Home

Truffa informatica sul conto corrente del condominio: l'utilizzo dell’intelligenza artificiale nella soluzione di casi pratici

Fonte: Trib. Milano sez. VI, 29 settembre 2025, n. 7207
10 Ottobre 2025

Il presente approfondimento operativo analizza i provvedimenti giurisprudenziali con l'utilizzo dell'intelligenza artificiale applicata al caso pratico, integrato con il ragionamento del professionista. Un nuovo approccio di elaborazione ed interpretazione della giurisprudenza con gli strumenti innovativi dell'IA, coordinato con l'esperienza dei professionisti del settore immobiliare.

L'approccio sistematico

Lo scopo della presente trattazione è quella di fornire agli utenti un primo approccio della soluzione di un caso pratico con l'integrazione dell'intelligenza artificiale (d'ora in poi, breviter, solo IA). L'obbiettivo di questa sperimentazione rappresenta un esempio di come l'IA, se ben integrata con l'esperienza e la supervisione di un professionista, possa contribuire in modo efficace all'approfondimento della materia, evitando, al contempo, il rischio di derive formalistiche o riduttive nell'applicazione del diritto.

Attualmente, molte società hanno introdotto sul mercato diversi applicativi di IA e, tra questi, spicca il nuovo Sapient-IA di Lefebvre Giuffrè, il nuovo sistema di intelligenza artificiale nato per supportare i professionisti e le aziende fornendo soluzioni concrete e mirate attraverso diverse funzionalità.

Il caso pratico

Nella vicenda in esame (Trib. Milano 29 settembre 2025, n. 7207), l'amministratore del condominio, dopo aver ricevuto il blocco della sua scheda telefonica, apprendeva che sul conto corrente per l'attività professionale risultava un ammanco, a seguito di due disposizioni di bonifico da lui mai disposte in favore del beneficiario sconosciuto. Dai responsabili della Banca, il professionista aveva appreso che nel lasso di tempo in cui la precedente SIM era rimasta bloccata, l'istituto bancario era stato oggetto di diverse operazioni di bonifico in favore di beneficiari sconosciuti; tra questi, vi era il bonifico disposto dal conto corrente intestato al condominio. Per queste ragioni aveva quindi presentato, in proprio e come amministratore dei condomini coinvolti, la denuncia-querela contro ignoti (frodi informatiche da "SIM-Swap"). Dopo l'archiviazione e il rifiuto alla restituzione delle somme dell'istituto bancario, l'amministratore aveva chiesto al giudicante di accertare la responsabilità della banca per non aver impedito l'introduzione illecita da parte di terzi nel sistema telematico, nonché per aver illegittimamente riaddebitato la somma di circa 15 mila euro sul conto corrente intestato al condominio.

Costituendosi in giudizio, la banca eccepiva che le operazioni oggetto d'esame si erano verificate in quanto autorizzate dal disponente con il ripetuto corretto inserimento non solo di user id e password, bensì anche con l'autorizzazione di ogni singola operazione a mezzo di OTP virtuale sull'applicazione installata sul cellulare in possesso del cliente, nonché con il corretto inserimento di codici OTS, con specifico riguardo alle predette operazioni e inviati al numero di utenza telefonica certificata.

Inoltre, l'importo era stato correttamente riaddebitato sul conto del ricorrente, in quanto il modulo di disconoscimento sottoscritto espressamente prevedeva che, qualora fosse stato successivamente dimostrato che le operazioni erano state autorizzate, la Banca avrebbe avuto diritto di ottenere la restituzione dell'importo rimborsato in precedenza, dandone comunicazione all'intestatario del rapporto.

La questione giuridica

In un caso di frode telematica che coinvolge un condominio, l'istituto di credito è sollevato dalla responsabilità per le operazioni non autorizzate, qualora non riesca a fornire la prova della colpa grave dell'amministratore?

Il ragionamento del magistrato

Nel caso di specie, non era oggetto di contestazione tra le parti che un soggetto terzo avesse effettuato, tramite il blocco temporaneo della SIM associata, un illecito accesso al portale della Banca utilizzando le credenziali dell'amministratore di condominio ed eseguendo, tra le altre, una disposizione di bonifico dal conto corrente del condominio odierno ricorrente. Inoltre, era stato dimostrato che la linea telefonica era stata bloccata in seguito ad una segnalazione pervenuta al servizio assistenza clienti dall'intestatario.

Quanto alle doglienze della Banca, in base alle quali l'amministratore aveva incautamente fornito a terzi i codici e gli strumenti necessari per operare, queste apparivano priva di supporto probatorio. Sul punto, infatti, la Banca aveva prodotto le schermate dell'estratto delle registrazioni effettuate e dei file riportanti i log di validazione delle credenziali relative all'utenza, ma tali documenti, di per sé, non dimostravano le colpe in capo all'amministratore, così come non poteva rimproverarsi il fatto di essersi recato tardivamente (dopo 3 giorni) presso la filiale, cioè solo a seguito del blocco della linea telefonica.

Secondo il Tribunale, se da un parte non risultava provata la colpa grave dell'amministratore del condominio, invece, la responsabilità dell'istituto di credito non poteva parimenti ritenersi esclusa alla luce della clausola contenuta nel contratto, la quale prevedeva che “prima del momento in cui la segnalazione è opponibile alla Banca, le conseguenze derivanti dall'utilizzo indebito delle credenziali sono integralmente a carico della Società”; disposizione letta insieme ad altra che prevedeva che “la segnalazione è opponibile alla Banca dal momento in cui essa comunica l'apposizione del blocco all'utente”.

Era del tutto irrilevante, poi, che i sistemi informatici della Banca fossero o meno sufficientemente sicuri per impedire l'accesso illecito da parte di terzi sul portale e le successive disposizioni di bonifico poiché, in assenza della prova della colpa grave dell'amministratore del condominio, la Banca è responsabile per le autorizzazioni di pagamento da lui negate e disconosciute, a prescindere dall'adeguatezza dei sistemi nelle fasi di autenticazione dell'utente e di monitoraggio delle operazioni.

In conclusione, la Banca è stata condannata alla restituzione della somma illegittimamente riaddebitata a carico del condominio (circa 15 mila euro) e al risarcimento del danno (di ulteriori 17 mila euro).

L'utilizzo dell'IA

Dopo aver sottoposto il provvedimento all'IA, con prompt ben definiti sulla problematica del caso in esame, l'IA ha fornito il suo ragionamento con aspetti obbiettivi e critici.

In conformità della specifica normativa, l'IA ritiene corretto porre sul prestatore (Banca) l'onere di provare l'autenticazione e il corretto funzionamento procedurale. Pertanto, in assenza di prova tecnica idonea e comprensibile che dimostri la volontà del titolare o la presenza di fraudolenza imputabile all'utente, la responsabilità della Banca permane.

Quanto agli aspetti tecnici, secondo l'IA, la comprensione del significato di un log (es.: validazione OTP, riconciliazione OTS, mapping device-id/IP) richiede competenze forensi e la conoscenza dell'implementazione proprietaria del fornitore: in questi casi, l'intelligenza artificiale può descrivere le modalità tipiche di autenticazione e i possibili vettori di attacco, ma non è in grado di stabilire, senza CTU, se un particolare evento di log corrisponda a un'azione umana volontaria o a un'azione manipolata/automatizzata da terzi. Questo limita la capacità di dare un giudizio tecnico-probatorio certo in quanto la qualificazione di “colpa grave” richiede un giudizio valutativo che combina elementi fattuali e tecnici e, in assenza di prova tecnica chiara, la valutazione dell'IA si basa su princìpi normativi e giurisprudenziali ma non può sostituire la funzione probatoria che spetta alle parti e al CTU; ciò impone prudenza nella formulazione di tesi assertive.

Oltre a ciò, l'IA effettua le seguenti considerazioni.

Sintesi del ragionamento

Il ragionamento dell'IA si è focalizzato sulla ripartizione dell'onere della prova e della responsabilità in caso di operazioni di pagamento non autorizzate derivanti da frode telematica "SIM-Swap". L'analisi ha stabilito che, per sollevarsi dalla responsabilità, la Banca aveva l'onere di provare il dolo o la colpa grave dell'utente (il condominio, tramite l'amministratore). L'IA ha valutato le prove offerte dalla Banca (log di sistema e l'allegato ritardo nella segnalazione) e concludendo che queste erano insufficienti: i log provano l'esecuzione, non l'autorizzazione consapevole in frode e il ritardo di due/tre giorni non integrava la colpa grave. Di conseguenza, l'IA ha concordato con la decisione del Giudice di accogliere la domanda del condominio.

La valorizzazione degli aspetti di causa

L'IA ha dato particolare rilievo all'evoluzione della frode "SIM-Swap": riconoscendo che la frode non è stata una semplice truffa di phishing tradizionale, ma ha coinvolto una manipolazione della rete telefonica, l'IA ha implicitamente valorizzato la complessità dell'attacco, che non poteva essere facilmente neutralizzato da una diligenza ordinaria dell'utente. Oltre a ciò, l'IA ha chiaramente identificato che i documenti prodotti dalla Banca (le tracciature di sistema) erano la prova di autenticazione formale, ma non della colpa grave dell'utente. Infine, l'IA ha correttamente interpretato che l'adeguatezza del sistema è un elemento probatorio insufficiente se non si prova la colpa grave dell'utente, in quanto il rischio operativo ricade sulla Banca.

L'interpretazione della decisione del giudice

La decisione viene letta come un chiaro monito alle banche: l'onere di implementare sistemi di sicurezza non si esaurisce con l'adozione di un'autenticazione forte (come l'OTP su SIM), ma implica l'assunzione del rischio d'impresa derivante da frodi che, pur utilizzando i codici, non sono imputabili a dolo o colpa grave del cliente. Il giudice ha, inoltre, voluto sanzionare il tentativo della Banca di limitare contrattualmente la propria responsabilità con clausole non specifiche e potenzialmente vessatorie.

L'ammissione delle difficoltà interpretative

L'IA ammette una difficoltà intrinseca nella valutazione qualitativa della "colpa grave". Essendo un modello basato su dati, l'IA può solo riscontrare che la prova non è stata raggiunta, ma non può ricreare la sensibilità del giudice nella valutazione della condotta umana (l'amministratore che attende due/tre giorni). Inoltre, l'IA ha avuto difficoltà a integrare il richiesto ruolo di giurista immobiliare esperto. Sebbene il caso riguardi un Condominio, l'oggetto è puramente Bancario; l'IA ha faticato a connettere la disciplina PSD2 con le specificità del diritto condominiale e le eventuali implicazioni sulla responsabilità interna dell'amministratore.

Possibili suggerimenti e considerazioni

L'IA raccomanda di rafforzamento i sistemi di autenticazione: le banche dovrebbero adottare metodi di strong authentication che siano indipendenti dalla SIM e dal gestore telefonico per mitigare il rischio "SIM-Swap". Inoltre, ritiene che le norme debbano essere estremamente specifiche e chiare, evitando la genericità che ha portato alla nullità nel caso esaminato. Infine, le banche, per dimostrare la colpa grave, dovrebbero investire in perizie informatiche forensi che provino non solo l'autenticazione, ma anche l'esistenza di un malware o una condotta di phishing attiva e gravemente negligente sul dispositivo del cliente, andando oltre la mera tracciatura di sistema.

Le considerazioni del professionista

La sentenza del Tribunale di Milano ruota attorno alla responsabilità contrattuale della Banca per operazioni dispositive non autorizzate eseguite tramite il portale dell'istituto di credito, a seguito di una frode informatica realizzata mediante la tecnica di "SIM-Swap". Il caso coinvolge un condominio, il cui amministratore ha subìto l'illecito accesso al sistema bancario da parte di terzi, con conseguente disposizione di bonifici fraudolenti. La Banca, dopo aver inizialmente riaccreditato le somme, ha proceduto allo storno, generando il contenzioso.

L'IA valorizza il principio di proporzionalità e il dovere di diligenza professionale della Banca, sottolineando che l'efficacia dei sistemi di sicurezza deve essere valutata non solo in termini tecnici, ma anche in relazione alla capacità di prevenire attacchi prevedibili. In tale prospettiva, la responsabilità della Banca non può essere esclusa se non in presenza di condotta gravemente negligente del cliente, da provare rigorosamente.

Una delle principali criticità riscontrate è la difficoltà dell'IA nel valutare proprio la colpa grave del cliente. Invero, sebbene l'IA riconosca correttamente che la responsabilità della Banca può essere esclusa solo in presenza di colpa grave, essa tende a trattare tale elemento in modo binario: assente o presente.

In realtà, la colpa grave è una nozione giuridica sfumata, che richiede una valutazione casistica, contestuale e spesso soggettiva. L'IA, non potendo accedere a elementi extratestuali (come la condotta concreta del cliente, il suo livello di alfabetizzazione digitale, le prassi operative), rischia di sottovalutare o sovrastimare la gravità della condotta. Dunque, l'analisi del provvedimento da parte dell'IA, sebbene efficiente nella sua capacità di estrarre e sintetizzare informazioni, ha rivelato alcune intrinseche criticità e difficoltà che meritano un'argomentazione approfondita, offrendo osservazioni critiche sulle attuali capacità di un'IA nel campo giuridico e, in particolare, nel contesto del mondo condominiale.

Il conto corrente condominiale

Il Legislatore (art. 1129, comma 7, c.c.) ha previsto che l'amministratore è obbligato a far transitare le somme ricevute a qualunque titolo dai condomini o da terzi, nonché quelle a qualsiasi titolo erogate per conto del condominio, su uno specifico conto corrente, postale o bancario, intestato al condominio. Chiaramente il Legislatore, intervenendo sul conto corrente ha inteso assicurare un'immediata verifica sull'andamento della gestione in caso di controllo.

Al riguardo del conto corrente condominiale, viene disposta una sorta di “autosufficienza”: l'estratto conto deve consentire il controllo di tutte le entrate ed uscite di cassa reali, senza che si presenti la necessità di andare a cercare aliunde se gli incassi sono pervenuti o se le somme sono state erogate. Sotto altri aspetti, sarà possibile individuare se sono stati realizzati alcuni pagamenti dei condomini in contanti, tenendo presente che questi devono passare per il conto e non possono essere utilizzati, in via immediata, per pagare i fornitori. Allo stesso modo, in caso di anticipazioni da parte dell'amministratore, lo stesso dovrà versare la somma anticipata sul conto del condominio e, solo successivamente, utilizzarla per sopperire alle carenze di liquidità. Le somme depositate sul conto corrente del condominio, secondo la normativa, sono al di fuori della disponibilità dei singoli condomini: queste, una volta confluite nel conto, sono sottoposte a un vincolo di destinazione, in quanto finalizzate a essere utilizzate nell'interesse comune, in base alle determinazioni dell'assemblea condominiale (Trib. Ascoli Piceno 26 novembre 2015). Dunque, ad esse viene impresso un vincolo di destinazione (uso nell'interesse comune in base alle determinazioni dell'assemblea condominiale) che elide il legame giuridico con i singoli condomini, i quali, dal momento in cui le somme affluiscono sul conto condominiale, non possono più singolarmente e personalmente disporne (Trib. Cassino 27 maggio 2021, n. 782).

Le responsabilità della Banca

Nel rapporto contrattuale che si configura in questi casi, la posizione della Banca non è ricostruibile tanto nei termini di un soggetto obbligato alla prestazione; è piuttosto da considerare che nell'àmbito del modello organizzativo dell'home banking , l'esecuzione di operazioni formalmente autorizzate dal sedicente titolare del conto corrente, ma in realtà non consentite dal vero intestatario, costituisce il rischio professionale tipico del prestatore di servizi di pagamento (Trib. Milano 25 ottobre 2024, n. 9257). Pertanto, è responsabile l'istituto di credito in caso di sottrazione illecito del bancomat intestato al condominio.

In tale circostanza, infatti, l'istituto bancario deve dimostrare che il condominio ha omesso di custodire erroneamente il PIN oggetto di furto e, conseguentemente, di aver adottato ogni misura idonea a evitare intrusione o manomissione o i prelievi da parte di terzi abusivi. In mancanza di tale prova, risponde l'istituto di credito quando il PIN è stato carpito da soggetti terzi o dal sistema da parte di colui che ha sottratto la tessera o in concorrenza di qualcuno all'interno dell'istituto che abbia agevolato la azione fraudolenta, senza che l'istituto abbia apprestato gli adeguati sistemi per impedirlo (Trib. Velletri 9 giugno 2022, n. 1202).

La responsabilità della compagnia telefonica

Le frodi da "SIM-Swap" si verificano quando l'autore della frode convince l'operatore telefonico della vittima a trasferire il numero di telefono su una SIM controllata dal malintenzionato, consentendogli di intercettare chiamate e SMS (come quelli per l'autenticazione a due fattori) e di rubare dati e denaro.

Dunque, qualora una compagnia telefonica, in spregio alle normative, abbia colposamente contribuito alla condotta dolosa del terzo beneficiario del bonifico fraudolento, non avendo assicurato al cliente un'idonea protezione dei suoi dati, è responsabile per i danni derivanti a un utente vittima di una "SIM-Swap" (Trib. Monza 4 luglio 2022).

In questi casi, l'illecito accesso al conto corrente derivante dalla condotta colposa imputabile al gestore telefonico, rappresenterebbe una “forza maggiore” tale da escludere la configurabilità di un inadempimento contrattuale della Banca rispetto ai suoi obblighi di protezione del traffico elettronico del correntista (Trib. Taranto 5 aprile 2024).

In altri casi pressoché identici a quello di cui si discute, secondo la giurisprudenza, sia la Banca e la compagnia telefonica che abbia rilasciato indebitamente un duplicato della SIM card, sono responsabili in solido in caso di accesso al c/c del cliente e conseguenti prelievi di denaro da parte di malintenzionati, salvo nel caso in cui vi sia la colpa grave dell'utente, come nel caso di prolungata mancata attivazione delle modalità di verifica degli estratti conto online, oppure di ingenua rivelazione delle proprie credenziali segrete a soggetti non qualificati (Cass. civ., sez. I, 13 marzo 2023, n. 7214; Trib. Milano 18 gennaio 2023, n. 322).

Quanto alla materia condominiale, in altro precedente di merito, il giudice ha stabilito che l'amministratore truffato ha diritto al risarcimento del danno non patrimoniale derivante dalla scoperta di un indebito prelievo sul conto corrente condominiale e consistente nel timore di incorrere in responsabilità professionale (Trib. Piacenza 28 aprile 2025, n. 195). In tale ultimo provvedimento, la compagnia telefonica è responsabile quanto l'istituto di credito nell'aver favorito il perpetrarsi della truffa ai danni dell'attore; di qui l'obbligo di rimborsare alla compagine le somme indebitamente sottratte che non erano state restituite dalla Banca, ridotte della metà; difatti, la condotta imprudente dell'amministratore - il quale aveva comunicato le credenziali d'accesso al conto corrente cadendo nel tranello del phishing), aveva determinato un concorso di colpa ex art. 1227 c.c.

Riferimenti

Tarantino, Intelligenza artificiale: applicazioni innovative in condominio, in IUS Condominioelocazione.it, 28 aprile 2025.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
L'approccio sistematico
L'utilizzo dell'IA