Il Collegio ABF di Roma, con decisione n. 10894 dell’11 dicembre 2025 ha accolto il ricorso di un cliente di una banca vittima di un caso di phishing, in ragione della mancata costituzione dell’intermediario, e, pertanto, della mancata prova della correttezza dell’autenticazione, registrazione e contabilizzazione delle operazioni contestate.
Si ricorda che sull’onere della prova in tema di SCA e sulle conseguenze del suo mancato assolvimento la nostra Rivista ha organizzato per il 14 aprile 2026 il webinar “Frodi nei pagamenti, Strong Customer Authentication e onere della prova – Casistica concreta alla luce delle Q&A EBA, orientamenti ABF e giurisprudenziali“.
Nonostante, con riferimento al caso di specie, il Collegio fosse in presenza di una attività conclamata di phishing, che addosserebbe all’utilizzatore una colpa grave nella custodia degli strumenti di riconoscimento, la banca non ha allegato la prova dell’autenticazione, registrazione e contabilizzazione dell’operazione: e ciò nonostante l’art. 10 del D. Lgs. 11/2010 preveda un preciso onere della prova in tema di SCA (strong customer authentication) a carico del prestatore di servizi.
Il phishing, in ambito bancario e finanziario, è quel tentativo di truffa digitale tramite la quale soggetti terzi tentano di acquisire informazioni riservate (come PIN di carte di debito o di credito, password o credenziali di accesso a conti correnti o conti di pagamento) fingendo di essere un’entità affidabile, in una comunicazione elettronica (come una e-mail o un SMS). La giurisprudenza ABF maggioritaria non la ritiene una truffa particolarmente sofisticata, e ne addossa la colpa (grave) all’utente, non al prestatore di servizi di pagamento.
D’altro canto, ricorda il Collegio, la giurisprudenza dell’ABF è concorde nel ritenere esclusa la colpa grave dell’utilizzatore in caso manchi tale prova; richiama sul punto le recenti decisioni del Collegio di Roma (n. 26738/2019), di Torino (n. 3464/2018) e di Milano (nn. 6339/2016 e 682/2016), per cui “è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
Secondo l’orientamento dei Collegi, in sostanza, solo a seguito dell’assolvimento di tale onere probatorio assume rilievo la valutazione della sussistenza della colpa grave in capo all’utilizzatore prevista dall’art. 12, c. 3 del D. Lgs. n. 11/2010, con conseguente spostamento della responsabilità in capo a quest’ultimo.
Nel caso in esame, l’intermediario resistente non allega la prova dell’autenticazione, registrazione e contabilizzazione dell’operazione, con la conseguenza che non rileva l’eventuale comportamento gravemente colposo del cliente e la richiesta di accertamento del disconoscimento dell’operazione deve essere accolta, con conseguente obbligo di rimborso da parte dell’intermediario dell’importo ad essa relativo, senza applicazione della franchigia prevista dalla legge
