Il Collegio di Palermo dell’Arbitro Bancario Finanziario, con decisione del 16 giugno 2025, n. 5836 (Pres. M.R. Maugeri, Rel. P. Di Stefano), si è pronunciato su un caso che vedeva il cliente chiedere alla banca il rimborso di tre operazioni di pagamento eseguite a seguito di un episodio di phishing, una frode informatica consistente nell’indurre tramite e-mail il titolare di uno strumento di pagamento a comunicare o a inserire su dispositivi o piattaforme informatiche le proprie credenziali personalizzate.
In particolare, il ricorrente affermava che il proprio padre, che disponeva della carta con la quale erano stati disposti i pagamenti, aveva ricevuto un’e-mail apparentemente proveniente da una piattaforma d’intrattenimento televisivo, nella quale veniva chiesto un aggiornamento dei dati di pagamento.
Questi aveva inserito i dati della carta e, conseguentemente, il phisher li aveva utilizzati per effettuare tre operazioni di pagamento.
Il Collegio ha respinto il ricorso rilevando anzitutto come l’intermediario avesse dato prova che le operazioni fossero state correttamente autorizzate con autenticazione forte ai sensi degli artt. 10 e 10-bis del D. Lgs. n. 11/2010.
In secondo luogo, l’Arbitro ha riscontrato anche una colpa grave del cliente, vittima di phishing, una truffa “attuata secondo uno schema ricorrente e noto”: secondo il Collegio meneghino, infatti, “La diffusione del fenomeno, le modalità piuttosto rudimentali con cui prende corpo e le reiterate campagne di sensibilizzazione poste in essere dagli intermediari sono tali da far ritenere che l’utilizzatore sia caduto vittima di una truffa banale, cui facilmente avrebbe potuto sottrarsi con l’impiego di una media diligenza”.
L’Arbitro, quindi, prosegue precisando che, in caso di phishing, “il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non espertissimo navigatore di internet”.
Da ultimo, il Collegio ha valutato la sussistenza di un’eventuale negligenza dell’intermediario, considerato il potenziale carattere fraudolento delle operazioni di cui si discute ai fini dell’art. 8 del D.M. 112/2007.
Nel caso di specie, però, la banca ha dato prova di essersi attivata tempestivamente per bloccare ulteriori pagamenti (infatti, risultavano essere state eseguite tre operazioni di pari importo a distanza di breve tempo l’una dall’altra, mentre due di poco successive risultavano essere state bloccate).
