Brocardi.it - L'avvocato in un click! REDAZIONE

Conto corrente, la banca deve rimborsarti se ti svuotano il conto con un bonifico rubandoti le password: nuova sentenza

Diritto bancario - -
Conto corrente, la banca deve rimborsarti se ti svuotano il conto con un bonifico rubandoti le password: nuova sentenza
In una recente vicenda un bonifico è partito quasi all'alba e 2.700 euro sono spariti da un conto corrente. Ma una significativa sentenza chiarisce quando la banca è obbligata a rimborsare il cliente vittima di frode informatica
Un bonifico partito nel cuore della notte, un conto svuotato e una scoperta amara al risveglio. È una situazione sempre più frequente nell'era dell'home banking, ma una recente sentenza del Giudice di Pace di Empoli - la n. 32/2026 - chiarisce un principio fondamentale: se il pagamento non è autorizzato dal cliente, la banca deve rimborsare, salvo casi eccezionali.
Più nel dettaglio, la vicenda riguardava un correntista che si è visto sottrarre 2.700 euro con un bonifico eseguito quasi all'alba verso un conto lituano, intestato a un beneficiario mai utilizzato prima. Come accertato nel corso del procedimento presso il Giudice di Pace toscano, nei giorni precedenti l'uomo aveva - a sua insaputa - installato sul proprio smartphone un malware (trojan bancario), mimetizzato in aggiornamento di Google Chrome. In sostanza, il programma aveva preso il controllo del dispositivo, rubato le credenziali e disposto il pagamento senza che il titolare potesse rendersene conto e impedirlo.
A seguito del truffaldino trasferimento di fondi, la sua banca ha però negato ogni addebito, sostenendo che il suo cliente avesse agito con negligenza e imprudenza, sottovalutando i rischi del web.
Di riferimento, in casi come questo, è l'art. 10 del d. lgs. n. 11/2010, in merito ai servizi di pagamento. La norma è molto chiara: quando il cliente nega di aver autorizzato un'operazione bancaria, non è lui a dover dimostrare la frode, ma è sulla banca che ricade l'onere della prova. Infatti, l'istituto deve dimostrare che:
  • il pagamento è stato autenticato correttamente;
  • il sistema ha funzionato senza problemi;
  • non ci sono stati malfunzionamenti o falle di sicurezza.
Si tratta di una vera e propria inversione dell'onere della prova, pensata dal legislatore al fine di tutelare il correntista. La banca aveva tentato di difendersi, producendo sia i log informatici (cioè i registri tecnici dell'operazione) che gli SMS e le notifiche push inviate al cliente. Secondo la tesi dell'istituto, questi elementi acclaravano che il pagamento era stato effettivamente autorizzato.
Tuttavia, il giudice ha chiarito un punto decisivo: dimostrare che sono state usate le credenziali non significa provare che il cliente abbia dato il consenso e che, comunque, non sia stato vittima di una condotta criminale. Anzi, nelle frodi informatiche, è normale che i truffatori operino proprio usando credenziali rubate, simulando operazioni apparentemente regolari.
Il nodo di fondo attiene, quindi, alla sicurezza: se il sistema viene aggirato, la banca risponde dei danni economici subiti da un suo cliente. Da parte sua, l'istituto aveva sostenuto di aver adottato sistemi di sicurezza avanzati, come la Strong Customer Authentication (SCA), cioè l'autenticazione forte richiesta dalla normativa europea. Ma c'è un problema: l'ammissione, da parte della stessa banca, secondo cui il malware aveva preso il controllo del telefono e individuato le credenziali del cliente.
Per il giudice, questo è un punto determinante per stabilire la responsabilità: se il sistema di sicurezza è stato aggirato, significa che non era adeguato a tutelare il correntista da attacchi informatici. Sul punto, la giurisprudenza è costante: l'adozione formale di sistemi di sicurezza non basta, se questi non sono in grado di prevenire concretamente le frodi digitali.
Inoltre, come ricostruito nei fatti di causa, gli evidenti segnali di rischio - in gergo red flags - che la banca avrebbe dovuto bloccare erano più d'uno:
  • l'orario notturno dell'operazione;
  • un nuovo beneficiario mai utilizzato prima;
  • un conto con IBAN estero e obblighi di controllo rafforzati;
  • un importo significativo (2.700 euro).
Ebbene, secondo il giudice, una banca dotata di sistemi adeguati avrebbe dovuto bloccare automaticamente l'operazione e, al contempo, chiedere una verifica aggiuntiva al cliente. Ecco perché il mancato intervento è stato considerato un chiaro elemento di responsabilità.
Per evitare il rimborso, la banca ha cercato di dimostrare che il cliente avesse agito con colpa grave. In base all'art 12 del citato decreto, quest'ultima - come il dolo - può escludere la responsabilità dell'istituto. Le accuse di imprudenza, mosse dall'istituto al correntista, erano diverse. L'aver visitato un sito di streaming "illegale", l'aver installato il malware e l'aver ignorato le notifiche di sicurezza avrebbero configurato la sua responsabilità.
Ma il giudice ha respinto tutte questi argomenti perché, anzitutto, quella sul sito illegale era una semplice supposizione non provata. Non era, poi, stato dimostrato il legame tra navigazione e malware. Inoltre, il virus si presentava superficialmente come un aggiornamento legittimo. Era cioè un tipico esempio di social engineering, cioè tecniche di inganno sofisticate. E, in ogni caso, il cliente ha subito cercato di rimediare dopo aver notato anomalie. In breve: il suo comportamento è stato quello di un utente medio diligente, non di una persona gravemente negligente e, quindi, responsabile.
Non solo. Un altro argomento difensivo riguardava le notifiche inviate a notte fonda. Secondo la banca, il cliente avrebbe potuto bloccare l'operazione ma il giudice è stato netto: pretendere che una persona controlli il telefono, nel cuore della notte, è irragionevole. In più, dalle verifiche effettuate è emerso che il malware poteva intercettare le notifiche, nasconderle o addirittura approvarle automaticamente.
Altro aspetto procedurale degno di nota è la sanzione per mancata mediazione. Prima di andare in giudizio, il correntista aveva avviato la mediazione obbligatoria, ma la banca non si è presentata senza dare alcuna giustificazione. Il giudice ha, così, applicato l'art. 12 bis del d.lgs. 28/2010, condannando l'istituto a pagare 500 euro aggiuntivi. E attenzione, perché questa sanzione scatta anche indipendentemente dalla vittoria nel merito, proprio per punire il comportamento non collaborativo.
Ricapitolando, il Giudice di Pace di Empoli ha condannato la banca a restituire 2.700 euro, aggiunto interessi e rivalutazione e disposto il pagamento delle spese legali oltre all'appena citata sanzione per la mancata mediazione.
In conclusione, questa sentenza ci insegna che ogni correntista, se non autorizza un pagamento, non deve poi dimostrare la frode. Semmai, è la banca che deve provare che tutto è avvenuto correttamente. Inoltre, l'uso delle credenziali non prova il consenso del cliente e la sicurezza deve essere effettiva, non solo teorica. La colpa grave del cliente va dimostrata, non presunta.
La legge vigente tende a proteggere chi subisce frodi informatiche, riconoscendo che i rischi tecnologici fanno parte dell'attività bancaria e devono essere gestiti dagli istituti con sistemi adeguati. Per il cittadino, il messaggio finale è rassicurante ma anche pratico: in caso di operazioni sospette, è fondamentale agire subito e far valere i propri diritti.

Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica

e ricevi la tua risposta entro 5 giorni a soli 29,90 €

Nel caso si necessiti di allegare documentazione o altro materiale informativo relativo al quesito posto, basterà seguire le indicazioni che verranno fornite via email una volta effettuato il pagamento.