La frode informatica di tipo man in the browser (MITB) rappresenta una delle forme più evolute di aggressione ai sistemi di home banking, idonea a eludere anche utenti diligenti e presìdi di sicurezza avanzati. Il contributo analizza la qualificazione sistematica della fattispecie ex art. 640-ter c.p., il quadro normativo di riferimento (d.lgs. n. 11/2010, come modificato dal d.lgs. n. 218/2017), il riparto degli oneri probatori tra intermediario e utente, nonché gli approdi dell’Arbitro Bancario Finanziario e della giurisprudenza di legittimità e di merito in tema di responsabilità della banca per operazioni di pagamento non autorizzate compiute tramite MITB.
1. Frode informatica e truffa: inquadramento sistematico
L’art. 640-ter c.p. colloca la frode informatica nell’ambito dei delitti contro il patrimonio mediante frode, quale proiezione tecnologica della tradizionale fattispecie di truffa ex art. 640 c.p.
L’affinità strutturale è evidente: in entrambe le ipotesi si richiede il perseguimento di un ingiusto profitto con altrui danno. Ciò che muta è il modus operandi:
nella truffa l’evento lesivo discende dall’induzione in errore della vittima attraverso artifizi o raggiri;
nella frode informatica l’offesa si realizza mediante intervento manipolativo o alterativo su un sistema informatico o telematico, che produce una disposizione patrimoniale non voluta, senza necessaria intermediazione dell’errore umano nelle forme tipiche dell’inganno.
Sotto il profilo del rapporto tra norme, la frode informatica si configura come fattispecie speciale rispetto alla truffa, poiché preserva la struttura finalistica della condotta fraudolenta, sostituendo tuttavia l’inganno “psicologico” con la manipolazione tecnologica del sistema. La tutela si sposta dal solo affidamento del soggetto passivo all’affidabilità dell’infrastruttura informatica e dei relativi protocolli di sicurezza.
2. La fattispecie “man in the browser”: dinamica operativa
La forma di frode del c.d. man in the browser (MITB), è stata oggetto di puntuale elaborazione da parte del Collegio di Coordinamento dell’Arbitro Bancario Finanziario nella decisione n. 3498/2012.
Il MITB si caratterizza, in sintesi, per:
Infezione del terminale dell’utente tramite malware appartenente alla famiglia dei trojan, spesso inattivo sino all’accesso a siti di home banking selezionati.
Interposizione occulta tra il browser dell’utente e il server dell’intermediario: il programma malevolo è in grado di intercettare, modificare e instradare le comunicazioni, presentando all’utente pagine perfettamente sovrapponibili a quelle autentiche.
Simulazione di procedure di sicurezza: il malware genera maschere che appaiono provenire dal sito bancario, richiedendo l’inserimento di credenziali, codici dispositivi e OTP “per finalità di verifica”, inducendo l’utente – anche attento – a collaborare.
Utilizzo in tempo reale dei codici carpiti per disporre operazioni fraudolente, spesso mentre l’utente ritiene di svolgere ordinarie operazioni sul proprio conto.
Elemento qualificante del MITB è l’impercettibilità dell’alterazione: la condotta criminosa non si esaurisce nel mero phishing grossolano, ma sfrutta la sovrapposizione tra ambiente simulato e ambiente reale, collocandosi in quell’area di “ignoto tecnologico” che difficilmente può essere fronteggiato dal singolo correntista con gli ordinari canoni di diligenza.
In tali casi, l’alterazione del sistema informatico e la captazione delle credenziali, operata a monte rispetto alla volontà dispositiva dell’utente, integrano compiutamente il paradigma dell’art. 640-ter c.p.
3. Il quadro normativo: d.lgs. n. 11/2010 e regime di protezione dell’utente
La disciplina delle operazioni MITB in ambito bancario si innesta nel sistema delineato dal d.lgs. n. 11/2010 (attuativo della PSD, poi armonizzato alla PSD2 dal d.lgs. n. 218/2017), che configura un regime di particolare protezione dell’utilizzatore dei servizi di pagamento.
3.1. L’onere probatorio ex art. 10 d.lgs. n. 11/2010
L’art. 10, comma 1, prevede che, ove l’utente neghi di aver autorizzato un’operazione di pagamento, incombe sul prestatore di servizi di pagamento (PSP) l’onere di provare che:
l’operazione è stata autenticata;
è stata correttamente registrata e contabilizzata;
non ha subito le conseguenze di malfunzionamenti o altri inconvenienti delle procedure di esecuzione.
Il successivo comma 2 chiarisce che tale prova non è sufficiente, di per sé, a dimostrare che l’operazione sia stata autorizzata dall’utente, né che questi abbia agito in modo fraudolento o con dolo o colpa grave. È il PSP che deve dimostrare l’esistenza di tali elementi soggettivi.
3.2. Il rimborso immediato ex art. 11
In difetto di prova della condotta fraudolenta o gravemente colposa dell’utente, l’art. 11 impone all’intermediario di rimborsare immediatamente l’importo dell’operazione non autorizzata e di riportare il conto “nello stato in cui si sarebbe trovato se l’operazione non avesse avuto luogo”, con data valuta non successiva a quella dell’addebito.
Solo in presenza di un motivato sospetto di frode l’intermediario può sospendere il rimborso, con obbligo di immediata comunicazione alla Banca d’Italia; sospensione che non esonera, comunque, dall’onere di successiva dimostrazione della riconducibilità dell’operazione all’utente.
3.3. Collegamento con gli artt. 1218 e 1176, comma 2, c.c.
La disciplina speciale si coordina con il principio generale di responsabilità contrattuale ex art. 1218 c.c. e con il parametro della diligenza qualificata dell’intermediario ex art. 1176, comma 2, c.c.
Ne deriva che:
l’intermediario risponde per inadempimento se non prova di aver adottato tutte le misure idonee a prevenire l’uso indebito degli strumenti di pagamento e delle credenziali;
la gestione delle frodi informatiche rientra nell’area del rischio professionale della banca, chiamata a fronteggiare tecniche di attacco evolute e in continua trasformazione.
4. Il favor per l’utente e l’elaborazione dell’ABF
L’orientamento consolidato dei Collegi dell’ABF, a partire dalle decisioni del Collegio di Coordinamento n. 897/2014 e n. 22745/2019, ha precisato che il regime delineato dagli artt. 10 e 11 d.lgs. n. 11/2010 configura un favor probatorio per l’utente, la banca dunque deve provare il dolo o la colpa grave del cliente attraverso indizi chiari, precisi e concordanti, tratti dalle concrete modalità dell’operazione (orari, device utilizzati, indirizzi IP, superamento soglie di rischio, alert inviati, precedenti utilizzi, ecc.) e la mera produzione dei log attestanti l’autenticazione tecnica dell’operazione o la conformità formale delle procedure non assolve l’onere probatorio; l’utente risponde solo ove emerga un comportamento macroscopicamente imprudente (es. comunicazione volontaria e incontrollata di più codici dispositivi, mancata custodia evidente, mancata tempestiva segnalazione a fronte di chiari segnali di allarme).
Nell’ipotesi MITB, in cui l’utente opera in un ambiente fraudolento ma apparentemente identico a quello della banca, il margine di addebitabilità soggettiva all’utilizzatore tende fisiologicamente a restringersi.
5. Giurisprudenza: responsabilità contrattuale e rischio tecnologico
La giurisprudenza di legittimità e di merito si è progressivamente allineata a un modello di responsabilità bancaria rafforzata.
Sul punto significativa è la pronuncia Cass. Sez. I 23 maggio 2016 n. 10638in cui in applicazione dell’art. 15 del Codice privacy (oggi art. 82 GDPR) in combinato con l’art. 2050 c.c., la Corte afferma la responsabilità dell’istituto che, quale titolare del trattamento, non impedisca l’introduzione illecita nel sistema telematico del cliente e le conseguenti disposizioni abusive, salvo prova che l’evento sia dovuto a trascuratezza, errore o frode dell’interessato o a forza maggiore ed ancora Cassazione 5.7.2019 n. 18045 con cui viene ribadita la natura contrattuale della responsabilità della banca per operazioni effettuate mediante strumenti elettronici e si chiarisce che la colpa grave dell’utente è configurabile in presenza di condotte gravemente omissive, come la mancata verifica per un lungo periodo degli estratti conto a fronte di anomalie evidenti.
Nella stessa direzione il Tribunale di Milano con la sentenza n. 7644/18 chequalifica le operazioni fraudolente online come rischio proprio dell’attività professionale del PSP, con conseguente obbligo di dimostrare l’adozione di misure adeguate di sicurezza, salva l’ipotesi di dolo o colpa grave del cliente.
Le pronunce dei Tribunali (Pistoia, 12 luglio 2022, n. 654; Pordenone, 3 febbraio 2025, n. 73; Torre Annunziata, 2 maggio 2025, n. 1091; Venezia, 1 luglio 2025, n. 3383), in linea con gli indirizzi dell’ABF e della Cassazione, valorizzano:
l’onere dell’intermediario di dimostrare l’affidabilità del sistema e l’assenza di anomalie note o prevedibili, l’esigenza di sistemi di monitoraggio proattivo (alert, blocchi automatici, verifica di operazioni anomale), la residualità dell’addebito all’utente, confinato a ipotesi di evidente e documentata colpa grave.
In questo quadro, la frode MITB viene generalmente ricondotta all’area di rischio che l’intermediario deve gestire e prevenire attraverso misure tecniche, organizzative e informative adeguate.
