Il contributo si pone in continuità con la precedente analisi, pubblicata il 7 aprile 2026, relativa al quadro normativo applicabile ai servizi dei pagamenti digitali, come definito dalla Direttiva (UE) 2015/2366 (PSD2), dal Regolamento delegato UE 2018/389 e dal D.lgs. 11/2010. In questa sede verrà approfondita l’applicazione concreta di tale disciplina, con particolare riguardo agli orientamenti giurisprudenziali più recenti, alle ultime decisioni dell’Arbitro Bancario Finanziario, ai profili di responsabilità dell’intermediario bancario e dell’operatore telefonico, nonché agli strumenti di tutela esperibili dagli utenti.
Premessa
Nel precedente contributo è stato delineato il perimetro normativo entro cui si sviluppa la responsabilità degli intermediari per le frodi informatiche nei servizi di pagamento digitale. Si è in particolare evidenziato come il legislatore europeo, attraverso la Direttiva (UE) 2015/2366 (PSD2), il Regolamento delegato UE 2018/389 e il D.lgs. 11/2010, abbia costruito un sistema di tutela fortemente sbilanciato a favore dell’utente, imponendo al prestatore di servizi di pagamento (PSP) un onere probatorio particolarmente gravoso: non è sufficiente che il PSP dimostri che l’operazione sia stata effettivamente autenticata, correttamente registrata e contabilizzata e che non ci siano stati malfunzionamenti delle procedure necessarie per l’esecuzione dell’operazione, ma occorre altresì che il PSP provi il dolo o la colpa grave del correntista.
Il presente contributo si propone di percorrere, con un taglio maggiormente tecnico e operativo, la casistica giurisprudenziale più recente, le ultime pronunce dell’Arbitro Bancario e Finanziario sul tema, nonché i possibili strumenti di difesa per l’utente.
Panoramica giurisprudenziale: gli orientamenti consolidati
Nel corso degli ultimi anni la giurisprudenza di legittimità ha progressivamente consolidato un orientamento interpretativo che, come anticipato nel contributo precedente, riconduce il rischio di frode informatica nell’area del rischio professionale gravante sull’intermediario.
Si richiamano, a titolo esemplificativo, le sentenze della Corte di cassazione n. 2950 del 3 febbraio 2017secondo cui “anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo” e n. 3780 del 12 febbraio 2024 in cui è stato rimarcato che “essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020).”
La successiva sentenza della Corte di cassazione n. 23683 del 4 settembre 2024, nel richiamare espressamente tali precedenti, ha ulteriormente precisato che è ragionevole imputare al prestatore di servizi di pagamento il rischio derivante dall’utilizzo fraudolento dei codici da parte di terzi, salvo che tale evento sia riconducibile a comportamenti dell’utente connotati da un grado di imprudenza tale da renderli non prevenibili ex ante. Tale criterio rappresenta, nella prassi applicativa, il discrimine tra colpa grave dell’utente, idonea a escludere o attenuare la responsabilità dell’intermediario, e colpa lieve, che invece non incide sull’obbligo risarcitorio del PSP.
Nel quadro così delineato, la giurisprudenza ad esempio ha ritenuto integrare un’ipotesi di colpa grave la condotta dell’utente che inserisca volontariamente le proprie credenziali personali in risposta a comunicazioni di phishing. In tal senso, la Corte di cassazione, con la sentenza n. 7214 del 13 marzo 2023, ha riconosciuto, anche sulla base di presunzioni, la riconducibilità apparente dell’operazione dispositiva al titolare del conto, evidenziando come l’immissione nel sistema informatico di username, password e PIN (dati che dovrebbero essere conosciuti esclusivamente dall’utente) consenta di inferire che l’utente abbia permesso, tramite un comportamento gravemente incauto, che terzi acquisissero e successivamente utilizzassero tali dati.
Anche in questi casi, come ricorderemo nel paragrafo dedicato alle best practices bancarie, residuano possibili spazi di responsabilità concorrente dell’intermediario anche ai sensi dell’art. 1227 cod. civ., come ad esempio in caso di assenza di un sistema antifrode in tempo reale.
Decisioni ABF più recenti: principi emergenti e tendenze applicative
Le decisioni assunte dall’Arbitro Bancario Finanziario nel corso del 2025 confermano l’orientamento consolidato della giurisprudenza di legittimità introducendo alcune precisazioni di rilievo pratico.
La decisione del Collegio di Bologna n. 9001 del 14 ottobre 2025 ha ribadito con particolare chiarezza la struttura bifasica dell’onere probatorio in capo all’intermediario. Nell’ipotesi in cui l’utente neghi di aver autorizzato le operazioni, il PSP deve dapprima dimostrare l’avvenuta autenticazione, la corretta registrazione e l’assenza di malfunzionamenti. Tale prova, tuttavia, non è di per sé sufficiente a escludere la propria responsabilità. Solo ove tale primo livello probatorio risulti soddisfatto, si potrà esaminare il secondo profilo, consistente nella dimostrazione, anche presuntiva, della colpa grave o del dolo dell’utente, mediante “indizi chiari, precisi e concordanti”. In quel caso di specie la domanda di risarcimento del danno dell’utente nei confronti dell’intermediario era stata rigettata, atteso che lo stesso ricorrente aveva affermato, con valenza confessoria, nella denuncia sporta a seguito delle operazioni fraudolente, di aver inserito user ID e password all’interno dell’app della banca e di aver seguito le indicazioni del sedicente operatore dell’intermediario; il correntista aveva così posto in essere un comportamento gravemente colposo tale da escludere la responsabilità del PSP.
Il Collegio ha richiamato, al riguardo, la decisione ABF n. 14643/2019, nella quale è stato evidenziato come numerosi tentativi di frode nei servizi di pagamento seguano uno schema ricorrente e ormai ampiamente conosciuto. Tale schema consiste nell’indurre il titolare dello strumento, mediante contatti telefonici, e-mail, SMS o altri canali di comunicazione, a inserire su dispositivi o piattaforme informatiche, ovvero a comunicare direttamente, le proprie credenziali personali. Si tratta delle note tecniche di phishing, che possono assumere anche le forme dello smishing (tramite SMS) e del vishing (mediante comunicazioni vocali).
La diffusione di tali fenomeni è tale che i Collegi dell’ABF ritengono che l’adozione da parte del correntista di una diligenza media sia, in linea generale, sufficiente a prevenire il rischio e a evitare il compimento della truffa.
Diversa è, invece, la valutazione con riferimento ad ipotesi di frode particolarmente sofisticate, che si realizzano, ad esempio, attraverso l’installazione di malware nel sistema informatico dell’utente. In tali casi, l’attacco si manifesta durante il normale utilizzo dello strumento di pagamento o dell’accesso al conto, senza che il cliente assuma un ruolo attivo nella frode. Ciò avviene anche nei casi di tecniche di intercettazione e reindirizzamento delle comunicazioni (c.d. man-in-the-middle) o di manipolazione delle pagine web (c.d. man-in-the-browser). In queste circostanze, il Collegio di Coordinamento dell’ABF ha escluso la configurabilità di una condotta gravemente colposa in capo all’utente.
Analogo principio è stato ribadito dal Collegio di Palermo con decisione del 16 giugno 2025, n. 5836 secondo cui, nell’ambito di vicende riconducibili al phishing, “le modalità piuttosto rudimentali con cui prende corpo e le reiterate campagne di sensibilizzazione poste in essere dagli intermediari sono tali da far ritenere che l’utilizzatore sia caduto vittima di una truffa banale, cui facilmente avrebbe potuto sottrarsi con l’impiego di una media diligenza”. La decisione richiama inoltre quanto rilevato dal Collegio di Coordinamento (decisione n. 1820/13), secondo cui nell’ipotesi di phishing “il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non espertissimo navigatore di internet”.
Responsabilità della banca: rischio d’impresa, obblighi e orientamenti giurisprudenziali
Il profilo più rilevante che emerge dall’analisi combinata della normativa e degli orientamenti giurisprudenziali e dell’ABF è la progressiva espansione della responsabilità dell’intermediario sino a ricomprendere nel rischio d’impresa del PSP anche le ipotesi di causa “ignota”: ogni qualvolta non sia possibile ricostruire con esattezza le modalità della frode informatica o dimostrare la sussistenza di una condotta gravemente colposa dell’utente, la responsabilità ricade sull’intermediario[1].
Si tratta di una soluzione che, pur avvicinandosi nei suoi effetti a un modello di responsabilità oggettiva dell’intermediario, trova giustificazione nella circostanza che quest’ultimo è il soggetto professionalmente organizzato e tecnicamente attrezzato per prevenire e intercettare le anomalie, e non può, pertanto, trasferire sul cliente il rischio connesso a eventuali carenze o inefficienze dei propri sistemi[2].
Responsabilità solidale della banca e del gestore telefonico: il caso SIM swap
La SIM swap fraud costituisce una delle fattispecie più insidiose nel panorama attuale delle frodi informatiche. Come già illustrato, il meccanismo si fonda sulla sostituzione fraudolenta della SIM del cliente presso l’operatore telefonico, generalmente mediante l’utilizzo di documentazione contraffatta e di una falsa denuncia di smarrimento, con la conseguente acquisizione, da parte dell’autore della frode, dei codici OTP trasmessi via SMS. In tale schema, l’evento dannoso si realizza attraverso il concorso, seppur inconsapevole, di due distinti operatori: da un lato la banca che utilizza l’SMS quale secondo fattore nell’ambito del meccanismo di autenticazione forte, dall’altro il gestore telefonico, che consente la sostituzione della SIM in assenza di adeguate verifiche identificative.
Il tema della responsabilità solidale tra istituto di credito e operatore telefonico risulta, allo stato, ancora in fase di progressiva definizione sul piano giurisprudenziale. Ciononostante, i principi generali desumibili dal quadro normativo e dai primi orientamenti consolidati consentono di delineare un assetto interpretativo sufficientemente chiaro.
Sotto il profilo dei titoli di responsabilità, il gestore telefonico risponde nei confronti del proprio cliente a titolo contrattuale della violazione degli obblighi di diligenza qualificata che, al momento del cambio della SIM, gravano sul medesimo, tra cui l’obbligo della corretta identificazione del cliente[3].
Parallelamente, l’intermediario bancario risponde ai sensi del D.lgs. n. 11/2010 per l’esecuzione di operazioni di pagamento non autorizzate. Si tratta di responsabilità autonome, ma entrambe eziologicamente collegate al medesimo evento dannoso, con la conseguenza che l’utente può agire nei confronti di entrambi i soggetti.
I confini di tale possibile responsabilità concorrente devono tuttavia essere individuati con precisione. L’intermediario che dimostra di aver adottato sistemi di autenticazione pienamente conformi ai requisiti della normativa applicabile, quali autenticazione biometrica o applicazioni con notifiche push cifrate, potrebbe sostenere una riduzione del proprio grado di responsabilità, spostando il baricentro causale sul comportamento dell’operatore telefonico.
Best practices: prevenzione e difesa
Sul versante degli intermediari, la prevenzione delle frodi informatiche si articola su più livelli. Il primo e più rilevante riguarda il sistema di autenticazione: le vulnerabilità strutturali dell’OTP via SMS, come detto ampiamente sfruttate nell’ambito del SIM swap, rendono necessario il passaggio a sistemi di autenticazione biometrica (impronta digitale, riconoscimento facciale) o a token hardware, ovvero l’utilizzo di app dedicate con push notification cifrata e legata al dispositivo fisico. L’adozione di tali sistemi non è solo una scelta aziendale ma una misura la cui omissione può essere contestata come violazione degli obblighi di sicurezza.
Il secondo livello riguarda i sistemi antifrode in tempo reale. Come emerso dalla Decisione ABF del Collegio di Bologna n. 10624/2025 grava sull’intermediario l’obbligo di monitorare le transazioni e di adottare le misure idonee a prevenire le frodi informatiche, attivando, in presenza di anomalie, il blocco automatico delle operazioni.
Il terzo livello concerne l’informativa alla clientela. Il prestatore di servizi di pagamento è tenuto a rendere edotti i propri clienti, attraverso i canali ufficiali di comunicazione, dei principali rischi di frode, precisando in modo chiaro che l’istituto non richiede in alcun caso la comunicazione di credenziali personali tramite telefono, SMS o altri mezzi analoghi.
L’adempimento di tali obblighi informativi assume una duplice rilevanza: da un lato, contribuisce in via preventiva alla riduzione del rischio di frodi; dall’altro, incide sul piano della responsabilità, consentendo all’intermediario, in sede contenziosa, di dimostrare di aver adottato misure idonee a informare e sensibilizzare la clientela.
Sul versante dell’utente, pur non potendo essere onerato di una diligenza di carattere tecnico, egli è tenuto a rispettare i criteri di prudenza che la giurisprudenza ha individuato come standard minimo. In particolare, deve verificare l’identità del mittente di qualsiasi comunicazione ricevuta, astenersi dal fornire credenziali a soggetti che si qualificano come operatori bancari via telefono o SMS e segnalare tempestivamente all’intermediario qualsiasi operazione sospetta o anomalia nel funzionamento della SIM. Difatti un segnale assente o un’improvvisa perdita di rete possono essere indice di SIM swap in corso.
La tempestività nella denuncia riveste un’importanza cruciale sia sotto il profilo sostanziale, ai sensi dell’art. 7 D.lgs. 11/2010 (che impone di comunicare senza indugio al prestatore di servizi di pagamento, o al soggetto da questo indicato lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena se ne venga a conoscenza), sia sotto quello processuale (in quanto il ritardo nella segnalazione può essere utilizzato dall’intermediario come elemento presuntivo di colpa grave), sia infine sotto il profilo del possibile concorso di colpa dell’intermediario (che a fronte della tempestiva denuncia è tenuto ad attivare sistemi antifrode in tempo reale).
ADR e azioni giudiziarie
L’ABF rappresenta lo strumento di tutela stragiudiziale privilegiato nelle controversie tra utenti e intermediari bancari. La sua competenza si estende alle controversie in materia di servizi bancari e finanziari, incluse le frodi informatiche su conti correnti e strumenti di pagamento, entro il valore di 200.000 euro per le domande di restituzione di somme.
Il procedimento è a basso costo per il ricorrente in quanto occorre versare un contributo di 20 euro, peraltro rimborsato in caso di accoglimento, e si svolge in forma documentale, senza udienza.
Prima di adire l’Arbitro Bancario Finanziario è necessario presentare un reclamo scritto all’intermediario. Il ricorso può essere proposto entro dodici mesi dalla data di presentazione del reclamo, mentre il procedimento si conclude, di regola, entro dodici mesi dal deposito del ricorso.
Le decisioni dell’ABF non hanno natura vincolante. Tuttavia, in caso di mancato adempimento da parte dell’intermediario, è prevista una forma di pressione reputazionale particolarmente incisiva: la pubblicazione sul sito dell’ABF del nominativo della banca inadempiente. Tale meccanismo di pubblicità negativa costituisce, nella prassi, un significativo incentivo all’adempimento spontaneo del PSP, rendendo non necessario il ricorso alla tutela giurisdizionale.
Sul versante giurisdizionale, si rileva che, in caso di controversie attinenti alle frodi informatiche di natura documentale o che non richiedono un’istruttoria complessa, è possibile esperire il rito semplificato di cognizione introdotto dalla Riforma Cartabia di cui agli artt. 281-decies e s.s. c.p.c., che offre significativi vantaggi in termini di rapidità. Il rito si instaura con ricorso e ha una struttura procedimentale più snella rispetto al rito ordinario.
Conclusioni
In conclusione, l’elaborazione congiunta della giurisprudenza di legittimità e delle decisioni più recenti dell’ABF restituisce un modello di allocazione del rischio in cui la responsabilità del prestatore di servizi di pagamento può essere superata esclusivamente mediante la prova del dolo o della colpa grave dell’utente.
L’onere probatorio dell’intermediario si articola, infatti, su un duplice livello: da un lato, l’accertamento dell’adeguatezza dei sistemi di autenticazione e dei meccanismi di monitoraggio (inclusi i sistemi di fraud detection in tempo reale); dall’altro lato, la prova, anche per presunzioni purché gravi, precise e concordanti, della colpa grave dell’utente.
L’emersione di fattispecie complesse, quali la SIM swap fraud, evidenzia inoltre la possibile configurabilità di responsabilità concorrenti tra soggetti diversi, fondate su titoli autonomi ma eziologicamente connessi: contrattuale ex art. 1218 c.c. in capo all’operatore telefonico per violazione degli obblighi di identificazione, e ai sensi del D.lgs. n. 11/2010 in capo all’intermediario per l’esecuzione di operazioni non autorizzate. In tali ipotesi, la ripartizione interna del danno dipenderà dall’accertamento del contributo causale di ciascun soggetto e dal livello di adeguatezza dei rispettivi presidi di sicurezza.
Specularmente, può configurarsi una responsabilità dell’utente nel caso in cui violi lo standard minimo di diligenza richiesto, laddove tale violazione sia qualificabile in termini di colpa grave.
E, a chiusura del cerchio, può realizzarsi anche un concorso di colpa dell’intermediario che non abbia attivato sistemi antifrode in tempo reale per contenere gli effetti dannosi della frode già in essere.
Il sistema così delineato si caratterizza, in definitiva, per un equilibrio dinamico tra protezione dell’utente e responsabilizzazione degli intermediari, destinato a evolvere in funzione del progresso delle tecniche di frode informatica, richiedendo un costante aggiornamento degli standard tecnici e delle categorie giuridiche di riferimento.
[1] Cfr. Cass. civ. n. 13 del 15/05/2023 secondo cui “Le conseguenze sfavorevoli del fatto rimasto ignoto (relativo al contegno del cliente) all’esito dell’istruzione della causa sono state così fatte ricadere sul cliente anziché su P**** [prestatore di servizi]. Alla enunciata regola sull’onere della prova dovrà attenersi il giudice del merito in sede di rinvio”.
[2] Cfr. Cass. civ. n. 7956 del 31/03/2010 secondo cui “nonostante la banca non abbia alcun dovere generale di monitorare la regolarità delle operazioni ordinate dal cliente, nondimeno, in presenza di circostanze anomale idonee a ledere l’interesse del correntista, la banca, in applicazione dei doveri di esecuzione del mandato secondo buona fede, deve rifiutarne l’esecuzione o almeno informarne il cliente”.
[3] Cfr. Tribunale di Napoli Nord sentenza n. 5062 del 30/12/2024.
