Nota a Trib. Bologna, 23 marzo 2026, n. 2540.
di Mario Pio Contessa
AvvocatoAbstract
La sentenza del Tribunale di Bologna in commento affronta il tema della responsabilità del prestatore di servizi di pagamento per un’operazione fraudolenta disconosciuta dall’utente, eseguita all’esito di una complessa aggressione informatica nota come vishing.
Il decisum si articola attorno alla valutazione di inadeguatezza del sistema di allerta predisposto.
Il Tribunale opera, infatti, una distinzione cruciale tra il messaggio SMS, generico e compatibile con la narrazione del truffatore, e il messaggio e-mail, ben più dettagliato ed efficace, inviato contestualmente.
Scegliendo di veicolare l’avviso meno perspicuo sul canale di comunicazione più immediato (SMS), la banca non avrebbe assolto pienamente il proprio onere di porre il cliente nelle condizioni concrete di comprendere la frode in atto e di reagire tempestivamente, vedendosi così addossato il rischio d’impresa per la perdita subita dal correntista.
1. Premessa.
La crescente digitalizzazione dei servizi bancari, se da un lato ha introdotto innegabili vantaggi in termini di efficienza, dall’altro ha esposto gli utenti a rischi sempre più sofisticati, alimentando un contenzioso seriale in materia di frodi informatiche. Tecniche come il phishing, lo smishing e, come nel caso di specie, il vishing (o voice phishing), mettono a dura prova non solo la diligenza del singolo cliente, ma anche l’adeguatezza dei presìdi di sicurezza implementati dagli intermediari finanziari. In questo scenario, la pronuncia n. 2540/2026 del Tribunale di Bologna offre un contributo di notevole interesse, intervenendo sulla delicata questione della ripartizione del rischio e dell’onere probatorio tra prestatore di servizi e utilizzatore. La decisione si segnala per l’acribia con cui scompone il contenuto informativo degli alert di sicurezza, spingendo la valutazione oltre il mero dato tecnico dell’autenticazione per approdare a un giudizio sull’effettiva intelligibilità e idoneità del sistema di allarme a prevenire il danno.
2. I fatti di causa rilevanti.
La vicenda trae origine da una complessa operazione fraudolenta perpetrata in danno di due correntisti, cointestatari di un rapporto di conto corrente gestito tramite applicazione su smartphone. In data 29 febbraio 2024, uno dei cointestatari riceveva una chiamata telefonica proveniente da un numero che appariva sul display come quello ufficiale dell’istituto di credito. Un sedicente operatore della banca lo informava di un presunto tentativo di bonifico non autorizzato verso un conto estero, invitandolo a contattare con urgenza un fantomatico “Ufficio Anti-Frode” a un numero dedicato.
Contattato tale recapito, l’utente veniva dapprima accolto da una voce elettronica che gli richiedeva di inserire le credenziali di accesso al conto e, successivamente, da un operatore in carne e ossa. Quest’ultimo, con il pretesto di dover implementare operazioni dissimulatorie per bloccare la frode, lo invitava a impostare una deviazione di chiamata dal proprio numero di cellulare verso un nuovo recapito telefonico. Sebbene l’utente inizialmente avesse rifiutato, veniva ricontattato poco dopo dal medesimo numero apparentemente riconducibile alla banca e, questa volta, acconsentiva ad autorizzare la deviazione.
Immediatamente dopo aver eseguito tale operazione, i correntisti perdevano la possibilità di accedere al proprio conto tramite l’applicazione. Il giorno seguente, a seguito di una segnalazione dell’istituto, appuravano che dal loro conto erano stati effettivamente disposti due bonifici, per un importo complessivo di € 17.000,00, verso un conto straniero[1] .
3. La quaestio iuris devoluta al Tribunale.
La controversia sottoposta al vaglio del Tribunale di Bologna verte sulla delimitazione della responsabilità dell’intermediario finanziario in caso di operazioni di pagamento non autorizzate, eseguite mediante strumenti elettronici. Il nucleo della questione non risiede nella mera constatazione della frode subita dai clienti, quanto piuttosto nella definizione del perimetro dell’onere probatorio liberatorio che grava sul prestatore di servizi di pagamento.
L’istituto di credito convenuto, infatti, fondava le proprie difese sulla prova, desunta dai file di log, della corretta esecuzione tecnica delle operazioni, inclusa la modifica del recapito telefonico associato al conto, avvenuta nel rispetto dei protocolli di autenticazione forte del cliente (SCA). Il quesito devoluto al giudice, pertanto, attiene alla possibilità per il prestatore di servizi di liberarsi dalla propria responsabilità dimostrando la sola regolarità formale e tecnica dell’autenticazione, o se la sua diligenza debba estendersi sino a ricomprendere l’adozione di un sistema di allerta che sia, nel caso concreto, non solo tempestivo ma anche sostanzialmente efficace e intelligibile, tale da mettere l’utente nelle condizioni di percepire il meccanismo decettivo e di adottare le necessarie contromisure.
4. Il quadro normativo richiamato in sentenza.
Il Tribunale inquadra la fattispecie nell’ambito della disciplina speciale dettata dal D.lgs. 27 gennaio 2010, n. 11, come modificato dal D.lgs. 15 dicembre 2017, n. 218, che attribuisce ai prestatori di servizi di pagamento i rischi derivanti da operazioni non autorizzate. La decisione evoca, in particolare, quattro disposizioni cardine.
Anzitutto, l’art. 7, che delinea gli obblighi a carico dell’utente, tra cui quello di utilizzare lo strumento di pagamento in conformità al contratto, di comunicare senza indugio l’uso non autorizzato e di adottare «tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate»[2].
In secondo luogo, viene richiamato l’art. 8, che impone al prestatore di servizi l’obbligo di assicurare che le credenziali di sicurezza non siano accessibili a soggetti diversi dall’utente abilitato.
Centrale nell’argomentazione del giudice è poi l’art. 10, che regola la ripartizione dell’onere della prova. In caso di operazione disconosciuta, spetta all’intermediario dimostrare «che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subìto le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti»[3].
Infine, la decisione menziona l’art. 11, che disciplina gli obblighi di rimborso in capo all’intermediario qualora un’operazione non sia stata autorizzata dal cliente.
5. L’onere probatorio dell’intermediario nelle operazioni di pagamento non autorizzate.
La decisione del Tribunale di Bologna si muove nel solco di una linea interpretativa che, a partire dal dato normativo di cui agli artt. 10 e 11 del D.lgs. n. 11/2010, impone al prestatore di servizi di pagamento un onere probatorio rafforzato. Tale riparto si innesta su una responsabilità contrattuale aggravata, come ribadito dalla giurisprudenza di legittimità richiamata in sentenza, secondo cui la responsabilità dell’istituto di credito «va esclusa solo se ricorre una situazione di colpa grave dell’utente» (Cfr. Cass. Sez. III, n. 3780/2024, Cass. n. 18045/2019 e ord. n. 26916/2020)[4].
Il giudice bolognese, aderendo a tale orientamento, sottolinea che la maggiore capacità tecnica degli intermediari di elaborare meccanismi sicuri comporta, per questi ultimi, l’assunzione del rischio d’impresa per le operazioni non autorizzate. La diligenza richiesta all’istituto, di natura tecnica, deve coprire le operazioni che rientrano nella sua sfera di controllo, sulla base di una valutazione di prevedibilità ed evitabilità. Tuttavia, la pronuncia chiarisce che la mera allegazione della regolarità formale delle procedure di autenticazione non è, di per sé, sufficiente a liberare l’intermediario. L’onere probatorio si estende, infatti, anche alla dimostrazione che il sistema di allerta adottato sia stato concretamente idoneo a mettere il cliente in condizione di percepire la frode e di reagire efficacemente. In altri termini, il prestatore deve provare di aver approntato non solo strumenti tecnici formalmente corretti, ma anche misure informative effettivamente intelligibili e tempestive, capaci di attivare una reale mise en garde del cliente rispetto a possibili attacchi fraudolenti.
6. Autenticazione tecnica e adeguatezza informativa degli alert: il punto decisivo della sentenza.
Il fulcro della decisione risiede nell’analisi comparativa dei messaggi di allerta inviati dall’intermediario in occasione della modifica del recapito telefonico associato al conto, operazione prodromica alla frode. La sentenza dà atto che l’istituto aveva inviato, contestualmente, sia un SMS sia una e-mail, ma ne valuta criticamente il contenuto e il canale di trasmissione. Il messaggio via SMS, trasmesso al numero di telefono certificato, recava la formula: «Gentile Cliente, abbiamo ricevuto la richiesta di inserire il nuovo numero +39(….). Se non l’hai richiesto tu, contatta il Servizio Clienti»[5]. Tale comunicazione, osserva il giudice, si presenta come generica e, nel contesto del meccanismo decettivo in atto, risulta perfettamente compatibile con la narrazione artefatta dal truffatore. L’utente, manipolato dal raggiro, non riceveva alcun elemento di disvelamento del pericolo reale, potendo anzi interpretare il messaggio come coerente con le istruzioni ricevute dal sedicente operatore.
Diversamente, la e-mail inviata alla casella di posta del cliente conteneva un’informativa molto più dettagliata e incisiva, includendo un caveat specifico: «Ti ricordiamo che nessun operatore della Banca ti chiamerà mai per chiederti un’OTP o un codice ricevuto via SMS. Se ricevi una notifica che ti avvisa di una modifica al tuo profilo che non hai effettuato tu, ti invitiamo a bloccare la Strong Authentication per impedire accessi non autorizzati alla tua posizione»[6]. Tale testo, secondo il Tribunale, sarebbe stato idoneo a mettere il cliente in condizione di interrompere il meccanismo fraudolento, poiché esplicitava chiaramente la natura sospetta dell’operazione e forniva precise istruzioni difensive.
La sentenza individua, dunque, una «via “migliore”» di tutela, consistente nel trasmettere via SMS – canale certamente più immediato e accessibile in una situazione di emergenza – lo stesso contenuto chiaro e disvelante inviato via e-mail. La scelta di veicolare l’avviso più generico sul canale più diretto, riservando quello più efficace a un mezzo meno tempestivo, viene ritenuta insufficiente ad assolvere l’onere probatorio gravante sull’intermediario. In questo senso, il Tribunale non nega in astratto la validità della Strong Customer Authentication, ma reputa che, nel caso concreto, la prova del prestatore di servizi sia carente quanto all’adeguatezza dell’avviso, elemento essenziale per la prevenzione della frode.
7. La colpa grave dell’utente e l’esclusione del concorso causale.
Sul tema della colpa grave dell’utente, la pronuncia si allinea al principio, anch’esso tratto dalla giurisprudenza di legittimità citata, secondo cui la responsabilità dell’istituto di credito può essere esclusa solo in presenza di una condotta del cliente connotata da negligenza inescusabile. Nel caso di specie, tuttavia, il Tribunale valorizza la «particolare insidiosità di questo meccanismo di truffa», che ha sfruttato la simulazione di un contatto telefonico apparentemente genuino, la richiesta di operazioni tecniche complesse e la manipolazione delle percezioni del cliente. [7]
Tale sofisticazione, osserva il giudice, è tale da sorprendere anche un utilizzatore mediamente diligente, neutralizzando la sua capacità di difesa e reazione. Di conseguenza, viene espressamente escluso il concorso del danneggiato nella causazione del fatto lesivo ai sensi dell’art. 1227 c.c., con la conseguente integrale imputazione del rischio all’intermediario. La decisione, pertanto, riconosce che, di fronte a tecniche di social engineering particolarmente elaborate, il dovere di diligenza del cliente non può essere spinto fino al punto di esigere una competenza tecnica e una prontezza di riflessi che travalicano la normale prudenza.
8. Considerazioni critiche e sistematiche sulla ratio decidendi.
La ratio decidendi della sentenza si colloca su un piano di rigorosa verifica concreta, rifiutando ogni automatismo sia nella liberazione dell’intermediario sia nell’imputazione della responsabilità. Il Tribunale di Bologna, pur riconoscendo la centralità della Strong Customer Authentication e la rilevanza della prova tecnica dell’autenticazione, sottolinea che la funzione di protezione del cliente non si esaurisce nella correttezza formale delle procedure. Occorre, piuttosto, che il prestatore di servizi dimostri di aver adottato tutte le misure idonee – anche sotto il profilo informativo – a consentire al cliente di percepire tempestivamente la minaccia e di attivarsi per bloccare l’operazione fraudolenta.
Il passaggio motivazionale in cui si afferma che «esistendo dunque una via “migliore” per ingenerare nel cliente un forte sospetto […] cioè, in base a quanto sopra detto, mandare su sms […] lo stesso messaggio mandato invece sulla mail, non può ritenersi assolto l’onere probatorio gravante sul prestatore di servizi di dimostrare di aver avvisato il cliente in modo adeguato a consentirgli di intraprendere le opportune contromisure»[8], rappresenta il nucleo della decisione.
La sentenza si distingue, dunque, per l’approccio casistico e sostanziale: non una responsabilità automatica dell’istituto, ma una verifica stringente sull’effettiva intelligibilità, tempestività e idoneità degli alert nel contesto concreto della frode. L’intermediario non può limitarsi a dimostrare la correttezza tecnica delle procedure, ma deve provare che il sistema di avviso sia stato, nella situazione data, realmente efficace nel mettere il cliente in condizione di difendersi. In questa prospettiva, il rischio d’impresa resta allocato in capo al prestatore di servizi ogniqualvolta la prova dell’adeguatezza informativa non sia pienamente raggiunta.
____________________________________________________________
[1] La ricostruzione dei fatti è tratta da Trib. Bologna, sent. 23 marzo 2026, n. 2540.
[2] Ibidem
[3] Ibidem
[4] Ibidem
[5] Ibidem
[6] Ibidem
[7] Ibidem
[8] Ibidem