Operazioni non autorizzate e responsabilita' della banca

Pubblicazione legale:

Giudice di Pace di Empoli. Sent. 32/2026

In un panorama giuridico in costante evoluzione, la recente sentenza del Giudice di Pace di Empoli n. 32 del 18 marzo 2026 si inserisce nel solco della giurisprudenza consolidata in materia di responsabilità degli istituti di credito per operazioni di pagamento non autorizzate, introducendo tuttavia un elemento di notevole innovazione che alza l'asticella della diligenza richiesta ai prestatori di servizi di pagamento (PSP).

Il Quadro Normativo e Giurisprudenziale Consolidato

La disciplina della responsabilità in caso di frodi informatiche (come phishing, smishing o, come nel caso di specie, infezioni da malware) è primariamente delineata dal D.Lgs. n. 11/2010, che attua la direttiva europea sui servizi di pagamento (PSD). La normativa e la giurisprudenza, sia di merito che di legittimità, hanno stabilito alcuni principi cardine che  si possono  così  schematicamente  sintetizzare:

1. Inversione dell'Onere della Prova: In caso di operazione disconosciuta dal cliente, l'art. 10 del D.Lgs. 11/2010 pone in capo alla banca l'onere di dimostrare che la transazione è stata autenticata, correttamente registrata e non viziata da malfunzionamenti tecnici. Non è il cliente a dover provare di non aver autorizzato l'operazione, ma l'intermediario a doverne provare la genuinità.

2. Rischio d'Impresa: La possibilità di un'utilizzazione fraudolenta dei codici di accesso da parte di terzi è ricondotta nell'area del rischio professionale del prestatore di servizi di pagamento. Tale rischio è considerato prevedibile ed evitabile con l'adozione di misure di sicurezza adeguate. La responsabilità della banca ha natura contrattuale e la diligenza richiesta è quella tecnica e qualificata dell' "accorto banchiere" (art. 1176, co. 2, c.c.).

3. Limiti alla Responsabilità della Banca: L'istituto di credito può essere esonerato da responsabilità solo fornendo la prova che l'operazione non autorizzata sia riconducibile a un comportamento fraudolento (dolo) o gravemente colposo del cliente [Cass. Civ., Sez. 3, N. 3780 del 12-02-2024]. La mera allegazione di una condotta negligente non è sufficiente; la colpa deve essere "grave", ossia una macroscopica e inescusabile violazione delle regole di ordinaria prudenza [Tribunale Di Palermo, Sentenza n.4475 del 18 Settembre 2024].

4. Insufficienza della "Strong Customer Authentication" (SCA): La giurisprudenza ha chiarito che l'utilizzo di un sistema di autenticazione forte (es. codice OTP) non è, di per sé, sufficiente a dimostrare né l'autorizzazione del cliente né la sua colpa grave, specialmente a fronte di tecniche di frode sempre più sofisticate che mirano proprio ad aggirare tali presidi [Tribunale di Milano, Sentenza n.1951 del 22 febbraio 2024].

La sentenza in commento, pur muovendosi nel solco di questi principi consolidati, introduce un profilo di valutazione della diligenza della banca decisamente più moderno e specifico. Il Giudice, dopo aver ribadito l'onere probatorio a carico dell'istituto di credito, non si è fermato alla mera verifica dell'adozione di un sistema SCA, ma ha indagato sulla capacità della banca di prevenire e intercettare le anomalie in tempo reale.

Più nello specifico,  nella  sentenza  si  rileva    che  “la Banca non ha fornito alcuna prova documentale dell'esistenza di sistemi automatizzati di rilevamento delle operazioni anomale, quali algoritmi di intelligenza artificiale o machine learning capaci di identificare transazioni sospette in base ai comportamenti abituali del cliente”

Il Giudice ha poi individuato una serie di "red flags" (campanelli d'allarme) che un sistema di sicurezza evoluto avrebbe dovuto rilevare e che, nel caso di specie, rendevano l'operazione palesemente sospetta (Orario inconsueto: il bonifico è stato disposto alle 04:46 del mattino; nuovo beneficiario: il destinatario non era mai apparso nelle operazioni precedenti del correntista; IBAN estero: il conto di destinazione era situato in Lituania, elemento che avrebbe dovuto attivare controlli rafforzati anche ai sensi della normativa antiriciclaggio; importo rilevante: la somma di 2.700,00 euro è stata ritenuta significativa per un correntista privato), concludendo che "Qualsiasi banca dotata di sistemi di sicurezza adeguati avrebbe bloccato automaticamente questa operazione, richiedendo una verifica aggiuntiva al cliente prima di procedere all'esecuzione".

La Novità rispetto alla Giurisprudenza Precedente

Se in passato la giurisprudenza si era già soffermata sull'obbligo della banca di monitorare le operazioni anomale (ad esempio, accessi da indirizzi IP insoliti [Tribunale Ordinario Milano, sez. 6, sentenza n. 7644/2018] o operazioni non in linea con la normale operatività del cliente [Tribunale di Civitavecchia, Sentenza n.958 del 20 giugno 2024]), la sentenza di Empoli compie un salto qualitativo. Per la prima volta in modo così esplicito, un Giudice non solo postula la necessità di un monitoraggio, ma indica la tecnologia specifica che si aspetta venga implementata: algoritmi di Intelligenza Artificiale e Machine Learning.

Questa pronuncia, quindi, aggiorna il parametro della diligenza dell' "accorto banchiere" all'era digitale del 2026. Non è più sufficiente per la banca dotarsi di sistemi di autenticazione "statici" come la SCA; è necessario implementare sistemi di monitoraggio "dinamici" e intelligenti, capaci di analizzare il comportamento transazionale del cliente e di reagire in tempo reale a scostamenti significativi che possano indicare una frode in atto.