Con la sentenza in commento, il Tribunale di Santa Maria Capua Vetere affronta la tematica del bilanciamento della posizione del prestatore dei servizi di pagamento (PSP) e dell’utilizzatore dei servizi bancari informatici in caso di truffa informatica.
Nel caso di specie, il Tribunale, dopo aver vagliato il panorama giurisprudenziale formatosi in materia di frodi informatiche, ha respinto la domanda del cliente/utilizzatore della piattaforma home banking, il quale lamentava un ammanco di €.19.000,00 dal proprio conto a seguito di bonifico europeo dallo stesso disconosciuto, ritenendo assolto l’onere probatorio gravante sulla Banca convenuta.
In fatto e diritto l’attore evidenziava che nell’ambito dei prestatori di servizi di pagamento, le banche che forniscono gli strumenti di home banking, disponendo dei dati sensibili dei clienti, sono assoggettate alla norma di cui al d.lgs. 196/2003 e che ai sensi dell’art. 15 chiunque cagioni un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c. ove ai sensi dell’art. 31, del citato decreto i dati personali oggetto di trattamento non siano custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Secondo l’utilizzatore, la banca avrebbe dovuto garantire uno standard di sicurezza adeguato nell’effettuazione dei pagamenti al fine di precludere l’accesso a soggetti non abilitati al sistema, adoperando la diligenza richiesta ai sensi dell’art. 1176, co. 2, c.c. valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’”accorto banchiere”.
Costituitosi in giudizio, l’intermediario contestava che l’operazione disconosciuta da controparte fosse avvenuta per un “malfunzionamento dei sistemi di sicurezza” e che il cliente non avesse assunto una condotta diligente e prudente.
Il cliente era, infatti, in possesso di dispositivo token associato al proprio numero di cellulare su cui ricevette un messaggio phishing, a seguito del quale comunicò al truffatore le proprie credenziali statiche (codice utente e pin) e dinamiche (OTP-OTS).
Dall’esame dei Log relativi all’utenza del cliente – prodotti in giudizio – veniva evidenziato come l’operazione in contestazione fosse stata correttamente validata mediante l’inserimento del codice utente e del Pin generato dall’APP istallata sul dispositivo dell’attore, notificato tramite push.
L’OTP, generata dall’APP previo inserimento del PIN, autorizzò l’accesso, comunicato tramite notifica push.
In seguito, venne eseguito il bonifico contestato sottoposto ad ulteriori codici di sicurezza OTS, inviati tramite SMS al numero di telefono certificato del cliente ed OTP virtuale, che il cliente comunicò al truffatore. L’esecuzione del bonifico venne poi comunicata al cliente tramite push.
Il cliente, dunque, sarebbe venuto meno agli obblighi (contrattuali) di diligente e prudente custodia dei codici segreti in suo possesso, fornendo ingenuamente a terzi le credenziali personali necessarie ad accedere al servizio di Banca online. Di qui la riconducibilità del bonifico alla volontà del cliente, perché autorizzata previa l’incauta consegna a terzi delle credenziali di accesso e di utilizzo del servizio.
La documentazione versata in atti, corredata dai passaggi che hanno condotto all’operazione di bonifico, ha consentito al Giudicante di ritenere esente da responsabilità la condotta dell’intermediario.
Ed invero, nei casi di frode informatica, spetta all’intermediario l’onere di dimostrare l’adozione di tutte le misure di sicurezza idonee a prevenire l’accesso di terzi ai sistemi home banking degli utilizzatori oltre alla prova del dolo o della colpa grave del cliente.
Più nello specifico, l’art. 10, comma 1, del D.Lgs. 11/2010 dispone che qualora l’utente dei servizi di pagamento (cliente) neghi di aver autorizzato un’operazione di pagamento, è onere del prestatore di servizi provare che l’avvenuta operazione di pagamento: è stata autenticata; è stata correttamente registrata e contabilizzata; e che non ha subito il malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti. Tale prova – prosegue il 2° comma – non è tuttavia sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi sul medesimo gravanti di cui all’art. 7, essendo onere dell’intermediario fornire la prova della frode, del dolo o della colpa grave in capo all’utente.
Solo in caso di mancato assolvimento dell’onere probatorio, l’intermediario è tenuto a riaccreditare immediatamente e, in ogni caso, al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell’operazione o riceve una comunicazione in merito, l’importo sottratto sul conto corrente del cliente, secondo quanto previsto dall’art. 11 del D. Lgs. 11/2010.
Il Tribunale ha dunque ritenuto assolto, da parte della banca, l’onere probatorio circa l’autenticazione dell’operazione.
Tuttavia, in capo all’intermediario incombe l’ulteriore onere di dimostrare che l’utilizzatore abbia violato i doveri di cui all’art. 7 D.lgs. 11/2010 con dolo o colpa grave.
La banca deve pertanto fornire la prova della riconducibilità dell’operazione al cliente. Questa regola, dettata per i casi anteriori, è stata confermata dal D.Lgs. n. 11 del 2010, secondo cui l’onere di dimostrare che l’operazione, posta in essere illecitamente dal terzo, è stata comunque effettuata correttamente e che non v’è stata anomalia che abbia consentito la fraudolenta operazione, grava, per l’appunto sulla banca.
In sostanza, da un lato, grava sulla banca l’onere di diligenza di impedire prelievi abusivi, ma il cliente subisce le conseguenze della perdita se, per colpa grave, ha dato adito o ha aggravato il prelievo illegittimo (Cass., n. 9721/2020).
Tale prova può essere fornita anche per mezzo di presunzioni, purché queste, com’è noto, siano gravi, precise e concordanti secondo quanto dispone l’art. 2729 c.c.
Nel caso di specie, gli elementi complessivamente acquisiti al giudizio hanno consentito di ritenere sussistente, con un grado di certezza che supera comunque il grado di presunzione sufficiente, la colpa grave dell’utilizzatore, segnatamente per aver agevolato con colpa grave l’ignoto truffatore autorizzando operazioni attraverso l’inserimento di PIN e codici OTP attraverso i canali operatività dell’home banking in suo possesso.
La domanda del cliente, pertanto, è stata respinta.
10.04.2026
