Il caso: un bonifico notturno verso la Lituania
Una notte di maggio 2023, un correntista si è ritrovato svuotato il conto di 2.700 euro. Il denaro è partito alle 04:46 verso un conto lituano intestato a una persona completamente sconosciuta, mai utilizzata prima come destinataria di pagamenti. Nei giorni precedenti, il correntista aveva inconsapevolmente installato sul proprio smartphone un trojan bancario — un malware camuffato da aggiornamento di Google Chrome — che aveva assunto il pieno controllo del dispositivo, carpito le credenziali di accesso all’home banking e disposto il bonifico in autonomia. Il Giudice di Pace di Empoli, con la sentenza n. 32/2026 del 19 marzo 2026, ha condannato la banca a rimborsare integralmente il correntista.
L’onere della prova: art. 10 del D.Lgs. n. 11/2010
Il punto di partenza della sentenza è l’art. 10 del D.Lgs. n. 11/2010, che recepisce la Direttiva europea sui servizi di pagamento (PSD2). La regola è chiara: quando un cliente nega di aver autorizzato un pagamento, è la banca — non il cliente — a dover dimostrare che l’operazione è stata regolarmente autorizzata, che il sistema funzionava correttamente e che non vi sono stati malfunzionamenti. I log informatici e gli SMS di notifica prodotti dalla banca provano soltanto che le credenziali sono state usate, non che il titolare le abbia usate consapevolmente: esattamente ciò che accade in ogni frode basata su malware.
Il sistema di sicurezza della banca era inadeguato
L’operazione fraudolenta presentava tutte le caratteristiche di un’operazione sospetta che avrebbe dovuto far scattare un allarme automatico: l’orario (04:46 di notte), il beneficiario mai utilizzato in precedenza, la destinazione estera (Lituania) che avrebbe imposto controlli rafforzati ai sensi della normativa antiriciclaggio, e l’importo significativo (2.700 euro). Una banca dotata di sistemi di monitoraggio adeguati — come richiesto dagli standard tecnici europei che impongono algoritmi in grado di rilevare comportamenti anomali — avrebbe dovuto bloccare automaticamente l’operazione. La mancata attivazione di tali sistemi ha costituito un ulteriore elemento di responsabilità a carico dell’istituto. Analogamente, le pubblicazioni ufficiali delle normative EBA in materia di sicurezza dei pagamenti impongono standard precisi che le banche sono tenute a rispettare.
Nessuna colpa grave del correntista
La banca aveva tentato di sostenere che il correntista avesse agito con colpa grave, visitando un sito di streaming illegale e consentendo l’installazione del malware. Il Giudice ha respinto tale difesa: il sito illegale era una semplice supposizione mai dimostrata; il correntista era stato vittima di una sofisticata tecnica di social engineering progettata per eludere la vigilanza dell’utente comune; le notifiche notturne ignorate (inviate tra le 03:30 e le 05:02) non configurano colpa grave, poiché pretendere che un cittadino monitori il proprio smartphone nel cuore della notte è, come scrive il Giudice, “una richiesta assurda e contraria al senso comune”.
La condanna aggiuntiva per mancata mediazione
La banca non si era presentata alla mediazione obbligatoria senza fornire alcuna giustificazione. Il Giudice ha applicato l’art. 12-bis del D.Lgs. n. 28/2010, condannando l’istituto al pagamento di ulteriori 500 euro. Il totale della condanna ammonta dunque a 2.700 euro (rimborso del bonifico) + 1.500 euro (spese legali) + 500 euro (sanzione per mancata mediazione).