Decisione ABF Palermo n. 7384/2025: colpa grave e Strong Customer Authentication sotto la lente dell’arbitro
La Decisione n. 7384 del 29 luglio 2025 del Collegio ABF di Palermo (premere qui per leggere) affronta un tema ormai centrale nel contenzioso bancario digitale, quello della ripartizione della responsabilità nei casi di bonifici istantanei fraudolenti.
Il caso è paradigmatico. Sei bonifici istantanei. Una sottrazione complessiva di 4.380 euro. Tre conti correnti coinvolti.
E, soprattutto, una domanda cruciale: quando il prestatore di servizi di pagamento può andare esente da responsabilità?
Il fatto: operazioni notturne e nuovo dispositivo registrato
La ricorrente lamentava l’esecuzione, nella notte del 22 gennaio 2025, di sei bonifici istantanei verso soggetti sconosciuti.
Sosteneva di non aver mai ricevuto link fraudolenti. Negava di aver comunicato credenziali.
L’intermediario, per contro, documentava la registrazione di un nuovo dispositivo pochi giorni prima, l’utilizzo di codici segreti personali, l’impiego di OTP inviati via sms, notifiche push trasmesse su due dispositivi e autorizzazioni mediante fattore biometrico e mobile token.
Il perno della controversia era chiaro: la Strong Customer Authentication era stata correttamente implementata?
Il quadro normativo: PSD2 e onere probatorio
Le operazioni si collocano nella vigenza del D.Lgs. 11/2010, come modificato dal D.Lgs. 218/2017, attuativo della direttiva (UE) 2015/2366 (PSD2).
Gli artt. 97 e 98 della direttiva, unitamente al Regolamento delegato (UE) 2018/389, disciplinano i requisiti tecnici della autenticazione forte.
Il Collegio richiama un principio consolidato: la mera prova della corretta autenticazione tecnica non basta.
L’intermediario deve dimostrare l’assenza di malfunzionamenti e fornire elementi presuntivi idonei a provare il dolo o la colpa grave dell’utente.
Questo è il vero baricentro interpretativo.
La registrazione del nuovo dispositivo: il punto di svolta
Dalla documentazione prodotta emergeva che, il 16 gennaio 2025, era stato registrato un nuovo dispositivo per l’home banking.
La procedura risultava conforme alla Strong Customer Authentication, con inserimento del codice cliente, digitazione di codici segreti personali, utilizzo di OTP inviato via sms e attivazione tramite notifiche push.
Il Collegio ha ritenuto tali elementi coerenti con gli standard di sicurezza richiesti.
Ma non è tutto.
Gli indizi di colpa grave
L’elemento decisivo è stato individuato in un sms ricevuto dalla cliente.
Il messaggio, pur formalmente plausibile, presentava vistosi errori di punteggiatura.
Secondo il Collegio, tali anomalie avrebbero dovuto indurre un utente diligente a dubitare dell’autenticità della comunicazione.
Si aggiunge un ulteriore profilo.
La ricorrente non ha chiarito in modo circostanziato le modalità della presunta truffa.
Il silenzio sulle dinamiche dell’accaduto è stato valorizzato come elemento valutabile ai fini della decisione.
Ne consegue che il Collegio ha ravvisato profili di colpa grave.
Alert e notifiche: sistema funzionante
Un ulteriore passaggio merita attenzione.
La cliente aveva dichiarato di essersi accorta delle operazioni tramite le notifiche ricevute.
Questo dato, lungi dal rafforzare la sua posizione, ha dimostrato che il sistema di alert predisposto dall’intermediario funzionava correttamente.
Le operazioni, seppur ravvicinate, sono state effettuate su tre distinti conti correnti.
Non è stato quindi ravvisato un indice di anomalia tale da fondare un concorso di colpa dell’intermediario.
Il principio affermato
La decisione si conclude con il rigetto del ricorso.
Il messaggio è netto.
Quando l’intermediario prova l’adozione di un sistema conforme alla Strong Customer Authentication e dimostra elementi presuntivi di colpa grave dell’utente, il rimborso può essere legittimamente negato.
La soglia della diligenza dell’utente digitale viene così elevata.
Non basta affermare di non aver autorizzato l’operazione. Occorre ricostruire con precisione l’accaduto.
E soprattutto, occorre dimostrare di aver agito con prudenza qualificata.
Implicazioni sistemiche
La decisione si inserisce in un orientamento ormai consolidato dell’Arbitro Bancario Finanziario.
La responsabilità dell’intermediario non è automatica.
Il sistema della PSD2 costruisce un equilibrio sofisticato tra sicurezza tecnologica e responsabilizzazione dell’utente.
In un contesto di crescente digitalizzazione dei servizi finanziari, la tutela si gioca su un terreno probatorio sempre più tecnico.
E sempre più esigente.
Consigli operativi per gli utenti: prevenzione e prova della diligenza
La decisione esaminata dimostra che la tutela dell’utente nei pagamenti digitali non è automatica. La protezione normativa opera, ma presuppone una condotta attiva e consapevole.
Come Osservatorio Italiano sul Diritto delle Nuove Tecnologie sentiamo forte la responsabilità di incrementare la consapevolezza sui rischi e sull’utilizzo delle nuove tecnologie, per cui concludiamo questo articolo fornendo qui di seguito alcune indicazioni di prudenza “qualificata”.
1. Verificare sempre il contenuto degli sms di sicurezza.
Un OTP non è mai neutro. Il testo che lo accompagna indica la finalità dell’operazione. Se il messaggio fa riferimento alla registrazione di un nuovo dispositivo o alla modifica delle credenziali, occorre interrompere immediatamente la procedura e contattare l’intermediario.
2. Non autorizzare mai operazioni non richieste.
La digitazione di un codice, anche in assenza di click su link fraudolenti, può perfezionare una registrazione dispositiva. L’autenticazione forte non distingue tra operazione lecita e operazione indotta con artifici.
3. Attivare e monitorare costantemente gli alert.
Le notifiche push non sono meri strumenti informativi. Costituiscono presidi di difesa preventiva.
Una reazione tempestiva può bloccare ulteriori disposizioni.
4. Conservare traccia immediata dell’accaduto.
Screenshot, orari, contenuto dei messaggi ricevuti, log di accesso.
Nel contenzioso bancario digitale la prova documentale è determinante.
5. Esporre in modo dettagliato le dinamiche della truffa.
Il silenzio o la genericità possono essere interpretati come indice di negligenza. La ricostruzione analitica dei fatti rafforza la posizione dell’utente.
6. Segnalare immediatamente l’anomalia all’intermediario.
La tempestività incide sulla valutazione della diligenza. Un ritardo può compromettere la pretesa restitutoria.
Una nuova soglia di attenzione
L’evoluzione tecnologica, non ci stancheremo mai di dirlo, ha elevato gli standard di sicurezza, è verò, ma parallelamente, si è inevitabilmente innalzata la soglia della diligenza richiesta al cliente.
Nel sistema delineato dalla PSD2, la sicurezza è condivisa. L’intermediario deve predisporre presidi conformi alla Strong Customer Authentication. L’utente deve esercitare una vigilanza attiva e informata.
Solo l’equilibrio tra queste due dimensioni consente di evitare che una frode digitale si trasformi in un danno irreversibile.
Sull'autore
