Un parere giuridico emesso presso la Corte di giustizia dell’Unione europea (CJEU) afferma che le banche devono rimborsare immediatamente le vittime di phishing colpite da transazioni non autorizzate. L’indicazione arriva dall’avvocato generale Athanasios Rantos, che ha pubblicato un’opinione nel contesto del caso C-70/25. Il parere nasce da una richiesta di interpretazione della normativa europea presentata dal tribunale distrettuale di Koszalin in Polonia, nell’ambito di una controversia tra la banca PKO BP S.A. e un cliente truffato tramite phishing. Secondo l’interpretazione dell’avvocato generale, le norme della direttiva sui servizi di pagamento PSD2 (2015/2366) obbligano gli istituti di credito a restituire subito l’importo sottratto quando un pagamento non autorizzato viene segnalato dal cliente. L’unica eccezione è la presenza di un sospetto fondato di frode da parte del titolare del conto, che deve essere comunicato formalmente all’autorità nazionale competente.
Cosa leggere
Il parere dell’avvocato generale della Corte UE
Il parere di Athanasios Rantos non rappresenta ancora una sentenza definitiva, ma costituisce una guida giuridica fondamentale per i giudici della Corte di giustizia dell’Unione europea. Gli avvocati generali della CJEU analizzano le questioni legali e formulano raccomandazioni che spesso vengono seguite nella decisione finale. Nel caso specifico, Rantos interpreta le disposizioni della direttiva PSD2 stabilendo che il meccanismo di tutela dei consumatori richiede un rimborso immediato delle transazioni non autorizzate. L’obiettivo della normativa europea è garantire la fiducia nel sistema dei pagamenti digitali e assicurare una protezione efficace per i cittadini. Secondo il parere, la banca non può ritardare il rimborso sostenendo genericamente che il cliente abbia agito con negligenza. L’istituto deve prima restituire l’importo sottratto e solo successivamente, se dispone di prove di frode o grave negligenza, può tentare di recuperare la somma attraverso azioni legali.
Il caso polacco che ha portato alla richiesta di chiarimento
La questione nasce da una controversia tra la banca PKO BP S.A. e un suo cliente vittima di phishing. L’episodio inizia quando il cliente pubblica un annuncio di vendita su una piattaforma di aste online. Un truffatore lo contatta e gli invia un link malevolo che conduce a una pagina falsa progettata per imitare l’interfaccia di login della banca. Convinto di accedere al proprio conto, l’utente inserisce le credenziali bancarie. Il criminale utilizza quindi queste informazioni per eseguire una transazione non autorizzata dal conto della vittima. Il giorno successivo il cliente si accorge del pagamento sospetto e segnala immediatamente l’incidente sia alla banca sia alla polizia. I truffatori rimangono ignoti, ma la banca rifiuta di rimborsare la perdita sostenendo che il cliente abbia agito con negligenza condividendo le proprie credenziali. Il cliente decide quindi di avviare un’azione legale. Il tribunale polacco, trovandosi di fronte a un’interpretazione incerta della normativa europea, ha chiesto alla Corte di giustizia UE di chiarire se la banca possa negare il rimborso basandosi sulla presunta negligenza del cliente.
Le regole della direttiva PSD2 sui rimborsi
La direttiva europea PSD2, adottata nel 2015, disciplina i servizi di pagamento nell’Unione europea e introduce una serie di garanzie per i consumatori. L’articolo 73 stabilisce che, in caso di pagamento non autorizzato, la banca deve rimborsare immediatamente l’importo della transazione e ripristinare il saldo del conto alla situazione precedente. L’articolo 74 definisce invece la responsabilità del pagatore. Il cliente può essere ritenuto responsabile solo in presenza di frode o grave negligenza, ad esempio quando condivide volontariamente i propri codici di sicurezza o ignora deliberatamente le regole di protezione delle credenziali. In situazioni di semplice errore o disattenzione, la responsabilità del cliente è limitata e non può essere utilizzata dalla banca per evitare il rimborso immediato. L’interpretazione proposta da Rantos rafforza quindi il principio secondo cui la tutela del consumatore deve avere priorità nel sistema europeo dei pagamenti digitali.
Una procedura in due fasi per le banche
Il parere introduce di fatto una procedura in due fasi per la gestione delle frodi. Nella prima fase la banca è tenuta a rimborsare immediatamente il cliente che segnala una transazione non autorizzata. Questo passaggio serve a garantire che la vittima non rimanga senza fondi durante la fase di indagine. Nella seconda fase l’istituto può avviare verifiche interne per stabilire se il cliente abbia agito con frode o grave negligenza. Se emergono prove concrete, la banca può intraprendere un’azione legale per recuperare le somme rimborsate. Questo sistema cerca di bilanciare la protezione dei consumatori con la necessità di evitare abusi. Da un lato le vittime ricevono un rimborso rapido, dall’altro le banche mantengono la possibilità di recuperare il denaro quando il comportamento del cliente viola gravemente le regole di sicurezza.
Impatto per banche e clienti europei
Se la Corte di giustizia UE seguirà l’interpretazione dell’avvocato generale, il principio del rimborso immediato per le vittime di phishing diventerà un riferimento vincolante per tutti i tribunali dell’Unione europea. Questo potrebbe obbligare molte banche a modificare le proprie procedure interne e a gestire i casi di frode con maggiore rapidità. Per gli utenti bancari la decisione rappresenterebbe un rafforzamento significativo delle tutele contro le frodi digitali. I clienti potrebbero segnalare più facilmente le transazioni sospette sapendo di avere diritto a un rimborso rapido. Allo stesso tempo le banche dovrebbero investire maggiormente in sistemi di rilevamento delle frodi, monitoraggio delle transazioni e programmi di educazione dei clienti per ridurre i casi di phishing.
Le implicazioni per la lotta alle frodi online
Il parere arriva in un momento in cui le frodi di phishing rappresentano una delle principali minacce per i servizi finanziari digitali. I criminali informatici utilizzano email, messaggi o siti falsi per convincere gli utenti a inserire le proprie credenziali bancarie. Una volta ottenuto l’accesso al conto, i truffatori possono eseguire pagamenti o trasferimenti di denaro. Le istituzioni europee stanno cercando di contrastare questa tendenza rafforzando le regole di protezione dei consumatori e introducendo sistemi come la strong customer authentication, che richiede almeno due fattori di autenticazione per autorizzare i pagamenti online. L’interpretazione della PSD2 proposta da Rantos si inserisce in questo quadro e mira a garantire che le vittime non restino sole a sostenere il peso economico delle frodi.
Le prossime decisioni della Corte di giustizia UE
La decisione finale spetterà ai giudici della Corte di giustizia dell’Unione europea, che dovranno pronunciarsi sul caso C-70/25 nei prossimi mesi. Sebbene il parere dell’avvocato generale non sia vincolante, nella maggior parte dei casi la Corte segue le indicazioni presentate nelle opinioni legali. Se il tribunale europeo adotterà questa interpretazione, tutti i tribunali nazionali dovranno applicare lo stesso principio nei casi di phishing e pagamenti non autorizzati. Questo contribuirebbe a uniformare le pratiche bancarie in tutta l’Unione europea e a rafforzare la fiducia dei cittadini nei sistemi di pagamento digitali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
