Il Collegio di Milano dell’ABF, con decisione n. 11265 del 19 dicembre 2025 (Pres. A. Tina, Rel. V. Capizzi), si è pronunciato sulla responsabilità della banca a seguito del furto di carte di pagamento, in un caso di mancata attivazione del servizio di SMS Alert.
Nella fattispecie all’attenzione dell’Arbitro, il ricorrente si doleva della realizzazione di quattro operazioni di pagamento effettuate mediante gli strumenti rubati dalla sua borsa, e segnatamente due operazioni di prelevamento di contante presso un ATM e due operazioni di pagamento tramite POS.
Il ricorrente, disconoscendo tali operazioni, chiedeva il rimborso delle somme perdute, mentre l’intermediario si opponeva alla domanda rilevando la regolare esecuzione dei pagamenti, mediante utilizzo di tecnologia microchip e corretta digitazione del PIN, ed invocando altresì la colpa grave del ricorrente.
Il Collegio, dato atto che alla controversia è applicabile ratione temporis il D.lgs. n. 11/2010 come modificato a seguito del recepimento della Dir. (UE) 2015/2366 (cd. Payment Services Directive II, PSD II), ha affermato che ai fini dell’individuazione della parte cui addossare la responsabilità dell’accaduto dovessero accertarsi la regolare autenticazione ed esecuzione delle operazioni di pagamento e l’eventuale colpa grave o dolo del ricorrente; circostanze, entrambe, delle quali deve dar prova l’intermediario, ai sensi dell’art. 10, co. 1° e 2°, D.lgs. cit.
In merito al primo profilo, l’Arbitro, dando seguito ad un consolidato orientamento (ex multis ABF Milano n. 1065/2023), ha ritenuto provata la regolare esecuzione delle operazioni per mezzo della produzione – ad opera dell’intermediario – dei file di log e della relativa legenda, dai quali emerge l’applicazione dell’autenticazione a due fattori (cd. Strong Customer Authentication, SCA), costituita dal possesso della carta con microchip e dalla conoscenza dei relativi codici PIN segreti.
Per quanto attiene al profilo del dolo o colpa grave dell’utente, l’Arbitro ha preliminarmente richiamato l’orientamento del Collegio di Coordinamento (decisione n. 22745/2019) in base al quale non è sufficiente, per l’intermediario chiamato a provare i suddetti elementi, dimostrare documentalmente la regolare esecuzione e validazione dell’operazione; ove tuttavia la prova fornita si limitasse a ciò, comunque il Collegio – se palesemente emerga dagli atti – può ritenere provati gli elementi in discorso.
Dopodiché, la decisione valorizza una serie di indici caratterizzanti la fattispecie esaminata, per giungere ad affermare, nel caso di specie, la colpa grave del ricorrente, e segnatamente: la non ricorrenza di elementi attestanti la qualificazione del fatto come “furto con destrezza”; la mancanza di allegazioni chiare sulla dinamica del fatto (sul punto anche ABF Roma n. 8030/2025; ABF Milano n. 1216/2023, n. 2863/2021); la consumazione del furto in luogo pubblico (in cui la soglia di attenzione del ricorrente avrebbe dovuto innalzarsi; nello stesso senso ABF Milano n. 2043/2023, n. 14459/2022); la tardività del blocco delle carte di pagamento (circa 3 ore dopo l’accaduto) e della denuncia all’Autorità Giudiziaria (8 giorni dopo) e del disconoscimento delle operazioni (22 giorni dopo); la contestuale sottrazione di più strumenti di pagamento e l’incauta custodia delle carte unitamente ai codici segreti.
D’altro lato, il Collegio non ha mancato di rilevare che sussistesse altresì la responsabilità dell’intermediario, in quanto non si fosse dotato del sistema di SMS Alert, che è obbligatorio per gli intermediari (sul punto, ABF Coll. coord. n. 24366/2019) e avrebbe potuto impedire, informando tempestivamente la ricorrente delle prime due operazioni, i due successivi pagamenti fraudolenti, avvenuti dopo circa un’ora.
Di conseguenza, il Collegio accoglie parzialmente il ricorso, condannando parte resistente a rimborsare a parte ricorrente le somme perdute con le due operazioni sarebbero evitabili con l’istituzione del servizio SMS Alert, e per il resto confermando la colpa grave dell’utente.
