Con sentenza n. 32/2026 del 19.03.2026 il Giudice di Pace di Empoli ha affrontato il tema della responsabilità civile di un istituto di credito in seguito a un’operazione di bonifico fraudolento disconosciuta dal correntista.
Il caso è particolare perché si è trattato di una frode perpetrata in orario notturno, tramite un sofisticato malware (trojan bancario) che ha consentito a terzi di assumere il controllo del dispositivo del correntista, aggirando i sistemi di autenticazione forte (SCA).
Il punto focale della decisione risiede nell’applicazione rigorosa dell’art. 10 del D.Lgs. n. 11/2010 (attuazione della direttiva PSD sui servizi di pagamento) da parte del Giudice di Pace, il quale ha quindi stabilito che non spetta al cliente ma alla banca dare prova positiva che l’operazione sia stata autenticata correttamente e che non vi sia stato alcun malfunzionamento. Il Giudice ha affermato nello specifico, che il semplice potenziamento della Strong Customer Authentication (autenticazione forte del cliente) non esonera l’istituto da responsabilità se il sistema si rivela inefficace nel prevenire le frodi.
Nel caso all’esame del giudicante, il fatto che un malware abbia potuto “carpire” le credenziali è stato interpretato come la prova chiara dell’inadeguatezza del sistema di sicurezza della banca rispetto agli eventuali rischi attuali.
La banca ha depositato i cosiddetti “log informatici” (i registri tecnici dell’operazione) e gli SMS di notifica inviati al cliente, sostenendo che questi documenti dimostrassero l’autenticazione del pagamento.
Il Giudice ha però ritenuto che quei documenti siano idonei solo a provare che l’operazione è stata eseguita utilizzando le credenziali del correntista – il che è esattamente ciò che accade in ogni frode informatica basata su malware, dove il truffatore usa le credenziali rubate per simulare un’operazione legittima.
Dimostrare che le credenziali sono state usate non equivale a dimostrare che il titolare le abbia usate consapevolmente.
La banca ha ovviamente tentato anche di invocare la colpa grave del ricorrente ed ha sostenuto che il malware si fosse installato a causa della navigazione su siti di streaming illegali effettuata dal cliente.
Il Giudice ha però respinto tale ricostruzione dei fatti definendo l’inganno subito dal cliente (un malware camuffato da aggiornamento di Google Chrome) come una “frode qualificata” basata su tecniche di “social engineering”.
Quindi per il Giudicante, il comportamento del cliente non ha integrato una colpa grave, avendo questi agito con la diligenza media di un utente che non è un esperto di informatica, specialmente quando il malware è in grado di occultare o manipolare le notifiche di allerta inviate dall’istituto.
Il Giudice ha posto attenzione sulla negligenza della banca nel monitorare le operazioni. Il bonifico presentava infatti molteplici “red flags” (segnali di allarme) che avrebbero dovuto indurre il sistema a bloccare la transazione o comunque a richiedere verifiche supplementari.
Intanto in primis, l’orario inconsueto: l’operazione infatti è stata disposta in piena notte (ore 04:46). Il beneficiario era nuovo e iban di accredito era un conto lituano mai utilizzato in precedenza dal correntista. Infine, un importo rilevante, ossia una somma significativa per un correntista privato.
La mancata attivazione di algoritmi di rilevamento di operazioni anomale è stata quindi considerata una violazione degli obblighi di vigilanza imposti dalla normativa antiriciclaggio e dalle direttive UE sui trasferimenti di fondi.
Infine, un profilo della sentenza riguarda anche il richiamo agli artt. 32 e 82 del GDPR. Il Giudice ha ravvisato una responsabilità dell’istituto anche come titolare del trattamento dei dati personali, per non aver adottato misure tecniche e organizzative adeguate a prevenire l’accesso illecito di terzi alle credenziali bancarie del cliente.
In conseguenza di tutto ciò, il Giudice ha condannato la banca alla restituzione delle somme carpite al correntista, oltre al pagamento di € 500,00 ai sensi dell’art. 12 bis del D.Lgs. 28/2010. Prima di adire il Giudice di Pace, il correntista aveva correttamente attivato la procedura di mediazione obbligatoria prevista dalla legge. La Banca non si è presentata, senza fornire alcuna giustificazione. Il Giudice ha chiarito che tale sanzione per la mancata partecipazione ingiustificata al procedimento di mediazione è dovuta a prescindere dall’esito del merito, avendo lo scopo di punire la condotta non collaborativa della parte. Ne è appunto conseguita la condanna al pagamento di ulteriori 500,00 euro a carico della banca, determinata equitativamente dal Giudice.
Giulia Barsotti
legale, esperta diritto bancario, di famiglia e contrattualistico, collaboratrice Aduc
