In un'epoca in cui internet è portata di tutti, gli utenti debbono prestare grande cautela al pericolo rappresentato dalle attività illecite dei cyber-criminali. Le truffe informatiche sono, oggi, uno dei maggiori rischi nell'uso quotidiano dei servizi bancari digitali. Tra queste, il phishing, cioè i raggiri via web con cui i malintenzionati inducono le vittime a comunicare le proprie credenziali bancarie, è uno delle tecniche più utilizzate.
Ebbene, proprio su questo tema un significativo chiarimento giunge dalle istituzioni comunitarie. L'avvocato generale della Corte di giustizia UE ha affermato che la banca non può rifiutarsi di rimborsare immediatamente il cliente, vittima di un'operazione non autorizzata. E non può farlo neanche quando l'episodio sia avvenuto, a causa di una condotta negligente della stessa vittima.
La sua posizione è contenuta e dettagliata nelle conclusioni presentate il 5 marzo scorso, nella causa C-70/25, relativa a una controversia nata in Polonia a seguito di una truffa online con falso link bancario.
Una cliente di una banca polacca aveva pubblicato un annuncio, su una piattaforma di compravendita online. Poco dopo è stata contattata da una persona, che si presentava come potenziale acquirente dell'oggetto in vendita. Il sedicente compratore ha inviato, alla futura vittima del phishing, un link che, apparentemente, rimandava a una pagina collegata alla banca. Ma tale link era una trappola che nascondeva, in realtà, un sito fraudolento e progettato per imitare l'interfaccia bancaria.
La donna, convinta di trovarsi sul sito autentico del proprio istituto, ha inserito le sue credenziali bancarie. Così il truffatore ha potuto appropriarsene e accedere al suo conto corrente, compiendo un pagamento senza autorizzazione. Accortasi dell'operazione il giorno successivo, la donna ha subito denunciato il fatto sia alla sua banca sia alla polizia, chiedendo il rimborso della somma sottratta.
Tuttavia, la banca polacca ha respinto ogni attribuzione di responsabilità e, quindi, la richiesta di restituzione di quanto prelevato. Sosteneva che la cliente avesse agito con grave negligenza, avendo inserito i propri dati su un sito non autentico.
Ne è nata una disputa giudiziaria presso un tribunale distrettuale polacco. Qui il giudice locale ha deciso di rivolgersi alla Corte di giustizia UE con una questione pregiudiziale. In breve, la magistratura polacca ha chiesto se il diritto dell'Unione consenta alle banche di rifiutare il rimborso immediato delle operazioni non autorizzate, quando ritengono che il cliente abbia agito con negligenza grave.
La risposta indicata dall'avvocato generale è netta. L'art. 73 della direttiva europea sui servizi di pagamento (PSD2 – direttiva 2015/2366) stabilisce, in caso di operazione di pagamento non autorizzata - e segnalata dal cliente - un obbligo preciso a carico della banca. Quest'ultima deve rimborsare subito l'importo sottratto con il phishing, in modo da preservare il cliente da conseguenze finanziarie improvvise, come l'impossibilità di pagare bollette o rate del mutuo.
Non solo. Secondo l'interpretazione dell'avvocato generale, gli Stati membri - Italia compresa - non possono introdurre deroghe che, con norme interne, consentano alle banche di rinviare o bloccare il rimborso. In concreto, l'eventuale negligenza (anche grave) del cliente non può essere utilizzata come motivo, per negare immediatamente la restituzione del denaro.
C'è una sola situazione in cui il rimborso può essere sospeso. Ciò avviene quando la banca ha motivi ragionevoli, per sospettare che il cliente stesso stia commettendo una frode. In tali circostanze, l'istituto di credito deve comunque seguire una procedura precisa: il sospetto deve essere comunicato, per iscritto, all'autorità nazionale competente. In ogni altro caso, la banca non potrà opporsi al rimborso immediato.
Più nel dettaglio, l'interpretazione delle norme vigenti, proposta dall'avvocato generale, prevede un sistema articolato nella prima fase di rimborso immediato e nella seconda dell'eventuale accertamento della responsabilità. La banca può, quindi, controllare se il cliente abbia violato gli obblighi previsti per l'uso dei servizi di pagamento, in particolare quelli relativi alla protezione delle credenziali di sicurezza personalizzate. E laddove la banca riesca a dimostrare che il cliente ha agito volontariamente, o con grave negligenza, potrà chiedergli di sostenere le perdite corrispondenti o di restituire (anche per via giudiziaria) quanto già rimborsato.
Ricapitolando, la lettura della normativa - proposta dall'avvocato generale - rafforza la tutela dei consumatori, con particolare riferimento agli utenti dei servizi di pagamento digitali. La banca sarebbe gravata da un obbligo generalizzato di rimborso immediato, al fine di ridurre l'impatto economico della frode. Mentre la valutazione delle eventuali responsabilità sarebbe rinviata a un momento successivo.
È importante chiarire che le conclusioni dell'avvocato generale non costituiscono ancora una decisione vincolante. È, infatti, un parere giuridico rivolto ai giudici della Corte di giustizia, che indica come dovrebbe essere interpretato il diritto dell'UE nel caso esaminato. Tuttavia, nella prassi della Corte, le conclusioni degli avvocati generali sono spesso seguite nelle sentenze finali. Se, tra qualche mese, la Corte dovesse optare per questa interpretazione, la decisione diventerebbe vincolante per tutti i tribunali degli Stati membri UE, Italia compresa. Perciò, le conseguenze concrete sarebbero notevoli su tutto il sistema bancario europeo.
Gli istituti di credito dovrebbero infatti cambiare le procedure interne di gestione delle frodi, assicurando il ristoro immediato ai clienti anche quando sospettano una loro negligenza.
Concludendo, la vicenda citata dimostra come il diritto UE stia cercando di adattarsi alla propagazione delle truffe online. Con l'aumento dell'uso di home banking, app finanziarie e pagamenti digitali, il rischio di attacchi informatici è reale. Proprio per questo, chi utilizza servizi di pagamento digitali deve poter contare su una tutela effettiva e immediata, quando diventa vittima di una frode.
Se sei vittima di phishing la banca deve restituirti subito i soldi. L'interpretazione dell'avvocato generale della Corte di giustizia UE sulla direttiva PSD2 e cosa potrebbe cambiare per i correntisti