Il perimetro della controversia
Il perimetro della controversia

Il perimetro della controversia

Truffa telefonica e pagamenti disposti dal cliente: nessuna responsabilità dell’intermediario in assenza di violazioni dei sistemi

Quando il cliente, indotto in errore da un raggiro, esegue personalmente un pagamento o una ricarica, il tema centrale non è soltanto l’esistenza della frode, ma anche il modo in cui l’operazione è stata autorizzata. Se l’intermediario ha correttamente gestito i propri strumenti e non emergono falle nei presidi di sicurezza, la pretesa risarcitoria può rivelarsi infondata.

Su questo punto si è pronunciato il Giudice di Pace di Genova con sentenza n. 878/2026, 7 maggio 2026, affrontando un caso di social engineering legato a una falsa compravendita online.

La dinamica del raggiro

L’induzione del correntista a operare in prima persona

Il ricorrente, contattato da un sedicente operatore, veniva persuaso a recarsi presso un Postamat e a disporre una serie di ricariche verso una carta Postepay indicata dal truffatore. Il pretesto era quello di sbloccare il pagamento connesso alla vendita di un bene pubblicato online. Fidandosi dell’interlocutore, il cliente concludeva personalmente più operazioni, con una perdita superiore a 9.000 euro.

Ritenendo che l’episodio fosse riconducibile a una omissione di controllo degli intermediari, l’attore agiva contro la propria banca e contro Poste Italiane. Le convenute contestavano ogni addebito, osservando che le disposizioni erano partite direttamente dal cliente e che i sistemi avevano eseguito operazioni formalmente regolari.

Il giudizio sulla condotta del cliente

Autorizzazione consapevole e responsabilità del pagatore

Il Giudice di Pace ha respinto la domanda, valorizzando in modo decisivo la condotta dell’utilizzatore. La sentenza evidenzia infatti che il correntista aveva dato corso a una pluralità di pagamenti consecutivi e, in più occasioni, aveva modificato gli importi per superare i blocchi o gli avvisi generati dal sistema.

Secondo il provvedimento, non risultava alcuna alterazione dei meccanismi di autenticazione, né un uso abusivo delle credenziali, né una compromissione dei presidi antifrode. Le operazioni erano state autorizzate direttamente dal titolare, sia pure in un contesto di inganno. In tale quadro, il giudice ha escluso che potesse configurarsi una responsabilità della banca o dell’operatore del servizio.

L’assenza di un obbligo restitutorio in capo agli intermediari

Somme non incamerate dagli operatori convenuti

Un ulteriore passaggio della decisione riguarda la destinazione delle somme. Il giudice ha osservato che né la banca del disponente né Poste Italiane potevano essere considerate beneficiarie finali dei pagamenti, avendo soltanto gestito o inoltrato operazioni richieste dal cliente attraverso i canali disponibili.

Questo profilo assume rilievo nei contenziosi relativi alle APP fraud, poiché consente di distinguere tra chi esegue un’operazione validamente impartita dal cliente e chi, invece, trae concreto vantaggio dall’illecito. La sentenza si colloca così in un orientamento che tende a escludere la responsabilità dell’intermediario quando il danno derivi da una scelta dispositiva compiuta personalmente dall’utente, senza intrusioni nei sistemi dell’operatore.

Il valore della pronuncia nei casi di social engineering

La decisione offre un’indicazione utile per la pratica contenziosa: nelle ipotesi in cui il cliente sia stato indotto a operare in autonomia, la verifica deve concentrarsi sulla presenza di anomalie tecniche, sul rispetto delle procedure di autenticazione e sull’effettiva partecipazione dell’intermediario alla condotta fraudolenta.

In assenza di elementi che dimostrino una violazione dei sistemi di sicurezza o un intervento abusivo nella catena dispositiva, la responsabilità della banca non può essere affermata in via automatica. È proprio questo il punto che rende la pronuncia significativa nel dibattito sulle frodi da social engineering e sui limiti dell’allocazione del rischio tra cliente e intermediario.

La sentenza di Genova si inserisce dunque nel solco di una lettura rigorosa della responsabilità bancaria, destinata a incidere soprattutto nei casi in cui il pagamento sia stato disposto direttamente dal correntista, pur nell’inganno orchestrato dal truffatore.

L’articolo Social engineering e pagamenti: esclusa la responsabilità della banca proviene da Iusletter.