Incarto n. 12.2019.148
Lugano 18 settembre 2020/rg
In nome della Repubblica e Cantone Ticino
La seconda Camera civile del Tribunale d'appello
composta dei giudici:
Fiscalini, presidente, Bozzini e Stefani
vicecancelliera:
Bellotti
sedente per statuire nella causa - inc. n. OR.2015.98 della Pretura del Distretto di Lugano, sezione 1 - promossa con petizione 8 maggio 2015 da
AO 1 AO 2 entrambi patrocinati dall’avv.
contro
AP 1 (già ) patrocinata dagli avv. PA 1
con cui gli attori hanno chiesto la condanna della convenuta al pagamento in loro favore di USD 222'400.- oltre interessi al 5% dal 3 gennaio 2013 su USD 54'600.e dall’11 gennaio 2013 su USD 167'800.-, come pure il rigetto definitivo dell’opposizione interposta da quest’ultima al PE n. __________ dell’UE di __________;
pretesa avversata dalla convenuta, e che il Pretore ha accolto con decisione 19 luglio
2019;
appellante la convenuta con appello 16 settembre 2019, con cui ha chiesto
la riforma del querelato giudizio nel senso di respingere la petizione, con protesta di spese e ripetibili di entrambe le sedi;
mentre con risposta 22 ottobre 2019 gli appellati hanno postulato la reiezione del
gravame, pure con protesta di spese e ripetibili;
viste altresì la replica spontanea 7 novembre 2019 dell’appellante e la duplica
spontanea 21 novembre 2019 degli appellati;
letti ed esaminati gli atti e i documenti prodotti;
ritenuto
in fatto:
A. In data 12 aprile 2012 AO 1 e AO 2, fratelli di nazionalità __________, in particolare attivi nella consulenza nel settore minerario in __________ per il tramite della __________ Ltd e aventi pure legami con la __________, hanno aperto presso la __________ SA (AP 1) la relazione bancaria n. __________ in valuta USD, sottoscrivendo diversi documenti, tra i quali il formulario A (determinazione dell’avente diritto economico, ovvero i due fratelli medesimi) e la lettera di manleva per ordini telefonici e tramite telex o telefax, quest’ultima revocata il 16 gennaio 2016, dopo i fatti all’origine della presente controversia (v. plico doc. C).
B. Il conto è divenuto operativo dal 9 maggio 2012, quando ha avuto luogo il primo accredito (doc. D). Dopo un investimento in oro pari all’incirca a USD 1'000'000.- ordinato dai clienti personalmente in banca, si sono susseguite altre due operazioni sulla base di istruzioni trasmesse alla consulente __________ B__________: una prima via fax (finanziamento/prestito fruttifero di USD 1'000'000.- alla società italiana __________ Srl, v. doc. E, F, S p. 5 e fax allegato alla lettera 13 dicembre 2016 della banca nell’ambito dell’edizione documenti a lei diretta) e una seconda tramite ordine allegato a una comunicazione e-mail, non essendo in quel momento possibile per i due fratelli inviare un fax da __________, __________ (prestito di USD 23'000.- alla sorella __________, doc. G, doc. S p. 5 ed e-mail 10 dicembre 2012, ore 11:36 di cui al relativo allegato 1.3). Nel dicembre 2012 le parti hanno altresì scambiato comunicazioni e-mail riguardanti i passi da seguire per trasferire USD 700'000.- sul conto bancario di una loro società in costituzione in __________ (doc. H), operazione poi non concretizzatasi. Per il resto, la corrispondenza fra le parti avveniva per il tramite di e-mail non securizzate, laddove gli indirizzi utilizzati dai clienti erano __________, __________ e __________ (v. doc. G, H e S, p. 3).
C. Il 19 dicembre 2012 e il 10 gennaio 2013 la banca ha ricevuto delle istruzioni di bonifico per il tramite di due e-mail (apparentemente provenienti dall’indirizzo __________) con relativi ordini allegati (“scanned request for transfer”) chiedenti di trasferire rispettivamente USD 54'600.e USD 167'800.- (complessivi USD 222'400.-) presso una banca cinese (doc. L, N, S allegato 5). Entrambe le richieste sono state bloccate dal settore Legal&Compliance della banca. La consulente bancaria ha nel seguito intrattenuto con i suoi interlocutori uno scambio di e-mail, nell’ambito del quale la medesima ha ottenuto le presunte fatture alla base delle richieste di bonifico (intestate alla __________ Ltd e aventi quale oggetto l’acquisto di pompe a iniezione, condotte e connettori) come pure, a detta della banca, due fax datati 2 e 10 gennaio 2013 recanti la presunta firma di AO 2 (doc. L, N, S allegato 5, doc. 2 e 3 con relativi allegati). La banca ha eseguito le istruzioni in data 3 e 11 gennaio 2013 per il tramite della __________ SA, __________, ovvero la banca corrispondente in Svizzera per il traffico pagamenti (doc. I e M).
D. Avendo il 14 gennaio 2013 i due clienti scoperto l’esistenza delle due operazioni e contestato di avere mai impartito tali ordini, piuttosto originanti da una truffa, in data 15 gennaio 2013 la banca ha tentato, invano, di bloccare il trasferimento dei fondi alla banca cinese (doc. I e 3), e si è poi rifiutata di dar seguito alla richiesta dei clienti di ripristinare il saldo precedente sul conto. Il 16 gennaio 2013 la banca ha segnalato il fatto al Ministero Pubblico. Il 18 gennaio 2013, l’autore del raggiro ha inviato alla banca e ai due fratelli un’e-mail di scherno ringraziandoli per il denaro ricevuto, mentre AO 2 ha sporto denuncia penale contro ignoti per titolo di falsità in documenti e truffa, che è tuttavia sfociata nel decreto di sospensione 10 settembre 2014 per l’impossibilità di identificare i colpevoli (doc. R, S, U, V e 2).
E. Con PE n. __________ dell’UE di __________, notificato il 10 dicembre 2014, AO 2 ha escusso la __________ SA per l’importo complessivo di fr. 218'473.50 oltre interessi a titolo di rettifica saldo/rimborso/risarcimento danni, cui l’escussa ha interposto opposizione (doc. Z).
F. Previo ottenimento dell’autorizzazione ad agire, con petizione 8 maggio 2015 AO 1 e AO 2 hanno convenuto la __________ SA (ora: AP 1) innanzi alla Pretura del Distretto di Lugano, postulandone la condanna al pagamento di USD 222'400.- oltre interessi a titolo di restituzione dell’avere in conto (pagamento delle somme addebitate a torto) e il rigetto definitivo dell’opposizione interposta al PE n. __________. A loro dire, la banca avrebbe omesso di effettuare le debite verifiche prima dell’esecuzione degli ordini, neppure provenienti da un apparecchio/numero di fax riconducibile ai medesimi, fondati su fatture incongruenti e di stampo amatoriale trasmesse via e-mail, riguardanti importi elevati indirizzati a una destinazione (la Cina) notoriamente a rischio elevato e con cui non avevano alcun rapporto di affari, ritenuto altresì che la loro relazione bancaria aveva natura prettamente privata e che la banca si sarebbe pure attivata intempestivamente per tentare di bloccare l’operazione.
G. Con risposta 24 agosto 2015 la convenuta si è opposta alla petizione postulandone l’integrale reiezione, contestando la sua asserita negligenza o attivazione tardiva, rilevando di aver agito in conformità alle pattuizioni contrattuali e osservando che i clienti, a fronte della loro attività, fossero difficilmente rintracciabili, inclini a utilizzare il mezzo della posta elettronica e avvezzi a muoversi a livello internazionale in contesti commerciali variegati. Essi medesimi avrebbero dunque generato, a causa delle loro esigenze, la situazione di rischio, di cui dovevano essere consapevoli.
H. Con replica 23 settembre 2015 e duplica 28 ottobre 2015 le parti hanno ulteriormente sostanziato le proprie antitetiche posizioni. Esperita l’istruttoria e raccolti gli allegati conclusivi, con decisione 19 luglio 2019 il Pretore ha accolto la petizione, ponendo la tassa di giustizia e le spese, di complessivi fr. 8'500.-, a carico della convenuta, pure condannata a versare alla controparte fr. 15’000.- per ripetibili.
I. Con appello 16 settembre 2019 la convenuta si è aggravata contro tale giudizio, postulandone la riforma nel senso di respingere la petizione, con conseguente aggravio delle spese giudiziarie di prima sede a carico della controparte e protesta di tasse, spese e ripetibili di seconda sede.
J. Con risposta 22 ottobre 2019 gli attori si sono opposti al gravame, postulandone l’integrale reiezione.
K. Con replica spontanea 7 novembre 2019 e duplica spontanea 21 novembre 2019 le parti hanno ulteriormente approfondito le proprie antitetiche posizioni.
E considerato
in diritto:
1. L’art. 308 cpv. 1 lett. a CPC prevede che sono impugnabili mediante appello le decisioni finali di prima istanza, posto che in caso di controversie patrimoniali il valore litigioso secondo l'ultima conclusione riconosciuta nella decisione sia di almeno fr. 10'000.- (cpv. 2). Nella fattispecie tale valore supera pacificamente la soglia testé menzionata. I termini di impugnazione e risposta sono di 30 giorni (art. 311 e 312 CPC). Nel caso concreto l’appello 16 settembre 2019 contro la decisione 19 luglio 2019 è tempestivo (tenuto conto delle ferie giudiziarie), così come sono tempestivi la risposta 22 ottobre 2019 degli appellati e gli ulteriori scritti spontanei delle parti. La censura mossa dagli appellati in relazione a un’asserita tardività della replica spontanea della controparte in quanto trasmessa all’incirca 15 giorni dopo la ricezione della risposta dev’essere difatti disattesa: il termine di 10 giorni stabilito dalla giurisprudenza ha per scopo d'indicare alla parte fino a quando, per rispettare l'incondizionato diritto di replica sgorgante dagli art. 29 cpv. 1 e 2 Cost. e 6 CEDU, il tribunale è disposto ad attendere prima di trattare il ricorso, ritenuto che la sua mancata osservanza non ha però per conseguenza l'esclusione dall'incartamento di atti giunti dopo tale termine ma prima dell'emanazione della decisione (STF 4A_170/2015 del 28 ottobre 2015, consid. 1).
2. Con l’impugnata decisione, il primo giudice ha anzitutto osservato che la banca che mette in esecuzione delle istruzioni falsificate viola il contratto di mandato e ne deve rispondere, a meno che abbia validamente ribaltato il rischio sul cliente, ciò che dev’essere convenuto specificatamente, oppure contenuto nelle Condizioni Generali (CG) facenti parte del contratto bancario sottoscritto. La banca non può nondimeno prevalersi con successo di questo ribaltamento qualora abbia commesso una grave negligenza o una violazione intenzionale del contratto. Tale gravità, rispettivamente la misura della diligenza richiesta agli istituti bancari, dipende da parametri assoluti e oggettivi e dalla fiducia che essi godono da parte dei clienti e della piazza finanziaria, e non dall’esperienza e dalle capacità dei clienti. In particolare, se da una parte la banca è tenuta a verificare l'autenticità degli ordini ricevuti solo secondo le modalità convenute con il cliente o, se del caso, specificate dalla legge (non essendo tenuta ad adottare misure straordinarie o sistematicamente presumere l’esistenza di un falso nell’ambito della verifica delle firme), dall’altra essa deve procedere a verifiche supplementari presso il cliente se esistono dei seri indizi di una falsificazione, se l'ordine non riguarda un’operazione prevista dal contratto o abitualmente domandata, o se delle circostanze particolari suscitano un dubbio.
3. Quanto al caso concreto, il Pretore ha in sostanza rilevato la pacifica falsità delle istruzioni summenzionate, trasmesse via e-mail (rispettivamente tramite fax scannerizzati e allegati a e-mail), e osservato che i clienti non avevano sottoscritto un formulario che permettesse alla banca di ricevere istruzioni via e-mail o di confermare via e-mail delle istruzioni dei clienti (ritenuto altresì l’alto rischio che si cela dietro questa modalità di comunicazione). Di conseguenza, la banca non avrebbe dovuto accettare e dare seguito a simili istruzioni nemmeno su richiesta dei clienti, e avrebbe piuttosto dovuto invitare i clienti a sottoscrivere di persona un nuovo formulario che l’autorizzasse in tal senso con relativa assunzione di rischi in capo ai clienti. Il primo giudice ne ha dunque dedotto una violazione positiva del contratto da parte della banca.
4. Il giudice di prime cure ha pure stigmatizzato l’intensità degli scambi di e-mail accettati dalla convenuta, come pure la leggerezza da lei mostrata nel trasmettere via e-mail della documentazione sensibile e nell’accontentarsi di plausibilizzazioni di operazioni semplicemente inviate per e-mail e dunque potenzialmente rischiose quanto a credibilità e reale identità del proprio interlocutore, invece di interpellare telefonicamente i clienti (call back), modalità di comunicazione che ha permesso agli hacker di aprire “un’autostrada informativa” con la banca. Il Pretore ha in particolare osservato che i consulenti alla clientela della convenuta hanno sottovalutato il rischio insito nelle trasmissioni digitali, come ben si evince dall’audizione testimoniale di __________ B__________. Quest’ultima ha difatti confermato che il doc. L sembra essere un fax anonimo non proveniente dalla __________ né da altri paesi, che non era possibile capire il numero da cui esso provenisse, che malgrado ciò esso (a suo dire) non suscitava alcuna allerta, che non ha disposto alcun chiarimento quanto alla sua origine, non ha interpellato telefonicamente i clienti e non ha svolto alcuna verifica in merito alle fatture pro forma giuntele per e-mail. La stessa ha altresì dichiarato di non aver ricevuto, nel periodo 2011-2013, alcuna formazione sul tema della sicurezza informatica, dichiarandosi convinta che la ricezione di informazioni e documenti per il tramite di e-mail non securizzate aggiungesse “un elemento di certezza”. Peraltro, ha aggiunto il primo giudice, vi erano svariati elementi atti a caratterizzare le istruzioni quali dubbiose, sospette e insolite e a imporre pertanto l’interpello telefonico dei clienti, ovvero la sede cinese della banca destinataria (paese notoriamente a rischio d’imbrogli informatici), il fatto che la relazione in questione fosse un conto privato non attinente alla società dei due clienti e che le istruzioni false riguardassero l’acquisto di pompe a iniezione, condutture di 12 metri e connettori da 16 mm (ossia degli oggetti d’uso tutt’altro che privato), la natura inusuale delle operazioni ivi descritte (ben distanti da quelle precedentemente svolte sul conto di cui ai doc. D-H), come pure le carenze nelle comunicazioni giunte dai falsari (verosimilmente ugandesi) a giustificazione delle loro istruzioni, ovvero la scarsa dimestichezza con l’inglese, la scarsa cognizione tecnica riguardo all’oggetto degli ordini in questione (tanto che le fatture prodotte non sembrano avere alcuna logica intrinseca) e l’approccio di oppressiva sollecitazione e di appalesata urgenza avuto dai medesimi. Il giudice di prima sede ne ha dunque concluso che, anche qualora le istruzioni in questione fossero state trasmesse in ossequio alle modalità pattuite con i clienti (ad esempio tramite telefax), la grave negligenza avuta dalla banca non le permetterebbe comunque di ribaltare la responsabilità sui clienti.
5. Con l’impugnativa, l’appellante rimprovera al Pretore di avere erroneamente accertato svariati fatti e di avere erroneamente applicato il diritto (segnatamente gli art. 97 e 100 CO) nell’escludere l’efficacia della clausola che caricava sui clienti il rischio di ordini via fax, forzando le emergenze istruttorie per giungere a una conclusione a sfavore della banca e ignorando una buona parte delle sue argomentazioni difensive in violazione del suo diritto di essere sentita, per cui la decisione impugnata sarebbe innanzitutto viziata di carente motivazione.
6. Quanto al merito della decisione, a mente dell’appellante i due ordini in questione, dopo essere stati anticipati per posta elettronica, sono stati trasmessi via fax (v. doc. L e N, teste __________ F__________, verbale 24 ottobre 2016, p. 4), come del resto ammesso dalla controparte (conclusioni 17 maggio 2018, p. 13 seg.). Essa avrebbe pertanto eseguito degli ordini impartiti secondo quanto previsto contrattualmente e i clienti si sarebbero assunti i relativi rischi a fronte della manleva di cui al doc. C, non essendo conseguentemente necessaria la sottoscrizione di un’ulteriore liberatoria relativa alle comunicazioni e-mail. La natura anonima dei due fax sarebbe inoltre irrilevante, poiché si tratterebbe di una circostanza frequente in vari ambiti. D’altronde, il contratto non reca alcuna indicazione sul numero da utilizzare, né i clienti avevano fornito espresse raccomandazioni in merito a uno specifico numero di fax da cui accettare istruzioni (teste __________ Be__________, verbale 2 dicembre 2016, p. 2).
7. L’appellante inoltre, dopo aver rilevato come il grado di diligenza, malgrado sia oggettivo, debba essere valutato in base a tutte le circostanze del caso concreto, critica il Pretore per avere imputato alla banca un’asserita colpa per l’utilizzo della posta elettronica, fondandosi su considerazioni infondate e non comprovate. Evidenziato come l’utilizzo della posta elettronica non fosse escluso contrattualmente e fosse peraltro la prassi per le comunicazioni in inglese con i clienti all’estero, l’appellante sostiene che tale modalità di comunicazione sia stata introdotta e imposta dai clienti stessi anche in considerazione della precarietà dei mezzi di comunicazione in __________ (doc. S, all. 1.3; teste __________ B__________, verbale 2 dicembre 2016 p. 5-6; edizione doc. convenuta, sez. i, e-mail 31 gennaio 2013 di __________ B__________), rispettivamente sia stata da questi accettata per atti concludenti (ad esempio tramite gli ordini impartiti via e-mail relativi all’investimento in oro e al prestito di USD 23'000.- alla sorella, la richiesta di conferma e-mail dell’ordine relativo a __________ Srl e lo scambio di posta elettronica riferito alla prospettata costituzione di una società in __________). Sarebbero pertanto stati gli attori a generare la situazione di rischio trasmettendo alla banca delle e-mail contenenti informazioni sensibili, né la creazione di “un’autostrada informatica” fra i truffatori e la banca può essere imputata a quest’ultima: non solo le modalità di azione degli hacker non sono state oggetto di causa e di istruttoria, ma è pure appurata l’assenza di qualsivoglia intrusione nel suo sistema informatico (teste __________ F__________, verbale 14 novembre 2016, p. 6; teste __________ C__________, verbale 21 novembre 2016, p. 8-9; teste __________ M__________, verbale 7 novembre 2016, p. 5; doc. T). Gli attori per contro non sarebbero stati trasparenti a tal riguardo, rinunciando all’esperimento di una perizia informatica, laddove è verosimile che siano stati loro, rispettivamente uno dei loro dispositivi o indirizzi, a subire l’intrusione. Lo stesso AO 2 ha del resto ammesso nel suo interrogatorio di aver trovato strane e-mail sul proprio PC (verbale 30 gennaio 2017, p. 7), ma non ha intrapreso alcuna misura di sicurezza.
8. A dire dell’appellante, il giudice di prima sede avrebbe fondato la sua contestata grave colpa prevalentemente sulla sua scelta di accettare comunicazioni per posta elettronica, questione invero marginale (siccome l’analisi della colpa dev’essere connessa alla concreta esecuzione degli ordini in esame, per l’appunto fondati su due fax, e non alla presunta genesi dei medesimi, nemmeno appurata in sede istruttoria), trattando invece in maniera superficiale l’asserito e denegato carattere insolito degli ordini e trascurando elementi che li avrebbero piuttosto fatti apparire usuali e non sospetti. Il primo giudice avrebbe altresì omesso di tenere in debita considerazione le misure intraprese dalla banca. Quest’ultima non avrebbe dunque violato delle norme di prudenza elementari imponibili a ogni persona ragionevole nelle medesime circostanze. In tal senso la giurisprudenza citata dal Pretore (STF 4A_379/2016 del 15 giugno 2017), riferita a una fattispecie in cui le divergenze e i motivi di sospetto erano molteplici, non sarebbe analoga al caso concreto, dovendosi piuttosto considerare la sentenza IICCA del 29 agosto 2017, inc. 12.2016.10, avente una fattispecie quasi identica.
8.1 In primo luogo, il Pretore avrebbe erroneamente omesso di considerare l’intensa e pressoché ininterrotta corrispondenza elettronica intercorsa fra le parti nel periodo in questione (dicembre 2012), nella quale gli hacker hanno potuto introdursi (a partire dal 19 dicembre 2012) con messaggi del tutto lineari che potevano inserirsi nel contesto del prestito appena concesso alla sorella (nella misura in cui anche gli hacker, trasmettendo l’ordine via e-mail, menzionavano una presunta impossibilità di inviare fax da __________, v. edizione doc. convenuta, sez. ii, e-mail 20 dicembre 2012, ore 9:36), dell’imminente rientro del prestito concesso a __________ Srl (citato dagli hacker nell’e-mail 2 gennaio 2013 e preannunciato dai clienti con e-mail autentica del 29 dicembre 2012 in cui venivano messi a disposizione i dettagli dell’operazione, v. edizione doc. convenuta, sez. ii) e dell’incontro effettivamente previsto con i clienti per il 14 gennaio 2013 (citato dagli hacker in più occasioni, seppur un volta per la data sbagliata, v. edizione doc. convenuta, sez. ii, e-mail 10 gennaio 2013 e 14 gennaio 2013). Peraltro, anche i clienti sembrano aver colloquiato con gli hacker nella convinzione che si trattasse della loro consulente __________ B__________ (doc. S, all. 4.3 e interrogatorio di AO 2, verbale 30 gennaio 2017, p. 8). Sarebbe inoltre strano che i medesimi si siano effettivamente presentati all’incontro con la banca malgrado la relativa fissazione parrebbe essere avvenuta nell’ambito dei messaggi scambiati dalla stessa con gli hacker. L’appellante rileva altresì come le comunicazioni fraudolente fossero analoghe a quelle autentiche per quanto riguarda formulazione, stile e grammatica e prive di anomalie linguistiche, a eccezione dell’e-mail di “sbeffeggiatura finale”, quando oramai il danno era compiuto.
8.2 In secondo luogo, l’appellante rileva di avere spesso cercato conferme e adottato misure supplementari nel corso della relazione contrattuale con i clienti, modulate a seconda della situazione, e in particolare, per quanto riguarda gli ordini qui controversi, di avere correttamente applicato le sue direttive interne (che non prevedevano il call back), chiedendo in primis l’invio dei fax (essendosi d’altronde __________ B__________ limitata ad affermare che, avendo ricevuto in passato telefonate dei clienti provenienti da numeri di telefono diversi e “strani”, anche la ricezione di un fax proveniente da un paese “strano” non l’aveva insospettita). La stessa ha così ottenuto degli ordini contrassegnati da una firma apparentemente corretta (v. doc. S, p. 7 n. 37), come pure documentazione di supporto (fatture) trasmessa tramite un mezzo di comunicazione (la posta elettronica) usuale per le parti, verificandola in misura ragionevole in un’ottica di plausibilità (teste __________ B__________, verbale 2 dicembre 2016, p. 2-5; teste __________ B__________, verbale 21 novembre 2016, p. 2). Secondo l’appellante, da essa non si potevano esigere verifiche supplementari o straordinarie in assenza di concreti dubbi sulla legittimità dell’operazione. A tal riguardo, il primo giudice avrebbe erroneamente trascurato le caratteristiche dei clienti: essi si sono presentati quali imprenditori di provenienza __________, a quel momento residenti in __________ (ove aveva sede la loro società __________ Ltd, attiva in ambito minerario) e avvezzi a muoversi in ambito internazionale (__________, __________, __________, __________) in contesti variegati di tipo commerciale. Pure trascurata sarebbe stata l’operatività del conto (alimentato peraltro con averi derivanti da una cessione azionaria), ovvero un investimento in oro, il finanziamento a una ditta italiana, un prestito in __________, la prospettata costituzione di una ditta in __________. L’appellante ritiene pertanto che le istruzioni e la documentazione di supporto potessero essere riconducibili ai clienti e al loro ambito di attività (la quale, come verificato dalla consulente, poteva essere facilmente connessa con la Cina, v. teste __________ Be__________, verbale 2 dicembre 2016, p. 2 e doc. 5) e compatibili con l’operatività del conto (doc. P e Q).
8.3 L’appellante sostiene altresì che l’asserita urgenza appalesata dai falsari sia una forzatura operata dal primo giudice e non deducibile dai messaggi incriminati né dai fatti accertati, se solo si considera che gli hacker non hanno preteso una particolare celerità nell’esecuzione degli ordini e che l’istruzione 19 dicembre 2012 è stata eseguita secondo tempistiche usuali il 3 gennaio 2013. Pure errato sarebbe l’assunto pretorile, di connotazione peritale, secondo cui i dipendenti della banca avessero scarse cognizioni del rischio informatico. __________ B__________ si è limitata a dichiarare di non ricordarsi se avesse ricevuto una formazione in tal senso poiché seguiva molti corsi, mentre il responsabile IT della banca ha riferito che tutti i dipendenti venivano resi edotti sui rischi della posta elettronica e istruiti al momento dell’assunzione, che la banca era in regola e che la stessa non aveva mai subito attacchi informatici (teste __________ C__________, verbale 21 novembre 2016, p. 8 seg.). Infine, l’appellante rileva che essendo l’incontro del 14 gennaio 2013 con i clienti terminato in tarda serata, la sua attivazione il giorno successivo per tentare di bloccare l’operazione fraudolenta sarebbe stata tempestiva.
9. La censura appellatoria di carente motivazione e violazione del diritto di essere sentito è infondata. Posto che il giudice non è tenuto a determinarsi su ogni singola allegazione di parte, potendo la motivazione anche essere breve e concisa ed essendo piuttosto essenziale che essa permetta di capire perché il giudice ha statuito in un modo piuttosto che in un altro su questioni determinanti, nel caso concreto il Pretore ha rilevato di non poter ritenere accertato il regolare invio degli ordini in questione tramite le modalità pattuite contrattualmente, ovvero via fax, e che anche in tal caso la banca non potrebbe riversare sui clienti il proprio danno, comportando la sua grave colpa l’inapplicabilità della manleva. A tal proposito, ha rilevato che la colpa della banca è riconducibile non solo all’utilizzo improprio della posta elettronica nelle comunicazioni con i clienti, ma anche agli svariati elementi di sospetto che contraddistinguevano gli ordini e che avrebbero imposto alla banca delle verifiche più approfondite e attendibili rispetto a quanto effettuato, e in particolare l’utilizzo del “call back”. Dalle motivazioni della sentenza impugnata è dunque possibile comprendere le ragioni di fatto e di diritto che hanno indotto il primo giudice a decidere in quel senso.
10. Nel caso concreto è pacifico e incontestato che la banca abbia eseguito delle istruzioni contraffatte provenienti da persone estranee al rapporto contrattuale. Controverso è unicamente sapere se la medesima abbia dato seguito a istruzioni impartite conformemente alle modalità pattuite fra le parti e possa in tal caso ribaltare il danno sui propri clienti avvalendosi della manleva di cui al doc. C, rispettivamente se tale manleva possa trovare applicazione nella fattispecie o debba essere esclusa in virtù dell’applicazione analoga dell’art. 100 CO, segnatamente a causa di una colpa grave imputabile alla banca.
11. Indipendentemente dai parallelismi o dalle divergenze del caso qui in esame con quello esaminato nell’ambito della summenzionata STF 4A_170/2015 del 28 ottobre 2015 (rilevato in ogni caso che il Pretore ha in particolare individuato la similitudine in un’insufficiente verifica delle istruzioni ricevute), le relative considerazioni giuridiche e i principi giurisprudenziali citati dal primo giudice (p. 3-4 della decisione impugnata, a cui si rinvia) trovano applicazione anche nella presente fattispecie. Si può ad ogni modo evidenziare che nel diritto svizzero, pacificamente applicabile nella presente fattispecie (v. anche doc. C, art. 17), il denaro depositato sul conto bancario aperto a nome di un cliente è di proprietà della banca, verso la quale il cliente ha unicamente un credito. Pertanto, girando o versando questi soldi a un terzo, la banca trasferisce il proprio denaro. Quando lo fa in esecuzione di un ordine del cliente essa, nella misura in cui esegua regolarmente il mandato, acquisisce verso di lui un credito dell’importo corrispondente (art. 402 cpv. 1 CO). Per contro, quando esegue l’ordine di pagamento senza ordine del cliente, per esempio sulla base di un ordine di un terzo non autorizzato, non nasce alcun credito di rimborso verso il cliente non implicato nell’operazione: il danno derivante dal pagamento indebito rimane così un danno della banca, non del cliente. Nel sistema legale, il rischio legato alla carenza di legittimazione o a eventuali falsificazioni non rilevate, e dunque quello di versare del denaro a un terzo non autorizzato, fa dunque parte dei rischi inerenti all’attività bancaria (STF 4A_504/2018 del 10 dicembre 2019, consid. 3.1.2 e 4.1). Questa regolamentazione è tuttavia di carattere dispositivo e può essere modificata mediante convenzione, frequentemente contenuta nei contratti o nelle relative Condizioni generali, che ribalta sul cliente il danno della banca nel senso che questi si assume i danni derivanti da difetti di legittimazione o da falsificazioni qualora le istruzioni siano giunte secondo le modalità previste contrattualmente. Per giurisprudenza consolidata, a queste clausole è applicabile per analogia l’art. 100 CO. Esse sono pertanto prive di ogni portata qualora alla banca sia imputabile un dolo o una colpa grave (art. 100 cpv. 1 CO), e in particolare qualora la banca, trascurando elementari norme di prudenza, ometta di effettuare le verifiche che si sarebbero imposte alla luce di oggettivi dubbi sulla legittimità degli ordini. Nel caso di colpa lieve, la clausola di trasferimento del rischio può invece essere dichiarata nulla secondo il prudente apprezzamento del giudice (art. 100 cpv. 2 CO), fermo restando che non si potrà procedere in tal senso se la colpa lieve è imputabile a un ausiliario dell’istituto di credito (IICCA dell’11 dicembre 2018, inc. 12.2017.74, consid. 6).
12. Innanzitutto, l’appellante evidenzia l’applicabilità della manleva sottoscritta dai clienti poiché i due controversi ordini sono stati trasmessi anche via fax, come la controparte avrebbe peraltro riconosciuto. Ora, posto come l’onere della prova incombesse alla banca (art. 8 CC), gli attori nei loro allegati di prima sede hanno perlomeno messo in dubbio la natura dei doc. L e N, né essi erano in grado di verificare la questione, a loro estranea. È pacifico che le due istruzioni siano dapprima giunte tramite e-mail 19 dicembre 2012 e 10 gennaio 2013 con relativi allegati (“scanned request for transfer”, v. sopra consid. C), e che quali doc. L e N figurano due documenti formato fax, datati rispettivamente 2 e 10 gennaio 2013, corredati da una firma all’apparenza autentica di AO 2. In effetti, non è possibile determinare con certezza se questi documenti siano dei fax scansionati e allegati a delle e-mail (come accertato dal primo giudice) oppure siano stati altresì trasmessi via fax su richiesta di __________ B__________, come rilevato dalla convenuta. Difatti, malgrado la versione di quest’ultima sia supportata dalla testimonianza di svariati suoi (ex) collaboratori, essa non trova riscontro nella documentazione agli atti riferita agli ordini in questione e alla relativa corrispondenza, ove gli hacker menzionano solamente ordini scansionati e allegati alle e-mail e non l’avvenuto invio di fax, né la consulente bancaria richiede l’invio di fax (ritenuto che la banca, se fosse stata in possesso di tali comunicazioni, avrebbe dovuto produrle). Non è invece controverso che i suddetti documenti L e N fossero anonimi, ovvero non permettessero di risalire al numero del mittente o al paese di provenienza (teste __________ B__________, verbale 2 dicembre 2016, p. 3; teste __________ B__________, verbale 21 novembre 2016, p. 2 e 4; teste __________ F__________, verbale 14 novembre 2016, p. 2; teste __________ F__________, verbale 24 ottobre 2016, p. 4). Se da una parte dalla documentazione contrattuale non risulta che gli ordini via fax dovessero giungere da specifici numeri preventivamente pattuiti, dall’altra ciò avrebbe dovuto destare alla banca quantomeno un sospetto.
13. Volendo ammettere che i due ordini siano effettivamente stati trasmessi (anche) via fax e che la banca abbia verificato la loro conformità secondo le modalità previste contrattualmente (non destando la firma particolari sospetti), il fatto che la medesima possa o meno appellarsi efficacemente alla manleva e riversare sui clienti il danno da lei subito dipende dall’eventuale colpa a lei imputabile, ritenuto che in virtù del suo obbligo di tutelare in buona fede gli interessi dei suoi clienti, della fiducia di cui gode quale istituto autorizzato e più in generale della fiducia di cui gode la piazza finanziaria elvetica, il grado di diligenza da lei esigibile dev’essere certamente valutato con rigore.
14. A tal riguardo, l’appellante rileva a ragione che i clienti hanno utilizzato l’e-mail come usuale strumento di comunicazione, intrattenendo con la banca un intenso scambio di posta elettronica riguardante l’operatività del conto e informazioni sensibili. È altresì corretto rilevare come i medesimi fossero attivi a livello internazionale, avessero contatti con diversi paesi (__________, __________, __________, __________, __________) e abbiano eseguito operazioni variegate. Neppure risulta dagli atti una violazione del sistema informatico della banca, ritenuto che gli hacker, intromettendosi nella corrispondenza elettronica fra questa e i clienti, hanno potuto carpire informazioni e, celandosi dietro l’indirizzo __________, modulare e dissimulare le proprie comunicazioni ispirandosi a quelle autentiche dei due fratelli, corredando gli ordini con delle firme apparentemente corrette. Pure a ragione l’appellante rileva che la presenza di errori ortografici, contrariamente a quanto lasciato intendere dal giudice di prime cure, non potesse essere determinante, non essendo i clienti di madrelingua inglese e non emergendo nelle scelte linguistiche delle evidenti discrepanze fra i messaggi autentici e quelli fraudolenti.
15. Quanto all’utilizzo della posta elettronica, vi è innanzitutto da rilevare che l’investimento in oro effettuato dagli attori, differentemente da quanto sostiene l’appellante, è il risultato di istruzioni da questi personalmente impartite durante una visita alla banca (v. petizione, p. 4; teste __________ B__________, verbale 2 dicembre 2016, p. 6-7 ed e-mail 31 gennaio 2013 di cui all’edizione doc. dalla convenuta, sez. i). Più in generale, la censura secondo cui le precedenti comunicazioni via e-mail e la genesi degli ordini in questione sarebbero irrilevanti non può essere seguita, potendo e dovendo tali aspetti essere considerati per valutare la situazione di rischio e il grado di prudenza da adottare e dunque verificare se la diligenza avuta dalla banca fosse conforme alle circostanze del caso concreto.
16. In questa sede, l’assenza di una manleva per le comunicazioni e gli ordini impartiti via e-mail non è controversa e dev’essere data per assodata, per cui di principio e conformemente al sistema legale, i rischi relativi all’assente legittimità delle istruzioni e al furto di dati e d’identità derivanti dall’utilizzo della posta elettronica erano a carico della banca (STF 4A_9/2020 del 9 luglio 2020, consid. 6.2.1.2), indipendentemente dal modo in cui gli hacker hanno potuto intromettersi nel rapporto, non accertato nella presente controversia. Aggiungasi che, nonostante gli stessi clienti abbiano optato per tale mezzo di comunicazione, la banca (per il tramite dei suoi consulenti) lo ha accettato e adoperato sin dall’inizio (v. doc. D), adempiendo a richieste di informazione tramite l’invio di e-mail non protette contenenti informazioni sensibili e confidenziali (ritenuto che in almeno un’occasione la consulente __________ B__________ ha usato un indirizzo e-mail al di fuori del dominio bancario, ovvero __________, v. doc. D) e altresì eseguendo un bonifico (prestito in favore della sorella dei clienti) sulla base di un ordine sottoscritto e allegato via e-mail (v. doc. G), che potrebbe aver costituito il mezzo con cui gli hacker hanno poi potuto contraffare in maniera efficace gli ordini e la firma di cui ai doc. L e N, alla luce della relativa simile formulazione e strutturazione delle comunicazioni. Anche nel caso degli ordini qui in esame, tutta la regolare corrispondenza e l’attività di plausibilizzazione è avvenuta tramite posta elettronica. Ciò è avvenuto malgrado l’evidente situazione di rischio e la facilità con cui un hacker, accedendo al canale di informazione fra i clienti e la banca, può inserirsi in tale rapporto e dissimulare la propria presenza, tant’è che gli ignoti autori del raggiro non solo hanno comunicato con la banca fingendosi il cliente, ma anche con il cliente fingendosi la consulente bancaria (sotto il dominio __________.ch invece che __________.ch, v. doc. S all. 4). Nella fattispecie, la trascuranza di questi aspetti e dell’obbligo di salvaguardare gli interessi dei clienti è evidente se solo si considera che __________ B__________ ha dichiarato che non ha mai attirato l’attenzione degli stessi sulla problematica (in quanto a suo dire sufficientemente “sofisticati” da esserne consapevoli), che a suo tempo non immaginava vi fosse un’esposizione a simili rischi e che ha acquisito una diversa percezione solo dopo gli avvenimenti qui in discussione (v. e-mail 31 gennaio 2013 di cui all’edizione doc. dalla convenuta, sez. i e verbale 2 dicembre 2016, p. 6). D’altronde, nemmeno si può ammettere che la comunicazione per il tramite della posta elettronica sia stata imposta alla banca dai clienti o sia stata un’eccezione causata dalle peculiarità del caso specifico. In primo luogo, la convenuta ha indicato un unico concreto episodio in cui le comunicazioni da e verso la __________ erano difficoltose (non potendosi da esso desumere una generale precarietà dei mezzi di comunicazione in quel Paese). In secondo luogo, dagli atti emerge come la regolare corrispondenza con clienti esteri tramite e-mail non securizzate, in assenza di obblighi di call back, fosse una prassi e una forma di comunicazione usuale per la banca (teste __________ B__________, verbale 2 dicembre 2016, p. 5; teste __________ Ba__________, verbale 21 novembre 2016, p. 2-3; teste __________ C__________, verbale 21 novembre 2016, p. 9), tant’è che quest’ultimo teste, a quel tempo responsabile IT, ha dichiarato che si trattava di una nota situazione di rischio (verbale 21 novembre 2016, p. 8). Ciò risulta in contrasto con il dovere, per una banca, di organizzarsi, adeguare le proprie prassi e adottare misure (segnatamente a livello di tecnologie, direttive e formazione interna) in modo da prevenire e bloccare l’insorgere dei rischi. In quest’ottica, il rimprovero mosso agli attori di non aver adottato misure di sicurezza informatica o maggiori controlli è pretestuoso, rilevato ad ogni modo come nessuna prova agli atti dimostri che i due fratelli, già prima della scoperta della frode, avessero costatato delle incongruenze o dovessero sospettare un’intrusione. Ne derivano due diverse considerazioni. In primo luogo, il rischio concretizzatosi nella presente fattispecie e il relativo danno (che l’appellante chiede sia riversato sulla controparte) non derivano tanto dai pericoli insiti nelle trasmissioni via fax, quanto piuttosto da quelli legati alle comunicazioni non protette avvenute per il tramite della posta elettronica. In secondo luogo, la situazione di accresciuto pericolo imponeva alla banca un particolare grado di attenzione e prudenza.
17. In merito ai possibili dubbi sulla provenienza delle istruzioni in esame, oltre alla natura anonima dei doc. L e N non si può omettere di rilevare una discrepanza già negli indirizzi e-mail coinvolti nel raggiro: difatti le e-mail truffaldine 19 dicembre 2012 (ore 13:20), 20 dicembre 2012 (ore 09:36), 2 gennaio 2013 (ore 09:20, 10:06, 11:28 e 18:49), 3 gennaio 2013 (ore 09:44) e 10 gennaio 2013 (ore 06:35, 12:35), contenute nel plico doc. S e nella documentazione prodotta in edizione dalla convenuta (sez. ii) sembrano essere state inviate in copia a AO 1, ma a ben vedere i due indirizzi e-mail indicati sono leggermente diversi da quelli utilizzati dal medesimo (__________ invece che __________, ovvero vi è la lettera “l” invece che il numero “1” e __________ invece che __________, ovvero vi è la lettera “i” invece che la lettera “l”, v. anche sopra consid. B).
18. Quanto ai possibili motivi di sospetto legati al contenuto degli ordini, innanzitutto la necessità di una verifica più approfondita era stata riconosciuta dalla stessa banca, poiché gli ordini sono entrambi stati bloccati dal suo settore Legal&Compliance (a fronte del paese di destinazione rispettivamente delle norme anti-riciclaggio, v. teste __________ B__________, ex compliance officer, verbale 21 novembre 2016, p. 2-3; teste __________ __________ verbale 14 novembre 2016, p. 2-3). È d’altronde notorio e non controverso in questa sede che il Paese di destinazione, ovvero la Cina, fosse ad alto rischio anche per quanto riguarda possibili truffe, né l’appellante può essere seguita quando sostiene che i clienti nel periodo in questione potessero avere contatti o interessi in Cina, poiché non vi è alcuna prova oggettiva e concreta al riguardo. Il doc. 5, attestante in maniera generica la presenza cinese nel continente africano, è del tutto insufficiente e generico, né può bastare la testimonianza di __________ Be__________ (comunque da apprezzare con cautela visto il suo interesse a giustificare l’esecuzione degli ordini in questione), la quale ha solamente dichiarato che un legame fra i clienti e la __________ non è da escludere, che tale Paese è stato menzionato in occasione di uno o più colloqui con i clienti e che chi fa affari in __________ potrebbe avere legami con la Cina (verbale 2 dicembre 2016, p. 2). In altre parole, il gravame non scalfisce l’assunto pretorile secondo cui al momento in cui sono giunti gli ordini, la banca non aveva alcun concreto motivo di ritenere che gli attori avessero interessi o affari in __________, per cui da questo punto di vista, le richieste transazioni dovevano ritenersi inusuali.
19. Pure inadatte a sovvertire gli accertamenti pretorili sono le considerazioni appellatorie secondo cui gli ordini, vertenti sull’acquisto di macchinari e merci, segnatamente pompe d’iniezione (“injection pump”), condotte e raccordi (“pipe”, “Comp Straight Connector”) sarebbero stati usuali alla luce dell’attività imprenditoriale degli attori e della precedente operatività del conto. Innanzitutto, nessun concreto e convincente elemento permette di accertare che la banca, nel periodo in esame, conoscesse l’attività dei clienti (riguardante, per quanto è dato sapere, la consulenza in ambito minerario per il tramite della __________ Ltd, ovvero una prestazione di servizi). È difatti incontestato che la relazione bancaria fosse di natura privata. Nella documentazione bancaria prodotta non vi è traccia di menzioni alla suddetta società o alla sua operatività, e la stragrande maggioranza dei testi neppure l’aveva sentita nominare né conosceva la professione degli attori (testi __________ S__________, verbale 24 ottobre 2016, p. 2, __________ M__________, verbale 7 novembre 2016, p. 4, __________ F__________, verbale 24 ottobre 2016, p. 4, __________ B__________, verbale 21 novembre 2016, p. 7). Gli unici testi che pretendono conoscenze a tal riguardo sono due: la consulente __________ Be__________, che nel corso della sua testimonianza vaga e dubitativa, ricca di supposizioni e priva di dettagli che permettano di concludere se le sue supposte conoscenze siano anteriori o posteriori ai fatti incriminati, oppure ancora utilizzate per giustificare retroattivamente il suo operato, ritiene senza alcun riferimento a riscontri concreti o informazioni oggettive che i clienti potessero essere attivi nell’ambito della fornitura dell’energia elettrica, di olio e petrolio o nella costruzione di condotte per trasporto di questi beni oppure ancora coinvolti in simili appalti in __________ (verbale 2 dicembre 2016, p. 3); e il teste __________ B__________, secondo cui i clienti possedevano una miniera d’oro e effettuavano attività di estrazione mineraria in __________ (verbale 21 novembre 2016, p. 2), ciò che ancora una volta non trova riscontri negli atti. È peraltro del tutto evidente che l’oggetto delle due fatture prodotte dagli hacker, ovvero l’acquisto del materiale summenzionato, nulla avesse a che fare né con la relazione bancaria in questione, né con la precedente operatività del conto (variegata ma priva di legami con la __________, riguardante investimenti del patrimonio privato dei due fratelli e un prestito alla sorella e assolutamente mai vertente sull’acquisto di materiale industriale), ma neppure con una prestazione di servizi in ambito minerario. Ne discende che le fatture destinate alla plausibilizzazione delle operazioni, chiaramente sospette, non sono state verificate con la debita serietà, tant’è che __________ B__________, con riferimento alle medesime, si è limitato a menzionare le norme antiriciclaggio e a osservare che “non è contrario al diritto comprare macchinari coi propri fondi” (verbale 21 novembre 2016, p. 3-5).
20. È pure da confermare l’accertamento pretorile relativo al sospetto che doveva derivare dall’atteggiamento pressante avuto dagli impostori, nella misura in cui il secondo falso ordine di bonifico (doc. N) reca la dicitura “urgente” e agli atti vi sono svariate e-mail che attestano delle richieste, anche giunte a breve distanza l’una dall’altra, di rapida risposta e di sollecita evasione dell’ordine (v. e-mail truffaldine inviate il 20 dicembre 2012 alle ore 09:36, il 2 gennaio 2013 alle ore 09:20, 10:06, 11:28, 18:49 e il 10 gennaio 2013 alle ore 06:35, come pure l’e-mail inviata dalla consulente il 3 gennaio 2013, ore 08:48, contenute nei plichi doc. S/doc. 3 e nella documentazione prodotta in edizione dalla convenuta, sez. ii).
21. Infine, quanto alla concreta possibilità per la banca di effettuare un call back, l’argomentazione contraria dell’appellante non è convincente. Scartata l’ipotesi di una presunta irraggiungibilità telefonica degli attori, riscontrata in un’unica occasione, è indiscutibile che fra i clienti e la consulente vi siano state in passato delle telefonate. Non può pertanto essere seriamente preteso che la banca non disponesse dei relativi numeri di telefono e non potesse contattarli telefonicamente o quantomeno richiedere loro un contatto telefonico.
22. A fronte di tutte queste circostanze (utilizzo, peraltro su larga scala, di un mezzo di comunicazione inaffidabile sia per la regolare corrispondenza e-mail che per la verifica degli ordini malgrado l’inesistenza di una relativa manleva, elementi di sospetto summenzionati e attività di verifica superficiale), del principio dell’equità (art. 4 CC) e del potere di apprezzamento di cui godeva il Pretore, la decisione di quest’ultimo di attribuire alla banca una colpa sufficientemente grave da escludere l’applicabilità della manleva è condivisibile e resiste alla critica. Le argomentazioni dell’appellante relative alla tempestività del suo intervento una volta scoperta la frode non sono pertanto determinanti ai fini del giudizio.
23. Ne discende che l’appello deve essere respinto. Le spese giudiziarie di seconda sede, calcolate sulla base di un valore litigioso pari a USD 222'400.-, determinante anche ai fini di un eventuale ricorso al Tribunale federale, seguono la soccombenza (art. 106 CPC). Le spese processuali, calcolate in base agli art. 2, 7 e 13 LTG, ammontano a fr. 8’500.-. Le ripetibili, calcolate sulla base dell’art. 11 cpv. 1 e cpv. 2 lett. a RTar, tenuto pure conto delle spese e dell’IVA, sono quantificate in fr. 7’000.-.
Per questi motivi,
richiamati l’art. 106 CPC, la LTG e il RTar
decide:
1. L’appello 16 settembre 2019 di AP 1, __________, è respinto.
2. Le spese processuali della procedura d’appello, pari a fr. 8'500.-, sono a carico dell’appellante, che rifonderà agli appellati (rappresentati dal medesimo patrocinatore) complessivi
fr. 7’000.- per ripetibili di seconda sede.
3. Notificazione:
- ; - .
Comunicazione alla Pretura del Distretto di Lugano, sezione 1.
Per la seconda Camera civile del Tribunale d’appello
Il presidente La vicecancelliera
Rimedi giuridici
Nelle cause a carattere pecuniario con un valore litigioso superiore a fr. 30'000.- è dato ricorso in materia civile al Tribunale federale, 1000 Losanna 14, entro 30 giorni dalla notificazione del testo integrale della decisione (art. 100 cpv. 1 LTF). Qualora non sia dato il ricorso in materia civile è possibile proporre negli stessi termini ricorso sussidiario in materia costituzionale (art. 113, 117 LTF). La parte che intende impugnare una decisione sia con un ricorso ordinario sia con un ricorso in materia costituzionale deve presentare entrambi i ricorsi con una sola e medesima istanza (art. 119 LTF).