Il panorama giurisprudenziale in materia di cybercrime e servizi di pagamento registra un’importante e costante evoluzione a tutela dei risparmiatori. Con la recentissima sentenza n. 3000 del 2026, il Tribunale di Milano si è allineato a quel rigoroso filone di merito che riconosce l’inadeguatezza dei sistemi informatici di protezione delle banche, sancendo il diritto del correntista all’integrale restituzione delle somme sottratte illegittimamente.
La pronuncia offre rilevanti spunti di riflessione per i professionisti del settore, delineando i confini della responsabilità oggettiva/contrattuale del prestatore dei servizi di pagamento (PSP) e i limiti della nozione di “colpa grave” dell’utente.
Il caso e l’insufficienza dei sistemi OTP / SMS Alert
Il giudizio trae origine da un classico caso di frode informatica evoluta (tecniche combinate di phishing e vishing o spoofing telefonico), in cui i cybercriminali sono riusciti a svuotare il conto corrente della vittima tramite bonifici non autorizzati.
La banca si era difesa in giudizio eccependo la colpa grave del cliente, reo di aver inserito i propri codici dispositivi a seguito di un link ingannevole, e sostenendo la piena efficacia del sistema di validazione basato su OTP (One Time Password).
Il Tribunale di Milano ha ribaltato tale impostazione, evidenziando come la mera generazione e l’inserimento dei codici di sicurezza non dimostrino, di per sé, l’impenetrabilità del sistema. Nella sentenza si legge chiaramente che:
“L’evoluzione delle tecniche di pirateria informatica rende oggi i presidi di sicurezza basati sul mero invio di sms o codici OTP non più idonei, da soli, a garantire l’identificazione certa del disponente e a escludere la vulnerabilità delle piattaforme di home banking.”
Il superamento della “colpa grave” del correntista
Uno dei punti cardine della sentenza n. 3000/2026 riguarda la ridefinizione della diligenza richiesta all’utente medio. I giudici meneghini hanno ricordato che, ai sensi del D.Lgs. 11/2010 (attuativo della direttiva PSD2), l’onere della prova grava interamente sull’istituto di credito.
Non basta dimostrare l’errore umano della vittima per configurare la colpa grave, qualora il raggiro sia ordito con modalità tali da indurre in errore anche un utente accorto. Sul punto, il Tribunale ha statuito:
“La condotta del correntista, tratto in inganno da una sofisticata alterazione dei canali di comunicazione dell’istituto (c.d. spoofing), non può essere qualificata come colpa grave, atteso che il sistema di protezione della banca non è stato in grado di intercettare e bloccare l’anomala transazione, né di segnalare l’intrusione di terzi nei sistemi di autenticazione.”
In altri termini, la giurisprudenza di merito sta progressivamente recependo il principio secondo cui il rischio professionale dell’attività d’impresa grava sulla banca. È l’istituto di credito, in qualità di operatore qualificato, a dover adottare algoritmi di intelligenza artificiale e sistemi di antifrode evoluti capaci di riconoscere pattern transazionali anomali (es. bonifici massivi verso l’estero o dispositivi sconosciuti).
Le conseguenze pratiche per la tutela dei clienti
La sentenza n. 3000/2026 del Tribunale di Milano rappresenta un’arma affilata per gli studi legali che si occupano di contenzioso bancario. I punti fermi fissati dal giudice di merito confermano che:
- Inversione dell’onere probatorio: Resta in capo alla banca la prova liberatoria di aver adottato ogni misura tecnica idonea a evitare la frode, secondo il parametro dell’ “accorto banchiere”.
- Inadeguatezza tecnologica: Le informative antifrode o i vademecum standard inviati ai clienti non sollevano la banca dalle proprie responsabilità se i sistemi informatici non sono costantemente aggiornati contro le nuove minacce.
- Diritto al rimborso: In assenza di dolo o colpa grave macroscopica del cliente, la banca è tenuta alla restituzione immediata delle somme sottratte, oltre al pagamento degli interessi legali e delle spese di lite.
“La responsabilità del prestatore di servizi di pagamento ha natura contrattuale e risponde al criterio della diligenza professionale ex art. 1176, comma 2, c.c., la quale impone l’adozione di presidi biometrici e comportamentali avanzati, la cui carenza comporta l’obbligo di integrale ripristino della provvista del conto corrente violato.”
Conclusioni
Questo orientamento, consolidato dal Tribunale di Milano, lancia un messaggio chiaro al settore del credito: la sicurezza informatica non può essere scaricata sull’anello debole della catena, ovvero il consumatore. Per gli avvocati che assistono i correntisti vittime di truffe, si aprono spazi di tutela sempre più ampi e sicuri in sede giudiziale.
No comments
Comments are closed.