Con decisione n. 7384 del 29 luglio 2025, il Collegio di Palermo dell’Arbitro Bancario Finanziario, in linea con la PSD2 e il D. Lgs. n. 11/2010, ha ribadito che l’intermediario è esente da responsabilità qualora fornisca la prova dell’autenticazione forte (SCA) e della colpa grave dell’utente.
Il Collegio di Palermo ha ribadito anche che, affinché l’intermediario possa andare esente da responsabilità, deve fornire prova “oltre che dell’insussistenza di malfunzionamenti, dell’adozione di un sistema di sicurezza adeguato e della corretta registrazione, autenticazione e contabilizzazione delle operazioni contestate”.
Inoltre, richiamandosi a quanto stabilito dal Collegio di Coordinamento con la decisione n. 22745/2019, il Collegio di Palermo ha ribadito che la sola prova tecnica non basta, in quanto l’intermediario deve anche indicare “una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”.
Nel caso di specie, una correntista aveva disconosciuto sei bonifici istantanei per un totale di € 4.380,00, eseguiti nella notte del 22 gennaio 2025 su tre diversi conti correnti, sostenendo di non aver mai ricevuto SMS sospetti.
L’intermediario ha, infatti, documentato in corso di procedura che pochi giorni prima, il 16 gennaio 2025, era stato associato ai conti della ricorrente un nuovo dispositivo mediante procedura di Strong Customer Authentication (autenticazione forte) corretta e che le operazioni dispositive erano state autorizzate con fattore biometrico e notifiche push inviate a entrambi i dispositivi associati ai conti di addebito delle operazioni controverse.
Il Collegio di Palermo ha, dunque, ravvisato la colpa grave nella condotta della ricorrente in quanto non ha prestato la dovuta attenzione al contenuto dei messaggi ricevuti: il messaggio SMS fraudolento ricevuto dalla ricorrente e utilizzato per il compimento della frode, pur non contenendo errori grammaticali, era caratterizzato da «vistosi errori di punteggiatura che avrebbero dovuto indurre la cliente ad escludere che provenisse dall’intermediario».
Inoltre, il Collegio di Palermo ha attribuito rilevanza decisiva al comportamento processuale della parte, evidenziando “il colpevole silenzio della ricorrente sulle modalità con cui si sarebbero svolti i fatti e su come si sarebbe perfezionata la truffa in suo danno”, atteggiamento che impedisce la ricostruzione degli accadimenti e ha una sua specifica rilevanza ai fini della decisione da assumere.
Pertanto, ritenuta provata la colpa grave della cliente a causa della mancata – e incauta – rilevazione delle anomalie nel messaggio di phishing e dall’assenza di spiegazioni sulla sottrazione delle credenziali, escludendo altresì la responsabilità della banca per mancato blocco preventivo, attesa la ripartizione delle operazioni su tre conti diversi.
