Il quadro giuridico del disconoscimento delle operazioni
Il quadro giuridico del disconoscimento delle operazioni

Il quadro giuridico del disconoscimento delle operazioni

Pagamenti online contestati: quando i registri informatici della banca fanno piena prova

La Corte d’Appello di Milano, con la sentenza n. 696/2026 pubblicata il 13/03/2026, interviene ancora una volta sul contenzioso relativo alle operazioni di pagamento non riconosciute dal correntista, chiarendo in quale misura i dati di tracciamento e i meccanismi di autenticazione incidano sulla distribuzione dell’onere probatorio tra cliente e intermediario.

Il tema è quello, ormai centrale, delle frodi informatiche e della prova che la banca deve offrire per dimostrare la correttezza dell’operazione contestata, ai sensi dell’art. 10 D. Lgs. 11/2010, senza che ciò si traduca in una responsabilità automatica per ogni esito pregiudizievole subito dal cliente.

La controversia originaria e la posizione delle parti

Tre bonifici online e la richiesta di rimborso

La lite prende le mosse dal disconoscimento di tre bonifici disposti tramite home banking dai titolari del conto corrente, i quali assumevano di essere stati vittime di un’azione fraudolenta e chiedevano alla banca la restituzione delle somme addebitate. L’intermediario, a sua volta, contestava la pretesa degli attori e depositava i log informatici relativi alle operazioni, dai quali emergeva l’impiego delle credenziali e dei codici dispositivi nella disponibilità del cliente.

Il primo giudice rigettava la domanda; i correntisti proponevano appello, insistendo sul carattere asseritamente abusivo delle disposizioni e sulla necessità di rifondere integralmente l’importo sottratto.

La valutazione della Corte sui log informatici

Riproduzioni informatiche e mancato disconoscimento tempestivo

La Corte conferma l’impianto della decisione di primo grado e attribuisce pieno rilievo ai log prodotti dalla banca, ritenendoli idonei a soddisfare l’onere probatorio previsto dall’art. 10 D. Lgs. 11/2010. Le registrazioni vengono qualificate come riproduzioni informatiche ai sensi dell’art. 2712 c.c. e, proprio per questo, acquistano valore probatorio pieno in mancanza di un disconoscimento specifico e tempestivo.

Nel caso esaminato, le contestazioni mosse dagli appellanti ai log allegati dalla banca con la comparsa di risposta sono state sollevate solo successivamente, mediante la memoria ex art. 183, comma 6, n. 3 c.p.c. Tale ritardo processuale ha inciso in modo decisivo sull’esito della causa, poiché ha lasciato intatta l’efficacia dimostrativa delle risultanze informatiche prodotte dall’intermediario. A ciò si aggiungeva, inoltre, la previsione contrattuale con cui il cliente aveva preventivamente riconosciuto rilevanza alle registrazioni elettroniche.

Autenticazione forte e tracciabilità dell’operazione

La prova dell’intermediario sulla regolare esecuzione del pagamento

La sentenza ribadisce che la banca, per liberarsi dalla responsabilità derivante da una operazione non autorizzata, deve dimostrare che il pagamento sia stato autenticato, correttamente registrato e contabilizzato. Su questo punto, la Corte ritiene che l’intermediario abbia fornito una prova completa.

La documentazione prodotta, corroborata dalle risultanze della consulenza tecnica d’ufficio, ha mostrato che il sistema di sicurezza adottato era conforme agli standard richiesti e che esso era stato concretamente attivato in occasione delle operazioni controverse. In particolare, i log evidenziavano il rilevamento di un’anomalia e la conseguente attivazione di un ulteriore presidio di sicurezza mediante l’invio di codici OTP al numero di telefono collegato al rapporto. Tali codici risultavano poi impiegati per autorizzare i bonifici oggetto di contestazione.

La condotta dei clienti e l’assenza di prova contraria

Secondo la Corte, i correntisti si erano limitati a negare l’esecuzione consapevole delle operazioni, senza spiegare in modo credibile come un terzo avrebbe potuto aggirare un sistema di protezione strutturato e senza dimostrare di non aver ricevuto i codici di verifica inviati sul numero associato al conto. In mancanza di un supporto probatorio concreto, il semplice disconoscimento non è stato ritenuto sufficiente a incrinare il quadro offerto dalla banca.

Il perimetro della responsabilità dell’intermediario

Uno dei passaggi più significativi della pronuncia riguarda il rifiuto di una lettura estensiva della disciplina tale da avvicinare la posizione dell’istituto di credito a una responsabilità oggettiva. La Corte afferma infatti che il regime rigoroso applicabile alla banca “non può essere interpretato in modo tale da arrivare a ritenere gli istituti di credito oggettivamente responsabili per qualsivoglia truffa subita dalla clientela”.

Il principio è chiaro: l’intermediario risponde se non prova la regolare esecuzione e la corretta autenticazione dell’operazione, ma non è automaticamente tenuto a sopportare ogni conseguenza sfavorevole derivante da un raggiro informatico, specie quando abbia predisposto e dimostrato l’uso di adeguati sistemi di sicurezza. La tutela dell’utente resta intensa, ma non si trasforma in una garanzia assoluta contro ogni frode.

Il significato pratico della pronuncia

Quando la contestazione non basta

La decisione milanese offre un’indicazione utile per i contenziosi in materia di phishing e di operazioni online disconosciute: il cliente che contesta i movimenti non può limitarsi a una mera negazione dell’addebito, ma deve introdurre elementi specifici che rendano plausibile una falla del sistema, un’anomalia procedurale o una concreta modalità di sottrazione dei codici di sicurezza.

In assenza di tali allegazioni, i log informatici, se prodotti tempestivamente e non validamente contestati, assumono una forza dimostrativa decisiva. Allo stesso modo, la prova dell’attivazione dell’autenticazione forte e dell’utilizzo degli OTP tende a consolidare la posizione dell’intermediario, quando il materiale probatorio della controparte resti generico o meramente assertivo.

Indicazioni operative per la lettura della decisione

La sentenza conferma che, nei giudizi relativi a bonifici non riconosciuti, la verifica non può arrestarsi alla sola allegazione della frode. Occorre scrutinare il comportamento processuale delle parti, la tempestività del disconoscimento dei documenti informatici, la qualità dei dati di tracciamento e la capacità della banca di documentare l’intero percorso autorizzativo dell’operazione.

In questo schema, i log e i sistemi di autenticazione forte non hanno un valore meramente accessorio, ma costituiscono il nucleo della prova liberatoria dell’intermediario. È lì che si misura la tenuta della pretesa restitutoria, ed è lì che spesso si definisce l’esito della causa.

L’articolo Phishing: il valore probatorio dei log informatici proviene da Iusletter.