ENG The article examines banks’ contractual liability for unauthorized payment transactions caused by phishing, in light of Cass. civ., Sez. III, 12 February 2024, no. 3780, and 2025 lower-court case law. The misuse of access credentials is framed as a typical business risk of the payment service provider, with a reversal of the burden of proof onto the bank. The essay analyses the criteria for establishing the customer’s gross negligence and the minimum security standards (strong customer authentication, real-time monitoring, alert systems), outlining a model of “strengthened” liability aimed at effectively protecting the account holder.

1. Introduzione: truffe online, phishing bancario e quadro normativo

Il fenomeno delle truffe informatiche su conto corrente – in particolare il phishing bancario e le sue varianti (smishing, vishing, sim swap) – ha assunto dimensioni tali da incidere stabilmente sull’assetto del rapporto banca–cliente. La gestione digitale del conto corrente, l’home banking e i pagamenti online espongono il correntista a rischi specifici che il legislatore ha inteso disciplinare con una regolazione ad hoc dei servizi di pagamento.

Il principale riferimento normativo è il d.lgs. 27 gennaio 2010, n. 11, che ha recepito la direttiva europea sui servizi di pagamento (PSD), introducendo una disciplina organica delle operazioni di pagamento non autorizzate e del rimborso al pagatore¹. La disciplina speciale dialoga con i principi generali della responsabilità contrattuale di cui all’art. 1218 c.c. e con la diligenza qualificata prevista dall’art. 1176, comma 2, c.c., che, nel settore bancario, si traduce nello standard dell’“accorto banchiere”².

La giurisprudenza di legittimità ha progressivamente ritenuto che la possibilità di un uso fraudolento dei codici di accesso al conto corrente da parte di terzi costituisca un rischio tipico dell’attività del prestatore di servizi di pagamento e, come tale, rientri nel perimetro del rischio d’impresa dell’intermediario³. In questa prospettiva, la gestione delle credenziali di home banking e degli strumenti di pagamento elettronici è parte integrante dell’obbligazione contrattuale della banca.

Si affiancano, inoltre, gli obblighi di adeguata verifica della clientela e di presidio dei sistemi informatici introdotti dal d.lgs. 21 novembre 2007, n. 231, che impongono alle banche una costante attenzione alla sicurezza dei sistemi e alla protezione dei dati dei correntisti, con riflessi immediati sulla valutazione della diligenza professionale richiesta all’intermediario⁴.

In questo contesto normativo e tecnologico si colloca la svolta rappresentata da Cass. civ., Sez. III, 12 febbraio 2024, n. 3780, destinata a diventare il principale riferimento nelle controversie relative al phishing bancario sul conto corrente.

2. Cassazione n. 3780/2024: responsabilità contrattuale e rischio d’impresa

La sentenza Cass. civ., Sez. III, n. 3780/2024 segna un passaggio decisivo nel consolidamento dell’orientamento volto a ritenere la banca contrattualmente responsabile delle operazioni di pagamento non autorizzate eseguite a seguito di phishing bancario⁵.

Il caso riguardava un titolare di carta di pagamento che, dopo avere ricevuto una e-mail apparentemente proveniente dall’istituto di credito, aveva inserito le proprie credenziali su un sito clone. Da tale condotta era derivata un’operazione di pagamento non autorizzata, di importo ingente, a favore di terzi.

La Corte ribadisce che: (i) la responsabilità dell’istituto di credito ha natura contrattuale, in quanto attiene all’inadempimento degli obblighi di protezione insiti nel contratto di conto corrente e nei servizi di pagamento collegati; (ii) la diligenza esigibile dall’istituto è una diligenza tecnica qualificata, parametrata al rischio tipico dell’attività bancaria e misurata sul modello dell’“accorto banchiere”; (iv) la possibilità che terzi sottraggano fraudolentemente le credenziali attraverso tecniche di phishing non costituisce un evento eccezionale, ma rientra nel rischio d’impresa che la banca deve governare mediante adeguati presidi tecnici e organizzativi.

La Corte conferma, inoltre, un meccanismo di inversione sostanziale dell’onere probatorio: (a) il cliente è tenuto a provare l’esistenza del rapporto contrattuale e a disconoscere l’operazione; (b) la banca deve dimostrare di avere adottato tutte le misure idonee a prevenire l’uso fraudolento degli strumenti di pagamento e che la specifica operazione sia riconducibile alla volontà del correntista o alla sua colpa grave.

L’orientamento, già affiorato in precedenti arresti in tema di responsabilità professionale bancaria e gestione dei rischi connessi ai servizi telematici, viene così sistematizzato in modo chiaro e vincolante per i giudici di merito⁶.

3. Le decisioni del 2025: il ruolo della giurisprudenza di merito

Nel 2025 la giurisprudenza di merito recepisce e sviluppa il quadro delineato da Cass. n. 3780/2024, traducendolo in criteri operativi nelle controversie su phishing bancario e truffe online sul conto corrente.

La Corte d’appello dell’Aquila, sent. 24 marzo 2025, n. 368, valorizza l’art. 2050 c.c. in combinazione con la disciplina in materia di protezione dei dati personali: l’offerta di servizi bancari telematici viene qualificata come attività pericolosa per natura o per i mezzi utilizzati, con conseguente responsabilità dell’istituto salvo prova di avere adottato tutte le misure idonee a evitare il danno⁷. In tale prospettiva, la pratica del phishing viene ricondotta a un rischio prevedibile e governabile, non a un evento eccezionale.

Il Tribunale di Bergamo, sent. 15 luglio 2025, n. 1131, introduce un approccio più stratificato nella valutazione della colpa grave del correntista, affermando che il giudizio non può limitarsi al confronto con la diligenza dell’uomo medio, ma deve considerare il contenuto, la frequenza e le modalità con cui la banca ha informato il cliente sui rischi di phishing e sulle regole minime di autotutela⁸.

La Corte d’appello di Venezia, sent. 18 marzo 2025, n. 699, chiarisce che la colpa grave dell’utente, quando venga invocata dalla banca quale causa di esonero da responsabilità, costituisce un fatto estintivo della pretesa del correntista e, come tale, deve essere rigorosamente provata dall’intermediario, anche quando il cliente abbia tardato a comunicare l’uso abusivo dello strumento di pagamento⁹.

L’insieme di queste pronunce mostra come i giudici di merito interpretino Cass. 3780/2024 in chiave marcatamente protettiva del correntista e fortemente esigente nei confronti degli intermediari bancari, in linea con l’elaborazione dottrinale sulla responsabilità professionale e sulla tutela del consumatore bancario¹⁰.

4. Onere della prova nelle cause per operazioni non autorizzate

Il riparto dell’onere probatorio rappresenta il fulcro processuale delle controversie su phishing bancario e operazioni non autorizzate. La giurisprudenza, muovendo dai principi generali dell’art. 1218 c.c., riconduce tali controversie allo schema della responsabilità contrattuale.

In questa prospettiva: (i) il cliente deve provare la fonte del proprio diritto (contratto di conto corrente, carta, home banking) e il disconoscimento delle operazioni contestate; (ii) la banca è tenuta a provare il fatto estintivo, ossia di avere adempiuto con la diligenza tecnica esigibile e di potere imputare le operazioni alla volontà del correntista o alla sua colpa grave¹¹.

Il Tribunale di Napoli Nord, sent. 18 maggio 2025, n. 1874, richiama esplicitamente il parametro dell’“accorto banchiere” ex art. 1176, comma 2, c.c., sottolineando che la diligenza deve essere valutata tenendo conto della natura dell’attività professionale svolta e, quindi, dei rischi conoscibili e governabili connessi ai servizi di pagamento elettronici¹².

Il Tribunale di Marsala, sent. 17 luglio 2025, n. 407, definisce con precisione il contenuto della prova liberatoria in capo alla banca: l’istituto deve dimostrare, da un lato, l’adozione di tutte le misure tecniche e organizzative idonee a prevenire il danno e, dall’altro, la riconducibilità delle operazioni disconosciute alla sfera del cliente oppure alla sua grave negligenza¹³.

La dottrina sottolinea che tale accertamento non può essere costruito mediante catene di presunzioni, in contrasto con il divieto di doppia presunzione: non è ammissibile desumere la diligenza della banca dal mero corretto funzionamento del sistema contabile, per poi inferire la colpa del cliente dalla presunta adeguatezza del sistema¹⁴.

5. Diligenza dell’accorto banchiere e misure di sicurezza informatica

Il parametro della diligenza dell’accorto banchiere (bonus argentarius) rappresenta il criterio di giudizio della condotta della banca in materia di sicurezza informatica e gestione del rischio di phishing bancario.

Il Tribunale di Messina, sent. 20 maggio 2025, n. 942, afferma che il phishing e lo smishing, essendo fenomeni noti e ripetutamente oggetto di attenzione da parte delle autorità di vigilanza e degli operatori, non possono essere considerati eventi imprevedibili o eccezionali. Ne deriva che l’intermediario è tenuto ad adottare misure tecniche idonee a prevenire o quantomeno a ridurre significativamente il rischio di uso fraudolento dei sistemi elettronici di pagamento¹⁵.

Le decisioni del 2025 contribuiscono a individuare alcuni presidi che, se assenti o solo formalmente presenti, rendono difficilmente superabile la presunzione di inadempimento della banca: (a) l’adozione effettiva di un sistema di autenticazione forte del cliente (strong customer authentication) conforme all’art. 10-bis d.lgs. n. 11/2010 e alla disciplina europea sui servizi di pagamento; (b) l’implementazione di sistemi di monitoraggio in tempo reale delle operazioni, con soglie di allerta calibrate sul profilo di rischio del singolo correntista e sulle sue abitudini di utilizzo del conto; (c) l’uso sistematico di strumenti di alert immediato (sms, notifiche push, e-mail) per le operazioni anomale o di importo rilevante, accompagnati dalla possibilità di blocco tempestivo; (d) la rigorosa tracciabilità dei log di accesso, delle anomalie rilevate e degli interventi del fraud office.

Il Tribunale di Grosseto, sent. 3 luglio 2025, n. 562, condanna la banca che, pur disponendo in astratto di sistemi di allerta, non li aveva configurati in modo da segnalare al cliente una serie di operazioni verso beneficiari esteri, manifestamente incoerenti rispetto al profilo di operatività del correntista¹⁶, La mancata attivazione di un alert tempestivo viene qualificata come inadempimento degli obblighi di sicurezza e vigilanza.

Tale evoluzione giurisprudenziale è in linea con la riflessione dottrinale che considera la sicurezza informatica componente essenziale della prestazione bancaria e non mero servizio accessorio¹⁷.

6. Rischio d’impresa dell’intermediario e colpa grave del correntista

La riconduzione dell’uso fraudolento delle credenziali al rischio d’impresa dell’istituto di credito costituisce uno dei punti qualificanti dell’attuale orientamento giurisprudenziale.

Il Tribunale di Foggia, sent. 27 maggio 2025, n. 1060, afferma che la possibilità di sottrazione dei codici di accesso tramite phishing bancario rientra nel rischio tipico dell’attività dell’intermediario. La banca, per liberarsi da responsabilità, deve quindi dimostrare la sopravvenienza di eventi collocati oltre lo sforzo diligente esigibile, e non è sufficiente richiamare genericamente la sofisticazione delle tecniche di frode¹⁸.

Il punto di equilibrio è ricercato nell’istituto della colpa grave del correntista, la cui nozione è stata progressivamente precisata. Il Tribunale di Lodi, sent. 11 giugno 2025, n. 304, definisce la colpa grave come una imprudenza “straordinaria e inescusabile”, che implica la violazione non solo della diligenza ordinaria del buon padre di famiglia, ma anche di quel nucleo minimo di cautele osservato da chiunque in situazioni analoghe¹⁹.

In questa prospettiva, non integra colpa grave la mera ingenuità del cliente o la scarsa dimestichezza con gli strumenti digitali, specie se la banca non ha fornito un’informativa chiara e ripetuta sulle truffe online.

Diversamente, il Tribunale di Forlì, sent. 3 luglio 2025, n. 423, riconosce la colpa grave esclusiva del correntista in un’ipotesi limite, nella quale il cliente: (i) inserisce le proprie credenziali su una pagina raggiunta tramite link ricevuto via sms; (ii) comunica più volte a sedicenti operatori bancari i codici dispositivi temporanei; (iii) non contatta mai direttamente la banca e non procede ad alcun blocco, nonostante l’evidenza delle anomalie²⁰.

In simili circostanze, la condotta del correntista viene considerata talmente imprudente da interrompere il nesso causale tra eventuali carenze organizzative dell’istituto e il danno subito. La dottrina, in questa linea, limita l’operatività della colpa grave ai casi di abbassamento radicale del livello di attenzione, idonei a spezzare il collegamento tra rischio d’impresa e pregiudizio del cliente²¹.

7. Implicazioni operative per le banche e per il contenzioso

Le regole elaborate da Cass. n. 3780/2024 e dalla giurisprudenza del 2025 hanno ricadute dirette sull’organizzazione interna degli intermediari e sulle strategie difensive nelle cause per phishing bancario e truffe online sul conto corrente.

Il Tribunale di Genova, sent. 30 settembre 2025, n. 2211, ribadisce che la diligenza dell’istituto deve essere valutata alla luce del parametro dell’accorto banchiere: la banca è tenuta a predisporre misure di sicurezza coerenti con la sensibilità dei dati trattati, con il volume delle operazioni e con il grado di esposizione al rischio informatico, nonché a garantire la corretta consegna e gestione degli strumenti di pagamento²².

Il Tribunale di Monza, sent. 3 giugno 2025, n. 1110, sottolinea che, per dimostrare la riconducibilità dell’operazione alla volontà del correntista, il prestatore di servizi di pagamento non può limitarsi a richiamare l’utilizzo di credenziali “corrette”: è necessario fornire prova puntuale della conformità del sistema di autenticazione forte all’art. 10-bis d.lgs. n. 11/2010 e delle modalità concrete di svolgimento dell’operazione (log, dispositivi, geolocalizzazione, pattern di utilizzo)²³.

La giurisprudenza mostra, inoltre, scarsa disponibilità ad accogliere difese fondate sulla natura “opzionale” di determinati servizi di sicurezza, quali alert sms o sistemi di protezione avanzati offerti a pagamento. Quando l’istituto ha la disponibilità tecnica di un presidio che, se attivato, avrebbe ragionevolmente evitato la truffa sul conto corrente, la mancata implementazione viene qualificata come inadempimento contrattuale, anche se formalmente rimessa alla scelta del cliente²⁴.

Per le banche, ciò impone un cambio di paradigma: la sicurezza non può essere trattata come servizio accessorio, ma costituisce componente essenziale della prestazione bancaria. La mancata adozione di adeguati presidi espone l’intermediario non solo a condanne risarcitorie, ma anche a rilevanti ricadute in termini reputazionali e di compliance regolamentare.

8. Conclusioni: verso una tutela rafforzata del consumatore bancario

L’evoluzione giurisprudenziale in materia di phishing bancario e truffe online sul conto corrente – culminata con Cass. civ., Sez. III, n. 3780/2024 e con le decisioni di merito del 2025 – delinea un modello di responsabilità rafforzata della banca.

Tre profili appaiono ormai stabilizzati: (a) Centralità della responsabilità contrattuale dell’istituto di credito, sorretta da un regime probatorio che attribuisce alla banca l’onere di dimostrare l’adempimento e la ricorrenza di cause di esonero fondate sulla colpa grave del correntista. (b) Riconduzione sistematica della sottrazione fraudolenta dei codici di accesso al rischio d’impresa dell’intermediario, con conseguente marginalizzazione delle difese basate sull’asserita imprevedibilità delle tecniche di frode. (c) Definizione rigorosa della colpa grave del cliente, limitata a condotte eccezionalmente imprudenti, tali da interrompere il nesso causale tra inadempimento della banca e danno.

In questa prospettiva, nelle controversie su truffe online e phishing relativo al conto corrente, la regola tende a essere il rimborso al correntista, mentre l’esonero da responsabilità assume carattere eccezionale e strettamente probatorio.

Il sistema così delineato rafforza la tutela del consumatore e, contestualmente, incentiva gli istituti di credito a investire in tecnologie di sicurezza, formazione del personale e campagne informative rivolte alla clientela, nella consapevolezza che la gestione del rischio informatico è parte integrante del core business bancario nell’era digitale.