Bonifico fraudolento e malware: la responsabilità dell’istituto tra onere della prova e obblighi di vigilanza attiva.

La Sentenza n. 32/2026 del 19.03.2026 del Giudice di Pace di Empoli,  affronta il tema della responsabilità civile di un istituto di credito in seguito a un’operazione di bonifico fraudolento disconosciuta dal correntista. Il caso è emblematico poiché la frode è stata perpetrata tramite un sofisticato malware (trojan bancario) che ha consentito a terzi di assumere il controllo del dispositivo del cliente, aggirando i sistemi di autenticazione forte (SCA).

1. L’inversione dell’onere della prova e l’insufficienza della SCA.

 Il pilastro della decisione risiede nell’applicazione rigorosa dell’art. 10 del D.Lgs. n. 11/2010. Il Giudice di Pace ha statuito che spetta alla banca, e non al cliente, fornire la prova positiva che l’operazione sia stata autenticata correttamente e che non vi siano stati malfunzionamenti.

Un punto di particolare interesse è l’affermazione secondo cui la semplice implementazione della Strong Customer Authentication (SCA) non esonera l’istituto da responsabilità se il sistema si rivela inefficace nel prevenire le frodi. Nel caso di specie, il fatto che un malware abbia potuto “carpire” le credenziali è stato interpretato come prova dell’inadeguatezza del sistema di sicurezza della banca rispetto ai rischi attuali.

2. Il concetto di “colpa grave” nell’era del social engineering.

La banca ha tentato di invocare la colpa grave del ricorrente, sostenendo che l’installazione del malware fosse derivata dalla navigazione su siti di streaming illegali.

Il Giudice ha tuttavia respinto tale ricostruzione, definendo l’inganno subito dal cliente (un malware camuffato da aggiornamento di Google Chrome) come una “frode qualificata” basata su tecniche di social engineering. Per il Giudice di Empoli, il comportamento del cliente non integra colpa grave se questi agisce con la diligenza media di un utente non esperto di informatica, specialmente quando il malware è in grado di occultare o manipolare le notifiche di allerta inviate dall’istituto.

3. Gli “indicatori di anomalia” e gli obblighi di monitoraggio.

La sentenza pone l’accento sulla negligenza della banca nel monitoraggio delle operazioni. Il bonifico presentava molteplici “red flags” che avrebbero dovuto indurre il sistema a bloccare la transazione o richiedere verifiche supplementari:

• Orario inconsueto: operazione disposta in piena notte (ore 04:46).
• Beneficiario nuovo e IBAN estero: trasferimento verso un conto lituano mai utilizzato in precedenza.
• Importo rilevante: somma significativa per un correntista privato. La mancata attivazione di algoritmi di rilevamento di operazioni anomale è stata considerata una violazione degli obblighi di vigilanza imposti dalla normativa antiriciclaggio e dalle direttive UE sui trasferimenti di fondi.

4. Responsabilità per il trattamento dei dati (GDPR).

Un profilo della sentenza riguarda il richiamo agli artt. 32 e 82 del GDPR. Il Giudice ha ravvisato una responsabilità dell’istituto anche come titolare del trattamento dei dati personali, per non aver adottato misure tecniche e organizzative adeguate a prevenire l’accesso illecito di terzi alle credenziali bancarie del cliente.

5. Profili procedurali: la sanzione per mancata partecipazione alla mediazione.

Infine, merita attenzione la condanna della banca al pagamento di € 500,00 ai sensi dell’art. 12 bis del D.Lgs. 28/2010. Il Giudice ha chiarito che tale sanzione per la mancata partecipazione ingiustificata al procedimento di mediazione è dovuta a prescindere dall’esito del merito, avendo lo scopo di punire la condotta non collaborativa della parte.