La decisione n. 6732 del Collegio ABF di Milano chiarisce che l’intermediario non è obbligato a bloccare automaticamente operazioni anomale eseguite e autorizzate direttamente dal cliente, anche in caso di truffa basata su inganno informatico.
Il quadro normativo attuale limita la responsabilità dell’intermediario, mentre la futura Direttiva PSD3 mira a rafforzare le tutele con nuovi obblighi di verifica e monitoraggio.
Introduzione
La decisione n. 6732 del 9 luglio 2025, assunta dal Collegio di Milano dell’Arbitro Bancario Finanziario (ABF), affronta un tema sempre più attuale: la responsabilità dell’intermediario finanziario in presenza di operazioni disposte direttamente dall’utente, ma in un contesto di raggiro o frode.
Nel caso in esame, un cliente, vittima di una truffa online legata a un finto investimento tramite piattaforma di trading online, aveva disposto 11 bonifici istantanei in 5 ore per un importo complessivo di euro 33.955,00 euro, poi disconosciuti. L’intermediario ha eccepito che le operazioni erano state eseguite e autorizzate personalmente dal cliente, seguendo le istruzioni impartite dai frodatori, rendendo inapplicabile la disciplina specifica per le operazioni di pagamento non autorizzate prevista dalla PSD2 (Payment Services Directive 2 – Direttiva (UE) 2015/2366) e il D. Lgs. n. 11/2010.
Il nodo giuridico e la decisione
Il ricorrente lamentava di essere stato vittima di una truffa informatica basata su un meccanismo di social engineering, nel quale la vittima è stata indotta a disporre volontariamente i bonifici attraverso l’home banking, pur nella falsa convinzione di partecipare ad attività lecite e remunerative.
Il Collegio, in prima battuta, ha esaminato il quadro normativo applicabile, concludendo per l’inapplicabilità del regime di responsabilità previsto dalla PSD2 (Direttiva UE 2015/2366) e dal D.lgs. 11/2010, posto che le operazioni contestate risultano autorizzate, ossia eseguite direttamente dal cliente, con inserimento delle credenziali e autenticazione a due fattori.
La decisione è però interessante soprattutto per un altro profilo. Essa, infatti, si interroga circa l’esistenza, in capo all’intermediario, di eventuali obblighi di protezione verso il cliente, nel senso di disporre il blocco del conto a fronte di operazioni qualificabili come “anomale”. Nel dettaglio, veniva invocata la responsabilità dell’intermediario per non avere rilevato l’anomalia delle operazioni (11 bonifici in 5 ore, a soggetti diversi, per importi crescenti), intervenendo con un blocco o almeno un alert preventivo.
Il Collegio ha ritenuto che l’atipicità dell’operatività non costituisse, di per sé, un elemento sufficiente a fondare un obbligo di intervento, in quanto, da un lato, non è possibile escludere che un cliente possa occasionalmente porre in essere disposizioni estranee alle proprie abitudini; dall’altro, non si può presumere l’esistenza di un’anomalia ogniqualvolta vengano effettuati bonifici verso soggetti nuovi. Inoltre, in assenza di parametri oggettivi e predeterminati, non risulta individuabile con chiarezza il momento in cui l’intermediario avrebbe dovuto attivare un blocco dell’operatività. Pertanto, è stato escluso che l’obbligo di diligenza gravante sull’intermediario imponga di attivare automaticamente misure restrittive al verificarsi di operazioni numerose o di importo elevato, se non ricorrono specifici e concreti indici di frode.
I due orientamenti in seno all’ABF
La decisione in commento si inserisce in un dibattito tuttora aperto:
Nella decisione in oggetto, il Collegio di Milano abbandona l’indirizzo più rigido precedentemente espresso dallo stesso consesso, e si allinea alla linea più garantista per gli intermediari adottata dal Collegio di Torino.
La Direttiva (UE) 2015/2366 (PSD2) e la nuova Direttiva PSD3
La Direttiva (UE) 2015/2366 (recepita in Italia con il D.lgs. 15 dicembre 2017, n. 218) mira a garantire certezza e celerità nei pagamenti e a tutelare gli utenti dei servizi di pagamento in caso di frodi o operazioni non autorizzate.
Pertanto, nei casi in cui il cliente autorizza l’operazione sotto l’inganno (ossia inserisce le credenziali di sua iniziativa, anche se raggirato), la PSD2 non impone alcun obbligo di sospensione automatica delle operazioni sospette.
In seno alla Commissione europea è in atto la discussione sulla PSD3 (la terza direttiva sui servizi di pagamento della Commissione europea che dovrebbe essere rilasciata nella prima metà del 2026) concepita per accordare maggiore protezione per i consumatori, gli esercenti e i prestatori di servizi di pagamento che soddisfino le esigenze del moderno panorama dei servizi finanziari.
Proprio per fronteggiare le nuove truffe (su tutte le frodi da impersonificazione – comunemente note come spoofing – dove il cliente, indotto in errore dal malintenzionato, presta apparentemente il proprio consenso all’operazione di pagamento) la Commissione intende rafforzare gli strumenti di contrasto attraverso diverse misure, tra cui:
- verifica dell’intestatario del conto: obbligo per le banche di controllare la corrispondenza tra il nome del beneficiario e l’IBAN indicato, per ogni bonifico disposto;
- potenziamento del monitoraggio transazionale: implementazione di sistemi in grado di intercettare comportamenti anomali o sospetti nelle operazioni di pagamento;
- condivisione delle informazioni sulle frodi: previsione di un quadro normativo che consenta agli operatori di scambiarsi dati rilevanti relativi a tentativi di frode in atto.
Conclusioni
La decisione del Collegio ABF di Milano conferma l’orientamento volto a limitare la responsabilità degli intermediari nei casi in cui le operazioni siano state disposte direttamente dal cliente, anche qualora quest’ultimo sia stato indotto in errore da tecniche fraudolente particolarmente insidiose, come lo spoofing o il social engineering.
Tuttavia, proprio l’emersione sempre più frequente di queste forme di frode, la proposta di Direttiva PSD3, attualmente in fase di approvazione, mira infatti a colmare le lacune evidenziate dalla disciplina vigente, introducendo presidi più efficaci per il rilevamento di transazioni anomale e meccanismi di verifica più rigorosi sull’identità dei beneficiari.
L’evoluzione normativa si muove dunque verso una ridefinizione dei criteri di responsabilità, nell’intento di assicurare un livello di protezione più adeguato alla complessità dei rischi digitali odierni.
Le dinamiche normative in continua evoluzione richiedono un approccio strategico e aggiornato per garantire piena conformità e successo aziendale.
Le nostre newsletter offrono suggerimenti utili, ma per trasformare queste sfide in opportunità concrete ti invitiamo a prenotare una Strategy Call con i nostri esperti.
Riceverai un supporto personalizzato, pensato per guidarti con sicurezza nelle decisioni più importanti.
Compila il modulo qui sotto per fissare il tuo appuntamento.
