Anche nel 2025 la criminalità informatica ha continuato a crescere, in termini sia di vittime sia di impatto degli attacchi.
Grazie all’intelligenza artificiale generativa, poi, le campagne di phishing sono diventate ancora più sofisticate ed efficaci nell’ingannare le vittime e indurle a rivelare le loro informazioni personali: dati finanziari, codici di accesso, password e OTP, ad esempio.
A marzo 2026 c'è stata una novità importante, sia per le banche sia per i loro clienti. L'Avvocato Generale della Corte di Giustizia dell'Unione Europea ha infatti proposto di rendere immediato il rimborso delle operazioni non autorizzate in seguito a phishing. Un parere che, se venisse accolto, avrebbe delle conseguenze davvero importanti.
Ci facciamo spiegare che cosa significa tutto questo da Marco Tullio Giordano, dello studio legale 42 Law Firm, in un episodio del podcast #define banking, di cui questo testo è un adattamento.
AG. Spieghiamo in un linguaggio comprensibile a tutti che cosa è un parere dell’Avvocato Generale presso la Corte di Giustizia dell'Unione Europea e che cosa rappresenta?
MTG. Quando un'azione giudiziaria iniziata in uno dei 27 Stati dell'Unione termina il percorso nazionale, c'è la possibilità di portare il caso dinanzi alla Corte Europea di Giustizia, qualora le norme interessate siano norme di portata comunitaria.
E visto che i sistemi di pagamento sono regolati dalla PSD2, acronimo di Payment Service Directive 2, succede che un caso relativo a una frode finanziaria è arrivato davanti alla Corte.
In Corte di Giustizia europea, oltre ai rappresentanti delle parti, è solito intervenire anche l'Avvocato generale, cioè un giurista che lavora presso la Corte e che, nel presentare il caso ai giudici, solitamente esprime anche un “parere”.
In un caso che atteneva un correntista che era incappato in una frode di phishing e aveva perso del denaro, l'Avvocato Generale della Corte ha presentato delle conclusioni in cui espone una teoria difforme da quella che è la prassi quotidiana.
Solitamente, in seguito all’entrata in vigore della PSD2, per ottenere un rimborso dalla banca il cliente deve provare che non ci sia stata colpa grave e che, ad esempio, l’operazione fraudolente sia conseguita da misure di sicurezza troppo lasche implementate dalla banca, oppure da fattori che attengono la piattaforma di pagamento.
L’Avvocato si è espresso in maniera diversa. Dicendo che se un consumatore subisce una frode finanziaria e fa un reclamo, in ottica di tutela del cittadino, sarebbe più opportuno che la banca rimborsasse immediatamente il cliente.
Per poi, successivamente, svolgere le attività di verifica: se accerta una responsabilità connotata da colpa grave in capo al correntista, potrebbe quindi chiedere un rimborso al cliente.
Resta da vedere se questo parere sarà accettato dalla Corte.
AG. E questo varrbbee solo per i clienti retail, o anche per le imprese?
MTG. Questo è un altro punto importante. Queste disposizioni discendono dalla PSD2, che prevede la possibilità di deroghe tra le parti: al netto delle norme minime di funzionamento dei rapporti bancari, le singole banche possono modificare e diversificare i contratti con i clienti.
La prassi, per i clienti business, è che ci siano regole più stringenti. Il cliente retail ha meno competenze, mentre si presume che quello professionale o aziendale abbia invece maggiore conoscenza e diligenza.
Se l’intervento dell’Avvocato Generale verrà accolto dalla Corte e diventerà un orientamento, o addirittura si cristallizzerà in una norma successiva, magari nella PSD3, a quel punto potrebbe diventare una prassi valida per tutit.
AG. Quindi avremmo un ribaltamento della situazione: non è il cliente che deve dimostrare la propria estraneità, ma è la banca che deve provarne la colpa?
MTG. La direzione è quella. Oggi la banca deve rimborsare solo a seguito di dimostrazioni abbastanza complesse per un cliente retail. In genere la pratica si chiude abbastanza veloce mente e non si fanno approfondimenti. Se un cliente, ad esempio, ha autorizzato mediante autenticazione a due fattori, allora la banca non provvede al rimborso.
Tocca al cliente avviare un procedimento giudiziario lungo e oneroso. Semplicemente non conveniente in caso di importi ridotti: è raro che un cliente insista fino a ottener eun rimborso.
Se venisse accolto il parere dell’Avvocato Generale, la banca dovrebbe subito rimborsare quanto perso dal cliente e solo successivamente attivare dei controlli. E questi controlli dovrebbero mirare a un obiettivo molto specifico: identificare una frode o una colpa grave.
La frode è, ovviamente, il caso in cui il cliente abbia effettivamente disposto un pagamento e poi dica di non averlo fatto. Una frode vera e propria.
AG. Che cosa è, invece, una “colpa grave”?
MTG. Faccio alcuni esempi tipici. Il primo: l’annotazione visibile e non protetta del PIN della carta o di una password, come il tipico post-it alla scrivania o dietro la carta. Sono casi di colpa grave, perché la buona diligenza prevede che le persone custodiscano con cura le credenziali.
Un secondo esempio: la consegna deliberata o consapevole di credenziali a terzi, fuori dal contesto di un inganno che sia plausibile. Affido a una persona le mie credenziali e l’OTP per effettuare un pagamento. E quella persona distrae poi dei fondi. Non potrei dire di non avere responsabilità, e quindi colpa grave, nel consegnare ad altri le mie credenziali personali e segrete.
Faccio un terzo esempio. Ingorare alert di sicurezza espliciti e inequivoci che arrivano dalla banca, ad esempio per avvisare di un data breach che ha portato dei criminali a disporre del mio numero di telefono e di altre informazioni personali. A quel punto, ho un avviso esplicito e inequivoci che qualcuno potrebbe contattarmi spacciandosi per la banca e devo essere attento nei giorni e nelle settimane successive.
AG. E quando, invece, la colpa non è grave?
MTG. Nell’ordinamento giuridico italiano, la responsabilità si dettaglia in diversi modi. Con il dolo, quindi io consapevolmente voglio frodare la banca. Con l’errore, in cui sbaglio a considerare alcuni fattori. Poi abbiamo la colpa e la colpa non grave.
Facciamo qualche esempio di colpa non grave. Ad esempio, se cado preda di phishing visitando un sito clone di quello della banca e che sia credibile. Magari un URL costruito in un sottodominio della banca, dopo averne bucato il server.
O, ancora, vishing video o audio in cui un operatore simula di essere un operatore della banca e guida l'utente passo passo nel svolgere le attività. Oppure le operazioni autorizzate in circostanze di forte pressione o inganno, soprattutto se supportate da tecniche che possono essere particolarmente persuasive oppure evolute.
In sintesi: più è sofisticato l’attacco, meno è rimproverabile il cliente retail.
AG. E come dovrebbe cambiare, invece, l’approccio delle banche al tema?
MTG. Credo che gli istituti finanziari, finora, si siano “accomodati” sul fatto che sono tenuti a rimborsare solo se il correntista prova una qualche responsabilità gravante sulla banca.
Questo approccio ha portato a non sviluppare adeguatamente alcuni aspetti, specie sulla clientela retail, dai sistemi antifrode all’attenzione alla custome journey, fino alla gestione dei reclami.
Semplicemente, la banca può non pagare e lasciare al cliente la prima mossa. Molti clienti si sono rivolti al nostro studio per tentare una conciliazione davanti all'ombudsman bancario, ad esempio, oppure davanti a arbitro o, ancora, per avviare azioni legali.
Se la Corte di Giustizia Europea dovesse scegliere di cambiare direzione, le banche corrono il rischio di spendere molto denaro in rimborsi al cliente. E questo potrebbe spingerle a investire preventivamente in sistemi antifrode più avanzati.
In primis, behavioural analytics, quindi analisi di registri, log e pattern di utilizzo degli utenti, ma anche la geolocalizzazione delle operazioni, per valutare se una transazione può essere fraudolenta. O, ancora, sistemi di autenticazione più forti.
Questi strumenti costano. Ma la prospettiva di dovere rimborsare migliaia di clienti e poi di dimostrarne la colpa grave potrebbe favorire un cambio di approccio.
AG. Queste tecnologie sono state oggetto di moltissime demo da parte dei principali circuiti di pagamento, negli ultimi anni. Tecnicamente, quindi, si può fare.
MTG. Il cambiamento non è tecnologico ma sistematico. La parte contraente forte, quindi le banche, devono attivare un maggiore livello di prevenzione per non dovere impegnare molto denaro in rimborsi.
Magari estenderanno a tutta la clientela alcune soluzioni già adottate su alcune tipologie di operazioni. Magari in base a analisi di transaction risk, per cui se un movimento esce dai pattern usuali, allora richiedo maggiori verifiche. O anche warning intelligenti al cliente.
Andrebbe probabilmente rivisto anche l’assetto della gestione dei reclami, specie nei contatti con il cliente retail.
AG. Hai citato la PSD2: che cosa potrebbe cambiare ulteriormente, proprio sul tema dei rimborsi?
MTG. Come ho scritto in un articolo per AziendaBanca, le bozze della nuova normativa prevedono un aspetto tutelante per gli istituti di credito.
Nel caso in cui le indagini stabiliscano che in un caso di frode c’è una responsabilità delle piattaforme web, penso a post sponsorizzati su social media che promuovono servizi truffaldini, oppure un contatto in una app di messaggistica da parte di numeri già segnalati, si aprono infatti scenari nuovi.
In caso di responsabilità delle piattaforme, infatti, la banca, penalizzata per avere anticipato il rimborso al correnstica, potrà rifarsi sulla piattaforma web.
In linguaggio semplice: la banca rimborsa subito il cliente, ma poi richiede la manleva al social network che non ha impedito che il cliente entrasse in contatto con l’esca del phishing, cioè con pubblicità illecite.
È una forma di responsabilizzazione della piattaforma che rientra in quel tentativo di distribuire, all’interno della catena del rischio, un ruolo maggiore su quei soggetti che potrebbero fare di più, alleggerendo invece la posizione del consumatore.
