagamento di sette auto. Il secondo bonifico era invece a favore di una società con sede nell’isola di Cipro e recava come causale il generico acquisto di beni. La banca inde banca passiva contestava ogni addebito sul presupposto di non essere tenuta ad alcuna verifica di autenticità degli ordini di bonifico impartiti , chiamando comunque in causa, ai fini di manleva, altro istituto di credito inde banca proponente al quale, in forza di un contratto di Corporate Banking Interbancario CBI , era stata inoltrata la richiesta di esecuzione dei bonifici. La banca proponente si costituiva in giudizio chiedendo il rigetto della domanda di manleva sul presupposto di essersi limitata a predisporre la piattaforma informatica, veicolando lo scambio di flussi elettronici tra il cliente e la banca passiva nel rispetto degli standard del CBI, senza avere alcuna responsabilità nell’esecuzione del mandato nell’ambito del rapporto diretto tra banca passiva e correntista. Con sentenza n. 39/2017 il Tribunale di Modena accoglieva la domanda di restituzione avanzata dalla società attrice ritenendo compito della banca passiva verificare con diligenza gli ordini di bonifico prima di darvi esecuzione. Precisava il Giudice che la banca, ai sensi dell’art. 1856 c.c., risponde secondo le regole del mandato per l’esecuzione di incarichi ricevuti dal cliente e, nel caso di specie, vi¬ e¬rano alcuni elementi, quali la tipologia degli ordini, il loro contenuto e la natura delle operazioni, che avrebbero dovuto destare sospetti e indurre la banca passiva ad effettuare ulteriori controlli, secondo le regole di diligenza. Il Tribunale rigettava la domanda di manleva in capo alla banca proponente escludendo che la frode fosse avvenuta nella fase di trasmissione dei flussi , ovvero nel sistema informatico. Quanto meno il Giudice riteneva non provato che la frode informatica fosse avvenuta nella fase di presa in carico dei flussi da parte della banca proponente, posto che i soggetti che avevano arbitrariamente ordinato i bonifici si erano impossessati delle password e delle credenziali di accesso al sistema informatico bancario, sottraendoli alla società consortile che ne era l’esclusiva titolare. Veniva interposto gravame dalla banca passiva. Osserva il Giudice di secondo grado che la società consortile ha allegato, fin dall’atto di citazione del primo processo, di avere subìto una frode informatica perpetrata tramite l’accesso non autorizzato da parte di terzi ai propri dati personali , producendo copia della querela presentata. Osserva, altresì, la Corte di Appello che nel primo giudizio è stata ritenuta provata, in applicazione del principio di non contestazione, l’integrità , all’epoca dei fatti, del sistema informatico , risultando definitivamente accertato che i bonifici in questione furono eseguiti con le credenziali di accesso al sistema user-id e password , nonché con il codice segreto necessario per l’invio degli ordini di pagamento di titolarità della società consortile, senza pertanto violazioni del sistema tramite hacking o altre aggressioni informatiche. Il Corporate Banking Interbancario la funzione della banca proponente. La Corte di Appello chiarisce poi che il servizio di Corporate Banking Interbancario c.d. CBI è un servizio bancario che consente a un’impresa di gestire in modalità telematica i rapporti di conto corrente intrattenuti con più banche attraverso un unico canale di collegamento i servizi CBI offerti dalle banche vengono veicolati tramite una infrastruttura governata dal Consorzio CBI. Dal punto di vista applicativo, l'utente business sottoscrive un contratto con una banca oppure con una società che eroga servizi di gestione della tesoreria queste mettono quindi a disposizione uno strumento informatico con il quale si accede alle funzioni informative e dispositive di tutti i conti correnti, anche di banche diverse, in essere tramite l'infrastruttura CBI e in base alle regole operative previste dal Consorzio CBI, organo preposto alla manutenzione e all’aggiornamento, sia in Italia che all’estero, della suddetta infrastruttura. Nel caso di specie, reputa la Corte di Appello che la banca proponente ha agito nell’ambito del servizio CBI in base al contratto stipulato con la società consortile in qualità di Banca che offre il Servizio, ne garantisce la corretta erogazione, realizza e gestisce il collegamento ed il Colloquio con il Cliente” cfr. Testo Coordinato della Normativa CBI, su www.cbi-org.eu , mettendo a disposizione del Cliente la piattaforma informatica e veicolando lo scambio di flussi elettronici, composti da messaggi o messaggi più file secondo gli standard CBI, tra la società consortile e la banca passiva. Ciò illustrato, ad avviso del secondo Giudice la normativa regolamentare CBI non può essere interpretata, come l’appellante pretenderebbe, nel senso che la banca proponente abbia l’obbligo di verificare l’autenticità e genuinità delle operazioni effettuate. Dal Testo Coordinato della Normativa CBI prodotto in giudizio si evince, secondo la Corte di Appello, che la banca proponente deve effettuare esclusivamente un controllo formale dei flussi scambiati tra i clienti e le banche passive, verificando il rispetto da parte del cliente degli standard CBI, ossia delle specifiche tecniche e funzionali del servizio, e bloccando la trasmissione in caso di irregolarità. In particolare la banca proponente non ha, né può acquisire, conoscenza del contenuto sostanziale dei flussi e delle informazioni in essi contenute conseguentemente nel caso di specie la banca proponente, non potendo e non dovendo conoscere i dati sostanziali dei bonifici contestati quali nominativi dei beneficiari, importi e causali di pagamento , non poteva essere in grado di rilevare in essi alcuna anomalia. Il Corporate Banking Interbancario la funzione della banca passiva . Con riguardo alla banca passiva, osserva la Corte di Appello che essa, secondo il Testo Coordinato della Normativa CBI, riceve i Flussi elettronici relativi al Servizio, prende in carico le istruzioni in esse contenute e fornisce, nei tempi e nei modi previsti, le informazioni richieste dal Cliente, assumendo la responsabilità della corretta esecuzione delle istruzioni, dell’esattezza delle informazioni fornite e della correttezza formale e sostanziale dei Flussi inviati”. Dunque alla stregua della richiamata normativa, oltre che delle norme del codice civile in tema di mandato, ad avviso della Corte di Appello grava sulla banca passiva, e non sulla proponente, l’obbligo di controllare la correttezza formale e sostanziale delle istruzioni ricevute dal cliente. La responsabilità della banca per l’esecuzione dei bonifici. Con riguardo alla responsabilità della banca nei confronti del correntista per l’esecuzione degli ordini di bonifico, la Corte di Appello richiama altresì il d.lgs. 11/2010, attuativo della Direttiva Europea per i Servizi di Pagamento PSD, acronimo di Payment Services Directive” , emanata per realizzare un quadro comune di regole per i paesi europei, rafforzare diritti e tutele degli utilizzatori di questi servizi e accrescere la concorrenza del sistema, anche attraverso l’apertura dei servizi di pagamento agli operatori non bancari. Queste disposizioni e, in particolare, l’art. 10 del citato decreto legislativo, applicabili ratione temporis al caso di specie, stabiliscono che, in seguito al disconoscimento di un’operazione da parte dell’utilizzatore di un servizio di pagamento, grava sulla banca, per essere esente da responsabilità, l’onere di provare la riconducibilità dell’operazione a un comportamento doloso o gravemente colpevole del cliente. Nel caso di specie, a fronte del disconoscimento delle operazioni in questione da parte della ¬società consortile, conclude la Corte di Appello che niente è stato eccepito o dimostrato dalla banca passiva in merito a un eventuale comportamento colpevole della cliente cui ricondurre la responsabilità delle operazioni fraudolente. Non può ritenersi che la società consortile, a detta del secondo Giudice, abbia posto in essere una condotta colposa, dal momento che la stessa, venuta a conoscenza delle disposizioni fraudolente, si è prontamente attivata per tentare di bloccarle. Di contro, sono stati ritenuti sussistenti nel caso di specie diversi elementi, evidenziati dal giudice di prime cure, che avrebbero dovuto allarmare la banca passiva e indurla ad eseguire dei controlli prima di dare corso ai due ordini di bonifico, e segnatamente che a detti ordini erano pervenuti nello stesso giorno b erano indirizzati verso clienti stranieri, con i quali cliente,che svolgeva attività edile e che normalmente non aveva rapporti commerciali con l’estero, non aveva mai intrattenuto precedenti rapporti c avevano causali anomale e comunque estranee all’oggetto sociale della società consortile d avevano un importo particolarmente elevato. Da qui il rigetto del gravame. Frode informatica alcuni precedenti di legittimità e di merito. Per la giurisprudenza di legittimità, di seguito i precedenti richiamati nella decisione annotata Cass. 2950/17 secondo cui in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema il che rappresenta interesse degli stessi operatori , è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11/2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente”. Cass. n. 9158/18 che ha statuito che in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”. Cass. 18045/19 ove evidenziato che ”la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto”. Per la giurisprudenza di merito, cfr. Trib. Milano, 4 dicembre 2014, n. 14533, secondo cui la banca dovrà rispondere ai sensi dell’art. 1176 c.c. ogni qualvolta non garantisce la sicurezza del sistema mediante idonei mezzi di crittografia dei dati di riconoscimento dell’utente. Più di recente, in tema di truffa mediante phishing, da tenere distinta dall’ipotesi dello skimming, v. Trib. Roma 25 giugno 2019, n. 13442 in De Jure Trib. Parma, 6 settembre 2018, n. 1268, in www.ilsocietario.it, ove chiarito che in caso di bonifici illecitamente effettuati su conti correnti online, per mezzo di condotte fraudolente volte a carpire codici di protezione e a sottrarre somme di denaro c.d. phishing , spetta alla Banca fornire la prova del corretto funzionamento del proprio sistema e, quindi, della riconducibilità dell'operazione al correntista che l'abbia disconosciuta, in applicazione del principio consolidato sulla ripartizione dell’onere della prova in materia di responsabilità contrattuale. L'Istituto di credito è tenuto ad una diligenza valutabile tenendo conto del modello dell'operatore professionale, qual è l'accorto banchiere bonus nummarius peraltro, la corretta operatività del servizio bancario mediante collegamento telematico - che corrisponde ad un interesse della banca stessa - rientra a pieno titolo nel rischio d'impresa, con la conseguenza che grava sulla Banca una responsabilità di tipo oggettivo o semioggettivo, da cui la stessa va esente solo provando quantomeno in via presuntiva che le operazioni contestate dal cliente sono allo stesso riconducibili”.

Corte d’Appello di Bologna, sez. III Civile, sentenza 7 marzo – 25 maggio 2020, n. 1352 Presidente Aponte – Relatore Velotti In fatto La N. società consortile a.r.l. conveniva dinanzi al Tribunale di Modena Banca s.p.a., lamentando di essere stata vittima di una frode informatica ad opera di ignoti e chiedendo la restituzione della somma di Euro 494.500, relativa a due bonifici ordinati fraudolentemente e pagati dalla banca convenuta, oltre al risarcimento del danno. Allegava che il primo dei suddetti bonifici, dell’importo di Euro 304.500, indicava come beneficiaria una società denominata R. avente sede in Repubblica Ceca e come causale il pagamento di sette auto ad un prezzo di Euro 43.500, numero di contratto omissis ” e che il secondo, dell’importo di Euro 190.000 verso l’isola di Cipro, aveva come beneficiaria una società denominata L. e recava come causale il generico acquisto di beni. Costituitasi in giudizio, omissis negava la propria responsabilità, affermando di non essere tenuta ad alcuna verifica circa gli ordini di bonifico oggetto di contestazione, e che ogni responsabilità eventualmente doveva essere ascritta alla Banca Popolare dell’Emilia-Romagna BPER , che chiedeva di essere autorizzata a chiamare in causa, avendo quest’ultima provveduto, nell’ambito di un contratto di Corporate Banking Interbancario CBI , a inoltrare a omissis la richiesta di esecuzione dei bonifici oggetto di causa. Si costituiva in giudizio BPER, chiedendo il rigetto della domanda di manleva e assumendo di essersi limitata a predisporre la piattaforma informatica, veicolando lo scambio di flussi elettronici tra il cliente e la banca passiva omissis nel rispetto degli standard del CBI, senza avere alcuna responsabilità nell’esecuzione del mandato nell’ambito del rapporto diretto tra banca passiva e correntista. Con sentenza n. 39/2017 il Tribunale di Modena accoglieva la domanda volta alla restituzione della somma di Euro 494.500 nei confronti omissis con la quale N. intratteneva un rapporto di conto corrente, essendo compito dell’istituto di credito convenuto in quanto banca che aveva il rapporto contrattuale diretto con N. società consortile verificare con diligenza gli ordini di bonifico per cui è causa prima di darvi esecuzione” invero, la banca, ai sensi dell’art. 1856 cc., risponde secondo le regole del mandato per l’esecuzione di incarichi ricevuti dal cliente e, nel caso di specie, sebbene l’ordine di bonifico pervenuto tramite la piattaforma informatica di BPER risultasse formalmente provenire dal cliente N., vi erano tuttavia degli elementi, quali la tipologia degli ordini, il loro contenuto e la natura delle operazioni che avrebbero dovuto destare dei sospetti e indurre la banca ad effettuare ulteriori controlli, secondo le regole di diligenza cui è tenuto il mandatario. Il tribunale, al contrario, riteneva non provata alcuna responsabilità in capo a BPER Banca, con la quale N. aveva stipulato un contratto di corporate banking interbancario avente ad oggetto l’utilizzo di una piattaforma telematica per effettuare le operazioni bancarie on-line tramite internet poiché la frode informatica non è avvenuta nella fase di trasmissione dei flussi ad opera della stessa, né nel suo sistema informatico. O quanto meno non è provato che la frode informatica sia avvenuta nella fase di presa in carico dei flussi da parte della proponente”, essendosi i soggetti che avevano ordinato i bonifici arbitrariamente impossessati delle password e delle credenziali di accesso al sistema informativo bancario sottraendoli a N., che ne era la titolare esclusiva. Quanto ai rapporti tra banca proponente BPER e banca passiva omissis nell’ambito del servizio CBI, dai contratti e dai regolamenti prodotti risultava che la banca proponente fosse tenuta unicamente a effettuare controlli formali e di validità dei flussi inviati dai clienti alle banche passive, limitandosi a verificare il rispetto degli standards, ossia delle specifiche tecniche e funzionali, del servizio, mentre non rispondeva dei disservizi eventualmente verificatisi nella fase di trasmissione dei flussi dalla banca passiva al cliente e viceversa. Il giudice rigettava infine la domanda di risarcimento del danno, nulla essendo stato in proposito allegato e provato dalla società N Avverso la suddetta decisione Banca ha proposto appello, affidandolo a quattro motivi 1 mancato assolvimento dell’onere probatorio gravante sull’attrice” 2 interpretazione e applicazione erronee della normativa CBI ” 3 erronea attribuzione di responsabilità ex art. 1856 in capo a omissis ” 4 erronea affermazione del primo giudice laddove attribuisce unicamente a o il ruolo e la responsabilità del banchiere”. Nico società consortile e Banca popolare dell’Emilia-Romagna si sono costituite in giudizio, deducendo l’inammissibilità e comunque l’infondatezza dell’appello. All’udienza di precisazione delle conclusioni del 8.10.2019 la causa è stata trattenuta in decisione. In diritto Con il primo motivo di appello Banca deduce il mancato assolvimento dell’onere probatorio gravante sull’attrice” a suo dire, la scelta compiuta in primo grado dalla società attrice di convenire il giudizio, in una fattispecie avente ad oggetto una pretesa frode informatica avvenuta nell’ambito del sistema operativo CBI, unicamente la banca passiva omissis e non la proponente BPER avrebbe avuto come effetto quello di deformare” l’iter processuale volto all’accertamento dei fatti, accertamento che, in sostanza, è stato impedito”, in quanto avrebbe onerato omissis di provare l’avvenuta violazione del sistema informatico di BPER, precludendo alla odierna appellante di esperire le proprie difese in ordine alle concrete modalità” della frode informatica. Il giudice di prime cure avrebbe poi errato laddove, nel sottolineare che non è stato provato che la frode informatica sia avvenuta nella fase di presa in carico dei flussi da parte della preponente rectius proponente ”, ha affermato che tale prova, trattandosi di responsabilità contrattuale doveva essere fornita da chi ne ha eccepito l’inadempimento cioè dalla convenuta” il tribunale avrebbe dunque gravato omissis di una prova ad essa non spettante, essendo onere di BPER dimostrare che i propri sistemi informatici non erano stati violati. La doglianza è infondata. In primo luogo, non si comprende il significato dell’affermazione secondo la quale la scelta di N. di citare soltanto omissis avrebbe precluso a quest’ultima la possibilità di difendersi adeguatamente, in quanto la scelta processuale di convenire unicamente omissis è insindacabile e, in ogni caso, BPER è stata chiamata in causa e ha partecipato al giudizio, consentendo pertanto all’odierna appellante di svolgere compiutamente le proprie difese anche nei suoi confronti. Quanto all’asserito mancato assolvimento dell’onere probatorio da parte di N. circa le modalità della dedotta frode informatica, che non sarebbero state neppure allegate da quest’ultima, si osserva che in realtà il tribunale ha puntualmente esaminato la questione, osservando che Risulta altresì provato che in data 21 giugno 2011 la società N. durante una verifica delle movimentazioni bancarie, rilevava la presenza anomala di due disposizioni di bonifico verso l’estero, entrambe datate 14 giungo 2011 e di altre due disposizioni anomale del 20 e del 21 giugno 2011. I due bonifici del 14 giugno 2011 erano già stati eseguiti e pagati dalla banca ed erano i seguenti uno avente come beneficiario una società denominata R. della Repubblica Ceca per Euro 304.500 recante come causale pagamento di sette auto ad un prezzo di Euro 43.500, numero di contratto omissis ” vedi documento n. 3 attore un secondo bonifico di Euro 190.000 verso l’isola di Cipro avente come beneficiario una società denominata L. recante come causale il generico acquisto di beni for goods ” . Il legale rappresentante di N. sporgeva quindi immediata denuncia querela di frode informatica contro ignoti vedi documento 5 attore ed avvisava tempestivamente la banca intimandole di bloccare i pagamenti vedi doc. n. 6 attore . Riusciva tuttavia a bloccare i due bonifici del 20 e del 21 giugno, mentre i primi due del 14 giugno per il complessivo importo di Euro 494.500 erano già stati eseguitiDeve premettersi che il rapporti di conto corrente, e conseguentemente quindi il rapporto diretto tra il cliente e la banca che ha eseguito il bonifico, intercorre tra la parte attrice e la convenuta Banca S.p.A. inoltre gli stessi attori hanno riconosciuto nella denuncia querela prodotta in atti di aver subito una frode informatica ai danni del proprio sistema operativa aziendale, con ciò ammettendo che i soggetti che hanno ordinato i bonifici si sono arbitrariamente impossessati delle password e delle credenziali di accesso al sistema informatico bancario, sottraendo tali dati che dovevano restare a disposizione esclusiva della società N E’ inoltre circostanza non contestata che il sistema informatico denominato web CBI plus” gestito da BPER non è stato in alcun modo violato da attacchi esterni, in quanto le operazioni sono state eseguite mediante il corretto inserimento sin dal primo accesso al sistema delle credenziali corrette di riconoscimento del titolare, nonchè attraverso la digitazione di un ulteriore codice segreto necessario per l'invio degli ordini di pagamento”. Dunque, contrariamente a quanto sostenuto dall’appellante, che non ha specificamente contestato alcuno dei passaggi del capo di sentenza sopra riportato, N. ha allegato, fin dall’atto di citazione del giudizio di primo grado, di avere subito una frode informatica perpetrata tramite l’accesso non autorizzato da parte di terzi ai propri dati personali, producendo copia della querela presentata al riguardo, e ha contestato a omissis di non avere adottato le misure minime di sicurezza idonee a ridurre il rischio di tali eventi, nonchè di aver violato le regole del mandato nell’esecuzione dell’incarico ricevuto dal correntista Il giudice ha inoltre ritenuto provata, in applicazione del principio di non contestazione, l’integrità all’epoca dei fatti del sistema informatico denominato web CBI plus” gestito da BPER, integrità allegata da quest’ultima fin dalla comparsa di risposta nel giudizio di primo grado e mai specificamente contestata da alcuna delle altre parti anche sotto questo profilo la statuizione non risulta impugnata, non avendo peraltro l’appellante mai dedotto l’esistenza di malfunzionamenti delle strutture o delle apparecchiature messe a disposizione, nè violazioni del sistema tramite hacking o altre aggressioni informatiche. Risulta pertanto definitivamente accertato che i bonifici in questione siano stati eseguiti utilizzando le credenziali di accesso al sistema user-id e password e del codice segreto necessario per l’invio degli ordini di pagamento di titolarità di N Con il secondo motivo parte appellante lamenta l’erronea interpretazione e dell’applicazione della normativa sul Corporate Banking Interbancario che avrebbe indotto il giudice alla esclusione di qualsiasi responsabilità in capo a BPER. In particolare, il tribunale avrebbe omesso di esaminare alcune disposizioni la cui portata assume carattere decisivo ai fini della decisione” segnatamente gli articoli 10.2.3 e 10.2.4. e 11.2.3 del Testo coordinato della normativa CBI , in base alle quali la banca proponente si impegna a concordare con il cliente l’adozione di tecniche di protezione da accessi non autorizzati ed è responsabile verso il cliente del corretto svolgimento del servizio, con esclusione di ogni responsabilità della banca passiva nell’ipotesi di intrusione fraudolenta nel sistema. Anche questa censura è infondata. Appare opportuno premettere che il servizio CBI è un servizio bancario che consente a un’impresa di gestire in modalità telematica i rapporti di conto corrente intrattenuti con più banche attraverso un unico canale di collegamento i servizi CBI offerti dalle banche vengono veicolati tramite una infrastruttura governata dal Consorzio CBI. Dal punto di vista applicativo, l'utente business sottoscrive un contratto con una banca oppure una società che eroga servizi di gestione della tesoreria queste mettono quindi a disposizione uno strumento informatico con il quale si accede alle funzioni informative e dispositive di tutti i conti correnti, anche di banche diverse, in essere tramite l'infrastruttura CBI e in base alle regole operative previste dal Consorzio CBI, organo preposto alla manutenzione e all’aggiornamento, sia in Italia che all’estero, della suddetta infrastruttura. Nel caso di specie, BPER ha agito nell’ambito del servizio CBI in base al contratto stipulato con N. in qualità di Banca Proponente, ossia quale Banca che offre il Servizio, ne garantisce la corretta erogazione, realizza e gestisce il collegamento ed il Colloquio con il Cliente” vedi Testo Coordinato della Normativa CBI, su www.cbi-org.eu , mettendo a disposizione di N. Cliente la piattaforma informatica e veicolando lo scambio di flussi elettronici, composti da messaggi o messaggi più file secondo gli standard CBI, tra N. e omissis Banca Passiva . Tanto precisato, non può ritenersi che la normativa regolamentare CBI richiamata da omissis debba essere interpretata, come quest’ultima pretenderebbe, nel senso che la banca proponente abbia l’obbligo di verificare l’autenticità e genuinità delle operazioni effettuate nel caso di specie degli ordini di bonifico oggetti di contestazione . Dal Testo Coordinato della Normativa CBI prodotto in atti si evince infatti che la banca proponente deve effettuare esclusivamente un controllo formale dei flussi scambiati tra i clienti e le banche passive, verificando il rispetto da parte del cliente degli standard CBI, ossia delle specifiche tecniche e funzionali del servizio, e bloccando la trasmissione in caso di irregolarità. In particolare la banca proponente non ha, né può acquisire, conoscenza del contenuto sostanziale dei flussi e delle informazioni in essi contenute conseguentemente nel caso di specie BPER, non potendo e non dovendo conoscere i dati sostanziali dei bonifici contestati quali nominativi dei beneficiari, importi e causali di pagamento , non poteva essere in grado di rilevare in essi alcuna anomalia. In tal senso si è condivisibilmente espresso il giudice di primo grado, laddove ha affermato Quanto ai rapporti tra banca proponente BPER e la banca passiva omissis nell’ambito della normativa sul servizio CBI, risulta dai contratti e dai regolamenti prodotti, che la banca proponente è tenuta ad effettuare controlli formali e di validità di flussi inviati dai clienti alle banche passive confronta articolo 10.22 . In sostanza la banca proponente si limita a verificare il rispetto da parte del cliente degli standard, cioè delle specifiche tecniche funzionali del servizio e, all’esito, è obbligata ad inoltrare tempestivamente i flussi alla banca passiva, senza poter aver accesso alle informazioni contenute negli stessi, cioè ai dati quali quello del beneficiario, dell’importo, della causale del pagamento. Risulta pertanto che ai sensi dell’articolo 11 del testo coordinato della CBI, la banca passiva non risponde di disservizi che dovessero verificarsi nella fase di trasmissione dei flussi dalla medesima al cliente o viceversa”. Con riguardo poi alla banca passiva ossia Carige nel caso di specie , essa, secondo il Testo Coordinato della Normativa CBI, pag. 22, riceve i Flussi elettronici relativi al Servizio, prende in carico le istruzioni in esse contenute e fornisce, nei tempi e nei modi previsti, le informazioni richieste dal Cliente, assumendo la responsabilità della corretta esecuzione delle istruzioni, dell’esattezza delle informazioni fornite e della correttezza formale e sostanziale dei Flussi inviati”. Dunque alla stregua della richiamata normativa, oltre che delle norme del codice civile in tema di mandato, grava sulla banca passiva, e non sulla proponente, l’obbligo di controllare la correttezza formale e sostanziale delle istruzioni ricevute dal cliente. La decisione di primo grado risulta pertanto sul punto esaustivamente e correttamente motivata, sicchè anche il motivo in esame deve essere disatteso, perché infondato. Con il terzo motivo, l’appellante lamenta l’erronea attribuzione di responsabilità ex art. 1856 in capo a omissis ” per non avere il giudice di prime cure tenuto conto delle peculiarità del canale CBI attraverso il quale sono giunte a omissis le disposizioni di pagamento si tratterebbe di un mezzo usualmente utilizzato ed in relazione al quale la banca passiva sarebbe gravata soltanto dall’obbligo di verifica della coincidenza del codice identificativo del cliente in relazione al flusso ricevuto e di corretta esecuzione delle istruzioni”. Inoltre, la responsabilità della banca nell’esecuzione delle disposizioni sussisterebbe soltanto in caso di operazioni di pagamento disposte dal beneficiario del pagamento stesso, mentre non vi sarebbe alcun onere indagatorio” in caso di operazioni disposte dal cliente-pagatore. Con il quarto motivo, l’appellante deduce una erronea affermazione del primo giudice laddove attribuisce unicamente a omissi il ruolo e la responsabilità del banchiere” in particolare, la statuizione del primo giudice, secondo cui il rapporto di conto corrente, e conseguentemente quindi il rapporto diretto tra il cliente e la banca che ha eseguito il bonifico, intercorre tra parte attrice e la convenuta Banca S.p.A.”, sarebbe inesatta e incompleta, in quanto trascurerebbe il fatto che un rapporto contrattuale sussiste anche tra il cliente e la banca proponente BPER. Da ciò deriverebbe l’infondatezza della prospettazione difensiva di BPER, cui ha dato adesione il primo giudice, volta alla propria deresponsabilizzazione e giunta al punto di essersi autoattribuita il ruolo di mero passacarte informatico”. Anche queste doglianze, da trattarsi congiuntamente in quanto connesse, risultano nel complesso infondate. In particolare, per quanto riguarda gli obblighi in capo alla banca passiva derivanti dalla normativa regolamentare CBI, valgono le osservazioni precedentemente svolte in occasione dell’esame del secondo motivo, alle quali si rimanda. Con riguardo poi alla responsabilità della banca nei confronti del correntista per l’esecuzione degli ordini di bonifico, viene in rilievo l’art. 10 del D.Lgs. 11/2010, attuativo della Direttiva Europea per i Servizi di Pagamento detta anche PSD, acronimo di Payment Services Directive” , emanata per realizzare un quadro comune di regole per i paesi Europei, rafforzare diritti e tutele degli utilizzatori di questi servizi e accrescere la concorrenza del sistema, anche attraverso l’apertura dei servizi di pagamento agli operatori non bancari, il quale prevede che 1. Qualora l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. 2. Quando l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per se' necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, nè che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7”. Tali disposizioni sono applicabili ratione temporis al caso di specie, risalendo le operazioni contestate al giugno 2011, e quindi ad epoca successiva alla loro entrata in vigore esse in sostanza stabiliscono che, in seguito al disconoscimento di un’operazione da parte dell’utilizzatore di un servizio di pagamento, grava sulla banca, per essere esente da responsabilità, l’onere di provare la riconducibilità dell’operazione a un comportamento doloso o gravemente colpevole del cliente. In proposito la Suprema Corte, pur pronunciandosi in relazione a una fattispecie concreta antecedente all’entrata in vigore del D.Lgs. 11/2010, lo ha comunque richiamato, chiarendone la portata e affermando che In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema il che rappresenta interesse degli stessi operatori , è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del D.Lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente” così Cass. n. 2950/2017 . In senso conforme si poi è pronunciata la successiva ordinanza n. 9158/2018 della S.C., statuendo che Questa Corte ha già avuto modo di affermare, pronunciando nei confronti della medesima odierna controricorrente, in fattispecie sostanzialmente analoga, che, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema il che rappresenta interesse degli stessi operatori , è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del D.Lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente Cass. 3 febbraio 2017, n. 2950 ”. Infine, la recente Cass. n. 18045/2019 ha affermato che La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell'utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto”. Nel caso di specie, a fronte del disconoscimento delle operazioni in questione da parte di N. società consortile, l’appellante nulla ha eccepito né tantomeno dimostrato in merito a un eventuale comportamento colpevole della odierna appellata cui ricondurre la responsabilità delle operazioni fraudolente, limitandosi a lamentare il mancato assolvimento dell’onere della prova da parte di quest’ultima. In ogni caso, non può ritenersi che N. abbia posto in essere una condotta colposa, dal momento che la stessa, venuta a conoscenza delle disposizioni fraudolente, si è prontamente attivata per tentare di bloccarle riuscendovi, peraltro, con riferimento alle due ulteriori disposizioni di pagamento datate 20 e 21 giugno 2011, non ancora eseguite al momento del blocco . Di contro, sussistevano nel caso di specie diversi elementi, evidenziati dal giudice di prime cure, che avrebbero dovuto allarmare l’odierna appellante e indurla ad eseguire dei controlli prima di dare corso ai due ordini di bonifico, e segnatamente che a detti ordini erano pervenuti nello stesso giorno b erano indirizzati verso clienti stranieri, con i quali la società N. che svolgeva attività edile e che normalmente non aveva rapporti commerciali con l’estero, non aveva mai intrattenuto precedenti rapporti circostanza non contestata c avevano causali anomale e comunque estranee all’oggetto sociale dell’odierna appellata d avevano un importo particolarmente elevato. In conclusione, alla luce delle considerazioni fin qui svolte, anche gli ultimi due motivi di appello debbono essere disattesi e l'appello nel complesso respinto. Le spese di lite del grado sostenute dagli appellati debbono essere poste a carico di parte appellante, soccombente. Sussistono i presupposti per il raddoppio del contributo unificato ai sensi dell’art. 13 comma 1 quater TU. 115/2002 nei confronti dell’appellante. P.Q.M. La Corte di Appello di Bologna, definitivamente pronunciando, rigetta l’appello proposto da Banca s.p.a. nei confronti di N. società consortile a.r.l. e di Banca Popolare dell’Emilia-Romagna contro la sentenza n. 39/2017 del Tribunale di Modena. Condanna l’appellante al pagamento delle spese di lite sostenute dalle società appellate, che liquida, per ciascuna di esse, in Euro 11.400,00 per onorari, oltre 15% spese generali, IVA e CPA. Dichiara la sussistenza dei presupposti per il raddoppio del contributo unificato ai sensi dell’articolo 13 comma 1 quater TU. 115/2002 nei confronti di Banca.