Con decisione n. 9708 del 6 novembre 2025, il Collegio di Torino dell’Arbitro Bancario Finanziario (Pres. E.C. Lucchini Guastalla, Rel. E. Isaia) ha statuito in materia di responsabilità per operazioni di pagamento non autorizzate eseguite mediante tecniche di spoofing e vishing, pervenendo a una ripartizione paritetica del danno tra intermediario e cliente.
Nel caso di specie, la ricorrente era stata indotta, tramite un SMS civetta inserito nella medesima chat dei messaggi autentici dell’intermediario e una successiva telefonata da un numero fisso riconducibile al servizio blocco carte, a comunicare i codici OTP al truffatore, consentendo l’esecuzione di una transazione non autorizzata di € 3.980,00.
Il Collegio ha rilevato che l’intermediario aveva correttamente provato il funzionamento del sistema di autenticazione forte (Strong Customer Authentication) ai sensi del D. Lgs. n. 11/2010, come modificato dal D. Lgs. n. 218/2017, in attuazione della direttiva PSD2.
Ciò nondimeno, il Collegio ha osservato che “l’assenza di evidenti indici di anomalia nel messaggio civetta, l’inserimento del messaggio nella chat in cui si sono ricevuti in precedenza altri SMS genuini da parte dello stesso intermediario (c.d. Spoofing) rappresentano elementi insidiosi che possono indurre in confusione la vittima”, escludendo pertanto la colpa grave in capo alla ricorrente.
Al contempo, tuttavia, la ricorrente “ha ammesso la collaborazione alla realizzazione della truffa, comunicando i codici e le informazioni personali che avrebbe dovuto diligentemente custodire”.
Alla luce di tali elementi, il Collegio ha concluso che “le responsabilità in merito all’operazione fraudolenta debbano essere ripartite fra le parti nella misura del 50%”, con conseguente condanna dell’intermediario al rimborso di € 1.990,00 oltre interessi legali dalla data del reclamo.
