Le conclusioni dell’Avvocato generale presso la Corte di Giustizia dell’Unione Europea, pubblicate nei giorni scorsi nell’ambito di una controversia relativa a operazioni di pagamento non autorizzate, intervengono su un punto da anni oggetto di tensione tra intermediari e clientela: nei casi di phishing, il rimborso deve essere immediato e non può essere subordinato a verifiche preliminari sulla condotta del cliente, salvo che la banca sia già in grado di dimostrare una frode o una colpa grave.
Il chiarimento si inserisce nel solco della direttiva sui servizi di pagamento PSD2, ma ne rafforza in modo significativo la portata applicativa. La norma, infatti, prevede già l’obbligo di rimborso “senza indugio” per le operazioni non autorizzate.
Nella prassi operativa, tuttavia, molti istituti hanno progressivamente costruito procedure interne che tendono a sospendere il rimborso in attesa di un’istruttoria completa, soprattutto nei casi di manipolazione del cliente attraverso phishing, smishing o vishing.
Separare rimborso e accertamento
È proprio questa prassi a essere messa in discussione. L’Avvocato generale introduce una distinzione netta tra il momento del rimborso e quello dell’accertamento della responsabilità.
Il primo deve essere immediato, ancorato alla qualificazione dell’operazione come non autorizzata. Il secondo può intervenire solo successivamente, nell’ambito di una eventuale azione di rivalsa, qualora la banca ritenga di poter dimostrare una colpa grave del cliente.
Il rimborso immediato cambia le logiche
Il punto di discontinuità rispetto all’operatività corrente è evidente. Oggi, il tempo dell’indagine coincide spesso con il tempo della decisione economica: si analizzano le modalità di autenticazione, il comportamento dell’utente, la presenza di eventuali alert antifrode, e solo all’esito di questa analisi si decide se rimborsare. L’interpretazione europea separa invece i due piani.
Il rimborso diventa la regola immediata; l’indagine, un momento successivo e autonomo. Ne deriva un effetto diretto sul contenzioso. Non è più il cliente a dover dimostrare di aver diritto al rimborso, ma la banca, eventualmente, a dover dimostrare di aver diritto alla restituzione di quanto già rimborsato.
Il baricentro si sposta: dal reclamo difensivo del cliente alla rivalsa attiva dell’intermediario. Questo comporta anche un diverso assetto dell’onere della prova, che rimane in capo alla banca ma viene esercitato in una fase successiva, con logiche più strutturate e potenzialmente più onerose.
Le frodi impattano sul conto economico
Le implicazioni per il sistema bancario sono rilevanti, in primo luogo sul piano del rischio frodi. Se il rimborso diventa immediato, l’impatto economico delle operazioni fraudolente si trasferisce in via diretta e tempestiva sui bilanci degli intermediari.
Prevenire e rilevare
La capacità di prevenzione e di rilevazione delle frodi non è più solo un tema di compliance o di reputazione, ma incide direttamente sul conto economico. Sistemi di monitoraggio transazionale, analisi comportamentale, autenticazione forte e gestione degli alert diventano leve strategiche. In secondo luogo, l’impatto riguarda le procedure interne.
Gli istituti dovranno rivedere i workflow di gestione delle contestazioni, introducendo meccanismi di rimborso rapido – con tempi e responsabilità chiaramente definiti – e separando tali processi dalle attività di indagine e raccolta delle evidenze.
Questo richiede un coordinamento più stretto tra funzioni legali, compliance, antifrode e operations, nonché una revisione delle policy interne e dei sistemi di tracciamento. Cambia anche la relazione con la clientela.
L’approccio difensivo sintetizzabile nel “l’operazione è stata autorizzata dal cliente” perde centralità nella fase iniziale. La banca è chiamata a farsi carico immediatamente del danno, rinviando ogni valutazione sulla condotta del cliente a un momento successivo. La colpa grave resta un limite alla tutela, ma non può più essere utilizzata come filtro preliminare per negare o ritardare il rimborso.
Si tratta, in ultima analisi, di un riequilibrio del rischio. La sicurezza dei pagamenti digitali non è più solo un onere in capo all’utente finale, ma diventa una responsabilità economica primaria dell’intermediario che gestisce l’infrastruttura. Questo non elimina la necessità di comportamenti diligenti da parte dei clienti, ma ridefinisce le priorità: prima la protezione immediata del patrimonio, poi l’eventuale accertamento delle responsabilità.
Resta da vedere se e in che misura la Corte di Giustizia confermerà integralmente questa impostazione. Tuttavia, il segnale è chiaro. Se l’orientamento sarà consolidato, le banche dovranno adattare rapidamente modelli operativi e presidi di controllo. E, soprattutto, accettare che il rischio phishing non possa più essere trasferito ex ante sul cliente, ma debba essere gestito – e in prima battuta assorbito – all’interno del sistema bancario.
