La responsabilità degli intermediari finanziari nelle nuove frodi digitali

La dicotomia tra "operazione autorizzata” e “non autorizzata”
Come osservava Zygmunt Bauman, nella modernità liquida le strutture istituzionali tendono a perdere stabilità, dissolvendosi e ricomponendosi con rapidità crescente. La digitalizzazione dei servizi di pagamento ha prodotto una trasformazione strutturale delle modalità di frode, che ha, a sua volta, messo in tensione le categorie giuridiche fondamentali del diritto europeo dei servizi di pagamento.
Il paradigma classico si fondava sulla dicotomia binaria tra operazione autorizzata e operazione non autorizzata, alla quale corrispondevano conseguenze di responsabilità nettamente distinte e un sistema di rimborso coerente nella sua architettura. Tale distinzione era funzionale nell'epoca delle frodi cosiddette "tecniche" — skimming, clonazione di carte, accessi abusivi ai sistemi informatici — in cui il truffatore agiva nonostante la volontà del titolare del conto, eludendo o violando i presidi di sicurezza dell'intermediario.
La generazione più recente di frodi digitali ha sovvertito questa logica. La frode contemporanea non si fonda più prevalentemente sulla violazione dei sistemi, bensì sull'induzione del cliente a disporre volontariamente un pagamento verso il truffatore: è il passaggio, plasticamente efficace, dallo "hacking" al "persuading". Questa tipologia — nota come Authorised Push Payment fraud (APP fraud) — consiste nell'ingannare la vittima, attraverso tecniche di social engineering, inducendola ad approvare autonomamente il pagamento verso un conto fraudolento; ed è proprio questa fattispecie che non trova nell'attuale PSD2 alcuna norma che ne regoli l'allocazione della responsabilità a carico della banca, sicché la vittima deve sopportarne le conseguenze, salvo che non riesca a dimostrare che la banca aveva un dovere di sorveglianza fondato sul diritto nazionale privato, che avrebbe dovuto rilevare la transazione come sospetta e non ha agito.
È questa asimmetria di trattamento — per cui una vittima altrettanto “ingenua” viene o non viene risarcita a seconda del modus operandi del truffatore — che ha generato crescente disagio nei legislatori europei, come riconosciuto dalla stessa Commissione nella Proposta di Regolamento PSR del 28 giugno 2023 (COM (2023) 366).
Il dato quantitativo aggrava il quadro. L'esperienza del Regno Unito — pur estraneo all'Unione dopo la Brexit, ma tradizionalmente un punto di riferimento per il diritto bancario europeo — ha offerto un esempio emblematico: nel 2022, le banche britanniche hanno registrato perdite da APP scam pari a circa £485 milioni, di cui meno del 60% è stato rimborsato alle vittime.
Nel nostro Paese, i più recenti dati della Banca d’Italia mostrano che, mentre alcune forme tradizionali di frode mantengono una dinamica più contenuta, i bonifici istantanei presentano profili di rischio più elevati rispetto ai bonifici ordinari e le operazioni a distanza continuano a costituire un’area di particolare vulnerabilità.
La Relazione annuale ABF conferma che la casistica relativa agli utilizzi fraudolenti degli strumenti di pagamento continua, del resto, a occupare un posto di rilievo nel contenzioso bancario, a conferma della persistente vulnerabilità sistemica del settore.
Proprio partendo dalla convergenza dei dati, comuni a tutti i paesi dell’Unione, si è costruita la risposta normativa europea.

PSD2 e il deficit applicativo nelle frodi "autorizzate"
La Direttiva 2015/2366/UE (PSD2), recepita in Italia con il d.lgs. n. 218/2017 che ha novellato il d.lgs. n. 11/2010, ha costruito il regime di responsabilità degli intermediari su un impianto formalmente equilibrato. L'art. 72 stabilisce esplicitamente che l'onere della prova grava sul prestatore di servizi di pagamento, tenuto a dimostrare di aver rispettato gli obblighi informativi e di sicurezza previsti dalla direttiva. Nelle operazioni non autorizzate, il PSP è tenuto al rimborso immediato, salvo dolo o colpa grave dell'utente.
La prova della Strong Customer Authentication (SCA), tuttavia, non esaurisce l'onere. Secondo un'interpretazione evolutiva ormai accolta anche dall'Arbitro Bancario Finanziario italiano, la formula che evidenzia l’"assenza di malfunzionamenti delle procedure necessarie per l'esecuzione dell'operazione" ricomprende non solo i guasti tecnici, ma anche le eventuali vulnerabilità dei sistemi di sicurezza idonee ad agevolare la frode; e il corretto espletamento delle procedure di autenticazione non è di per sé sufficiente a dimostrare l'autorizzazione dell'operazione da parte dell'utente, né l'assenza di responsabilità in capo all'intermediario.
Il deficit strutturale della PSD2 emerge, come detto, nelle APP fraud: il sistema è stato progettato per frodi senza consenso e fatica a governare il consenso manipolato. L'associazione europea dei consumatori BEUC ha segnalato con forza che il regime di responsabilità avrebbe dovuto essere rivisto per assicurare che i consumatori non siano ritenuti responsabili quando vengono ingannati ad autorizzare una transazione,
sottolineando che la prova prima facie da parte del PSP non è sufficiente e che l'onere deve gravare interamente sull'intermediario allorché il rimborso venga contestato.
Sul piano dell'armonizzazione, la Corte di Giustizia dell'Unione Europea ha fissato un principio di portata sistematica. Con le sentenze CRCAM del 2 settembre 2021 (C-337/20) e Beobank del 16 marzo 2023 (C-351/21), la CGUE ha stabilito che il regime di responsabilità dei PSP previsto dalle direttive PSD1 e PSD2 è oggetto di armonizzazione totale, con la conseguenza che sono incompatibili con le direttive tanto un regime di responsabilità parallelo quanto un regime concorrente che consenta all'utente di azionare la responsabilità su altri fondamenti giuridici nazionali.
Il principio è operativamente decisivo: la responsabilità del PSP non può essere aggirata — né ampliata — attraverso qualificazioni alternative di diritto interno. In Francia, ad esempio, i giudici di merito non avevano uniformemente applicato la posizione europea, con alcuni tribunali che accettavano domande risarcitorie su basi di diritto comune (CA Douai, 21 dicembre 2023; CA Paris, 8 novembre 2023), mentre altri le rigettavano (CA Riom, 28 giugno 2023; CA Metz, 9 febbraio 2023), creando un grado significativo di incertezza giudiziaria che solo le Corti supreme hanno poi ricomposto. Merita sottolineare che questo principio di esclusività opera in entrambe le direzioni: tutela l'utente da clausole contrattuali esonerative, ma protegge anche il PSP dall'applicazione cumulativa di regimi di responsabilità concorrenti che avrebbero potuto aggravarne ulteriormente l'esposizione.

Il nuovo quadro: PSD3 e PSR
Il 27 novembre 2025, il Consiglio e il Parlamento europeo hanno raggiunto un accordo politico su un nuovo Regolamento sui servizi di pagamento (PSR) e su una direttiva di revisione (PSD3), con l'obiettivo dichiarato di realizzare un quadro antifrode omnicomprensivo in grado di affrontare le nuove forme di spoofing fraud — nelle quali il truffatore impersona il PSP del cliente per guadagnarne la fiducia e spingerlo a compiere azioni finanziarie fraudolente.
Tra le misure concordate, i PSP saranno tenuti a condividere informazioni sulle frodi tra loro e i numeri IBAN dovranno essere verificati rispetto al nome del titolare prima di qualsiasi bonifico.
Le direttrici principali del nuovo assetto sono le seguenti:

• Responsabilità per frodi da impersonificazione: l'art. 59 del PSR (numerazione provvisoria) prevede che il consumatore vittima di una frode da impersonificazione abbia diritto al rimborso integrale da parte del proprio PSP entro dieci giorni lavorativi, subordinato alla segnalazione senza ingiustificato ritardo alle autorità di polizia e alla notifica al PSP. A differenza del modello britannico — che coinvolge solo i PSP — il regime europeo si applica sia ai PSP sia ai fornitori di servizi di comunicazione elettronica (ECSP), ricomprendendo potenzialmente un'ampia gamma di piattaforme digitali e social network. Il PSP che intenda rifiutare il rimborso dovrà fornire una giustificazione documentata all'autorità nazionale competente.
• Onere della prova e colpa grave: il nuovo quadro normativo pone sul PSP l'onere ultimo di dimostrare che il cliente ha agito fraudolentemente o con grave negligenza nei casi di perdita contestata. La colpa grave configura un comportamento che presenta un grado significativo di incuranza, da valutarsi sulla base di tutte le circostanze concrete. La proposta individua alcune condotte sintomatiche di colpa grave — tra cui effettuare un pagamento a un truffatore senza ragionevole motivo di ritenere il beneficiario legittimo, tenere le credenziali in formato aperto e facilmente rilevabile da terzi, persuadere la banca a rimuovere un blocco posto dopo un alert antifrode, agire su indicazione di un terzo sconosciuto, o cedere il proprio smartphone sbloccato a terzi — rimettendo all'EBA l'adozione di orientamenti specifici.
• Responsabilità "di filiera": le piattaforme online di grandi dimensioni — inclusi social network e motori di ricerca — saranno ritenute finanziariamente responsabili qualora non rimuovano contenuti fraudolenti dopo essere state avvisate della loro esistenza. Non si tratta di un punto ancora "fluido": l'accordo politico del novembre 2025 ne ha già cristallizzato il perimetro, anche se la formale adozione e le successive norme tecniche dell'EBA definiranno i dettagli operativi.
• Monitoraggio transazionale comportamentale: il PSR impone ai PSP l'adozione di meccanismi di monitoraggio delle transazioni come requisito fondamentale — incentrati sull'analisi comportamentale dell'utente (posizione, orario, dispositivo) — per rilevare attività potenzialmente fraudolente o atipiche. L'EBA elaborerà le norme tecniche di regolamentazione specifiche.

Merita una menzione autonoma il sistema di split liabilityintrodotto nel Regno Unito dall'ottobre 2024 per le APP scams, con responsabilità al 50% tra PSP del pagante e PSP del beneficiario, fino a un massimo di 85.000 sterline. La dottrina ha argomentato a favore di questo meccanismo, evidenziando che esso incentiva il PSP del beneficiario — che altrimenti rimane privo di ogni stimolo alla prevenzione antifrode — a presidiare i propri conti, dato che entrambe le banche traggono profitto dall'offerta dei servizi di pagamento e dovrebbero pertanto condividerne i rischi. Il legislatore europeo ha esaminato questa soluzione e — almeno nella fase attuale — ha scelto di non estenderla alla generalità dei bonifici, pur prevedendo obblighi rafforzati a carico del PSP del beneficiario in specifiche fattispecie. La questione rimane tuttavia aperta sul piano della politica del diritto.

La convergenza delle Corti: l'onere probatorio aggravato del PSP
L'analisi comparata della giurisprudenza dei principali ordinamenti UE rivela una sostanziale convergenza verso un modello di responsabilità quasi-oggettiva del PSP, entro cui la colpa grave dell'utente opera come unica esimente — ma con onere probatorio integralmente a carico dell'intermediario e impossibilità di ricorrere a regimi paralleli di diritto comune.
In Francia, la Cour de cassation ha costruito una giurisprudenza articolata, di particolare rigore. Con la sentenza del 22 ottobre 2025 (n° 24-19.749), la chambre commerciale ha stabilito che la negligenza grave del cliente, pur accertata, non è sufficiente a esimere la banca da responsabilità laddove questa non provi di aver implementato l'autenticazione forte al momento dell'operazione. La questione centrale non è se il cliente sia stato negligente, ma se il PSP abbia adempiuto all'obbligo di autenticazione forte: in assenza di tale prova, la banca rimane tenuta al rimborso anche quando il comportamento del cliente ha facilitato la frode.
Particolarmente significativa è la posizione francese sullo spoofing. Con la sentenza del 23 ottobre 2024 (n° 23-16.267), la Cour de cassation ha stabilito che, quando un privato è vittima di una falsa telefonata proveniente apparentemente dalla propria banca — con il numero ufficiale visualizzato sul display — e viene convinto ad autorizzare operazioni in nome di una presunta emergenza informatica, non può essere considerato negligente: la credibilità dello scenario fraudolento esclude qualsiasi configurazione di colpa grave. Questa costruzione è stata confermata anche a beneficio delle persone giuridiche con la sentenza del 12 giugno 2025 (n° 24-13.777), in cui la Cour de cassation ha condannato BNP Paribas al rimborso di 98.000 euro sottratti a una società commerciale mediante spoofing, ribadendo che spetta alla banca provare la colpa grave del cliente, persino quando la vittima è un'impresa commerciale.
Con i due arrêts del 15 gennaio 2025 (n° 23-13.579 e n° 23-15.437), pronunciati con motivazione congiunta e apposito comunicato, la chambre commerciale ha definitivamente escluso che l'utente possa invocare la responsabilità contrattuale di diritto comune (art. 1231-1 c.c.) quale regime alternativo o concorrente a quello esclusivo del Code monétaire et financier, in perfetta continuità con le sentenze CGUE CRCAM (C-337/20) e Beobank (C-351/21).
In Spagna, il quadro è stato ridefinito dalla sentenza STS 571/2025 del 9 aprile 2025 (Ibercaja Banco), riguardante un caso di SIM swapping. Il Tribunal Supremo ha statuito che le banche devono assumere la responsabilità anche qualora siano state utilizzate le credenziali del cliente, se non riescono a prevenire operazioni sospette (come numerosi bonifici notturni). La Corte ha affermato esplicitamente che non è sufficiente il rispetto formale dei protocolli tecnici — come l'autenticazione a due fattori o gli SMS di verifica — ma che le entità devono adottare un'attitudine proattiva e diligente sia nella
prevenzione sia nella risposta alle frodi. La sentenza consolida così una dottrina di responsabilità quasi-oggettiva, in cui si impone all'ente l'obbligo di garantire la sicurezza del canale digitale indipendentemente dalla circostanza che l'attacco provenga da terzi.
In Italia, l'orientamento prevalente della Corte di Cassazione segue la stessa traiettoria. Con l'ordinanza n. 23683 del 4 settembre 2024, la Suprema Corte ha ancorato la responsabilità dell'intermediario al regime contrattuale ex art. 1218 c.c., con la diligenza parametrata al canone dell'accorto banchiere ex art. 1176, comma 2, c.c.: la possibilità di sottrazione illecita dei codici di accesso costituisce rischio professionale dell'intermediario e il cliente è tenuto solo a provare la fonte del rapporto e l'operazione non autorizzata. La banca deve provare il fatto estintivo, inclusi l'adozione di tutte le misure di sicurezza esigibili e la colpa grave del cliente. L'ABF ha ulteriormente precisato che i log file attestanti il processo di autenticazione devono essere completi e intelligibili, e che la loro assenza o incompletezza determina la responsabilità integrale del PSP a prescindere dalla valutazione della condotta dell'utente.
Le conclusioni dell'Avvocato Generale Rantos presso la CGUE — depositate nell'ambito di un procedimento pregiudiziale sulla PSD2 — prospettano un ulteriore consolidamento in senso pro-consumatore: nei casi di phishing, il rimborso deve essere immediato e non può essere subordinato a verifiche preliminari sulla condotta del cliente, salvo che la banca sia già in grado di dimostrare frode o colpa grave; le banche possono sospendere il rimborso solo in presenza di un sospetto fondato su elementi oggettivi, mentre le verifiche devono avvenire a rimborso già effettuato.

Verso una probatio diabolica?
Se il quadro sopra delineato costituisce l'orientamento prevalente — e il professionista deve saperlo — sarebbe analiticamente scorretto ignorare le critiche che una parte della dottrina e degli intermediari stessi oppongono a una sua applicazione meccanica.
Il primo ordine di rilievi riguarda la struttura logica dell'onere probatorio. Il modello prevalente impone al PSP di dimostrare non solo la regolarità formale dell'operazione e la conformità del sistema di autenticazione, ma anche — in negativo — l'assenza di qualsiasi vulnerabilità, e — in positivo — la sussistenza della colpa grave del cliente con il relativo nesso causale rispetto al danno. In molte fattispecie, tale cumulo potrebbe tradursi in una probatio diabolica.
L'esempio più efficace è proprio quello del SIM swap: il truffatore ottiene il controllo del numero telefonico della vittima attraverso la complicità di un operatore telefonico del tutto estraneo alla sfera di controllo del PSP. In questo scenario, la vulnerabilità sfruttata non risiede nei sistemi della banca, ma nell'infrastruttura di un terzo con cui la banca non ha alcun rapporto contrattuale. Richiedere all'intermediario la prova di una propria insufficienza tecnica significa imporgli la dimostrazione di un fatto negativo strutturalmente non documentabile. Il rischio concreto è quello di una responsabilità di fatto oggettiva — operativa ma non dichiarata — priva di un espresso fondamento normativo.
Il secondo ordine di critiche attiene alla categoria della colpa grave. Poiché la proposta di PSR rimette all'EBA la definizione operativa di tale concetto, il legislatore europeo ha implicitamente riconosciuto che la nozione è giuridicamente indeterminata e che rischia di essere applicata in modo eterogeneo dagli ordinamenti nazionali, reintroducendo quella frammentazione che la PSD2 aveva cercato di superare. Nelle more degli orientamenti EBA, le Corti nazionali applicano standard divergenti: la giurisprudenza francese esclude tendenzialmente la colpa grave nei casi di spoofing credibile; quella italiana la modula in funzione delle misure "attive" adottate dall'intermediario; quella spagnola sembra avvicinarsi a una responsabilità quasi-assoluta nei casi di manipolazione sofisticata. L'intermediario che opera in più giurisdizioni UE si trova così esposto a regimi applicativi sensibilmente diversi, con conseguenze significative sulla gestione del rischio e sui modelli di accantonamento.
Il terzo ordine di critiche è di natura processuale. La prova della colpa grave dell'utente richiede la ricostruzione di un iter psicologico e comportamentale al quale il PSP non ha accesso: l'interazione tra l'utente e il truffatore avviene su canali — telefono, messaggistica, posta elettronica — che la banca non monitora e non può monitorare. La stessa Cour de cassation ha precisato che la prova della colpa grave può risultare dal mero fatto di aver risposto a un messaggio di phishing sollecitante la comunicazione di dati riservati; Institut national de la consommation ma in un contesto in cui il caller ID spoofing consente di falsificare il numero della banca con precisione millimetrica, e in cui i messaggi fraudolenti si inseriscono nello stesso thread SMS dei messaggi autentici dell'istituto, distinguere tra "ingenuità ordinaria" e "incuria grave" diventa un giudizio che la Corte formula ex post, su basi che l'intermediario non era in grado di conoscere ex ante.
Il quarto ordine di critiche riguarda la sostenibilità sistemica. Se il rimborso diventa immediato e pressoché automatico, l'impatto economico delle operazioni fraudolente si trasferisce in via diretta e tempestiva sui bilanci degli intermediari. La capacità di prevenzione e di rilevazione delle frodi non è più solo un tema di compliance o di reputazione, ma incide direttamente sul conto economico: sistemi di monitoraggio transazionale, analisi comportamentale, autenticazione forte e gestione degli alert diventano leve strategiche di primaria importanza. L’equilibrio si sposta, dunque, sull’intero sistema, perché i costi di una responsabilità quasi-oggettiva vengono inevitabilmente traslati sui clienti attraverso le condizioni economiche dei servizi di pagamento, oppure inducono comportamenti difensivi da parte degli intermediari — blocchi cautelativi, rallentamento dei bonifici, alert eccessivi — che finiscono per deteriorare la qualità del servizio per tutti gli utenti, compresi quelli diligenti.

Il nesso causale: verso un equilibrio sostenibile
Il punto di equilibrio teorico tra i due orientamenti risiede, in ultima analisi, nella corretta applicazione della categoria del nesso causale inteso non come mera causalità materiale ma come strumento normativo di allocazione del rischio. La domanda che giudice e arbitro dovrebbero porsi non è soltanto se il PSP abbia formalmente rispettato gli standard tecnici, ma se il danno sia riconducibile all'area di rischio che la normativa di settore pone a carico del PSP, ovvero a quella che residua in capo all'utente.
L'orientamento prevalente risponde che la condotta dell'utente può interrompere il nesso causale solo ove raggiunga una soglia di imprudenza qualificata — tale da costituire un'autonoma causa del danno, imprevedibile e non governabile dall'intermediario. La semplice ingenuità o la distrazione ordinaria, per quanto rimproverabile sul piano morale, non è sufficiente. L'orientamento di temperamento replica che questo meccanismo rischia di svuotare il concetto stesso di colpa grave, trasformando il PSP in assicuratore universale del cliente, e che il principio di autoresponsabilità — richiamato anche dal PSR come limite esplicito al rimborso — esige un'applicazione non meramente residuale.
La nozione di colpa grave rimane, in definitiva, lo spartiacque dell'intero sistema. La sua definizione operativa da parte dell'EBA — attesa nell'ambito del futuro PSR — sarà decisiva: se produrrà linee guida sufficientemente articolate da orientare la giurisprudenza dei 27 Stati membri verso soluzioni coerenti, il sistema europeo di protezione contro le frodi digitali potrà disporre di un fondamento uniforme. Se, invece, l'EBA si limiterà a principi generali, il rischio è che la divergenza degli ordinamenti nazionali si perpetui — con tutto ciò che ne consegue in termini di arbitraggio regolatorio per gli intermediari e di diseguaglianza di tutela per i clienti.

Conclusioni
Il quadro che emerge è quello di un sistema normativo in rapida evoluzione, in cui la stratificazione di fonti europee e nazionali — PSD2, D. lgs. n. 11/2010, DORA, NIS 2, e il futuro binomio PSD3/PSR — ridefinisce progressivamente l'allocazione del rischio a carico del PSP, ampliando le fattispecie di rimborso obbligatorio e restringendo lo spazio esimente della colpa del cliente.
Il dibattito interpretativo — lungi dall'essere meramente accademico — ha ricadute operative immediate: per il PSP, in termini di strutturazione dei presidi di sicurezza (privilegiando le misure "attive" di monitoraggio transazionale e rilevamento delle anomalie rispetto alle mere informative agli utenti), di architettura dei log file (la cui completezza e intelligibilità è ormai condizione essenziale di difesa processuale) e di gestione delle procedure di rimborso (il cui ritardo ingiustificato è già sanzionato dalla normativa vigente e sarà oggetto di regole ancora più stringenti con il PSR). Per il contenzioso, la definizione del perimetro della colpa grave dell'utente rimane il terreno di confronto più acceso, destinato a essere presidiato — quantomeno sul piano europeo — dalle future linee guida dell'EBA.
Ciò che appare certo, alla luce del percorso normativo tracciato dal legislatore europeo, è la direzione di marcia: il rischio delle frodi digitali non può più essere trasferito in via principale sull'utente finale, ma deve essere assorbito, prevenuto e gestito dall'intermediario come componente ordinaria del proprio rischio d'impresa.
La difficoltà sarà calibrare questa allocazione in modo da non eliminare ogni incentivo alla diligenza del cliente, mantenendo al tempo stesso un onere probatorio per il PSP che sia giuridicamente fondato senza degenerare, nella pratica quotidiana del contenzioso, in una forma surrettizia di responsabilità oggettiva priva di adeguato fondamento normativo.