Una cliente riceve una telefonata da un numero che sembra essere quello del servizio clienti della sua banca. L’interlocutore, presentandosi come operatore dell’istituto, la convince a eseguire operazioni che si rivelano essere una truffa. In pochi minuti, oltre quattromila euro spariscono dal conto corrente. La decisione emessa dall’Arbitro Bancario Finanziario di Milano nel 2025 affronta una questione cruciale: quando una banca ha realmente assolto l’onere di provare la sicurezza delle operazioni contestate dal cliente?
Il caso solleva interrogativi di estrema attualità sui servizi bancari digitali e sulle sempre più sofisticate tecniche di frode informatica. La tecnica dello spoofing telefonico permette ai malintenzionati di far apparire sul display del telefono della vittima il numero ufficiale della banca, abbattendo così le difese del cliente. Ma quando si verifica una frode di questo tipo, chi deve sopportarne le conseguenze economiche? Il Collegio dell’Arbitro Bancario Finanziario ha dovuto decidere se fosse sufficiente che la banca dimostrasse l’autenticazione delle singole transazioni o se dovesse provare anche la legittimità dell’accesso iniziale tramite nuovo dispositivo.
➡️ RICHIEDI UNA CONSULENZA ⬅️ all’Avv. Cosimo Montinaro – email segreteria@studiomontinaro.it
Indice
- ESPOSIZIONE DEI FATTI
- NORMATIVA E PRECEDENTI
- DECISIONE DEL CASO E ANALISI
- ESTRATTO DELLA SENTENZA
- SCARICA LA SENTENZA ⬇️
ESPOSIZIONE DEI FATTI
La vicenda trae origine il sette dicembre del 2023, quando una cliente titolare di un conto corrente presso un istituto bancario internazionale riceve una telefonata alle ore diciassette e quarantotto. Il numero visualizzato sul display del telefono corrisponde esattamente a quello del servizio clienti della banca, circostanza che tranquillizza immediatamente la donna.
L’interlocutore si presenta come operatore della banca e comunica alla cliente di aver rilevato sospetti tentativi di pagamento verso l’estero dal suo conto. Suggerisce quindi di simulare dei bonifici per dimostrare la genuinità del conto. La proposta appare logica e rassicurante alla cliente, che decide di seguire le istruzioni ricevute.
Seguendo quanto indicato durante la chiamata, la cliente accredita sul proprio conto la somma complessiva di cinquemilatrecento euro, prelevandola da altro conto a lei intestato presso un diverso intermediario. Tuttavia, nel tentativo di predisporre i bonifici in uscita dal conto, non riesce ad accedere alla propria applicazione di home banking.
L’operatore telefonico la rassicura e si rende disponibile a completare l’operazione da remoto. A quel punto vengono predisposti due bonifici e due ordini di pagamento su carta di credito per un importo complessivo di quattromiladuecentodiciotto euro e novantuno centesimi. Durante l’esecuzione di queste operazioni, la cliente riceve alcuni codici di autenticazione tramite SMS, alcuni dei quali pervenuti addirittura prima dell’orario della chiamata telefonica, ma non riesce a interrompere quanto sta accadendo.
Una volta terminata la chiamata, la cliente si accorge dell’irregolarità e contatta immediatamente il servizio clienti della banca, scoprendo di essere stata vittima di una truffa. In data due gennaio del 2024 sporge denuncia presso le autorità competenti. Nella denuncia, tuttavia, descrive alcuni dettagli in modo parzialmente difforme rispetto a quanto poi esporrà nel ricorso.
In particolare, nella denuncia riferisce che dopo aver eseguito i bonifici da un altro conto presso un diverso intermediario, non riusciva ad accedere alla propria app di home banking, che il truffatore predisponeva direttamente le operazioni contestate e che lei si limitava a constatare l’arrivo di alcuni SMS contenenti codici di autenticazione.
In data undici marzo del 2025 la cliente invia un reclamo all’intermediario, che rimane privo di riscontro. A quel punto decide di rivolgersi all’Arbitro Bancario Finanziario.
Con ricorso depositato il ventuno maggio del 2025, la cliente chiede la condanna della banca al rimborso della somma di quattromiladuecentodiciotto euro e novantuno centesimi, oltre al pagamento delle spese legali. Sostiene che la responsabilità dell’intermediario risiede nell’inadeguatezza dei sistemi di sicurezza e nella mancata adozione di misure idonee a prevenire accessi fraudolenti e operazioni non autorizzate.
La ricorrente contesta la mancata attivazione da parte della banca dei meccanismi di controllo previsti per rilevare operazioni anomale, in particolare considerando la rapidità, l’entità e la natura delle transazioni eseguite. Contesta inoltre di aver richiesto alla banca la documentazione necessaria per comprendere la dinamica delle operazioni fraudolente e lamenta che la banca non abbia prodotto prova dell’avvenuta corretta autenticazione delle operazioni contestate.
L’intermediario si costituisce chiedendo il rigetto del ricorso. Afferma che le operazioni sono state correttamente registrate, autorizzate e autenticate tramite inserimento delle credenziali e codici OTP ricevuti sul numero di cellulare associato al conto corrente della ricorrente. Contesta che vi sia stato un malfunzionamento dei sistemi e imputa la responsabilità della frode alla condotta colposa della cliente, che avrebbe fornito tali codici al truffatore durante la telefonata.
Sostiene inoltre che la tecnica di spoofing telefonico è nota e già comunicata ai clienti mediante informative, e non può essere imputata all’intermediario. Nelle repliche, la ricorrente ribadisce la propria estraneità all’esecuzione delle operazioni e contesta la mancanza di prova dell’effettiva comunicazione dei codici OTP al truffatore.
La cliente evidenzia la mancata attivazione di alert, la vulnerabilità del sistema della banca e l’assenza di una dimostrazione documentale esaustiva in ordine alla corretta procedura di autenticazione. Insiste sull’obbligo dell’intermediario di dimostrare l’autenticità delle operazioni e la presenza di eventuale colpa grave dell’utente.
L’intermediario, nelle controrepliche, ribadisce che l’autenticazione forte è stata eseguita correttamente e che le operazioni non avrebbero potuto essere eseguite senza la collaborazione della cliente. A tal fine produce una mail e una notifica push concernenti l’accesso da un nuovo dispositivo associato all’account, invitando la ricorrente a contattare il numero verde qualora non lo riconoscesse.
La banca esclude qualsiasi malfunzionamento o violazione dei propri sistemi di sicurezza e ritiene evidente la colpa grave della cliente per aver condiviso i codici ricevuti e aver agevolato l’accesso non autorizzato.
NORMATIVA E PRECEDENTI
Il quadro normativo applicabile alla controversia è rappresentato dal decreto legislativo numero 11 del 27 gennaio 2010, come modificato dal decreto legislativo numero 218 del 15 dicembre 2017. Questa normativa disciplina i servizi di pagamento e stabilisce i diritti e gli obblighi delle parti coinvolte nelle operazioni di pagamento elettronico.
L’articolo 10 del decreto stabilisce un principio fondamentale in materia di onere della prova. Quando il ricorrente, quale utente di servizi di pagamento, ha negato di aver autorizzato le operazioni di pagamento eseguite, è onere dell’intermediario, ai sensi della norma citata, quale prestatore di servizi di pagamento, provare che tali operazioni sono state autenticate, correttamente registrate e contabilizzate e che non hanno subito le conseguenze del malfunzionamento delle procedure necessarie per la loro esecuzione o altri inconvenienti.
L’articolo 10-bis del medesimo decreto dispone che i prestatori di servizi di pagamento sono tenuti ad applicare modalità di autenticazione forte del cliente, comunemente denominata SCA ossia Strong Customer Authentication, quando l’utente accede al suo conto di pagamento online, dispone un’operazione di pagamento elettronico, o effettua qualsiasi azione tramite un canale a distanza che può comportare un rischio di frode nei pagamenti o altri abusi.
Nel caso di avvio di un’operazione di pagamento elettronico a distanza, l’autenticazione forte del cliente applicata dai prestatori di servizi di pagamento comprende elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico. L’autenticazione forte si realizza con il ricorso ad almeno due dei seguenti tre fattori: conoscenza (qualcosa che solo l’utente conosce), inerenza (caratteristiche fisiche dell’utente), possesso (qualcosa che solo l’utente possiede).
Gli elementi devono essere reciprocamente indipendenti e appartenere a categorie diverse. L’autenticazione forte è richiesta sia nella fase di accesso al conto o enrollment dell’applicazione o registrazione della carta sul wallet, sia nella fase di esecuzione delle singole operazioni.
Alla luce del disconoscimento delle operazioni da parte del cliente, è altresì onere dell’intermediario di fornire prova della frode, del dolo o della colpa grave dell’utente. Il Collegio richiama inoltre la decisione del Collegio di Coordinamento numero 3498 del 2012, secondo cui la generica richiesta di spese legali non può essere accolta in mancanza di prova del loro effettivo sostenimento.
DECISIONE DEL CASO E ANALISI
Il Collegio ha esaminato la controversia relativa alla richiesta di rimborso di quattro operazioni per complessivi quattromiladuecentodiciotto euro e novantuno centesimi, di cui due ordini di pagamento online con carta di credito in data sette dicembre del 2023 alle ore diciotto e zero minuti per quattrocentocinquantaquattro euro e novantadue centesimi e alle ore diciotto e dodici minuti per millesettecentosessantatre euro e novantanove centesimi, e due operazioni di bonifico nella stessa data, entrambe alle ore diciotto e diciotto minuti, per importi pari rispettivamente a mille euro ciascuna.
Il Collegio ha evidenziato che le operazioni di pagamento contestate rientrano nell’ambito applicativo del decreto legislativo 27 gennaio 2010, numero 11, come modificato dal decreto legislativo 15 dicembre 2017, numero 218. Dalla documentazione prodotta dall’intermediario nelle controrepliche, a fronte della contestazione della cliente in merito alla mancata attivazione del servizio di SMS alert, risulta documentazione relativa a un’email e a una notifica push concernenti l’accesso da un nuovo dispositivo.
Da tale documentazione risulta che alle ore diciassette e ventisette del sette dicembre del 2023 è avvenuto un cambio password mediante inserimento di due cifre del PIN (fattore di conoscenza) e OTP (fattore di possesso). In seguito, alle ore diciassette e ventisette, diciassette e quarantacinque, diciassette e cinquantaquattro e diciassette e cinquantacinque si registrano ulteriori accessi effettuati con il solo inserimento di username e password, quindi senza il secondo fattore di autenticazione.
L’accesso delle ore diciassette e cinquantacinque è prodromico alla generazione del CVV dinamico, avvenuta con inserimento password (fattore di conoscenza) e inserimento di OTP. L’accesso delle ore diciotto e un minuto è prodromico alla modifica dei massimali della carta e non è avvenuto con i due fattori, mentre la modifica stessa è avvenuta con inserimento password (fattore di conoscenza) e inserimento di OTP.