Il caso
Una notte di maggio 2023, un correntista di una Banca, mentre dormiva, si é ritrovato svuotato il conto di 2.700 euro. Il denaro è partito alle 04:46 verso un conto lituano intestato a una persona completamente sconosciuta, mai utilizzata prima come destinataria di pagamenti.
Come è potuto succedere" Nei giorni precedenti, il correntista aveva inconsapevolmente installato sul proprio smartphone un trojan bancario - un malware camuffato da aggiornamento di Google Chrome, una delle applicazioni più comuni e attendibili al mondo. Una volta installatosi, il programma malevolo aveva assunto il pieno controllo del dispositivo, carpito le credenziali di accesso all'home banking e disposto il bonifico in autonomia, senza che il titolare del conto se ne accorgesse.
Il correntista ha fatto ricorso al Giudice di Pace di Empoli (vedi sentenza n. 32/2026 sotto allegata) chiedendo la restituzione della somma. La Banca si è difesa scaricando ogni responsabilità sul proprio cliente. Il Giudice ha condannato la Banca a rimborsare i 2.700 euro, a pagare le spese legali (1.500 euro) e persino una sanzione aggiuntiva di 500 euro per non essersi presentata alla mediazione obbligatoria.
L'onere della prova
Il punto di partenza della sentenza è una norma: l'art. 10 del D.Lgs. n. 11/2010, che recepisce la Direttiva europea sui servizi di pagamento (PSD2).
La regola è chiara: quando un cliente nega di aver autorizzato un pagamento, è la banca - non il cliente - a dover dimostrare che l'operazione è stata regolarmente autorizzata, che il sistema funzionava correttamente e che non vi sono stati malfunzionamenti.
La banca aveva depositato i cosiddetti "log informatici" (i registri tecnici dell'operazione) e gli SMS di notifica inviati al cliente, sostenendo che questi documenti dimostrassero l'autenticazione del pagamento. Il Giudice ha risposto che quei documenti provano soltanto che l'operazione è stata eseguita utilizzando le credenziali del correntista - il che è esattamente ciò che accade in ogni frode informatica basata su malware, dove il truffatore usa le credenziali rubate per simulare un'operazione legittima. Dimostrare che le credenziali sono state usate non equivale a dimostrare che il titolare le abbia usate consapevolmente.
Il sistema di sicurezza della banca non era adeguato
La banca aveva anche sostenuto di avere implementato un sistema di autenticazione forte (la cosiddetta SCA - Strong Customer Authentication), come imposto dalla normativa europea. Ma il Giudice di Empoli ha indicato in sentenza che la banca aveva ammesso che il truffatore aveva "assunto il controllo del device" e "carpito le credenziali". Se il sistema di sicurezza è stato aggirato, vuol dire che non era abbastanza sicuro.
Ma c'è di più. L'operazione fraudolenta aveva tutte le caratteristiche di un'operazione sospetta che avrebbe dovuto far scattare un allarme automatico:
• L'orario: le 04:46 di notte, un momento in cui nessun correntista in buona fede dispone normalmente un bonifico.
• Il beneficiario: mai utilizzato in precedenza dal titolare del conto.
• La destinazione: un conto estero (Lituania), che avrebbe dovuto imporre controlli rafforzati ai sensi della normativa antiriciclaggio.
• L'importo: 2.700 euro, una somma significativa per un privato cittadino.
Una banca dotata di sistemi di monitoraggio adeguati - come oggi richiesto dagli standard tecnici europei, che impongono algoritmi in grado di rilevare comportamenti anomali rispetto alle abitudini del cliente - avrebbe dovuto bloccare automaticamente quell'operazione e richiedere una verifica aggiuntiva. BNL non lo ha fatto, e questo è stato un ulteriore elemento di responsabilità a suo carico.
Il correntista non ha avuto colpa grave
La banca aveva tentato di sostenere che il correntista avesse agito con colpa grave: avrebbe visitato un "sito di streaming illegale", avrebbe "consentito" l'installazione del malware e avrebbe ignorato le notifiche di allerta.
Il Giudice di Pace di Empoli ha, invece, indicato, in ordine al sito illegale, che si trattasse d una semplice supposizione della banca, mai dimostrata.
Inoltre, il nesso causale tra la navigazione e il download del malware non è stato provato: i trojan bancari possono arrivare attraverso email, messaggi WhatsApp, pubblicità online o app apparentemente legittime.
In ordine al "consenso" all'installazione del malware, il Giudice ha indicato in sentenza che il correntista era stato vittima di una sofisticata tecnica di inganno (social engineering) progettata appositamente per eludere la vigilanza dell'utente comune. Non si tratta di negligenza: si tratta di frode qualificata. Tanto è vero che, non appena il correntista aveva notato comportamenti anomali del telefono (l'icona di Chrome diversa dal solito, richieste di autorizzazione sospette, impossibilità di disinstallare l'app), aveva immediatamente cercato di rimuovere il programma.
Le notifiche notturne ignorate" Erano state inviate tra le 03:30 e le 05:02. Pretendere che un cittadino comune monitori il proprio smartphone nel cuore della notte è, come scrive il Giudice, "una richiesta assurda e contraria al senso comune". Oltretutto, il malware aveva il controllo del dispositivo e avrebbe potuto intercettare o nascondere quelle stesse notifiche.
La banca condannata anche per non aver partecipato alla mediazione senza giustificato motivo
C'è un ulteriore aspetto della sentenza che merita attenzione.
Prima di adire il Giudice di Pace, il correntista aveva correttamente attivato la procedura di mediazione obbligatoria prevista dalla legge.
La Banca non si è presentata, senza fornire alcuna giustificazione.
Il correntista ha richiesto sin dall'atto introduttivo del gudizio, la condanna della Banca al pagamento, ai sensi dell'art. 12 bis D.lgs. 28/2010, in suo favore, di una somma equitativamente determinata in misura non superiore nel massimo alle spese del giudizio maturate dopo la conclusione del procedimento di mediazione;
La Banca aveva sostenuto che la relativa sanzione potesse scattare solo in caso di soccombenza nel merito.
Ne è conseguita la condanna al pagamento di ulteriori 500,00 euro a carico della banca, determinata equitativamente dal Giudice.
Avv. Francesco Giordano
Studio Legale Lexopera
Firenze - Milano
info@lexopera.it
www.lexopera.it
Scarica pdf Sentenza 32/2026 del 19.03.2026 del Giudice di pace di Empoli• Foto: 123rf.com
Servitù di passaggio
Muro al confine: le regole del codice civile
Divorzio breve
Separazione e divorzio: il reclamo in corte d'appello
Il consorzio: la disciplina del codice civile
Servitù di veduta
Interruzione della prescrizione
Interversione del possesso: cos'è