Il Collegio di Bologna dell’Arbitro Bancario Finanziario, con le decisioni nn. 10687 e 10692 del 5 dicembre 2025 (Pres. C. Tenella Sillani, Rel. S. Traversi), si è pronunciato sull’applicabilità del regime di responsabilità previsto dalla Payment Services Directive (PSD) e sull’onere della prova in ordine alle modalità della truffa subita dal cliente (come il phishing), ai fini della valutazione della responsabilità dell’intermediario.
Il Collegio, in entrambe le decisioni, ha ribadito che, nei casi in cui l’operazione venga eseguita per intero dal pagatore raggirato via messaggio o telefonicamente (con inserimento della disposizione di pagamento e di tutti i fattori di autenticazione), essa deve considerarsi autorizzata e non è quindi soggetta al regime di responsabilità previsto dalla PSD.
In tali ipotesi, non è configurabile una responsabilità oggettiva del prestatore di servizi di pagamento, potendosi tuttavia ravvisare una sua eventuale responsabilità concorrente sulla base delle evidenze disponibili e secondo le norme di diritto comune, ove emerga un contributo causale alla realizzazione della frode.
A tal riguardo, è stato confermato l’orientamento secondo cui “la mancata allegazione, da parte del cliente, di evidenze dell’avvenuto “accalappiamento” tipico del phishing (quali e-mail/sms civetta contenenti link truffaldini), determina il rigetto del ricorso in quanto non consente di verificare se il mittente risulti riconducibile all’intermediario e sia pertanto possibile un legittimo affidamento dell’utente circa la genuinità del messaggio (cfr. ex multis Collegio di Bologna, decisione n. 11920 del 26 agosto 2022)” (enfasi aggiunta).
In entrambi i casi si trattava di phishing in cui i clienti, tratti in inganno da comunicazioni apparentemente provenienti dall’intermediario o da soggetti collegati, disponevano operazioni su istruzione dei truffatori. In entrambe le vicende, la mancanza di prova dei messaggi fraudolenti e la cooperazione del cliente hanno condotto al rigetto dei ricorsi per colpa grave.
