Soldi sottratti dal conto con il phishing, la banca deve restituirli immediatamente – Forlì24ore.it

La Corte di Giustizia Ue penalizza gli istituti di credito anche se il cliente ha commesso un errore

A chi viene truffato online con il phishing la banca deve restituire i soldi immediatamente, anche se il cliente ha  commesso un errore. È il principio affermato il 5 marzo dall’avvocato generale della Corte di giustizia dell’Unione Europea nella causa C-70/25, che riguarda una correntista polacca raggirata con un link falso che imitava il sito della sua banca. Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale

La direttiva europea sui servizi di pagamento (PSD2, art. 73) stabilisce che, segnalata un’operazione non autorizzata, la banca deve rimborsare entro il giorno lavorativo successivo. L’unica eccezione ammessa è il fondato sospetto che sia il cliente stesso a frodare, da comunicare per iscritto alle autorità. La presunta negligenza del cliente non basta per bloccare il rimborso.

La  banca non può rifiutarsi di procedere al rimborso immediato dell’importo di un’operazione non autorizzata adducendo una negligenza grave del cliente, ma per contro, una volta effettuato il rimborso immediato, la banca può chiedere al cliente di sopportare le perdite qualora quest’ultimo, deliberatamente o per negligenza grave, sia venuto meno ai propri obblighi in qualità di utente di servizi di pagamento.

Il parere non è ancora vincolante, ma la Corte lo segue nella grande maggioranza dei casi. Se così avverrà, le banche di tutta Europa, Italia compresa, dovranno rivedere le proprie procedure.

Il caso riguardava un cliente di una banca polacca vittima di una frode mediante phishing: un terzo, fingendosi un acquirente su una piattaforma di vendita, le ha trasmesso un link fraudolento che imitava la pagina Internet della sua banca. Tratta in inganno, la cliente ha inserito le proprie credenziali, consentendo così all’autore della frode di recuperarle e di effettuare un pagamento non autorizzato dal suo conto bancario. Il giorno successivo la cliente ha segnalato l’operazione fraudolenta alla sua banca. Quest’ultima ha tuttavia rifiutato di rimborsare l’importo dell’operazione non autorizzata, ritenendo che la cliente avesse commesso una negligenza grave nel divulgare i propri dati bancari. A seguito di tale rifiuto, la cliente ha agito in giudizio. Il giudice nazionale si è rivolto alla Corte di giustizia per chiedere se, alla luce del diritto dell’Unione, la banca – in qualità di prestatore di servizi di pagamento – sia obbligata a rimborsare immediatamente un’operazione non autorizzata anche quando ritenga che il cliente abbia commesso una negligenza grave, oppure se possa rifiutare il rimborso per tale motivo.

Nelle sue conclusioni, l’avvocato generale Athanasios Rantos ritiene che il diritto dell’Unione obblighi la banca, in un primo momento, a rimborsare immediatamente l’importo dell’operazione non autorizzata, salvo che disponga di ragionevoli motivi per sospettare una frode, circostanza che deve essere comunicata per iscritto all’autorità nazionale competente. Non è prevista alcun’altra eccezione al principio del rimborso immediato e il legislatore dell’Unione non ha lasciato agli Stati membri alcun margine di discrezionalità al riguardo. Tale rimborso, tuttavia, non è definitivo. In un secondo momento, qualora la banca accerti che il cliente è venuto meno, deliberatamente o per negligenza grave, a uno degli obblighi che gli incombono – in particolare per quanto riguarda la tutela delle credenziali di sicurezza personalizzate – essa può chiedergli di sopportare le perdite corrispondenti. Se il cliente si rifiuta di restituire l’importo dell’operazione non autorizzata, spetta alla banca promuovere un’azione giudiziaria nei suoi confronti per ottenerne il pagamento.