Il contributo analizza l’evoluzione del fenomeno delle frodi informatiche nell’ambito del quadro normativo applicabile ai servizi dei pagamenti digitali, come definito dalla Direttiva (UE) 2015/2366 (PSD2), dal Regolamento delegato UE 2018/389 e dal D.lgs. 11/2010. Nello specifico, muovendo dai concetti di operazione di pagamento non autorizzata e di autenticazione forte del cliente, verrà analizzata la ripartizione dell’onere probatorio e l’allocazione del rischio tra prestatore dei servizi di pagamento e utente, ai sensi della predetta normativa.
Premessa
L’evoluzione tecnologica connessa alla digitalizzazione dei servizi bancari e finanziari ha inciso in maniera significativa sul sistema dei pagamenti, consentendo agli utenti un accesso immediato ai conti correnti e l’esecuzione di operazioni bancarie da remoto mediante strumenti di home banking.
Accanto all’indubbio incremento di comodità e fruibilità dei servizi per la clientela, la digitalizzazione delle operazioni ha determinato una sensibile riduzione dei costi operativi per gli intermediari, nonché un incremento dell’efficienza e della rapidità delle transazioni.
Emblematica, in tal senso, è la possibilità per l’utente di ricevere notifiche in tempo reale, quali SMS o notifiche push sull’app della Banca, a conferma dell’avvenuta esecuzione delle operazioni bancarie.
Grazie ai suoi molteplici benefici, l’online banking si è quindi affermato quale modalità prevalente di accesso ai servizi bancari. Tale diffusione ha tuttavia comportato nuove criticità in termini di sicurezza specialmente per l’incremento di frodi e attacchi informatici sempre più sofisticati.
Ciò è confermato dai dati elaborati dalla Banca d’Italia che evidenziano un andamento costante delle segnalazioni di operazioni fraudolente effettuate specialmente tramite bonifico[1]. Analogamente, le statistiche della Polizia Postale attestano, a livello nazionale, un incremento delle denunce, con particolare incidenza delle fattispecie riconducibili al phishing e alle c.d. tecniche di ingegneria sociale[2].
Il quadro delineato impone, pertanto, una riflessione sistematica che riguarda non solo i profili tecnico-operativi delle frodi informatiche ma anche il regime di responsabilità delineato dal legislatore europeo e nazionale in relazione alla nozione di «operazione di pagamento non autorizzata», con specifico riguardo alla ripartizione dell’onere probatorio e alla allocazione del rischio tra prestatore di servizi di pagamento (PSP) e utente.
In tale prospettiva, l’analisi sarà articolata in due distinti contributi: il presente, dedicato all’inquadramento normativo della disciplina dei sistemi di pagamento digitali, e un successivo contributo, volto all’esame applicativo delle principali fattispecie di frodi online, con specifico riferimento alla casistica giurisprudenziale e agli orientamenti dell’Arbitro Bancario Finanziario.
Evoluzione delle frodi informatiche nei servizi di pagamento (phishing, vishing, smishing, SIM swap fraud)
Come anticipato, la digitalizzazione ha comportato un crescente numero di minacce informatiche che sfrutta le vulnerabilità dei sistemi.
Nell’ambito dell’online banking è possibile riscontrare un’ampia gamma di attività illecite finalizzate a ottenere un accesso non autorizzato ai conti dei clienti e alle relative risorse finanziarie.
La letteratura individua diverse tipologie di tali condotte fraudolente che possono essere raggruppate nelle seguenti categorie:
Phishing: rappresenta la forma di frode informatica più diffusa nel settore dei pagamenti e consiste nell’invio, da parte di soggetti malintenzionati, di comunicazioni elettroniche, tipicamente e-mail o messaggi, confezionate in modo da imitare le comunicazioni ufficiali dell’istituto di credito o del prestatore di servizi di pagamento. Lo scopo è quello di indurre il destinatario a divulgare le proprie credenziali di accesso (username, password, PIN, OTP) o i dati delle carte di pagamento, sfruttando tecniche di ingegneria sociale che fanno leva sulla fiducia riposta dall’utente nel soggetto che appare come mittente. La progressiva sofisticazione delle tecniche di phishing ha portato all’affermazione di varianti più mirate, quali lo spear phishing, rivolto a specifici soggetti, e il whaling attack, rivolto esclusivamente a figure apicali delle organizzazioni prese di mira.
Vishing e smishing: il vishing (voice phishing) si realizza attraverso chiamate telefoniche nelle quali il truffatore, fingendosi un operatore del servizio antifrode della banca o un funzionario dell’Autorità giudiziaria o delle Forze dell’Ordine, persuade la vittima a fornire dati riservati o a effettuare operazioni dispositive. La credibilità di tale tecnica è spesso amplificata dalla manipolazione del numero di telefono visualizzato sul display del chiamato (c.d. caller ID spoofing), che porta la vittima a credere di ricevere una telefonata autentica dalla propria banca.
Lo smishing (SMS phishing) opera invece mediante l’invio di messaggi di testo contenenti link fraudolenti o numeri di telefono contraffatti. Particolarmente insidiosa è la tecnica del c.d. SMS spoofing: tramite appositi aggregatori di messaggistica, i truffatori riescono a inserire i propri messaggi fraudolenti all’interno del medesimo thread di conversazione contenente i precedenti messaggi autentici della banca, rendendo quasi impossibile per l’utente comune la distinzione tra comunicazione autentica e fraudolenta. Tale circostanza ha una rilevante ricaduta sul piano della valutazione della colpa grave dell’utente, come si avrà modo di approfondire.
Malware e attacchi Trojan: software malevoli, quali keylogger, virus e trojan, vengono impiegati per intercettare credenziali di accesso e altre informazioni riservate presenti sui dispositivi infetti. In particolare, negli attacchi trojan, l’aggressore installa programmi dannosi, spesso sotto forma di keylogger, sul dispositivo dell’utente ignaro. Ciò avviene frequentemente a seguito della visita a siti compromessi o del download di applicazioni infette.
Attacchi “man-in-the-middle” e siti fraudolenti: gli aggressori possono creare siti web contraffatti che riproducono l’aspetto dei portali ufficiali delle banche, al fine di acquisire i dati inseriti dagli utenti. Tali tecniche sfruttano il rapporto di fiducia che i clienti ripongono nelle interfacce bancarie abituali.
SIM Swap Fraud: questa tecnica, definita una delle principali modalità di attacco ai sistemi informatici bancari almeno dal 2018, è ancora più subdola perché può avvenire senza alcuna interazione diretta con la vittima. Nell’ambito di tale frode i truffatori, dopo aver ottenuto i dati anagrafici del cliente, si presentano presso un punto vendita di un operatore telefonico con documenti falsi e una falsa denuncia di smarrimento, ottenendo una nuova SIM card associata al numero di telefono della vittima. In questo modo, la SIM originale viene disattivata e i truffatori acquisiscono il pieno controllo del numero, ricevendo i codici di autenticazione (es. OTP via SMS) necessari per autorizzare operazioni dispositive.
Quadro normativo europeo di riferimento
La disciplina della responsabilità in materia di servizi di pagamento trova la propria matrice nel diritto dell’Unione europea e si fonda, in via principale, sulla Direttiva (UE) 2015/2366 (c.d. PSD2), nonché sul Regolamento Delegato (UE) 2018/389, recante norme tecniche di regolamentazione in materia di autenticazione forte del cliente («Strong Customer Authentication» o «SCA») e standard di comunicazione sicuri. Nell’ordinamento italiano tale assetto normativo è stato recepito mediante il D.lgs. 27 gennaio 2010, n. 11, successivamente modificato.
Rispetto alla previgente Direttiva 2007/64/CE (PSD1), la PSD2 introduce rilevanti innovazioni sotto il profilo della sicurezza delle operazioni di pagamento, tra le quali assume centralità l’obbligo generalizzato di autenticazione forte del cliente ai fini dell’autorizzazione delle operazioni e dell’accesso ai conti tramite canali online. La ratio sottesa a tale intervento emerge chiaramente dal Considerando 95 della Direttiva, ove si afferma che i servizi di pagamento elettronici devono essere prestati secondo standard di sicurezza idonei a garantire l’autenticazione sicura dell’utente e a ridurre al minimo il rischio di frode, anche mediante l’impiego di codici dinamici che consentano all’utente di verificare, in ogni momento, l’importo e il beneficiario dell’operazione autorizzata.
In tale prospettiva la tutela dell’utente nelle operazioni a distanza costituisce obiettivo prioritario del legislatore europeo, il quale ha optato per un modello di allocazione del rischio che grava, in via principale, sull’intermediario, quale soggetto professionalmente organizzato e tecnicamente idoneo a prevenire e intercettare anomalie nelle operazioni.
Il regime di responsabilità delineato dalla PSD2 si fonda infatti su una presunzione legale di responsabilità in capo al prestatore di servizi di pagamento, la quale può essere superata esclusivamente mediante la prova da parte del medesimo del dolo o della colpa grave dell’utente.
Nell’ambito di tale disciplina, il Regolamento Delegato (UE) 2018/389 costituisce lo strumento attuativo dell’obbligo di autenticazione forte del cliente («SCA»), definendone i requisiti tecnici. In particolare, ai sensi dell’art. 4, la SCA deve basarsi sull’utilizzo di almeno due elementi tra loro indipendenti, riconducibili alle categorie della conoscenza (ad es. password o PIN), del possesso (ad es. dispositivo mobile) e dell’inerenza (ad es. dati biometrici), in modo tale che la compromissione di uno non pregiudichi l’affidabilità degli altri.
Di particolare rilievo, anche ai fini dell’analisi delle frodi informatiche, è il requisito della c.d. «dinamicità» dei codici di autenticazione, previsto dall’art. 5 del medesimo Regolamento. Tale disposizione impone che il codice generato sia specificamente collegato all’importo e al beneficiario dell’operazione, così da impedire che il codice eventualmente intercettato possa essere utilizzato per transazioni diverse.
Il recepimento della normativa europea nell’ordinamento italiano: il D.lgs. 11/2010
Il decreto legislativo 27 gennaio 2010, n. 11, attuativo della Direttiva 2007/64/CE (PSD1) e successivamente adeguato alla Direttiva (UE) 2015/2366 (PSD2), costituisce la fonte primaria della disciplina italiana in materia di servizi di pagamento. Ai fini della presente analisi, assumono particolare rilievo le disposizioni di cui agli artt. 7, 8 e 10.
L’art. 7 del d.lgs. 11/2010 individua gli obblighi gravanti sull’utente in relazione all’utilizzo degli strumenti di pagamento e alla custodia delle credenziali di sicurezza personalizzate. In particolare, l’utente è tenuto a utilizzare lo strumento in conformità alle condizioni previste dal contratto quadro e a comunicare senza indugio al prestatore di servizi di pagamento lo smarrimento, il furto, l’appropriazione indebita o qualsiasi uso non autorizzato dello strumento non appena ne venga a conoscenza.
Specularmente, l’art. 8 pone a carico del PSP specifici obblighi di sicurezza, tra i quali assume rilievo quello di garantire che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente legittimato, fatti salvi gli obblighi di diligenza gravanti su quest’ultimo. La violazione degli specifici obblighi di sicurezza può rilevare sia sul piano della responsabilità contrattuale nei confronti dell’utente, sia, in taluni casi, sotto il profilo della responsabilità amministrativa nei confronti della Banca d’Italia, quale Autorità di vigilanza.
Di centrale importanza è l’art. 10, che disciplina il regime probatorio relativo all’autenticazione ed esecuzione delle operazioni di pagamento. In particolare, il comma 1-bis impone al PSP di dimostrare che l’operazione sia stata autenticata, correttamente registrata e contabilizzata.
La disposizione richiede, altresì, all’intermediario la prova dell’assenza di «malfunzionamenti delle procedure necessarie per l’esecuzione dell’operazione», espressione che, secondo un’interpretazione estensiva accolta anche dall’Arbitro Bancario Finanziario (ABF), ricomprende non solo i guasti tecnici, ma anche eventuali vulnerabilità dei sistemi di sicurezza idonee ad agevolare la frode.
Un profilo interpretativo particolarmente rilevante concerne l’efficacia probatoria dell’autenticazione: il corretto espletamento delle procedure di sicurezza non è di per sé sufficiente a dimostrare l’autorizzazione dell’operazione da parte dell’utente e l’assenza di responsabilità in capo all’intermediario.
L’art. 10, comma 2, chiarisce, infatti, che, oltre alla prova dell’autenticazione, della corretta registrazione e contabilizzazione dell’operazione, nonché dell’assenza di malfunzionamenti, il prestatore di servizi di pagamento è tenuto a dimostrare anche la sussistenza del dolo o della colpa grave dell’utente.
Ne consegue che, a fronte del disconoscimento dell’operazione da parte dell’utente, l’intermediario, anche in caso di avvenuta applicazione delle procedure di autenticazione forte, resta comunque obbligato al rimborso dell’importo ai sensi del successivo art. 12, salvo che riesca a provare il dolo o la colpa grave del correntista.
Tale impostazione è stata costantemente ribadita dalla giurisprudenza di legittimità, la quale ha affermato che grava sull’intermediario l’onere di provare il fatto estintivo della pretesa restitutoria dell’utente, mediante dimostrazione dell’adozione di tutte le misure di sicurezza idonee e dell’intervento di fattori estranei alla propria sfera di controllo.
Nello specifico, la Suprema Corte di Cassazione ha chiarito che il rischio derivante dall’utilizzo fraudolento delle credenziali rientra nel rischio d’impresa dell’intermediario, il quale può andare esente da responsabilità solo dimostrando eventi eccezionali non superabili con l’ordinaria diligenza professionale[3].
Tale assetto determina un significativo aggravio del carico probatorio in capo del prestatore di servizi di pagamento, con rilevanti ricadute nelle controversie giudiziali e arbitrali.
Il citato orientamento della giurisprudenza si inserisce inoltre in un contesto di progressivo irrigidimento del regime di responsabilità degli intermediari, fino a ricomprendere, nella sfera del rischio d’impresa, anche le ipotesi di causa ignota, ossia quelle in cui, pur in presenza di adeguate misure di sicurezza, non sia possibile accertare le modalità della frode né dimostrare la colpa grave dell’utente. In tali casi, il danno resta comunque a carico del prestatore di servizi di pagamento[4].
Alla luce di quanto esposto, emerge un modello normativo e giurisprudenziale caratterizzato da una marcata protezione dell’utente e da una significativa traslazione del rischio operativo in capo agli intermediari, coerente con la natura professionale dell’attività svolta e con l’esigenza di assicurare elevati standard di sicurezza nei sistemi di pagamento elettronico.
Considerazioni conclusive
L’analisi svolta consente di trarre alcune conclusioni sistematiche sulla disciplina delle frodi informatiche nei servizi di pagamento e sul regime di responsabilità delineato dalla normativa europea e dal D.lgs. 11/2010.
In primo luogo, emerge con chiarezza che il legislatore europeo e quello nazionale hanno costruito un sistema che, pur formalmente equilibrato nella ripartizione del rischio tra prestatore dei servizi di pagamento e utente, opera concretamente a vantaggio del secondo, imponendo all’intermediario un onere probatorio particolarmente gravoso e richiedendo la colpa grave dell’utente come condizione necessaria minima per il parziale o totale esonero da responsabilità.
In secondo luogo, la rapidissima evoluzione delle tecniche di frode – e in particolare il perfezionamento delle metodologie di ingegneria sociale e di SIM swap fraud – mette continuamente alla prova la tenuta del sistema di autenticazione forte previsto dalla normativa vigente, sollevando interrogativi ad esempio sulla adeguatezza di meccanismi di autenticazione fondati sull’OTP via SMS di fronte a vulnerabilità strutturali di tale canale.
Tali criticità hanno trovato progressivo riconoscimento sia in sede giurisprudenziale sia nella prassi dell’Arbitro Bancario Finanziario, nelle quali è stata evidenziata l’esigenza di un’interpretazione evolutiva del quadro normativo, coerente con il mutare delle modalità di realizzazione delle frodi informatiche. L’analisi delle principali fattispecie applicative, nonché degli orientamenti giurisprudenziali e arbitrali in materia, sarò oggetto di un successivo contributo su questa Rivista.
[1] Per riferimenti sul punto si rimanda al “Rapporto sulle operazioni di pagamento fraudolente in Italia, I semestre 2025”, elaborato dalla Banca d’Italia e pubblicato nel febbraio 2026 sul relativo sito web.
[2] Per maggiori approfondimenti si veda il “Report annuale 2025” elaborato dalla Polizia Postale e pubblicato sul relativo sito web.
[3] Cfr. Cass. civ., sez. III, 12 febbraio 2024, n. 3780.
[4] Cfr. Cass. civ.. n° 2950 del 3/2/2017 secondo cui “In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del D.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente”.
In senso conforme, Cass. civ. n° 7956 del 31/3/2010 secondo cui “Pur non potendosi, ovviamente, pretendere che l’istituto di credito col quale una società abbia rapporti di conto corrente si trasformi nel controllore esterno della regolarità delle operazioni compiute dall’amministratore di detta società, è difficilmente contestabile che rientri nei doveri di esecuzione di buona fede gravanti sul mandatario (e quindi sulla banca alla quale la società abbia affidato i propri depositi stipulando una convenzione di assegno) il rifiuto di operazioni ictu oculi anomale, quando esse siano tali da compromettere palesemente l’interesse della correntista”.
