WEBINAR / 14 Aprile
Frodi nei pagamenti, Strong Customer Authentication e onere della prova


Casistica concreta alla luce delle Q&A EBA, orientamenti ABF e giurisprudenziali

ZOOM MEETING
Offerte per iscrizioni entro il 24/03

SCOPRI I DETTAGLI

WEBINAR / 14 Aprile
Frodi nei pagamenti, Strong Customer Authentication e onere della prova
SCOPRI I DETTAGLI
Login
Shopping cart
Contatti
Categorie tematiche
Categorie tematiche
Link veloci
Link veloci
DB Business
DB Business
Chi siamo
Chi siamo
Contatti
Login
Shopping cart
www.dirittobancario.it
Attualità
Servizi bancari e finanziari

Phishing: rimborso anche in caso di colpa grave del cliente

L’interpretazione proposta dall’Avvocato generale UE

26 Marzo 2026

Nereo Dordolo, Responsabile Reclami, Crédit Agricole Italia

Di cosa si parla in questo articolo
Banca d’Italia Corte di giustizia UE phishing
Vuoi leggere la versione PDF?
Indice dell'articolo
  1. Frodi digitali e servizi di pagamento
  2. Il caso alla base della causa C-70/25
  3. Rimborso immediato e responsabilità del pagatore nella PSD2
  4. Le conclusioni dell’Avvocato Generale
  5. La diligenza del cliente come prima difesa contro le frodi
  6. Gli orientamenti dell’Arbitro Bancario Finanziario e della giurisprudenza
  7. Le indicazioni della Banca d’Italia e le prassi operative degli intermediari
  8. Prospettive di evoluzione normativa e implicazioni operative
  9. Considerazioni conclusive
Condividi

Il contributo analizza le conclusioni presentate il 5 marzo 2026 nella causa C-70/25, dall’Avvocato Generale Athanasios Rantos con cui propone alla Corte di giustizia dell’Unione europea una lettura degli artt. 73 e 74 della direttiva (UE) 2015/2366 (PSD2) che distingue tra obbligo di rimborso immediato delle operazioni di pagamento non autorizzate (nel caso di specie tramite phishing) e successiva verifica della responsabilità del cliente. La questione assume particolare rilievo anche alla luce delle prassi operative degli intermediari e delle indicazioni di vigilanza della Banca d’Italia in materia di disconoscimento delle operazioni non autorizzate, nonché delle possibili implicazioni operative che deriverebbero da un’interpretazione della disciplina europea nel senso prospettato nelle conclusioni dell’Avvocato Generale.

 1. Frodi digitali e servizi di pagamento

La crescente diffusione dei servizi di pagamento digitali, dell’home banking e delle piattaforme di e-commerce ha determinato un incremento significativo dei fenomeni di frode informatica, tra i quali assume particolare rilievo il phishing.

Il legislatore europeo è intervenuto con la direttiva (UE) 2015/2366 (PSD2), introducendo un sistema normativo volto a garantire un elevato livello di tutela dei clienti (pagatori) dei servizi di pagamento e, al contempo, un quadro armonizzato di responsabilità tra questi ultimi e i prestatori di servizi di pagamento.

In questo contesto si collocano le conclusioni dell’Avvocato Generale Athanasios Rantos, presentate il 5 marzo 2026 nella causa C-70/25 dinanzi alla Corte di giustizia dell’Unione europea.

La questione assume particolare rilievo nel contesto attuale, caratterizzato dalla crescente diffusione delle frodi informatiche connesse all’utilizzo dei servizi di pagamento digitali.

2. Il caso alla base della causa C-70/25

La controversia trae origine da un caso di phishing verificatosi in Polonia.

Una cliente, dopo aver pubblicato un annuncio su una piattaforma di vendita online, veniva contattata da un soggetto che si presentava come potenziale acquirente. Quest’ultimo le inviava un link fraudolento che riproduceva l’interfaccia della banca.

Convinta di trovarsi sul sito autentico dell’intermediario, la cliente inseriva le proprie credenziali bancarie consentendo al truffatore di accedere al conto e disporre un pagamento non autorizzato.

Accortasi dell’operazione il giorno successivo, la cliente segnalava l’accaduto alla banca e alle autorità competenti chiedendo il rimborso della somma sottratta.

L’intermediario negava tuttavia il rimborso sostenendo che la cliente avesse agito con grave negligenza nella custodia delle credenziali di sicurezza.

Il giudice nazionale ha quindi sottoposto alla Corte di giustizia una questione interpretativa relativa al rapporto tra gli artt. 73 e 74 della PSD2.

3. Rimborso immediato e responsabilità del pagatore nella PSD2

La PSD2 disciplina il regime di responsabilità per operazioni di pagamento non autorizzate attraverso un sistema articolato.

L’art. 73 della direttiva stabilisce che, in caso di operazione non autorizzata, il prestatore di servizi di pagamento deve rimborsare l’importo dell’operazione senza indugio e, comunque, entro la fine della giornata lavorativa successiva alla segnalazione.

L’unica eccezione riguarda l’ipotesi in cui il prestatore abbia ragionevoli motivi per sospettare una frode da parte del cliente, circostanza che deve essere comunicata alle autorità competenti.

Parallelamente, l’art. 74 della direttiva disciplina la ripartizione delle perdite tra intermediario e cliente, prevedendo che quest’ultimo possa essere chiamato a sopportare integralmente le perdite qualora abbia agito con dolo o con negligenza grave nella custodia delle credenziali di sicurezza personalizzate.

4. Le conclusioni dell’Avvocato Generale

Nelle proprie conclusioni, l’Avvocato Generale propone di interpretare tali disposizioni nel senso che esse disciplinano due momenti distinti della procedura di rimborso.

Secondo tale impostazione:

  • in una prima fase l’intermediario dovrebbe procedere al rimborso immediato dell’operazione non autorizzata;
  • in una fase successiva potrebbe accertare se il cliente abbia violato con dolo o negligenza grave gli obblighi previsti dalla direttiva.

Qualora tale circostanza venga dimostrata, l’intermediario potrebbe successivamente richiedere la restituzione delle somme rimborsate.

L’interpretazione proposta tende quindi a rafforzare il principio del rimborso immediato quale presidio di tutela del cliente, rinviando la valutazione della responsabilità a una fase successiva.

5. La diligenza del cliente come prima difesa contro le frodi

La tutela prevista dalla normativa europea non può essere letta prescindendo dagli obblighi di comportamento che gravano sul cliente (pagatore).

La PSD2 stabilisce infatti che il cliente deve:

  • utilizzare lo strumento di pagamento conformemente alle condizioni contrattuali;
  • adottare tutte le misure ragionevoli per proteggere le credenziali di sicurezza personalizzate.

La prima linea di difesa contro le frodi digitali resta pertanto il comportamento diligente del cliente, chiamato a utilizzare gli strumenti di pagamento con adeguata prudenza e consapevolezza.

6. Gli orientamenti dell’Arbitro Bancario Finanziario e della giurisprudenza

Il tema della ripartizione delle responsabilità nelle frodi informatiche è stato oggetto di un consolidato orientamento da parte dell’Arbitro Bancario Finanziario, che ha progressivamente definito i criteri di valutazione delle operazioni di pagamento non autorizzate.

In una prima fase, l’ABF ha affermato il principio secondo cui grava sull’intermediario l’onere di dimostrare la corretta autenticazione, registrazione e contabilizzazione dell’operazione, nonché l’assenza di disfunzioni tecniche o di altri malfunzionamenti del sistema, senza che la sola prova dell’utilizzo delle credenziali sia sufficiente a dimostrare l’autorizzazione dell’operazione o la colpa grave del cliente.

Successivamente, l’orientamento si è evoluto nel senso di attribuire rilievo centrale alla valutazione del comportamento del cliente, con particolare riferimento alla custodia delle credenziali di sicurezza e alla capacità di riconoscere eventuali anomalie nelle operazioni.

Nei casi di frodi realizzate mediante tecniche di phishing, smishing o spoofing, l’ABF ha chiarito che la responsabilità del cliente può configurarsi in presenza di condotte manifestamente imprudenti, quali:

  • l’inserimento delle credenziali su pagine web non riconducibili con certezza all’intermediario;
  • la comunicazione a terzi dei codici dispositivi o delle credenziali personali;
  • la mancata percezione di elementi di anomalia facilmente riconoscibili nelle richieste ricevute.

Ne emerge un principio chiaro: la tutela del cliente non è incondizionata, ma deve essere bilanciata con gli obblighi di diligenza che su di esso gravano, escludendo forme di responsabilità oggettiva dell’intermediario.

Analogamente, la giurisprudenza di legittimità ha affermato che, in materia di operazioni effettuate mediante strumenti elettronici, il rischio di utilizzo fraudolento delle credenziali rientra nell’area del rischio professionale dell’intermediario, il quale è tenuto a dimostrare la riconducibilità dell’operazione al cliente (Cass. ord. 12 aprile 2018, n. 9158).

Nel complesso, gli orientamenti dell’ABF e della giurisprudenza delineano un sistema nel quale il rimborso dell’operazione non autorizzata costituisce la regola, mentre la responsabilità del cliente rappresenta un’eccezione, operante nei soli casi in cui sia accertata una condotta caratterizzata da dolo o colpa grave.

In questa prospettiva, l’equilibrio delineato sul piano interpretativo trova un riscontro anche sul piano operativo, dove gli intermediari sono chiamati a dare concreta attuazione ai principi della PSD2 attraverso soluzioni che consentano di coniugare la tempestività del rimborso con la necessità di accertare l’eventuale responsabilità del cliente.

È proprio in tale contesto che si collocano le indicazioni di vigilanza della Banca d’Italia e le prassi operative sviluppatesi nel mercato, esaminate nel paragrafo che segue.

7. Le indicazioni della Banca d’Italia e le prassi operative degli intermediari

Negli ultimi anni la Banca d’Italia è intervenuta con specifiche indicazioni in materia di gestione dei disconoscimenti di operazioni di pagamento non autorizzate, da ultimo con la comunicazione al sistema del 17 giugno 2024, i cui effetti si sono consolidati nelle prassi operative nel corso del 2025.

In tale documento, l’Autorità ha richiamato l’esigenza di assicurare una gestione delle richieste di rimborso coerente con il quadro normativo delineato dal d.lgs. n. 11/2010 – attuativo della PSD2 – ribadendo che il prestatore di servizi di pagamento è tenuto a rimborsare l’operazione non autorizzata senza indugio e, comunque, entro la giornata lavorativa successiva.

Alla luce di tali indicazioni, si è progressivamente consolidata nella prassi operativa degli intermediari la soluzione dell’accredito provvisorio o accredito “salvo buon fine” (SBF).

Tale meccanismo non costituisce una deviazione dalla disciplina normativa, bensì una modalità applicativa coerente con la struttura dell’art. 73 della PSD2, in quanto consente di dare attuazione all’obbligo di rimborso tempestivo senza pregiudicare la corretta applicazione del regime di responsabilità.

In particolare, l’accredito SBF consente:

  • di ripristinare immediatamente la disponibilità del cliente;
  • di svolgere, in una fase successiva, gli approfondimenti istruttori necessari a verificare la sussistenza di eventuali profili di dolo o colpa grave.

Esso rappresenta quindi un punto di equilibrio tra tutela immediata del cliente e sostenibilità del sistema, evitando che il rimborso si traduca in un trasferimento definitivo del rischio in capo all’intermediario prima del completamento delle verifiche.

Tuttavia, proprio in questa logica, deve rilevarsi che qualora già nella fase iniziale emergano elementi chiari e univoci idonei a configurare una condotta gravemente negligente del cliente, l’effettuazione di un accredito – anche solo provvisorio – risulterebbe difficilmente giustificabile.

In tali ipotesi, infatti, il sistema normativo consente all’intermediario di negare fin da subito il rimborso, in coerenza con il meccanismo di riparto della responsabilità delineato dall’art. 74 della direttiva.

8. Prospettive di evoluzione normativa e implicazioni operative

Alla luce delle prassi operative sopra descritte, assume particolare rilievo la questione interpretativa affrontata nelle conclusioni dell’Avvocato Generale nella causa C-70/25.

L’impostazione proposta sembrerebbe infatti orientata verso una lettura della PSD2 secondo la quale l’intermediario sarebbe tenuto in ogni caso a procedere al rimborso immediato, anche quando emergano sin da subito elementi indicativi della sussistenza di una condotta gravemente negligente del cliente.

Una simile interpretazione determinerebbe un significativo scostamento rispetto all’attuale assetto operativo, fondato su una gestione differenziata delle fattispecie e su un utilizzo calibrato dell’accredito provvisorio.

In particolare, verrebbe meno la possibilità di:

  • ricorrere all’accredito SBF nei casi dubbi, in attesa degli approfondimenti istruttori;
  • negare immediatamente il rimborso nei casi in cui la colpa grave appaia già evidente.

Ne deriverebbe un evidente paradosso operativo: l’intermediario si troverebbe nella condizione di dover procedere comunque al rimborso anche in presenza di elementi già idonei a escludere la propria responsabilità, per poi dover attivare successivamente strumenti di recupero delle somme nei confronti del cliente.

Sotto il profilo giuridico, ciò comporterebbe un mutamento nella natura dell’accredito.

Nella prassi attuale, l’accredito salvo buon fine consente il riaddebito in via contabile. Diversamente, un rimborso effettuato in via definitiva assumerebbe la natura di pagamento pieno e irrevocabile, con la conseguenza che l’eventuale recupero delle somme potrebbe avvenire solo attraverso strumenti restitutori.

In particolare, l’intermediario dovrebbe ricorrere a un’azione giudiziale di ripetizione dell’indebito ex art. 2033 c.c., con evidente aggravio dei tempi, dei costi e del contenzioso.

Le criticità evidenziate non attengono quindi solo a un profilo interpretativo, ma incidono direttamente sull’assetto complessivo del sistema dei pagamenti, rendendo necessario interrogarsi sulla coerenza tra la lettura proposta e i principi che regolano il riparto della responsabilità tra cliente e intermediario.

9. Considerazioni conclusive

La causa C-70/25 pone al centro dell’attenzione un tema cruciale per l’equilibrio del sistema dei pagamenti: il corretto bilanciamento tra tutela del cliente e responsabilità degli intermediari.

L’interpretazione proposta dall’Avvocato Generale, se confermata dalla Corte di giustizia, comporterebbe un rafforzamento del principio del rimborso immediato, ma al tempo stesso inciderebbe profondamente sulle modalità operative oggi adottate dagli intermediari.

In particolare, verrebbe meno quel meccanismo – rappresentato dall’accredito salvo buon fine – che consente oggi di dare attuazione all’art. 73 PSD2 in modo sistematicamente coerente, garantendo al contempo la possibilità di accertare la sussistenza di eventuali profili di colpa grave.

L’obbligo di procedere in ogni caso a un rimborso immediato e definitivo rischierebbe infatti di generare effetti distorsivi, imponendo agli intermediari di anticipare somme anche in presenza di elementi già indicativi di responsabilità del cliente e di dover successivamente ricorrere a strumenti giudiziali per il loro recupero.

In tale prospettiva, la futura pronuncia della Corte sarà determinante per chiarire se il principio del rimborso immediato debba essere interpretato in termini assoluti, ovvero in modo coerente con il complessivo sistema di riparto della responsabilità delineato dalla PSD2, evitando soluzioni interpretative suscettibili di compromettere l’equilibrio tra tutela del cliente e sostenibilità operativa del sistema dei pagamenti.

Di cosa si parla in questo articolo
Banca d’Italia Corte di giustizia UE phishing
Vuoi leggere la versione PDF?

WEBINAR / 14 Aprile
Frodi nei pagamenti, Strong Customer Authentication e onere della prova


Casistica concreta alla luce delle Q&A EBA, orientamenti ABF e giurisprudenziali

ZOOM MEETING
Offerte per iscrizioni entro il 24/03

SCOPRI I DETTAGLI
Iscriviti alla nostra Newsletter
ISCRIVITI