AttentiOnline

Truffe, phishing ed altri pericoli del web

Truffa: Rimborsi Corte Europea
Approfondimenti

Phishing e rimborsi bancari: la Corte di Giustizia UE pronta a cambiare le regole del gioco

Fabio

Il parere dell’Avvocato Generale Rantos nella causa C-70/25 stabilisce un principio chiaro: prima si rimborsa la vittima, poi si discute di eventuali responsabilità.

Chiunque sia stato vittima di phishing bancario conosce bene la frustrazione di sentirsi rispondere dalla propria banca che “la colpa è sua, ha fornito le credenziali volontariamente”. Per anni, molti istituti di credito europei hanno utilizzato la presunta negligenza del cliente come scudo per rifiutare o ritardare il rimborso di transazioni non autorizzate. Una prassi che potrebbe presto avere i giorni contati.

Il 5 marzo 2026, l’Avvocato Generale della Corte di Giustizia dell’Unione Europea, Athanasios Rantos, ha pubblicato il suo parere formale nella causa C-70/25 (caso Tukowiecka). La sua posizione è netta: secondo la direttiva europea sui servizi di pagamento PSD2 (Direttiva 2015/2366), le banche sono obbligate a rimborsare immediatamente le vittime di transazioni non autorizzate. Non dopo settimane di indagini interne, non dopo aver scaricato la responsabilità sul correntista. Subito.

Il caso che ha fatto partire tutto

La vicenda nasce in Polonia. Un correntista della banca PKO BP S.A. aveva messo in vendita un oggetto su una piattaforma di aste online. Un truffatore lo ha contattato fingendosi un acquirente interessato e gli ha inviato un link che portava a una pagina identica all’interfaccia di accesso dell’home banking. La vittima, convinta di trovarsi sul sito legittimo della propria banca, ha inserito le credenziali di autenticazione. In pochi istanti il criminale ha utilizzato quei dati per effettuare un pagamento non autorizzato dal conto corrente.

Il giorno successivo il correntista ha segnalato l’accaduto sia alla banca sia alle forze dell’ordine. I truffatori non sono stati identificati, ma la banca ha rifiutato il rimborso sostenendo che il cliente avesse agito con “grave negligenza” nel fornire i propri dati di accesso su un sito fraudolento. Il tribunale distrettuale di Koszalin, chiamato a pronunciarsi sulla controversia, ha deciso di rivolgersi alla Corte di Giustizia dell’Unione Europea per ottenere un’interpretazione chiara della normativa.

Cosa dice il parere di Rantos

L’Avvocato Generale ha analizzato gli articoli 73 e 74 della direttiva PSD2 e ha tracciato una distinzione fondamentale tra due fasi distinte:

Prima fase: il rimborso immediato. L’articolo 73 impone alla banca di restituire senza ritardo l’importo di un’operazione non autorizzata. L’unica eccezione ammessa riguarda il caso in cui l’istituto abbia fondati motivi per sospettare che la frode sia stata commessa dal cliente stesso. In tal caso, il sospetto deve essere comunicato per iscritto all’autorità nazionale competente. Al di fuori di questa ipotesi specifica, la banca non può rifiutare né ritardare il rimborso.

Seconda fase: la verifica delle responsabilità. L’articolo 74 regola la ripartizione delle perdite e si applica solo dopo che il rimborso è stato effettuato. Se la banca riesce a dimostrare che il cliente ha agito con dolo o con negligenza grave (ad esempio condividendo deliberatamente le proprie credenziali), può rivalersi per recuperare la somma. Se il cliente rifiuta la restituzione, sarà la banca a dover avviare un’azione legale.

In termini pratici, il principio è stato sintetizzato con un’espressione efficace: “refund now, sue later” – rimborsa subito, fai causa dopo. Il messaggio è chiaro: la tutela economica immediata della vittima ha la priorità su qualsiasi valutazione di responsabilità.

Perché questa decisione è importante per tutti noi

Negli ultimi anni, le controversie tra clienti e banche sui rimborsi per phishing si sono moltiplicate in tutta Europa, con esiti spesso divergenti da paese a paese. Alcune banche rimborsavano rapidamente, altre si trinceravano dietro la negligenza del correntista per mesi. L’assenza di un’interpretazione uniforme della PSD2 ha creato un panorama frammentato in cui la tutela del consumatore dipendeva più dalla giurisdizione che dalla normativa.

Il parere di Rantos punta a cambiare questa situazione. Se la Corte di Giustizia seguirà la sua indicazione (e storicamente lo fa nella maggioranza dei casi), si creerà un precedente vincolante per tutti gli Stati membri dell’Unione Europea. Le banche non potranno più utilizzare la negligenza come barriera iniziale per negare il rimborso. Dovranno prima restituire il denaro e solo successivamente, con prove concrete alla mano, potranno eventualmente chiederne la restituzione.

Questo approccio sposta il rischio iniziale sulle banche, incentivandole a investire di più in sistemi di rilevamento delle frodi, nel monitoraggio delle compromissioni di credenziali e nel rafforzamento dell’autenticazione forte del cliente (Strong Customer Authentication).

Il contesto normativo: PSD2, PSD3 e il futuro dei pagamenti digitali

La direttiva PSD2, entrata in vigore per modernizzare e rendere più sicuro il mercato dei pagamenti digitali europeo, ha già introdotto obblighi significativi per gli istituti finanziari, tra cui la Strong Customer Authentication (SCA), che richiede almeno due fattori di autenticazione appartenenti a categorie diverse: qualcosa che sai (una password), qualcosa che possiedi (uno smartphone o un token), qualcosa che sei (un’impronta digitale o il riconoscimento facciale).

Nonostante questi meccanismi, le campagne di phishing continuano a ingannare gli utenti convincendoli a inserire codici temporanei e credenziali su pagine contraffatte. Le tecniche si fanno sempre più sofisticate e spesso è difficile, anche per un utente attento, distinguere una comunicazione legittima da una truffa ben costruita.

Il parere di Rantos anticipa di fatto quanto previsto dalla futura PSD3 e dal nuovo Payment Services Regulation (PSR), proposti nel 2024, che codificano esplicitamente l’obbligo di rimborso immediato con sanzioni per chi non si adegua. Tuttavia, l’iter legislativo potrebbe richiedere ancora tempo, ed è per questo che l’Avvocato Generale ha proposto di applicare questo principio già nell’ambito dell’attuale PSD2.

Cosa cambia in concreto per i cittadini europei

Se sei vittima di phishing e la tua banca rifiuta il rimborso sostenendo che “avresti dovuto essere più attento”, sappi che il diritto europeo è dalla tua parte. Ecco cosa è importante sapere:

La banca è obbligata a rimborsarti immediatamente (entro il giorno lavorativo successivo alla segnalazione) per qualsiasi transazione non autorizzata. L’unico motivo valido per cui la banca può sospendere il rimborso è il sospetto fondato che tu stesso abbia commesso la frode, e tale sospetto deve essere comunicato per iscritto all’autorità competente. La semplice affermazione che “hai agito con negligenza” non è sufficiente a bloccare il rimborso. Devi segnalare la transazione fraudolenta alla banca entro 13 mesi dalla data dell’addebito.

Una nota importante

Il parere dell’Avvocato Generale non è ancora una sentenza della Corte di Giustizia. Si tratta di un’opinione legale non vincolante che fornisce una raccomandazione ai giudici. La decisione definitiva è attesa nei prossimi mesi. Tuttavia, nella grande maggioranza dei casi, la Corte segue l’orientamento espresso dall’Avvocato Generale nelle sue conclusioni.

Indipendentemente dall’esito, questo parere rappresenta un segnale forte: l’Europa sta andando nella direzione di una protezione sempre più concreta e immediata per le vittime di frodi online. E questo è un buon motivo per continuare a pretendere i propri diritti.

Fonti: Comunicato stampa della Corte di Giustizia dell’Unione Europea, causa C-70/25 (Tukowiecka); opinione dell’Avvocato Generale Athanasios Rantos del 5 marzo 2026; Direttiva (UE) 2015/2366 (PSD2), articoli 73 e 74.

LinkedInPrint

Questo sito utilizza i cookies per migliorare la tua esperienza di navigazione | Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all'uso dei cookies | Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookies clikka qui

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi