Conto corrente bancario, esecuzione di ordini contraffatti, azione di restituzione dell'avere in conto

1.

L’art. 308 cpv. 1 lett. a CPC

prevede che sono impugnabili mediante appello le decisioni finali di prima

istanza, posto che in caso di controversie patrimoniali il valore litigioso

secondo l'ultima conclusione riconosciuta nella decisione sia di almeno fr.

10'000.- (cpv. 2). Nella fattispecie tale valore supera pacificamente la soglia

testé menzionata. I termini di impugnazione e risposta sono di 30 giorni (art.

311.

e 312 CPC). Nel caso concreto l’appello 16 settembre 2019 contro la

decisione 19 luglio 2019 è tempestivo (tenuto conto delle ferie giudiziarie),

così come sono tempestivi la risposta 22 ottobre 2019 degli appellati e gli

ulteriori scritti spontanei delle parti. La censura mossa dagli appellati in

relazione a un’asserita tardività della replica spontanea della controparte in

quanto trasmessa all’incirca 15 giorni dopo la ricezione della risposta

dev’essere difatti disattesa: il termine di 10 giorni stabilito dalla

giurisprudenza ha per scopo d'indicare alla parte fino a quando, per rispettare

l'incondizionato diritto di replica sgorgante dagli art. 29 cpv. 1 e 2 Cost. e

6.

CEDU, il tribunale è disposto ad attendere prima di trattare il ricorso,

ritenuto che la sua mancata osservanza non ha però per conseguenza l'esclusione

dall'incartamento di atti giunti dopo tale termine ma prima dell'emanazione

della decisione (STF 4A_170/2015 del 28 ottobre 2015, consid. 1).

2.

Con l’impugnata decisione, il primo giudice ha anzitutto osservato

che la banca che mette in esecuzione delle istruzioni falsificate viola il

contratto di mandato e ne deve rispondere, a meno che abbia validamente

ribaltato il rischio sul cliente, ciò che dev’essere convenuto

specificatamente, oppure contenuto nelle Condizioni Generali (CG) facenti parte

del contratto bancario sottoscritto. La banca non può nondimeno prevalersi

con successo di questo ribaltamento qualora abbia commesso una grave negligenza

o una violazione intenzionale del contratto. Tale gravità, rispettivamente la

misura della diligenza richiesta agli istituti bancari, dipende da parametri

assoluti e oggettivi e dalla fiducia che essi godono da parte dei clienti e

della piazza finanziaria, e non dall’esperienza e dalle capacità dei clienti.

In particolare, se da una parte la banca è tenuta a

verificare l'autenticità degli ordini ricevuti solo secondo le modalità

convenute con il cliente o, se del caso, specificate dalla legge (non essendo tenuta ad adottare misure straordinarie o sistematicamente

presumere l’esistenza di un falso nell’ambito della verifica delle firme), dall’altra

essa deve procedere a verifiche supplementari presso il cliente se esistono dei

seri indizi di una falsificazione, se l'ordine non riguarda un’operazione

prevista dal contratto o abitualmente domandata, o se delle circostanze

particolari suscitano un dubbio.

3.

Quanto al caso concreto, il Pretore ha in

sostanza rilevato la pacifica falsità delle istruzioni summenzionate,

trasmesse via e-mail (rispettivamente tramite fax scannerizzati e allegati a

e-mail), e osservato che i clienti non avevano sottoscritto un

formulario che permettesse alla banca di ricevere istruzioni via e-mail o di

confermare via e-mail delle istruzioni dei clienti (ritenuto altresì l’alto rischio

che si cela dietro questa modalità di comunicazione). Di conseguenza, la banca

non avrebbe dovuto accettare e dare seguito a simili istruzioni nemmeno su

richiesta dei clienti, e avrebbe piuttosto dovuto invitare i clienti a

sottoscrivere di persona un nuovo formulario che l’autorizzasse in tal senso con

relativa assunzione di rischi in capo ai clienti. Il primo giudice ne ha dunque

dedotto una violazione positiva del contratto da parte della banca.

4.

Il giudice di prime cure ha pure stigmatizzato l’intensità degli scambi di e-mail accettati dalla convenuta, come pure

la leggerezza da lei mostrata nel trasmettere via e-mail della documentazione

sensibile e nell’accontentarsi di plausibilizzazioni di operazioni

semplicemente inviate per e-mail e dunque potenzialmente rischiose quanto a

credibilità e reale identità del proprio interlocutore, invece di interpellare

telefonicamente i clienti (call back), modalità di comunicazione che ha

permesso agli hacker di aprire “un’autostrada informativa” con la banca. Il

Pretore ha in particolare osservato che i consulenti alla clientela della

convenuta hanno sottovalutato il rischio insito nelle trasmissioni digitali,

come ben si evince dall’audizione testimoniale di __________ B__________.

Quest’ultima ha difatti confermato che il doc. L sembra essere un fax anonimo

non proveniente dalla __________ né da altri paesi, che non era possibile

capire il numero da cui esso provenisse, che malgrado ciò esso (a suo dire) non

suscitava alcuna allerta, che non ha disposto alcun chiarimento quanto alla sua

origine, non ha interpellato telefonicamente i clienti e non ha svolto alcuna

verifica in merito alle fatture pro forma giuntele per e-mail. La stessa ha

altresì dichiarato di non aver ricevuto, nel periodo 2011-2013, alcuna

formazione sul tema della sicurezza informatica, dichiarandosi convinta che la

ricezione di informazioni e documenti per il tramite di e-mail non securizzate

aggiungesse “un elemento di certezza”. Peraltro, ha aggiunto il primo giudice,

vi erano svariati elementi atti a caratterizzare le istruzioni quali dubbiose,

sospette e insolite e a imporre pertanto l’interpello telefonico dei clienti,

ovvero la sede cinese della banca destinataria (paese notoriamente a rischio

d’imbrogli informatici), il fatto che la relazione in questione fosse un conto

privato non attinente alla società dei due clienti e che le istruzioni false

riguardassero l’acquisto di pompe a iniezione, condutture di 12 metri e

connettori da 16 mm (ossia degli oggetti d’uso tutt’altro che privato), la

natura inusuale delle operazioni ivi descritte (ben distanti da quelle precedentemente

svolte sul conto di cui ai doc. D-H), come pure le carenze nelle comunicazioni giunte

dai falsari (verosimilmente ugandesi) a giustificazione delle loro istruzioni,

ovvero la scarsa dimestichezza con l’inglese, la scarsa cognizione tecnica

riguardo all’oggetto degli ordini in questione (tanto che le fatture prodotte

non sembrano avere alcuna logica intrinseca) e l’approccio di oppressiva

sollecitazione e di appalesata urgenza avuto dai medesimi. Il giudice di prima

sede ne ha dunque concluso che, anche qualora le istruzioni in questione

fossero state trasmesse in ossequio alle modalità pattuite con i clienti (ad

esempio tramite telefax), la grave negligenza avuta dalla banca non le

permetterebbe comunque di ribaltare la responsabilità sui clienti.

5.

Con l’impugnativa, l’appellante rimprovera al

Pretore di avere erroneamente accertato svariati fatti e di avere erroneamente

applicato il diritto (segnatamente gli art. 97 e 100 CO) nell’escludere l’efficacia

della clausola che caricava sui clienti il rischio di ordini via fax, forzando

le emergenze istruttorie per giungere a una conclusione a sfavore della

banca e ignorando una buona parte delle sue argomentazioni

difensive in violazione del suo diritto di essere sentita, per cui la decisione

impugnata sarebbe innanzitutto viziata di carente motivazione.

6.

Quanto al merito della decisione, a mente

dell’appellante i due ordini in questione, dopo essere stati anticipati per

posta elettronica, sono stati trasmessi via fax (v. doc. L e N, teste __________

F__________, verbale 24 ottobre 2016, p. 4), come del resto ammesso dalla controparte

(conclusioni 17 maggio 2018, p. 13 seg.). Essa avrebbe pertanto eseguito degli

ordini impartiti secondo quanto previsto contrattualmente e i clienti si

sarebbero assunti i relativi rischi a fronte della manleva di cui al doc. C, non

essendo conseguentemente necessaria la sottoscrizione di un’ulteriore

liberatoria relativa alle comunicazioni e-mail. La natura anonima dei due fax sarebbe

inoltre irrilevante, poiché si tratterebbe di una circostanza frequente in vari

ambiti. D’altronde, il contratto non reca alcuna indicazione sul numero da

utilizzare, né i clienti avevano fornito espresse raccomandazioni in merito a

uno specifico numero di fax da cui accettare istruzioni (teste __________ Be__________,

verbale 2 dicembre 2016, p. 2).

7.

L’appellante inoltre, dopo aver rilevato come il grado di diligenza,

malgrado sia oggettivo, debba essere valutato in base a tutte le circostanze

del caso concreto, critica il Pretore per avere imputato alla banca un’asserita

colpa per l’utilizzo della posta elettronica, fondandosi su considerazioni

infondate e non comprovate. Evidenziato come l’utilizzo della posta elettronica

non fosse escluso contrattualmente e fosse peraltro la prassi per le comunicazioni

in inglese con i clienti all’estero, l’appellante sostiene che tale modalità di

comunicazione sia stata introdotta e imposta dai clienti stessi anche in considerazione

della precarietà dei mezzi di comunicazione in __________ (doc. S, all. 1.3;

teste __________ B__________, verbale 2 dicembre 2016 p. 5-6; edizione doc.

convenuta, sez. i, e-mail 31 gennaio 2013 di __________ B__________), rispettivamente

sia stata da questi accettata per atti concludenti (ad esempio tramite gli

ordini impartiti via e-mail relativi all’investimento in oro e al prestito di

USD 23'000.- alla sorella, la richiesta di conferma e-mail dell’ordine relativo

a __________ Srl e lo scambio di

posta elettronica riferito alla prospettata costituzione di una società in __________).

Sarebbero pertanto stati gli attori a generare la situazione di rischio

trasmettendo alla banca delle e-mail contenenti informazioni sensibili, né la

creazione di “un’autostrada informatica” fra i truffatori e la banca può essere

imputata a quest’ultima: non solo le modalità di azione degli hacker non sono

state oggetto di causa e di istruttoria, ma è pure appurata l’assenza di qualsivoglia

intrusione nel suo sistema informatico (teste __________ F__________, verbale

14.

novembre 2016, p. 6; teste __________ C__________, verbale 21 novembre 2016,

p. 8-9; teste __________ M__________, verbale 7 novembre 2016, p. 5; doc. T). Gli

attori per contro non sarebbero stati trasparenti a tal riguardo, rinunciando

all’esperimento di una perizia informatica, laddove è verosimile che siano

stati loro, rispettivamente uno dei loro dispositivi o indirizzi, a subire

l’intrusione. Lo stesso AO 2 ha del resto ammesso nel suo interrogatorio di

aver trovato strane e-mail sul proprio PC (verbale 30 gennaio 2017, p. 7), ma

non ha intrapreso alcuna misura di sicurezza.

8.

A dire dell’appellante, il giudice di prima sede avrebbe fondato la sua

contestata grave colpa prevalentemente sulla sua scelta di accettare comunicazioni

per posta elettronica, questione invero marginale (siccome l’analisi della

colpa dev’essere connessa alla concreta esecuzione degli ordini in esame, per

l’appunto fondati su due fax, e non alla presunta genesi dei medesimi, nemmeno

appurata in sede istruttoria), trattando invece in maniera superficiale

l’asserito e denegato carattere insolito degli ordini e trascurando elementi

che li avrebbero piuttosto fatti apparire usuali e non sospetti. Il primo

giudice avrebbe altresì omesso di tenere in debita considerazione le misure

intraprese dalla banca. Quest’ultima non avrebbe dunque violato delle norme di

prudenza elementari imponibili a ogni persona ragionevole nelle medesime

circostanze. In tal senso la giurisprudenza citata dal Pretore (STF 4A_379/2016

del 15 giugno 2017), riferita a una fattispecie in cui le divergenze e i motivi

di sospetto erano molteplici, non sarebbe analoga al caso concreto, dovendosi

piuttosto considerare la sentenza IICCA del 29 agosto 2017, inc. 12.2016.10,

avente una fattispecie quasi identica.

8.1

In

primo luogo, il Pretore avrebbe erroneamente omesso di considerare l’intensa e

pressoché ininterrotta corrispondenza elettronica intercorsa fra le parti nel

periodo in questione (dicembre 2012), nella quale gli hacker hanno potuto introdursi

(a partire dal 19 dicembre 2012) con messaggi del tutto lineari che potevano

inserirsi nel contesto del prestito appena concesso alla sorella (nella misura

in cui anche gli hacker, trasmettendo l’ordine via e-mail, menzionavano una

presunta impossibilità di inviare fax da __________, v. edizione doc. convenuta, sez. ii, e-mail 20 dicembre 2012,

ore 9:36), dell’imminente rientro del prestito concesso a __________ Srl (citato dagli hacker nell’e-mail 2 gennaio 2013 e preannunciato dai

clienti con e-mail autentica del 29 dicembre 2012 in cui venivano messi

a disposizione i dettagli dell’operazione, v. edizione doc. convenuta, sez. ii)

e dell’incontro effettivamente previsto con i clienti per il 14 gennaio 2013

(citato dagli hacker in più occasioni, seppur un volta per la data sbagliata,

v. edizione doc. convenuta, sez. ii, e-mail 10 gennaio 2013 e 14 gennaio 2013).

Peraltro, anche i clienti sembrano aver colloquiato con gli hacker nella

convinzione che si trattasse della loro consulente __________ B__________ (doc.

S, all. 4.3 e interrogatorio di AO 2, verbale 30 gennaio 2017, p. 8). Sarebbe

inoltre strano che i medesimi si siano effettivamente presentati all’incontro

con la banca malgrado la relativa fissazione parrebbe essere avvenuta

nell’ambito dei messaggi scambiati dalla stessa con gli hacker. L’appellante

rileva altresì come le comunicazioni fraudolente fossero analoghe a quelle autentiche

per quanto riguarda formulazione, stile e grammatica e prive di anomalie

linguistiche, a eccezione dell’e-mail di “sbeffeggiatura finale”, quando oramai

il danno era compiuto.

8.2

In

secondo luogo, l’appellante rileva di avere spesso cercato conferme e adottato

misure supplementari nel corso della relazione contrattuale con i clienti, modulate

a seconda della situazione, e in particolare, per quanto riguarda gli ordini

qui controversi, di avere correttamente applicato le sue direttive interne (che

non prevedevano il call back), chiedendo in primis l’invio dei

fax (essendosi d’altronde __________ B__________ limitata ad affermare che,

avendo ricevuto in passato telefonate dei clienti provenienti da numeri di

telefono diversi e “strani”, anche la ricezione di un fax proveniente da un

paese “strano” non l’aveva insospettita). La stessa ha così ottenuto degli

ordini contrassegnati da una firma apparentemente corretta (v. doc. S, p. 7 n.

37), come pure documentazione di supporto (fatture) trasmessa tramite un mezzo

di comunicazione (la posta elettronica) usuale per le parti, verificandola in misura

ragionevole in un’ottica di plausibilità (teste __________ B__________, verbale

2.

dicembre 2016, p. 2-5; teste __________ B__________, verbale 21 novembre 2016,

p. 2). Secondo l’appellante, da essa non si potevano esigere verifiche

supplementari o straordinarie in assenza di concreti dubbi sulla legittimità

dell’operazione. A tal riguardo, il primo giudice avrebbe erroneamente

trascurato le caratteristiche dei clienti: essi si sono presentati quali

imprenditori di provenienza __________, a quel momento residenti in __________

(ove aveva sede la loro società __________ Ltd, attiva in ambito minerario) e avvezzi

a muoversi in ambito internazionale (__________, __________, __________, __________)

in contesti variegati di tipo commerciale. Pure trascurata sarebbe stata l’operatività

del conto (alimentato peraltro con averi derivanti da una cessione azionaria),

ovvero un investimento in oro, il finanziamento a una ditta italiana, un prestito

in __________, la prospettata costituzione di una ditta in __________.

L’appellante ritiene pertanto che le istruzioni e la documentazione di supporto

potessero essere riconducibili ai clienti e al loro ambito di attività (la

quale, come verificato dalla consulente, poteva essere facilmente connessa con

la Cina, v. teste __________ Be__________, verbale 2 dicembre 2016, p. 2 e doc.

5) e compatibili con l’operatività del conto (doc. P e Q).

8.3

L’appellante

sostiene altresì che l’asserita urgenza appalesata dai falsari sia una

forzatura operata dal primo giudice e non deducibile dai messaggi incriminati

né dai fatti accertati, se solo si considera che gli hacker non hanno preteso

una particolare celerità nell’esecuzione degli ordini e che l’istruzione 19

dicembre 2012 è stata eseguita secondo tempistiche usuali il 3 gennaio 2013.

Pure errato sarebbe l’assunto pretorile, di connotazione peritale, secondo cui

i dipendenti della banca avessero scarse cognizioni del rischio informatico. __________

B__________ si è limitata a dichiarare di non ricordarsi se avesse ricevuto una

formazione in tal senso poiché seguiva molti corsi, mentre il responsabile IT

della banca ha riferito che tutti i dipendenti venivano resi edotti sui rischi

della posta elettronica e istruiti al momento dell’assunzione, che la banca era

in regola e che la stessa non aveva mai subito attacchi informatici (teste __________

C__________, verbale 21 novembre 2016, p. 8 seg.). Infine, l’appellante rileva

che essendo l’incontro del 14 gennaio 2013 con i clienti terminato in tarda

serata, la sua attivazione il giorno successivo per tentare di bloccare

l’operazione fraudolenta sarebbe stata tempestiva.

9.

La censura

appellatoria di carente motivazione e violazione del diritto di essere sentito

è infondata. Posto che il giudice non è tenuto a determinarsi su ogni singola

allegazione di parte, potendo la motivazione anche essere breve e concisa ed essendo

piuttosto essenziale che essa permetta di capire perché il giudice ha statuito

in un modo piuttosto che in un altro su questioni determinanti, nel caso

concreto il Pretore ha rilevato di non poter ritenere accertato il regolare

invio degli ordini in questione tramite le modalità pattuite contrattualmente,

ovvero via fax, e che anche in tal caso la banca non potrebbe riversare sui

clienti il proprio danno, comportando la sua grave colpa l’inapplicabilità

della manleva. A tal proposito, ha rilevato che la colpa della banca è

riconducibile non solo all’utilizzo improprio della posta elettronica nelle

comunicazioni con i clienti, ma anche agli svariati elementi di sospetto che

contraddistinguevano gli ordini e che avrebbero imposto alla banca delle verifiche

più approfondite e attendibili rispetto a quanto effettuato, e in particolare

l’utilizzo del “call back”. Dalle motivazioni della sentenza impugnata è

dunque possibile comprendere le ragioni di fatto e di diritto che hanno indotto

il primo giudice a decidere in quel senso.

10.

Nel caso concreto è pacifico e incontestato che la banca abbia

eseguito delle istruzioni contraffatte provenienti da persone estranee al

rapporto contrattuale. Controverso è unicamente sapere se la medesima abbia

dato seguito a istruzioni impartite conformemente alle modalità pattuite fra le

parti e possa in tal caso ribaltare il danno sui propri clienti avvalendosi

della manleva di cui al doc. C, rispettivamente se tale manleva possa trovare

applicazione nella fattispecie o debba essere esclusa in virtù dell’applicazione

analoga dell’art. 100 CO, segnatamente a causa di una colpa grave imputabile

alla banca.

11.

Indipendentemente

dai parallelismi o dalle divergenze del caso qui in esame con quello esaminato

nell’ambito della summenzionata STF 4A_170/2015 del 28 ottobre 2015 (rilevato

in ogni caso che il Pretore ha in particolare individuato la similitudine in

un’insufficiente verifica delle istruzioni ricevute), le relative

considerazioni giuridiche e i principi giurisprudenziali citati dal primo

giudice (p. 3-4 della decisione impugnata, a cui si rinvia) trovano

applicazione anche nella presente fattispecie. Si può ad ogni modo evidenziare

che nel diritto svizzero, pacificamente applicabile nella presente fattispecie

(v. anche doc. C, art. 17), il denaro depositato sul conto bancario aperto a

nome di un cliente è di proprietà della banca, verso la quale il cliente ha

unicamente un credito. Pertanto, girando o versando questi soldi a un terzo, la

banca trasferisce il proprio denaro. Quando lo fa in esecuzione di un ordine

del cliente essa, nella misura in cui esegua regolarmente il mandato,

acquisisce verso di lui un credito dell’importo corrispondente (art. 402 cpv. 1

CO). Per contro, quando esegue l’ordine di pagamento senza ordine del cliente,

per esempio sulla base di un ordine di un terzo non autorizzato, non nasce

alcun credito di rimborso verso il cliente non implicato nell’operazione: il

danno derivante dal pagamento indebito rimane così un danno della banca, non

del cliente. Nel sistema legale, il rischio legato alla carenza di

legittimazione o a eventuali falsificazioni non rilevate, e dunque quello di

versare del denaro a un terzo non autorizzato, fa dunque parte dei rischi

inerenti all’attività bancaria (STF 4A_504/2018 del 10 dicembre 2019, consid.

3.1.2

e 4.1). Questa regolamentazione è tuttavia di carattere dispositivo e può

essere modificata mediante convenzione, frequentemente contenuta nei contratti

o nelle relative Condizioni generali, che ribalta sul cliente il danno della

banca nel senso che questi si assume i danni derivanti da difetti di

legittimazione o da falsificazioni qualora le istruzioni siano giunte secondo

le modalità previste contrattualmente. Per giurisprudenza consolidata, a queste

clausole è applicabile per analogia l’art. 100 CO. Esse sono pertanto prive di

ogni portata qualora alla banca sia imputabile un dolo o una colpa grave (art.

100.

cpv. 1 CO), e in particolare qualora la banca, trascurando elementari norme

di prudenza, ometta di effettuare le verifiche che si sarebbero imposte alla

luce di oggettivi dubbi sulla legittimità degli ordini. Nel caso di colpa lieve,

la clausola di trasferimento del rischio può invece essere dichiarata nulla

secondo il prudente apprezzamento del giudice (art. 100 cpv. 2 CO), fermo

restando che non si potrà procedere in tal senso se la colpa lieve è imputabile

a un ausiliario dell’istituto di credito (IICCA dell’11 dicembre

2018, inc. 12.2017.74, consid. 6).

12.

Innanzitutto,

l’appellante evidenzia l’applicabilità della manleva sottoscritta dai clienti

poiché i due controversi ordini sono stati trasmessi anche via fax, come la

controparte avrebbe peraltro riconosciuto. Ora, posto come l’onere della prova

incombesse alla banca (art. 8 CC), gli attori nei loro allegati di prima sede hanno

perlomeno messo in dubbio la natura dei doc. L e N, né essi erano in grado di

verificare la questione, a loro estranea. È pacifico che le due istruzioni

siano dapprima giunte tramite e-mail 19 dicembre 2012 e 10

gennaio 2013 con relativi allegati (“scanned request for transfer”, v.

sopra consid. C), e che quali doc. L e N figurano due documenti formato fax,

datati rispettivamente 2 e 10 gennaio 2013, corredati da una firma

all’apparenza autentica di AO 2. In effetti, non è possibile determinare con

certezza se questi documenti siano dei fax scansionati e allegati a

delle e-mail (come accertato dal primo giudice) oppure siano

stati altresì trasmessi via fax su richiesta di __________ B__________, come

rilevato dalla convenuta. Difatti, malgrado la versione di quest’ultima sia

supportata dalla testimonianza di svariati suoi (ex) collaboratori, essa non

trova riscontro nella documentazione agli atti riferita agli ordini in

questione e alla relativa corrispondenza, ove gli hacker menzionano solamente ordini

scansionati e allegati alle e-mail e non l’avvenuto invio di fax, né la

consulente bancaria richiede l’invio di fax (ritenuto che la banca, se fosse

stata in possesso di tali comunicazioni, avrebbe dovuto produrle). Non è invece

controverso che i suddetti documenti L e N fossero anonimi, ovvero non

permettessero di risalire al numero del mittente o al paese di provenienza (teste

__________ B__________, verbale 2 dicembre 2016, p. 3; teste __________

B__________, verbale 21 novembre 2016, p. 2 e 4; teste __________ F__________,

verbale 14 novembre 2016, p. 2; teste __________ F__________, verbale 24

ottobre 2016, p. 4). Se da una parte dalla documentazione

contrattuale non risulta che gli ordini via fax dovessero giungere da specifici

numeri preventivamente pattuiti, dall’altra ciò avrebbe dovuto destare alla

banca quantomeno un sospetto.

13.

Volendo

ammettere che i due ordini siano effettivamente stati trasmessi (anche) via fax

e che la banca abbia verificato la loro conformità secondo le modalità previste

contrattualmente (non destando la firma particolari sospetti), il fatto che la

medesima possa o meno appellarsi efficacemente alla manleva e riversare sui

clienti il danno da lei subito dipende dall’eventuale colpa a lei imputabile,

ritenuto che in virtù del suo obbligo di tutelare in buona fede gli interessi

dei suoi clienti, della fiducia di cui gode quale istituto autorizzato e più in

generale della fiducia di cui gode la piazza finanziaria elvetica, il grado di

diligenza da lei esigibile dev’essere certamente valutato con rigore.

14.

A tal riguardo, l’appellante rileva a ragione che i

clienti hanno utilizzato l’e-mail come usuale strumento di comunicazione,

intrattenendo con la banca un intenso scambio di posta elettronica riguardante

l’operatività del conto e informazioni sensibili. È altresì corretto rilevare

come i medesimi fossero attivi a livello internazionale, avessero contatti con

diversi paesi (__________, __________, __________, __________, __________) e

abbiano eseguito operazioni variegate. Neppure risulta dagli atti una

violazione del sistema informatico della banca, ritenuto che gli hacker,

intromettendosi nella corrispondenza elettronica fra questa e i clienti, hanno

potuto carpire informazioni e, celandosi dietro l’indirizzo __________, modulare e dissimulare le proprie comunicazioni

ispirandosi a quelle autentiche dei due fratelli, corredando gli ordini con

delle firme apparentemente corrette. Pure a ragione l’appellante rileva che la

presenza di errori ortografici, contrariamente a quanto lasciato intendere dal

giudice di prime cure, non potesse essere determinante, non essendo i clienti

di madrelingua inglese e non emergendo nelle scelte linguistiche delle evidenti

discrepanze fra i messaggi autentici e quelli fraudolenti.

15.

Quanto

all’utilizzo della posta elettronica, vi è innanzitutto da rilevare che

l’investimento in oro effettuato dagli attori, differentemente da quanto

sostiene l’appellante, è il risultato di istruzioni da questi personalmente impartite

durante una visita alla banca (v. petizione, p. 4; teste __________ B__________,

verbale 2 dicembre 2016, p. 6-7 ed e-mail 31 gennaio 2013 di cui all’edizione

doc. dalla convenuta, sez. i). Più in generale, la censura secondo cui le

precedenti comunicazioni via e-mail e la genesi degli ordini in questione

sarebbero irrilevanti non può essere seguita, potendo e dovendo tali aspetti

essere considerati per valutare la situazione di rischio e il grado di prudenza

da adottare e dunque verificare se la diligenza avuta dalla banca fosse

conforme alle circostanze del caso concreto.

16.

In

questa sede, l’assenza di una manleva per le comunicazioni e gli ordini

impartiti via e-mail non è controversa e dev’essere data per assodata, per cui

di principio e conformemente al sistema legale, i rischi relativi all’assente

legittimità delle istruzioni e al furto di dati e d’identità derivanti

dall’utilizzo della posta elettronica erano a carico della banca (STF 4A_9/2020

del 9 luglio 2020, consid. 6.2.1.2), indipendentemente dal modo in cui gli

hacker hanno potuto intromettersi nel rapporto, non accertato nella presente

controversia. Aggiungasi che, nonostante gli stessi clienti abbiano optato per

tale mezzo di comunicazione, la banca (per il tramite dei suoi consulenti) lo

ha accettato e adoperato sin dall’inizio (v. doc. D), adempiendo a richieste di

informazione tramite l’invio di e-mail non protette contenenti informazioni

sensibili e confidenziali (ritenuto che in almeno un’occasione la consulente __________

B__________ ha usato un indirizzo e-mail al di fuori del dominio bancario,

ovvero __________, v. doc. D) e altresì eseguendo un bonifico (prestito in

favore della sorella dei clienti) sulla base di un ordine sottoscritto e

allegato via e-mail (v. doc. G), che potrebbe aver costituito il mezzo con cui

gli hacker hanno poi potuto contraffare in maniera efficace gli ordini e la

firma di cui ai doc. L e N, alla luce della relativa simile formulazione e

strutturazione delle comunicazioni. Anche nel caso degli ordini qui in esame,

tutta la regolare corrispondenza e l’attività di plausibilizzazione è avvenuta

tramite posta elettronica. Ciò è avvenuto malgrado l’evidente situazione di rischio

e la facilità con cui un hacker, accedendo al canale di informazione fra i clienti

e la banca, può inserirsi in tale rapporto e dissimulare la propria presenza, tant’è

che gli ignoti autori del raggiro non solo hanno comunicato con la banca fingendosi

il cliente, ma anche con il cliente fingendosi la consulente bancaria (sotto il

dominio __________.ch invece che __________.ch, v. doc. S all. 4). Nella

fattispecie, la trascuranza di questi aspetti e dell’obbligo di salvaguardare

gli interessi dei clienti è evidente se solo si considera che __________ B__________

ha dichiarato che non ha mai attirato l’attenzione degli stessi sulla

problematica (in quanto a suo dire sufficientemente “sofisticati” da esserne

consapevoli), che a suo tempo non immaginava vi fosse un’esposizione a simili

rischi e che ha acquisito una diversa percezione solo dopo gli avvenimenti qui

in discussione (v. e-mail 31 gennaio 2013 di cui all’edizione doc. dalla

convenuta, sez. i e verbale 2 dicembre 2016, p. 6). D’altronde, nemmeno si può ammettere

che la comunicazione per il tramite della posta elettronica sia stata imposta

alla banca dai clienti o sia stata un’eccezione causata dalle peculiarità del

caso specifico. In primo luogo, la convenuta ha indicato un unico concreto

episodio in cui le comunicazioni da e verso la __________ erano difficoltose (non

potendosi da esso desumere una generale precarietà dei mezzi di comunicazione

in quel Paese). In secondo luogo, dagli atti emerge come la regolare corrispondenza

con clienti esteri tramite e-mail non securizzate, in assenza di obblighi di call

back, fosse una prassi e una forma di comunicazione usuale per la banca

(teste __________ B__________, verbale 2 dicembre 2016, p. 5; teste __________

Ba__________, verbale 21 novembre 2016, p. 2-3; teste __________ C__________,

verbale 21 novembre 2016, p. 9), tant’è che quest’ultimo teste, a quel tempo

responsabile IT, ha dichiarato che si trattava di una nota situazione di

rischio (verbale 21 novembre 2016, p. 8). Ciò risulta in contrasto con il

dovere, per una banca, di organizzarsi, adeguare le proprie prassi e adottare

misure (segnatamente a livello di tecnologie, direttive e formazione interna)

in modo da prevenire e bloccare l’insorgere dei rischi. In quest’ottica, il

rimprovero mosso agli attori di non aver adottato misure di sicurezza

informatica o maggiori controlli è pretestuoso, rilevato ad ogni modo come

nessuna prova agli atti dimostri che i due fratelli, già prima della scoperta

della frode, avessero costatato delle incongruenze o dovessero sospettare un’intrusione.

Ne derivano due diverse considerazioni. In primo luogo, il rischio concretizzatosi

nella presente fattispecie e il relativo danno (che l’appellante chiede sia

riversato sulla controparte) non derivano tanto dai pericoli insiti nelle

trasmissioni via fax, quanto piuttosto da quelli legati alle comunicazioni non

protette avvenute per il tramite della posta elettronica. In secondo luogo, la

situazione di accresciuto pericolo imponeva alla banca un particolare grado di

attenzione e prudenza.

17.

In

merito ai possibili dubbi sulla provenienza delle istruzioni in esame, oltre

alla natura anonima dei doc. L e N non si può omettere di rilevare una

discrepanza già negli indirizzi e-mail coinvolti nel raggiro: difatti le e-mail

truffaldine 19 dicembre 2012 (ore 13:20), 20 dicembre 2012 (ore 09:36), 2

gennaio 2013 (ore 09:20, 10:06, 11:28 e 18:49), 3 gennaio 2013 (ore 09:44) e 10

gennaio 2013 (ore 06:35, 12:35), contenute nel plico doc. S e nella documentazione

prodotta in edizione dalla convenuta (sez. ii) sembrano essere state inviate in

copia a AO 1, ma a ben vedere i due indirizzi e-mail indicati sono leggermente

diversi da quelli utilizzati dal medesimo (__________ invece che __________,

ovvero vi è la lettera “l” invece che il numero “1” e __________ invece che __________,

ovvero vi è la lettera “i” invece che la lettera “l”, v. anche sopra consid.

B).

18.

Quanto

ai possibili motivi di sospetto legati al contenuto degli ordini, innanzitutto

la necessità di una verifica più approfondita era stata riconosciuta dalla

stessa banca, poiché gli ordini sono entrambi stati bloccati dal suo settore Legal&Compliance

(a fronte del paese di destinazione rispettivamente delle norme

anti-riciclaggio, v. teste __________ B__________, ex compliance officer,

verbale 21 novembre 2016, p. 2-3; teste __________ __________ verbale 14

novembre 2016, p. 2-3). È d’altronde notorio e non controverso in questa sede

che il Paese di destinazione, ovvero la Cina, fosse ad alto rischio anche per

quanto riguarda possibili truffe, né l’appellante può essere seguita quando

sostiene che i clienti nel periodo in questione potessero avere contatti o

interessi in Cina, poiché non vi è alcuna prova oggettiva e concreta al

riguardo. Il doc. 5, attestante in maniera generica la presenza cinese nel

continente africano, è del tutto insufficiente e generico, né può bastare la

testimonianza di __________ Be__________ (comunque da apprezzare

con cautela visto il suo interesse a giustificare l’esecuzione degli ordini in

questione), la quale ha solamente dichiarato che un legame fra i clienti

e la __________ non è da escludere, che tale Paese è stato menzionato in occasione

di uno o più colloqui con i clienti e che chi fa affari in __________ potrebbe

avere legami con la Cina (verbale 2 dicembre 2016, p. 2). In altre parole, il

gravame non scalfisce l’assunto pretorile secondo cui al momento in cui sono

giunti gli ordini, la banca non aveva alcun concreto motivo di ritenere che gli

attori avessero interessi o affari in __________, per cui da questo punto di

vista, le richieste transazioni dovevano ritenersi inusuali.

19.

Pure

inadatte a sovvertire gli accertamenti pretorili sono le considerazioni

appellatorie secondo cui gli ordini, vertenti sull’acquisto di macchinari e

merci, segnatamente pompe d’iniezione (“injection pump”), condotte e

raccordi (“pipe”, “Comp Straight Connector”) sarebbero stati

usuali alla luce dell’attività imprenditoriale degli attori e della precedente

operatività del conto. Innanzitutto, nessun concreto e convincente elemento

permette di accertare che la banca, nel periodo in esame, conoscesse l’attività

dei clienti (riguardante, per quanto è dato sapere, la consulenza in ambito

minerario per il tramite della __________ Ltd, ovvero una prestazione

di servizi). È difatti incontestato che la relazione bancaria fosse di natura

privata. Nella documentazione bancaria prodotta non vi è traccia di menzioni

alla suddetta società o alla sua operatività, e la stragrande maggioranza dei

testi neppure l’aveva sentita nominare né conosceva la professione degli attori

(testi __________ S__________, verbale 24 ottobre 2016, p. 2, __________ M__________,

verbale 7 novembre 2016, p. 4, __________ F__________, verbale 24 ottobre 2016,

p. 4, __________ B__________, verbale 21 novembre 2016, p. 7). Gli unici testi

che pretendono conoscenze a tal riguardo sono due: la consulente __________ Be__________,

che nel corso della sua testimonianza vaga e dubitativa, ricca di supposizioni

e priva di dettagli che permettano di concludere se le sue supposte conoscenze

siano anteriori o posteriori ai fatti incriminati, oppure ancora utilizzate per

giustificare retroattivamente il suo operato, ritiene senza alcun riferimento a

riscontri concreti o informazioni oggettive che i clienti potessero essere

attivi nell’ambito della fornitura dell’energia elettrica, di olio e petrolio o

nella costruzione di condotte per trasporto di questi beni oppure ancora

coinvolti in simili appalti in __________ (verbale 2 dicembre 2016, p. 3); e il

teste __________ B__________, secondo cui i clienti possedevano una miniera

d’oro e effettuavano attività di estrazione mineraria in __________ (verbale 21

novembre 2016, p. 2), ciò che ancora una volta non trova riscontri negli atti. È

peraltro del tutto evidente che l’oggetto delle due fatture prodotte dagli

hacker, ovvero l’acquisto del materiale summenzionato, nulla avesse a che fare

né con la relazione bancaria in questione, né con la precedente operatività del

conto (variegata ma priva di legami con la __________, riguardante investimenti

del patrimonio privato dei due fratelli e un prestito alla sorella e

assolutamente mai vertente sull’acquisto di materiale industriale), ma neppure

con una prestazione di servizi in ambito minerario. Ne discende che le fatture

destinate alla plausibilizzazione delle operazioni, chiaramente sospette, non

sono state verificate con la debita serietà, tant’è che __________ B__________,

con riferimento alle medesime, si è limitato a menzionare le norme antiriciclaggio

e a osservare che “non è contrario al diritto comprare macchinari coi propri

fondi” (verbale 21 novembre 2016, p. 3-5).

20.

È

pure da confermare l’accertamento pretorile relativo al sospetto che doveva

derivare dall’atteggiamento pressante avuto dagli impostori, nella misura in

cui il secondo falso ordine di bonifico (doc. N) reca la dicitura “urgente” e

agli atti vi sono svariate e-mail che attestano delle richieste, anche giunte a

breve distanza l’una dall’altra, di rapida risposta e di sollecita evasione

dell’ordine (v. e-mail truffaldine inviate il 20 dicembre 2012 alle ore 09:36,

il 2 gennaio 2013 alle ore 09:20, 10:06, 11:28, 18:49 e il 10 gennaio 2013 alle

ore 06:35, come pure l’e-mail inviata dalla consulente il 3 gennaio 2013, ore

08:48, contenute nei plichi doc. S/doc. 3 e nella documentazione prodotta in

edizione dalla convenuta, sez. ii).

21.

Infine,

quanto alla concreta possibilità per la banca di effettuare un call back,

l’argomentazione contraria dell’appellante non è convincente. Scartata

l’ipotesi di una presunta irraggiungibilità telefonica degli attori,

riscontrata in un’unica occasione, è indiscutibile che fra i clienti e la

consulente vi siano state in passato delle telefonate. Non può pertanto essere

seriamente preteso che la banca non disponesse dei relativi numeri di telefono

e non potesse contattarli telefonicamente o quantomeno richiedere loro un

contatto telefonico.

22.

A

fronte di tutte queste circostanze (utilizzo, peraltro su larga scala, di un

mezzo di comunicazione inaffidabile sia per la regolare corrispondenza e-mail che

per la verifica degli ordini malgrado l’inesistenza di una relativa manleva,

elementi di sospetto summenzionati e attività di verifica superficiale), del

principio dell’equità (art. 4 CC) e del potere di apprezzamento di cui godeva

il Pretore, la decisione di quest’ultimo di attribuire alla banca una colpa

sufficientemente grave da escludere l’applicabilità della manleva è

condivisibile e resiste alla critica. Le argomentazioni dell’appellante

relative alla tempestività del suo intervento una volta scoperta la frode non

sono pertanto determinanti ai fini del giudizio.

23.

Ne discende che l’appello deve

essere respinto. Le spese giudiziarie di seconda sede, calcolate sulla base di

un valore litigioso pari a USD

222'400.-, determinante anche ai fini di

un eventuale ricorso al Tribunale federale, seguono la soccombenza (art. 106

CPC). Le spese processuali, calcolate in base agli art. 2, 7 e 13 LTG,

ammontano a fr. 8’500.-. Le ripetibili, calcolate sulla base dell’art. 11 cpv.

1.

e cpv. 2 lett. a RTar, tenuto pure conto delle spese e dell’IVA, sono

quantificate in fr. 7’000.-.