/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/03/phishing-rimborso-banca-truffa-online.jpg "Phishing: rimborsi immediati dalla banca per i clienti truffati secondo la Corte UE")
Una presa di posizione proveniente dalla Corte di giustizia dell’Unione europea potrebbe modificare in modo significativo il rapporto tra istituti finanziari e vittime di frodi online. L’avvocato generale della corte ha indicato che le banche devono rimborsare immediatamente i clienti colpiti da transazioni non autorizzate, anche quando l’origine dell’incidente è legata a tecniche di ingegneria sociale come il phishing.
La questione nasce da un caso giudiziario in Polonia, ma le implicazioni si estendono all’intero mercato dei pagamenti digitali europeo, dove milioni di operazioni sono eseguite ogni giorno attraverso home banking e applicazioni mobili. Il contesto normativo è quello della direttiva sui servizi di pagamento, un quadro legislativo introdotto per armonizzare il settore e rafforzare la protezione dei consumatori.
L’aumento delle frodi informatiche nel settore bancario ha accompagnato la crescita dei servizi finanziari online. Tecniche come il phishing, lo smishing e il vishing sfruttano l’ingegneria sociale per convincere gli utenti a fornire credenziali o codici di autenticazione temporanei. E in un altro articolo abbiamo visto come gli aggressori riescono a compromettere account protetti con la 2FA (autenticazione a due fattori).
Il caso giudiziario che ha portato la questione alla Corte UE
La controversia nasce che ha portato al parere dell’avvocato generale della Corte di giustizia parte da una disputa tra un correntista e la banca polacca PKO BP, uno dei principali istituti finanziari del Paese.
Il cliente aveva pubblicato un annuncio di vendita su una piattaforma di aste online ed è stato contattato da un truffatore che lo ha convinto a visitare un link fraudolento. Il sito imitava l’interfaccia di accesso dell’home banking e chiedeva l’inserimento delle credenziali di autenticazione.
Dopo aver ottenuto i dati di accesso, l’attaccante ha effettuato un pagamento non autorizzato dal conto della vittima. Il cliente ha segnalato l’incidente alla banca e alle autorità il giorno successivo, ma l’istituto di credito ha respinto la richiesta di rimborso. L’istituto ha sostenuto che la perdita fosse conseguenza della negligenza dell’utente, il quale aveva volontariamente inserito le proprie credenziali su una pagina fraudolenta.
Il tribunale distrettuale di Koszalin, in Polonia, ha quindi richiesto un’interpretazione preliminare del diritto europeo per stabilire se la banca fosse obbligata a restituire immediatamente la somma sottratta o se potesse negare il rimborso in presenza di comportamenti imprudenti da parte del cliente.
L’opinione dell’avvocato generale della Corte di giustizia
L’analisi giuridica è stata elaborata da Athanasios Rantos, avvocato generale presso la Corte di giustizia. Nella sua opinione (versione integrale) si osserva come il diritto europeo stabilisca che l’istituto di pagamento deve rimborsare immediatamente il titolare del conto per qualsiasi operazione non autorizzata, salvo il caso in cui vi siano fondati motivi per sospettare una frode commessa direttamente dal cliente.
La direttiva PSD2 prevede che, quando segnalata una transazione non autorizzata, il prestatore di servizi di pagamento debba ripristinare senza ritardo lo stato del conto al momento precedente all’operazione contestata. L’istituto finanziario può rifiutare il rimborso solo se ritiene che il cliente abbia agito in modo fraudolento e deve comunicare tale sospetto per iscritto all’autorità nazionale competente.
L’interpretazione proposta dall’avvocato generale rafforza quindi il principio secondo cui l’onere iniziale della perdita ricade sulla banca, che è responsabile dell’infrastruttura tecnica e dei sistemi di autenticazione utilizzati per autorizzare le operazioni.
Il ruolo della PSD2 e delle norme sui pagamenti elettronici
La direttiva PSD2 rappresenta uno dei pilastri normativi del mercato unico dei pagamenti digitali europei. Oltre ad aprire il settore a nuovi attori fintech attraverso le cosiddette interfacce di open banking, la normativa ha introdotto requisiti di sicurezza più stringenti come la Strong Customer Authentication (SCA).
La SCA impone l’utilizzo di almeno due fattori di autenticazione appartenenti a categorie differenti: conoscenza (ad esempio una password), possesso (come uno smartphone o un token hardware) e inerenza biometrica, come impronta digitale o riconoscimento facciale. Nonostante questi meccanismi, le campagne di phishing riescono ancora a ingannare gli utenti convincendoli a inserire codici temporanei o credenziali su siti contraffatti. Ne abbiamo parlato nell’articolo citato in apertura.
Quando il cliente può essere ritenuto responsabile
L’opinione dell’avvocato generale non elimina completamente la possibilità per le banche di recuperare le somme perse. L’istituto può infatti avviare un’azione legale nei confronti del correntista qualora riesca a dimostrare un comportamento intenzionale o una negligenza particolarmente grave nel trattamento delle credenziali di sicurezza.
In termini pratici, il rimborso deve avvenire in una prima fase per ripristinare il saldo del conto, ma il contenzioso sulla responsabilità finale può essere affrontato successivamente in sede giudiziaria. In altre parole, la restituzione immediata non equivale necessariamente a un’assunzione definitiva della perdita da parte della banca.
Il meccanismo crea una distinzione tra la gestione immediata dell’incidente e la determinazione finale della responsabilità economica. Le istituzioni finanziarie restano libere di contestare la condotta del cliente, ma non possono sospendere il rimborso mentre la disputa è ancora in corso.
Il prossimo passo: la decisione definitiva della Corte
L’opinione dell’avvocato generale non costituisce una sentenza vincolante, ma rappresenta una raccomandazione giuridica destinata ai togati della Corte di giustizia dell’Unione europea. Storicamente tali pareri influenzano in modo significativo l’esito delle decisioni finali, pur non determinandole automaticamente.
Quando la corte emetterà la sua pronuncia definitiva, l’interpretazione del diritto europeo diventerà vincolante per i tribunali nazionali degli Stati membri. Ciò potrebbe uniformare le pratiche di rimborso in tutta l’Unione, riducendo le differenze tra i sistemi giuridici nazionali nella gestione delle frodi digitali.
/https://www.ilsoftware.it/app/uploads/2026/03/verifica-eta-system76.jpg "System76 avverte: verifica età nei sistemi operativi può limitare Linux e PC")
/https://www.ilsoftware.it/app/uploads/2026/03/lettera-aperta-verifica-eta-online.jpg "Verifica età sui social, scienziati lanciano l’allarme privacy")
/https://www.ilsoftware.it/app/uploads/2026/02/API-key-google-AI-gemini.jpg "Le chiavi Google in chiaro sul sito possono aprire anche Gemini: cosa fare subito")
/https://www.ilsoftware.it/app/uploads/2024/08/Progetto-senza-titolo-19.jpg "Apple e i suoi nuovi strumenti di verifica dell'età: cosa cambia?")