FRODI INFORMATICHE: PHISHING Responsabilità del prestatore di servizi di pagamento – Onere della prova – Rischio professionale e sicurezza dei sistemi elettronici – RFL Express 3-2026

Gennaio 18, 2026

Corte di Cassazione, Sez. III civile, sentenza 12 febbraio 2024, n. 3780

Domanda giudiziale

Il titolare di una carta di pagamento prepagata ha agito nei confronti del prestatore di servizi di pagamento, chiedendo il risarcimento del danno patrimoniale subito a seguito di un’operazione di pagamento on line mai autorizzata, disposta da ignoti.

Il Giudice di Pace aveva rigettato la domanda.

Il Tribunale, in grado di appello, aveva invece accolto il gravame, condannando il prestatore di servizi al risarcimento del danno.

Fatto

L’utente aveva ricevuto una e-mail apparentemente proveniente dal prestatore di servizi di pagamento, contenente un link che lo invitava a effettuare l’accesso al proprio conto per procedere al cambio della password.

Dopo aver inserito le proprie credenziali, l’utente aveva riscontrato un addebito relativo a un’operazione da lui mai disposta.

Il prestatore di servizi aveva negato ogni responsabilità, sostenendo che:

  • l’operazione era stata resa possibile esclusivamente dalla condotta imprudente dell’utente, che aveva comunicato a terzi le proprie credenziali;
  • la sottrazione dei codici segreti era imputabile a colpa dell’utilizzatore dello strumento di pagamento.

Il Tribunale aveva ritenuto, invece, non essendo stata fornita prova della riconducibilità dell’operazione alla volontà del cliente né dell’adozione di adeguate misure di sicurezza, ha ritenuto che il prestatore di servizi dovesse rispondere, ai sensi del D.Lgs. n. 196 del 2003, degli effetti dannosi conseguenti all’esercizio di un’attività pericolosa implicante il trattamento di dati personali. Essendo la condotta prevedibile ed evitabile con appropriate misure tecniche, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, il Tribunale adito in appello ha ritenuto del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi.

Disamina

La Corte di Cassazione ha rigettato il ricorso, confermando la decisione del giudice di appello.

1. Natura della responsabilità e onere della prova

La responsabilità del prestatore di servizi di pagamento ha natura contrattuale.

Il cliente deve provare l’esistenza del rapporto e l’operazione non autorizzata; grava invece sul prestatore l’onere di dimostrare:

  • la sussistenza di colpa grave dell’utente (ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento), unitamente
  • all’adozione di tutte le misure tecniche idonee a prevenire l’uso fraudolento dello strumento di pagamento (quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione).

2. Il rischio professionale

La sottrazione delle credenziali mediante tecniche di phishing costituisce un evento prevedibile ed evitabile con adeguati presidi di sicurezza e rientra nel rischio d’impresa del prestatore di servizi di pagamento.

Per andare esente da responsabilità, il prestatore deve dimostrare che l’evento dannoso si collochi oltre lo sforzo diligente esigibile, valutato secondo il parametro dell’“accorto banchiere”.

3. La condotta dell’utente

La Corte ha escluso che il semplice inserimento delle credenziali su un sito fraudolento integri, di per sé, colpa grave dell’utente.

In assenza della prova dell’adozione di adeguati sistemi antifrode (come alert automatici o controlli rafforzati), non può che essere imputato alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente.

Conclusione

La Corte di Cassazione ha rigettato il ricorso, confermando la responsabilità del prestatore di servizi di pagamento per l’operazione fraudolenta.

È stata ribadita la necessità che il prestatore dimostri:

  • la colpa grave dell’utente;
  • nonché l’adozione di idonee misure di sicurezza.

Principio di diritto

In tema di operazioni di pagamento non autorizzate realizzate mediante frodi informatiche (phishing), il prestatore di servizi di pagamento risponde del danno subito dal cliente salvo che provi la sussistenza del dolo o della colpa grave dell’utente e l’adozione di tutte le misure tecniche idonee a prevenire l’uso fraudolento dello strumento. La sottrazione delle credenziali mediante tecniche fraudolente rientra nel rischio professionale del prestatore.

Legal Advice

Per non incorrere in responsabilità, il prestatore di servizi di pagamento deve:

  1. adottare sistemi antifrode evoluti e costantemente aggiornati;
  2. prevedere alert immediati per operazioni sospette;
  3. implementare procedure di autenticazione forte e verifiche rafforzate;
  4. monitorare le transazioni anomale e intervenire tempestivamente;
  5. mantenere tracciabilità completa delle operazioni;
  6. formare il personale sulla gestione delle frodi;
  7. essere in grado di dimostrare, in giudizio, l’adozione di tutte le misure idonee a prevenire l’evento dannoso.

SCARICA LA SENTENZA COMPLETA

Di cosa si parla in questo articolo
Carta di pagamento prepagata Condotta dell’utente Diligenza dell’accorto banchiere Frode informatica Onere della prova Operazioni di pagamento non autorizzate Responsabilità contrattuale Rischio professionale Sicurezza dei sistemi di pagamento

Inviaci una richiesta e sarai contatto da un nostro legale

    Ho letto l'informativa sulla privacy e accetto le condizioni - Privacy Policy

    CEO & Founder Rainone Law Firm

    Articoli correlati

    FRODI INFORMATICHE: PHISHING Responsabilità del prestatore di servizi di pagamento – Onere della prova – Condotta dell’utente – Sicurezza dei sistemi informatici. – RLF Express 7-2026

    Determinazione per relationem del tasso di interesse nei contratti bancari ex art. 117, comma 4, T.U.B. – RLF Express 5-2026