Nell’ambito della prestazione dei servizi di pagamento, il consenso del pagatore deve essere distinto dall’ordine di pagamento, il quale ultimo normalmente lo presuppone, costituendone la manifestazione procedimentalizzata e autenticata tramite le moderne procedure informatiche.
Tribunale di Milano – Sesta Sezione civile, Dott.ssa Laura Massari, Sentenza n. 7466 del 7 ottobre 2025.
Infatti, l’ordine di pagamento è l’istruzione formale data dall’utente al proprio prestatore di servizi di pagamento, con cui viene chiesta l’esecuzione dell’operazione.
L’art. 5 comma 2 D. Lgs. 11/2010 recepisce la distinzione fra i due concetti, istituendo una procedimentalizzazione della manifestazione del consenso del pagatore, prevedendo che “il consenso ad eseguire un’operazione di pagamento o una serie di operazioni di pagamento è prestato nella forma e secondo la procedura concordata nel contratto quadro o nel contratto relativo a singole operazioni di pagamento”, tenendo conto di tale caratteristica in sede di allocazione dei rischi derivanti, fra le altre, dalle condotte fraudolente di terzi che simulano un consenso del pagatore.
Viene, sì, poi individuata una responsabilità aggravata del prestatore di servizi di pagamento (PSP) nel caso in cui dia seguito ad una operazione non autorizzata ma, come contraltare di tale disciplina impositiva per i PSP, sono stati introdotti obblighi di diligenza in capo agli utenti di tali servizi per quanto attiene alla propria sfera di influenza. Infatti, questi devono custodire le credenziali di sicurezza personalizzate per accedere ai propri conti di pagamento ed impartire quegli ordini di pagamento che siano la manifestazione procedimentalizzata al PSP della propria volontà di dar corso ad una operazione di pagamento.
In tale contesto, dunque, il PSP, chiamato a rispondere per aver eseguito ordini di pagamento, poi, disconosciuti dal cliente, è onerato di dimostrare che l’operazione contestata sia stata correttamente autenticata e, dunque, sia espressione di consenso del pagatore secondo quanto indicato dall’art. 5 comma 2 D. Lgs. 11/2010.
Con la pronuncia in commento, il Tribunale ha ritenuto che l’Istituto di credito avesse dato prova di aver adottato un’autenticazione forte per la comunicazione degli ordini di pagamento con il cliente, in particolare, tramite la produzione in giudizio dei file di log.
Questi ultimi sono quei file, in formato di testo, nei quali vengono indicate le operazioni compiute da un utente durante una sessione di lavoro del proprio dispositivo elettronico, quali, ad esempio, un personal computer, uno smartphone o un tablet. Richiamando l’orientamento giurisprudenziale di legittimità sul punto, il Giudice ha rilevato che “Si tratta di vere e proprie “impronte digitali 2.0”, particolarmente importanti in sede investigativa in quanto consentono di individuare molteplici profili relativi all’utilizzo dell’apparecchio, tra cui: a) gli orari e la durata della connessione ad Internet, con il relativo l’indirizzo IP (codice univoco che identifica un dispositivo su Internet o in una rete locale); b) le informazioni che questi ha inviato o ricevuto attraverso lo stesso indirizzo; c) l’anagrafica dell’intestatario di un contratto di utenza. I file di log, inoltre, interessano le intercettazioni effettuate con captatore informatico (come nella vicenda in esame), fornendo tutte le informazioni relative al momento, preciso, della programmazione della captazione, della sua effettuazione e dell’ascolto, o della “smarcatura”, dell’intercettazione così effettuata” (cfr Cass. penale n.18464 del 2025).
In considerazione, dunque, delle evidenze di cui ai file di log, il Giudice ha respinto le domande avanzate dal cliente nei confronti dell’istituto di credito, ritenendo che quest’ultimo avesse adottato il sistema di autenticazione forte per le comunicazioni degli ordini di pagamento con il cliente e con tale modalità erano stati impartiti anche gli ordini di pagamento disconosciuti, ai quali il PSP aveva dato esecuzione proprio perché correttamente autenticati, ancorché disposti contro la volontà consapevole del cliente.
10.04.2026
