Condominio Web: Il portale N.1 sul condominio
Iscriviti alla
Newsletter
chiudi
Inviaci un quesito

Phishing sul conto condominiale: l'amministratore risarcisce se comunica i codici OTP

Se l'amministratore comunica i codici OTP a un falso operatore senza verifiche preventive, la truffa informatica non lo esonera: il condominio può ottenere il risarcimento dell'ammanco sul conto comune e delle commissioni bancarie dalla frode.

CondominioWeb Lex AI 
26 Mag. 2026

L'amministratore di condominio che esercita professionalmente l'incarico e gestisce somme comuni tramite strumenti digitali risponde dell'ammanco se la perdita è causalmente collegata alla violazione della diligenza qualificata richiesta dalla natura dell'attività svolta. La frode informatica commessa da terzi non esclude, di per sé, la responsabilità del mandatario quando l'evento dannoso sia stato agevolato da condotte imprudenti, da verifiche omesse e da carenze organizzative nella protezione degli strumenti informatici utilizzati per operare sul conto condominiale.

Il Tribunale di Milano, con sentenza n. 4235 del 19 maggio 2026, ha accolto la domanda del condominio e ha accertato la responsabilità contrattuale dell'amministratore per l'ammanco verificatosi sul conto corrente condominiale a seguito di una truffa informatica. La condanna è stata fondata sul rapporto di mandato, sugli obblighi propri dell'amministratore e sul parametro di diligenza di cui all'art. 1176, comma secondo, c.c., applicato a un'attività esercitata in forma professionale e organizzata.

La vicenda

Il condominio agiva in giudizio nei confronti del precedente amministratore, chiedendo l'accertamento dell'inadempimento nell'esecuzione del mandato e la condanna al risarcimento dei danni subiti in conseguenza della sottrazione di somme dal conto corrente condominiale.

La nuova amministrazione, all'esito del passaggio di consegne e delle verifiche contabili, aveva rilevato l'esecuzione, in data 19 ottobre 2022, di nove bonifici dal conto corrente condominiale in favore di soggetti ignoti, per complessivi euro 38.700,00. Dalle spiegazioni richieste all'amministratore uscente emergeva che lo studio era stato vittima di un episodio di phishing: durante l'accesso all'home banking, un soggetto qualificatosi come operatore del servizio di alert della banca aveva riferito l'esistenza di presunti bonifici non autorizzati e aveva indotto l'amministratore a comunicare telefonicamente codici OTP, presentandoli come necessari per bloccare o stornare le operazioni.

La frode aveva interessato più conti correnti di condominii amministrati dallo stesso studio, con uscite complessive per euro 74.080,00. Nel caso del condominio attore, la banca era riuscita a richiamare soltanto una parte dei bonifici, restituendo euro 15.894,40. Residuvava quindi un ammanco di euro 22.890,74, cui si aggiungevano euro 85,14 per commissioni bancarie, per un danno complessivamente liquidato in euro 22.975,88.

L'amministratore contestava la propria responsabilità, sostenendo di essere stato vittima di una truffa particolarmente sofisticata e di non essere l'autore materiale della condotta penalmente e civilmente rilevante. Chiedeva inoltre di chiamare in causa la compagnia assicurativa presso la quale era stata stipulata una polizza di responsabilità civile professionale.

La decisione

Il Tribunale ha ricondotto il rapporto tra condominio e amministratore allo schema del mandato con rappresentanza, richiamando gli artt. 1129, 1130 e 1131 c.c. e, per quanto non espressamente disciplinato dalla normativa condominiale, le norme sul mandato. Da tale inquadramento discende l'applicazione dell'art. 1218 c.c. in tema di responsabilità contrattuale e dell'art. 1710 c.c. sull'obbligo del mandatario di eseguire l'incarico con diligenza.

Nel caso concreto, però, il parametro non è stato limitato alla diligenza ordinaria del buon padre di famiglia. L'attività era svolta con un'organizzazione di mezzi e collaboratori, attraverso computer e personale di studio, per una pluralità di condominii. Per questo il giudice ha applicato la diligenza qualificata richiesta dall'art. 1176, comma secondo, c.c. alle obbligazioni inerenti all'esercizio di un'attività professionale.

La motivazione valorizza espressamente la natura professionale dell'incarico e collega la responsabilità non alla mera esistenza della truffa, ma alle modalità con cui l'amministratore vi aveva dato seguito:

"un amministratore di condominio [...] che svolge la propria attività nelle suddette forme organizzate e per una pluralità di condomini, assume il ruolo di professionista al quale nell'adempimento del contratto con i condomini è richiesta una diligenza qualificata, superiore a quella che viene richiesta ad una persona comune [...] ed è commisurata alla prestazione che lo stesso deve eseguire".

"[l'amministratore], senza effettuare alcun controllo preventivo, decideva di dar seguito a quanto richiesto dal sedicente 'operatore' e solo giunti alla quattordicesima transazione a seguito di un controllo effettuato da una dipendente dello studio, compiva quelle necessarie verifiche sull'APP della Banca che avrebbe dovuto svolgere preventivamente".

La condotta è stata quindi ritenuta negligente e imprudente perché l'amministratore aveva comunicato i codici dispositivi senza svolgere le verifiche preventive che la situazione imponeva. Il fatto che l'uscita delle somme fosse stata materialmente provocata da terzi truffatori non ha interrotto il nesso di imputazione, poiché l'evento era stato agevolato dal comportamento del professionista.

Il Tribunale ha attribuito rilievo anche agli avvisi pubblicati dalla banca sulle modalità dei tentativi di truffa informatica e sulle cautele da adottare. Tali informazioni, secondo il giudice, rientravano nel patrimonio di conoscenze che un amministratore professionale, abilitato a operare su conti correnti condominiali tramite home banking, avrebbe dovuto consultare e conoscere.

Un ulteriore elemento è stato tratto dalla relazione tecnica predisposta sui server dello studio. Da tale documento risultavano criticità del sistema informatico, tra cui carenze di protezione perimetrale, rischio di phishing e furto di identità, presenza di un sito malevolo e compromissione del computer in uso a una dipendente. Il giudice ha letto tali risultanze come conferma della mancata adozione, prima dell'evento, di misure idonee a garantire la sicurezza dell'apparato informatico dello studio professionale.

Sul piano probatorio, il Tribunale ha applicato le regole della responsabilità contrattuale: il condominio aveva provato il rapporto gestorio, l'ammanco, la sequenza delle operazioni e il danno patrimoniale; spettava invece all'amministratore dimostrare che l'inadempimento fosse dovuto a causa a lui non imputabile o che la propria condotta fosse stata conforme alla diligenza richiesta. Tale prova è stata ritenuta mancante.

La domanda è stata quindi accolta per euro 22.975,88, oltre interessi legali determinati ai sensi dell'art. 1284 c.c., dal momento del pagamento sino alla proposizione della domanda e, successivamente, secondo il quarto comma della medesima disposizione sino al saldo. È stata accolta anche la domanda di manleva nei confronti dell'assicuratore della responsabilità civile professionale, nei limiti della franchigia contrattuale; è stata invece rigettata la domanda di condanna ex art. 96, comma terzo, c.p.c.

I riferimenti giurisprudenziali

  • Cass. civ., Sez. II, ord. n. 7874/2021: il contenuto del contratto di amministrazione condominiale è disciplinato dagli artt. 1129, 1130 e 1131 c.c.; per quanto non previsto, trova applicazione la disciplina del mandato.
  • Cass. civ., Sez. VI-II, n. 20137/2017; Cass. civ., Sez. II, n. 9082/2014; Cass. civ., Sez. II, n. 14197/2011: il rapporto tra amministratore e condominio è riconducibile al mandato con rappresentanza, con conseguente applicazione delle relative regole obbligatorie e gestorie.
  • Cass. civ., n. 15328/2018; Cass. civ., Sez. III, n. 3373/2010: nella responsabilità contrattuale il creditore deve provare la fonte del diritto e allegare l'inadempimento o l'inesatto adempimento; il debitore deve dimostrare l'esatto adempimento o la causa non imputabile dell'inadempimento.
  • Cass. civ., Sez. III, n. 15986/2008: nella responsabilità extracontrattuale il danneggiato deve provare danno, nesso causale e colpa secondo il criterio del "più probabile che non"; il richiamo serve a distinguere il diverso regime probatorio applicabile alla responsabilità da mandato.
  • Cass. civ. n. 10815/2000; Cass. civ. n. 25904/2009: orientamento anteriore alla riforma condominiale, richiamato dal Tribunale per escluderne l'applicazione alla gestione professionale considerata nel caso concreto, nella quale opera il parametro più rigoroso dell'art. 1176, comma secondo, c.c.
  • Trib. Milano n. 1480/2026: in una vicenda di frode informatica sul conto condominiale è stata esclusa la responsabilità dell'amministratore quando non era stata provata una condotta negligente e risultavano iniziative tempestive di denuncia, disconoscimento, tutela verso la banca e informazione al gestore subentrante.
  • App. Roma n. 7647/2024; Trib. Genova n. 736/2024: l'addebito di mala gestio non produce automaticamente un'obbligazione risarcitoria; occorre la prova del danno effettivo e del nesso causale tra condotta gestoria e pregiudizio patrimoniale.
  • Trib. Roma n. 4760/2022: quando il condominio deduce un ammanco di cassa o una distrazione di somme, non bastano contestazioni generiche o fatture insolute; occorrono estratti conto e riscontri documentali idonei a ricostruire entrate, uscite e saldo finale.

Considerazioni conclusive

L'amministratore che gestisce professionalmente il patrimonio condominiale tramite strumenti digitali deve adottare cautele coerenti con la natura dell'incarico, con il valore delle somme amministrate e con i rischi ordinariamente conoscibili nell'uso dell'home banking. Nel caso deciso la responsabilità nasce dalla combinazione tra comunicazione dei codici OTP senza controlli preventivi, avvisi antifrode conoscibili e criticità dell'apparato informatico dello studio, tutti elementi che il Tribunale ha ritenuto incompatibili con la diligenza professionale dovuta dal mandatario.

L'inquadramento nel mandato, già affermato dagli arresti di legittimità richiamati dal Tribunale, consente di leggere la condanna come applicazione delle regole ordinarie della responsabilità contrattuale: il condominio ha documentato rapporto gestorio, operazioni in uscita, recuperi parziali e perdita residua; l'amministratore non ha provato l'esatto adempimento né una causa non imputabile idonea a interrompere il collegamento tra condotta e ammanco. Il limite probatorio resta quello segnato da App. Roma n. 7647/2024 e Trib. Genova n. 736/2024: la mala gestio non si traduce in risarcimento se mancano prova del pregiudizio e nesso causale. Per un approfondimento, v. il danno da mala gestio e l'onere della prova.

La diversa soluzione adottata da Trib. Milano n. 1480/2026 delimita con precisione il campo applicativo della regola. Anche lì la perdita dipendeva da una frode informatica sul conto condominiale, ma la domanda è stata respinta perché non era stata dimostrata una condotta negligente dell'amministratore e risultavano iniziative tempestive di denuncia, disconoscimento, tutela verso la banca e informazione al gestore subentrante. Qui, invece, la comunicazione dei codici dispositivi e le carenze di sicurezza hanno assunto un ruolo causale diretto nella produzione del danno. In tal senso può vedersi anche la frode informatica sul conto condominiale.

Il richiamo a Trib. Roma n. 4760/2022 aggiunge un ulteriore argine, utile nelle azioni fondate su ammanchi: la responsabilità dell'amministratore non può essere costruita su sospetti o ricostruzioni contabili incomplete, ma richiede documenti capaci di seguire il flusso delle somme comuni. In questa vicenda tale soglia è stata superata perché l'ammanco derivava da bonifici identificati, da un recupero parziale della banca e da un residuo patrimoniale determinato; sul punto v. anche il rilievo decisivo degli estratti conto.

La frode informatica non diventa, quindi, una causa automatica di esonero né una fonte automatica di responsabilità. La condanna opera quando il danno alle somme comuni sia conseguenza immediata e diretta di una gestione imprudente degli strumenti dispositivi e di un'organizzazione professionale non adeguata al rischio concretamente fronteggiato.

**Questo commento è stato redatto con il supporto dell’intelligenza artificiale. Può contenere imprecisioni, incompletezze o interpretazioni semplificate.
Per approfondimenti o per ogni utilizzo, si raccomanda la consultazione del testo integrale del provvedimento.
Resta aggiornato
Iscriviti alla Newsletter
Fatti furbo, è gratis! Più di 100.000 amministratori, avvocati e condomini iscritti.

Ricevi tutte le principali novità sul condominio e le più importanti sentenze della settimana direttamente nella tua casella email.

Dello stesso argomento