La Corte d’Appello di Palermo ha confermato la condanna di un istituto bancario in una controversia relativa a un bonifico fraudolento di 23.500 euro, disposto tramite home banking in favore di un soggetto sconosciuto alla società correntista.
Non appena ha rilevato il bonifico non autorizzato, la società lo ha immediatamente disconosciuto e ha presentato denuncia alle autorità competenti. In primo grado il Tribunale di Palermo aveva accolto la domanda risarcitoria, condannando la banca al pagamento di quasi 30 mila euro inclusi spese di lite e costi della consulenza tecnica.
L’istituto di credito aveva impugnato la decisione sostenendo, tra l’altro, che l’operazione fosse stata regolarmente autenticata e che la responsabilità fosse riconducibile a una colpa grave dell’utente. Con la sentenza n. 1929/2026, la Terza Sezione Civile della Corte d’Appello di Palermo ha però respinto integralmente l’appello, confermando la decisione del Tribunale.
La pronuncia rafforza un principio ormai consolidato nelle controversie relative alle frodi informatiche bancarie: quando un cliente disconosce un’operazione di pagamento, non è sufficiente che la banca dimostri la regolare autenticazione, registrazione e contabilizzazione della transazione. L’intermediario deve infatti provare anche l’assenza di malfunzionamenti o anomalie del sistema e, soprattutto, l’eventuale dolo o la colpa grave dell’utilizzatore.
Nel caso esaminato, la Corte ha ritenuto determinanti gli elementi emersi dalla consulenza tecnica, tra cui l’utilizzo di un indirizzo IP non censito e la presenza, nello stesso giorno, di precedenti tentativi di accesso bloccati dal sistema perché ritenuti sospetti. È stato inoltre accertato che la società correntista era rimasta vittima di una sofisticata campagna malevola denominata “BRATA”, attraverso la quale ignoti, utilizzando un link apparentemente riconducibile alla banca e inducendo l’utente a scaricare un’applicazione fraudolenta, erano riusciti a sottrarre le credenziali di accesso e a disporre da remoto il bonifico contestato.
Secondo la Corte, in situazioni come questa non può essere automaticamente presunta la colpa grave del cliente. Tale responsabilità può configurarsi quando l’utilizzatore comunichi volontariamente le proprie credenziali a terzi, ma non quando sia vittima di una sottrazione fraudolenta realizzata mediante tecniche evolute di smishing e malware.
«Si tratta di una decisione importante – spiega l’avvocato Alessandro Palmigiano, che insieme alla collega Elisabetta Violante, dello Studio Palmigiano e Associati, ha seguito il caso – perché conferma che, nelle frodi informatiche bancarie, l’utente non può essere lasciato solo di fronte a sistemi criminali sempre più sofisticati. La banca, quale operatore professionale, è tenuta ad adottare presìdi di sicurezza effettivi e a fornire una prova rigorosa della colpa grave del cliente, che non può essere semplicemente presunta».
La sentenza si inserisce nel consolidato orientamento giurisprudenziale volto a rafforzare la tutela degli utenti dei servizi bancari digitali e richiama gli intermediari finanziari al rispetto di elevati standard di diligenza, controllo e prevenzione, soprattutto in presenza di operazioni anomale o potenzialmente sospette.


