Frodi informatiche e operazioni di pagamento non autorizzate: verso un nuovo equilibrio tra responsabilità della banca e tutela del cliente
Negli ultimi anni il contenzioso relativo alle operazioni di pagamento non autorizzate, in particolare quelle derivanti da frodi informatiche quali il phishing, ha assunto una dimensione sempre più rilevante nell’ambito dei rapporti tra intermediari finanziari e clienti. Nella prassi applicativa degli istituti di credito, la gestione di tali controversie si è spesso caratterizzata per un orientamento restrittivo in ordine al rimborso delle somme sottratte fraudolentemente, fondato sulla tendenza a imputare al cliente una condotta gravemente negligente nella custodia o nella comunicazione delle credenziali di sicurezza personalizzate. L’impostazione ha trovato frequente riscontro anche nella fase stragiudiziale e contenziosa, con la conseguenza che il rimborso dell’operazione contestata viene sovente negato dall’intermediario sulla base di una valutazione preventiva della condotta dell’utente, ritenuta incompatibile con gli obblighi di diligenza previsti dalla normativa europea sui servizi di pagamento. In questo quadro, la ripartizione del rischio economico delle frodi digitali tende, nella pratica, a gravare immediatamente sul cliente, il quale è costretto ad attivare strumenti di tutela giudiziaria o para-giudiziaria per ottenere la restituzione delle somme addebitate.
**Un fenomeno in aumento**
I dati più recenti sulle frodi telematiche mostrano un fenomeno in crescita sia sotto il profilo quantitativo sia sotto quello qualitativo, con un’evoluzione delle tecniche di attacco che rende sempre più difficile distinguere tra operazioni autorizzate e manipolazioni del pagatore, tanto che nella scienza di settore si parla di evoluzioni del phishing come il cosiddetto “whaling”. In Italia, le truffe informatiche rappresentano ormai una quota rilevante della criminalità economica: nel 2024 sono stati registrati oltre 55.800 casi di crimini informatici, con un incremento di circa il 10,8% rispetto all’anno precedente, mentre le truffe online costituiscono una delle principali componenti di tale fenomeno secondo il rapporto Clusit 2025. Nel medesimo periodo circa 2,8 milioni di italiani hanno dichiarato di essere stati vittime di truffe o tentativi di frode nel commercio elettronico, secondo un’indagine commissionata da Facile.it a mUp Research e Norstat. Il progressivo affinamento delle tecniche di social engineering ha inoltre determinato un mutamento strutturale della dinamica delle frodi: nella maggior parte dei casi non si assiste più a intrusioni dirette nei sistemi informatici degli intermediari, ma piuttosto a una manipolazione psicologica dell’utente finalizzata a indurlo a comunicare volontariamente le proprie credenziali di accesso o i codici dispositivi.
**L’attuale quadro giurisprudenziale**
La giurisprudenza più recente – sia di legittimità sia di merito – mostra un orientamento progressivamente più favorevole alla tutela del correntista vittima di frodi informatiche, soprattutto nei casi di phishing o di utilizzo illecito delle credenziali di home banking. Il punto di svolta può essere individuato in alcune pronunce della Corte di Cassazione del 2024, successivamente sviluppate dalla giurisprudenza di merito e dalle decisioni dell’Arbitro Bancario Finanziario nel 2025. Un principio ormai consolidato riguarda la qualificazione della responsabilità della banca in termini contrattuali: la Corte di Cassazione, con la sentenza n. 3780 del 12 febbraio 2024, ha affermato che l’utilizzo fraudolento delle credenziali di accesso ai servizi bancari online costituisce un rischio tipico dell’attività professionale dell’intermediario, rientrante quindi nel cosiddetto rischio d’impresa del prestatore di servizi di pagamento; pertanto l’intermediario risponderebbe dell’operazione non autorizzata salvo che riesca a dimostrare di aver adottato tutte le misure di sicurezza tecniche e organizzative adeguate e che l’evento sia riconducibile al dolo o alla colpa grave del cliente. In tema di onere della prova, incombe sull’operatore professionale l’onere di dimostrare il proprio corretto operato in termini di contabilizzazioni e sicurezza dell’ambiente informatico, secondo il criterio del cosiddetto “banchiere accorto” (Corte di Cassazione, sentenza n. 23683 del 4 settembre 2024).
La giurisprudenza di merito del 2025 si è collocata in linea con tale impostazione: in diverse pronunce, tra cui la sentenza n. 1934/2025 resa dal Tribunale di Roma, i giudici hanno riconosciuto la responsabilità dell’istituto di credito per operazioni fraudolente realizzate mediante phishing, ritenendo che l’intermediario non avesse dimostrato l’adozione di sistemi idonei a prevenire o intercettare operazioni anomale rispetto alla normale operatività del conto. Ulteriore sviluppo proviene dalle decisioni dell’Arbitro Bancario Finanziario, che hanno rafforzato l’orientamento secondo cui l’intermediario può andare esente da responsabilità solo se prova cumulativamente la corretta autenticazione dell’operazione, l’assenza di malfunzionamenti e l’adozione di sistemi di sicurezza adeguati rispetto ai rischi tecnologici del servizio offerto. Nel complesso, la giurisprudenza più recente evidenzia quindi tre linee interpretative principali: la riconduzione delle frodi informatiche nell’area del rischio professionale dell’intermediario; l’inversione sostanziale dell’onere della prova a carico della banca; e la necessità di dimostrare non soltanto la correttezza formale della procedura di autenticazione, ma anche l’adeguatezza complessiva dei sistemi di sicurezza rispetto alle tecniche di attacco informatico. In tale contesto, la responsabilità dell’utente viene esclusa salvo che l’intermediario dimostri una condotta connotata da dolo o colpa grave, ad esempio nella comunicazione consapevole delle credenziali o nel ritardo ingiustificato nella segnalazione dell’operazione fraudolenta.
Nell’applicazione pratica, tuttavia, gli operatori bancari troppo spesso si ancorano al comportamento del cliente per escludere, talvolta del tutto, la propria responsabilità; una lettura anacronistica se si considera che, nella stragrande maggioranza dei casi, non vi è un accesso diretto ed illecito tramite furto delle credenziali dell’internet banking, ma piuttosto una “pesca” dei dati ai danni del malcapitato utente, vittima di raggiri dapprima psicologici e poi tecnologici.
**Possibili scenario: le conclusioni dell’avvocato generale Rantos nella causa C-70/25**
È proprio in questo contesto evolutivo che si inserisce la questione interpretativa sottoposta alla Corte di giustizia dell’Unione europea nell’ambito della causa C-70/25: nelle conclusioni presentate il 5 marzo 2026, l’avvocato generale Athanasios Rantos ha affrontato in modo sistematico il tema del rimborso delle operazioni di pagamento non autorizzate alla luce della disciplina contenuta nella Direttiva (UE) 2015/2366, proponendo una ricostruzione interpretativa destinata a incidere in modo significativo sull’attuale prassi applicativa degli intermediari bancari.
Il punto centrale dell’analisi riguarda l’interpretazione dell’articolo 73, paragrafo 1, della direttiva – disposizione che impone al prestatore di servizi di pagamento di rimborsare immediatamente l’importo dell’operazione non autorizzata una volta che il pagatore abbia segnalato l’addebito.
Secondo l’avvocato generale, tale obbligo deve essere interpretato in senso rigoroso: la banca è tenuta a procedere al rimborso senza indugio e non può subordinare tale restituzione a una preventiva valutazione circa la condotta dell’utente o circa l’eventuale sussistenza di una negligenza grave nella gestione delle credenziali di sicurezza. La normativa europea, infatti, non prevede alcuna eccezione che consenta all’intermediario di sospendere o rifiutare il rimborso sulla base di una propria valutazione preliminare della responsabilità del cliente.
L’unica ipotesi in cui l’intermediario può discostarsi da tale obbligo riguarda il caso in cui sussistano ragionevoli motivi per sospettare un comportamento fraudolento dello stesso cliente; in tale circostanza, tuttavia, la banca deve comunicare formalmente tali sospetti all’autorità nazionale competente, circoscrivendo quindi l’eccezione a situazioni effettivamente anomale e non semplicemente a ipotesi di imprudenza dell’utente.
La ricostruzione proposta dall’avvocato generale si fonda su una lettura sistematica della direttiva. In particolare, egli distingue chiaramente il piano del rimborso immediato da quello della ripartizione finale delle perdite. Il primo, disciplinato dall’articolo 73 della direttiva, risponde a una logica di tutela immediata dell’utente dei servizi di pagamento e impone alla banca di ripristinare senza ritardo la situazione patrimoniale del cliente antecedente all’operazione fraudolenta. Il secondo, regolato invece dall’articolo 74 della direttiva, riguarda la possibilità di imputare le perdite al pagatore qualora venga accertato che quest’ultimo abbia agito con dolo o con negligenza grave nella violazione degli obblighi di custodia delle credenziali di sicurezza personalizzate.
Ne deriva, secondo l’avvocato generale, un modello procedurale articolato in due momenti distinti. In una prima fase la banca deve procedere al rimborso dell’operazione non autorizzata, senza poter opporre al cliente una presunta responsabilità nella gestione delle proprie credenziali. In una seconda fase, qualora ritenga che l’utente abbia effettivamente violato gli obblighi di sicurezza previsti dalla normativa, l’intermediario potrà agire nei confronti del cliente per ottenere la restituzione delle somme rimborsate, assumendo tuttavia su di sé l’onere di dimostrare la sussistenza del dolo o della negligenza grave.
Qualora questa lettura dovesse essere recepita nella futura sentenza della Corte, il quadro attuale potrebbe conoscere un rilevante mutamento di prospettiva. Il rimborso immediato dell’operazione non autorizzata diverrebbe infatti la regola generale di tutela del pagatore, mentre l’eventuale responsabilità dell’utente assumerebbe rilievo solo in un momento successivo e distinto, nel quale l’intermediario sarebbe chiamato a dimostrare l’effettiva violazione degli obblighi di sicurezza.
Una simile evoluzione interpretativa potrebbe incidere profondamente sulla gestione del contenzioso bancario relativo alle frodi informatiche, contribuendo al contempo a ridefinire l’equilibrio tra tutela del consumatore e responsabilità degli intermediari nel mercato europeo dei pagamenti digitali.
Il tema di nuovo interesse sarebbe quello di individuazione della cd. “negligenza grave” che bloccherebbe l’iter prospettato dall’avvocato generale: un criterio ancora troppo generico in questa sua prima declinazione.
Scrivici su Whatsapp