Secondo il Giudice di Pace, la banca deve rimborsare del tutto il correntista (2.700 euro), perché l’Istituto bancario “non ha effettuato controlli rafforzati, nonostante la transazione fosse superiore al limite di mille euro (normativa antiriciclaggio), avvenuta di notte, verso un contatto estero e non usuale”. In più per il Giudice “la banca non ha fornito prova dell’utilizzo di algoritmi di intelligenza artificiale e machine learning per identificare transazioni sospette”.
Un bonifico in piena notte da 2.700 euro, il conto svuotato e il denaro indirizzato su un conto lituano intestato a un beneficiario sconosciuto. Il tutto, sfruttando un malware mascherato da finto aggiornamento di Google Chrome attraverso cui i criminali informatici sono venuti in possesso dei codici e della password per effettuare il bonifico dal conto corrente. Il caso risale al 2023 e il Giudice di Pace di Empoli ha disposto il risarcimento in favore del correntista. È una sentenza che segna un precedente importante a favore di tutti noi consumatori.
Nella sentenza n. 32/2026 il Giudice di Pace di Empoli, riconoscendo una “frode qualificata“, ai sensi dell’art. 10 del Decreto Legislativo n. 11/2010, ha riconosciuto la responsabilità alla banca.
“Se il correntista dichiara di non aver mai autorizzato un’operazione bancaria“, prevede il Decreto Legislativo, “deve essere la banca a presentare l’onere della prova dell’avvenuta frode“.
E la banca non è riuscita a presentare delle prove di merito, oltre ad aver ammesso l’aggiramento del proprio sistema “confermando”, ha scritto il Giudice di Pace nella sentenza, “così l’inadeguatezza delle misure adottate“.
Non regge più la difesa della banca: “SMS di autorizzazione inviati“. Ma alle 3.30 del mattino. Giudice di Pace: “Impossibile controllarli, perché qualsiasi persona dorme“
Per tutelare il correntista la banca avrebbe dovuto quantomeno sospendere il bonifico, perché risultavano diversi elementi sospetti. Non solo per la relativa cifra, oltre 1.000 euro, per i quali dovrebbero scattare i controlli rafforzati secondo la normativa antiriciclaggio. Inoltre, il bonifico è stato disposto alle ore 04:46 del mattino, “orario assolutamente inconsueto per qualsiasi operazione bancaria legittima“. Il beneficiario non era poi tra i contatti usuali.
La banca ha provato a difendersi dichiarando di aver inviato “gli SMS di autorizzazione alle ore 03:30, 04:46 e 05:02 del 2 maggio 2023″. E al contempo, che “il cliente avrebbe potuto bloccare l’operazione se avesse prestato attenzione a tali comunicazioni“.
Il Giudice di Pace ha tuttavia affermato: “Pretendere che il cliente monitorasse il proprio smartphone alle ore 03:30 del mattino è una richiesta assurda e contraria al senso comune. “Qualsiasi persona ragionevole”, ha scritto il Giudice, “a quell’ora dorme”.
“Sistemi bancari obsoleti non basati su algoritmi AI che identifichino bonifici sospetti“
Altro elemento a sfavore della banca è che “non ha fornito alcuna prova documentale dell’esistenza di sistemi automatizzati di rilevamento delle operazioni anomale“. Nonostante la moltitudine di elementi sospetti, nessuno sistema ha quantomeno sospeso il pagamento.
Mancavano “algoritmi AI o machine learning capaci di identificare transazioni sospette in base ai
comportamenti abituali del cliente“, ha osservato il Giudice di Pace. Questi sistemi sono invece, al giorno d’oggi, fondamentali per la tutela dei clienti visto il livello di rischio.
La sentenze della Cassazione
Questa sentenza del Giudice di Pace è di segno opposto alla sentenza 7214/2023 della Corte di Cassazione che aveva riconosciuto, invece, la responsabilità del cliente per negligenza o colpa grave. In quel caso la Cassazione ha dichiarato inammissibile il ricorso di una coppia di correntisti di Poste Italiane, perché “i clienti stessi avevano fornito i codici di accesso ad estranei“, ovviamente, senza esserne consapevoli, perché truffati.
Nel 2024, tuttavia, la stessa Corte – in un altro caso di correntisti di Poste Italiane – ha cambiato approccio rispetto alla sua precedente pronuncia. Infatti, con la sentenza del 12 febbraio 2024, numero 3780, ha ribadito che le banche devono provare la riconducibilità dell’operazione al cliente truffato. Sicuramente l’impiego di tecniche quali gli sms alert può aiutare nell’evitare la realizzazione dell’evento fraudolento, ma questo potrebbe non bastare.
Oggi la sentenza del Giudice di Pace di Empoli, basandosi su quest’ultima, più ragionevole, pronuncia della Corte di Cassazione, ci sembra più “moderna” e approfondita, offrendo un’analisi tecnica della vicenda. Si ribadisce, alla luce dell’evoluzione delle minacce informatiche, l’importanza dell’obbligo di implementare gli algoritmi di AI per identificare le transazioni sospette. In questo modo è poi possibile prendere tempo per convocare, per esempio, il correntista in filiale o sentirlo al telefono, in una modalità sicura, per effettuare le verifiche del caso.
Considerando sia tornato di moda lo storico slogan della TIM “una telefonata allunga la vita“, in questo caso una telefonata della banca salva il conto corrente del correntista.
Per approfondire
- Leggi la sentenza integrale n. 32/2026 in PDF.
