HomeRubricaFrodi digitali: comunicare a terzi le credenziali creditizie rappresenta una colpa grave...

Frodi digitali: comunicare a terzi le credenziali creditizie rappresenta una colpa grave del correntista

La Corte d’Appello di Firenze chiarisce i limiti della responsabilità dell’intermediario.

Comunicare a terzi le proprie credenziali creditizie può integrare la fattispecie di colpa grave e, in caso di frode digitale, può impedire a un correntista di richiedere il ristoro dei danni alla banca.

Una recente pronuncia della Corte d’Appello di Firenze è tornata su un tema sul quale Be Banker è recentemente intervenuta a più riprese con un vademecum operativo per evitare che la vittima finisca per essere considerata gravemente colposa — e un’analisi della decisione del Collegio di Coordinamento ABF n. 4274/2026 su SCA, CVV dinamico e responsabilità dell’intermediario. La questione non è più soltanto «come prevenire la frode», né soltanto «quando il sistema tecnico della banca è conforme». Il tema diventa più concreto: che cosa accade quando la frode è sofisticata, ma il cliente coopera materialmente alla sua esecuzione?

La risposta della Corte fiorentina è netta: la disciplina sui servizi di pagamento protegge il cliente, ma non lo esonera dall’obbligo minimo di custodire credenziali, PIN, OTP e strumenti dispositivi. Se il correntista comunica quei codici a un terzo, anche se quel terzo si presenta come operatore della banca, e se ignora messaggi di alert idonei a rendere riconoscibile la truffa, la condotta può integrare colpa grave. È quanto emerge dalla sentenza n. 2388/2026 della Corte d’Appello di Firenze, Seconda Sezione Civile – Imprese, pubblicata il 26 giugno 2026.

Il caso: SMS spoofing, falso operatore e attivazione del mobile token

La vicenda presenta molti degli elementi ormai tipici delle frodi digitali bancarie.

Il cliente riceve un SMS apparentemente riconducibile alla banca, inserito in una conversazione che, almeno in apparenza, sembrava quella ordinaria dell’intermediario. Il messaggio lo invita a migliorare la sicurezza web e a cliccare su un link. Il link conduce a una pagina graficamente simile all’home banking, nella quale risulta già inserito il codice cliente e viene richiesto il PIN.

Segue la chiamata di un sedicente operatore bancario, che guida il correntista in una presunta procedura di sicurezza. In realtà, secondo la ricostruzione accolta dai giudici, quella procedura consente ai truffatori di attivare un mobile token e di disporre due bonifici: il primo, da 24.986,00 euro, il 29 marzo 2022; il secondo, da 19.988,00 euro, il giorno successivo. Il danno complessivo supera così i 44.000 euro.

Il cliente disconosce le operazioni e agisce contro la banca, sostenendo che i bonifici siano riconducibili all’uso illecito delle credenziali da parte di terzi e lamentando l’inadeguatezza dei sistemi di sicurezza. Il Tribunale di Prato rigetta la domanda. La Corte d’Appello di Firenze conferma.

La tutela PSD2 non è una copertura automatica

Il punto di partenza resta quello noto.

Quando il cliente nega di avere autorizzato un’operazione di pagamento, l’intermediario deve provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata e che non vi sono stati malfunzionamenti delle procedure necessarie alla sua esecuzione. Inoltre, l’utilizzo dello strumento di pagamento registrato non basta, da solo, a dimostrare che l’utente abbia autorizzato l’operazione o abbia agito con dolo o colpa grave.

La banca, quindi, sopporta un onere probatorio rigoroso. Non può limitarsi a dire che “il sistema ha funzionato”. Deve ricostruire la sequenza tecnica, produrre log, dimostrare i fattori di autenticazione, spiegare come l’operazione sia stata validata e, se vuole negare il rimborso, provare la colpa grave del cliente.

La tutela del correntista resta centrale, ma non si trasforma in un’assicurazione universale contro ogni frode: quando l’utente comunica PIN e OTP a terzi e ignora alert chiari, la sofisticazione dello spoofing non basta a escludere la colpa grave.

Questo era già il baricentro della decisione del Collegio di Coordinamento ABF n. 4274/2026: l’intermediario può vincere la controversia solo se fornisce una prova puntuale della regolare autenticazione e della condotta gravemente imprudente dell’utente. In quella decisione il Collegio ha ritenuto conforme alla normativa la procedura che consente l’accesso con un solo fattore, in regime di esenzione SCA, e il successivo pagamento nella stessa sessione con riutilizzo di quel fattore più un secondo elemento, a precise condizioni: stessa sessione, dynamic linking, assenza di primo accesso e rispetto del limite dei 180 giorni dall’ultima SCA.

La sentenza fiorentina si colloca sullo stesso asse, ma lo applica a una dinamica diversa: non pagamento e-commerce con CVV dinamico, ma home banking, mobile token, falso operatore e bonifici disposti online.

Il “rischio da ignoto tecnologico” ha un limite

Uno degli argomenti difensivi più frequenti nei contenziosi da phishing riguarda il cosiddetto rischio da ignoto tecnologico. L’idea è semplice: se non si riesce a stabilire con certezza come la frode sia avvenuta, il rischio dell’incertezza tecnica dovrebbe gravare sull’intermediario, quale soggetto professionale che organizza il servizio di pagamento.

La Corte d’Appello riconosce il principio, ma ne delimita l’applicazione.

Nel caso concreto, secondo i giudici, non vi era un vero ignoto tecnologico. La dinamica era stata ricostruita: il cliente aveva comunicato a terzi i PIN dispositivi e le OTP generate dal sistema, permettendo l’attivazione del mobile token e la successiva esecuzione dei bonifici. In questa prospettiva, l’elemento ignoto residuo era sostanzialmente l’identità dei truffatori, non il meccanismo attraverso il quale l’operatività fraudolenta era stata resa possibile.

È un passaggio importante. Non ogni frode digitale resta, per ciò solo, nel perimetro del rischio professionale della banca. Se la prova dimostra che il cliente ha consegnato a terzi le chiavi dispositive, e che quelle chiavi sono state usate per attivare lo strumento di autenticazione e disporre i pagamenti, il discorso si sposta dalla vulnerabilità del sistema alla condotta dell’utilizzatore.

Gli alert come snodo probatorio

La decisione valorizza in modo particolare i messaggi di alert.

Nel caso esaminato, la banca aveva inviato un messaggio relativo all’attivazione del mobile token. Il contenuto era chiaro: il cliente veniva informato che stava attivando il mobile token e veniva avvertito che il personale della banca non avrebbe mai richiesto il codice riservato. Secondo la Corte, quel messaggio avrebbe dovuto interrompere la sequenza fraudolenta: il cliente avrebbe dovuto comprendere che l’interlocutore telefonico non era un operatore bancario, ma un truffatore, e avrebbe dovuto contattare immediatamente l’intermediario per bloccare l’operatività.

Ancora più interessante è il ragionamento sulla ricezione degli SMS relativi ai bonifici. Il cliente sosteneva di non averli ricevuti. La Corte, confermando il Tribunale, ritiene invece possibile presumere la ricezione sulla base di una serie di indizi: la linea telefonica funzionava; il cliente aveva ricevuto e utilizzato SMS e link; l’attivazione del mobile token aveva richiesto una OTP; il telefono era lo stesso numero certificato; la mancata ricezione degli alert sui bonifici era stata evidenziata solo in una denuncia integrativa successiva.

Il dato processuale è rilevante: non sempre è necessaria una CTU informatica per accertare il funzionamento del sistema di alert. In presenza di elementi gravi, precisi e concordanti, il giudice può ricorrere alla prova presuntiva. Questo rafforza un punto già emerso nella prassi ABF: nelle frodi digitali non conta solo il dato tecnico isolato, ma l’intera customer journey, cioè la sequenza concreta di accessi, messaggi, autorizzazioni, chiamate, notifiche e comportamenti dell’utente.

La cointestazione del conto non cambia la regola

Gli appellanti avevano valorizzato anche un ulteriore profilo: il conto era cointestato e gli alert erano stati inviati solo al correntista le cui credenziali erano state utilizzate, non anche all’altro cointestatario.

La Corte respinge l’argomento. Anche in presenza di conto cointestato, ciascun titolare conserva una propria autonomia operativa, proprie credenziali personali e un proprio numero certificato associato agli strumenti di sicurezza. Se l’operazione viene eseguita tramite le credenziali di un cointestatario, non vi è, secondo la Corte, un obbligo generalizzato di inviare gli alert anche all’altro.

Anche questo passaggio è pratico. La sicurezza dell’home banking non segue necessariamente la titolarità sostanziale del conto, ma la titolarità tecnica delle credenziali utilizzate per operare. Dove le credenziali sono personali, personale è anche il canale di autenticazione e di alert.

Il limite dei 250 euro non salva il cliente

Altro profilo difensivo riguardava il presunto superamento di un limite operativo di euro 250,00 per operazione. Secondo gli appellanti, la banca avrebbe dovuto impedire i bonifici perché superiori a quel massimale.

La Corte distingue i piani. Il limite di 250 euro riguardava, nella documentazione contrattuale esaminata, il servizio di invio denaro P2P e i pagamenti P2B/P2G legati a Bancomat Pay e ai cosiddetti canali diretti evoluti. I bonifici oggetto di causa, invece, erano stati eseguiti tramite home banking. Per tale operatività, la Corte ritiene applicabile il diverso massimale indicato dalla banca, pari a euro 50.000,00.

È una precisazione che merita attenzione. Nei contenziosi da frode digitale la parola “smartphone” può creare ambiguità. Un pagamento effettuato tramite telefono non è automaticamente un pagamento P2P o Bancomat Pay. Occorre verificare quale servizio sia stato effettivamente utilizzato: app di pagamento, wallet, carta, bonifico da home banking, canale evoluto o altro strumento. A ogni servizio corrispondono regole, limiti, documenti di sintesi e presidi diversi.

La continuità con il Collegio di Coordinamento ABF

La sentenza fiorentina dialoga idealmente con la decisione n. 4274/2026 del Collegio di Coordinamento ABF.

Il Collegio aveva chiarito che la conformità tecnica della SCA deve essere valutata in modo puntuale e non formalistico. Aveva inoltre riconosciuto che il CVV dinamico, generato nella fase di accesso all’area riservata e accompagnato da OTP via SMS, può integrare un sistema di autenticazione a doppio fattore conforme alla disciplina vigente.

Ma, una volta superato il vaglio tecnico, resta la condotta del cliente. Nel caso ABF, la ricorrente aveva seguito le istruzioni di un falso operatore, comunicato codici e disposto pagamenti per bloccare presunti addebiti. Il Collegio ha ritenuto gravemente colposa la condotta, osservando anche che è irrealistico pensare di dover eseguire un pagamento per bloccare un addebito non autorizzato.

La Corte d’Appello di Firenze arriva a una conclusione analoga in un diverso scenario: chi comunica PIN e OTP a un sedicente operatore e consente l’attivazione di un mobile token non può invocare la sola sofisticazione dello spoofing per trasferire integralmente il danno sulla banca.

Non un lasciapassare per gli intermediari

La pronuncia non deve però essere letta come un arretramento generalizzato della tutela del correntista.

Il principio resta quello della responsabilità rigorosa dell’intermediario. La banca deve dimostrare il corretto funzionamento del processo, la regolare autenticazione, la registrazione dell’operazione, l’assenza di malfunzionamenti e, soprattutto, la colpa grave dell’utente. Se i log sono incompleti, se la SCA non è dimostrata, se manca il dynamic linking, se gli alert sono generici o se la frode presenta un livello tale di sofisticazione da rendere inesigibile una reazione diversa del cliente, l’esito può cambiare.

La sentenza dice altro: quando l’intermediario ricostruisce la sequenza tecnica e quando la condotta del cliente mostra una cooperazione attiva, ripetuta e causalmente decisiva, la protezione normativa non può trasformarsi in assicurazione universale contro ogni frode.

La regola pratica

Per il correntista, la lezione è severa ma chiara: nessun codice va comunicato a terzi, mai. Non un PIN, non una password, non una OTP, non un codice dispositivo, non un codice per attivare o disattivare token. La banca non chiede questi dati al telefono. Se compare un SMS in una conversazione apparentemente ufficiale, se il numero sembra quello della banca, se l’operatore conosce dati personali o se la grafica della pagina è credibile, la regola non cambia: interrompere, non cliccare, non comunicare codici, richiamare autonomamente l’intermediario tramite canali ufficiali.

Per le banche, la lezione è speculare: non basta invocare la colpa grave del cliente. Occorre documentarla. Servono log leggibili, evidenza degli alert, prova del numero certificato, tracciamento dell’attivazione del token, ricostruzione delle sessioni, chiarezza sui massimali applicabili e sulla natura del servizio usato. Nelle frodi digitali, la difesa dell’intermediario non si costruisce con formule generiche, ma con la cronologia tecnica del fatto.

Il contenzioso dei prossimi mesi si giocherà sempre meno su categorie astratte — phishing, spoofing, vishing, SCA — e sempre più sulla ricostruzione concreta del percorso che ha condotto all’operazione. Chi ha cliccato? Chi ha digitato? Chi ha comunicato il codice? Quale messaggio è arrivato? Che cosa diceva? Quale dispositivo è stato attivato? Quale fattore è stato usato? Quale limite contrattuale era applicabile?

In questa prospettiva, la Corte d’Appello di Firenze aggiunge un tassello importante al ragionamento iniziato con l’ABF: la frode digitale è spesso sofisticata, ma la sofisticazione non cancella la responsabilità dell’utente quando questi consegna ai truffatori le chiavi del conto e ignora segnali di allarme chiari. La tutela del correntista resta centrale; ma la sua prima linea di difesa continua a essere la stessa: non aprire la porta.

Iscriviti alla newsletter: https://www.bebankers.it/newsletter/

Marco Tozzi
Marco Tozzi
Coordina il team AIRD (Alma Iura Research & Development), supportando le organizzazioni nell’ottimizzazione dei processi interni e nell’implementazione di soluzioni tecnologiche innovative con approccio data-driven. Ha maturato esperienza come CTP in ambito contabile e informatico, e ha contribuito allo sviluppo di strumenti di intelligenza artificiale applicati ai settori legale e finance.
ARTICOLI CORRELATI

ALTRO DALLA CATEGORIA