L’Arbitro Bancario Finanziario, Collegio di Roma, con la decisione n. 2146 del 25 febbraio 2025, ha stabilito che il ricorso ad un sistema di autenticazione a doppio fattore, in assenza di malfunzionamento del sistema, consente di ritenere che l’intermediario abbia assolto all’onere della prova che la legge gli impone in caso di disconoscimento di una operazione di pagamento.
Nel caso di specie la ricorrente disconosceva n. 6 bonifici istantanei in uscita dal suo conto. Questi bonifici in uscita si accompagnavano ad alcuni accrediti di piccolo importo.
Nel ricorso presentato all’ABF, la ricorrente affermava di non aver mai fornito a terzi le proprie credenziali e di non aver cooperato, neppure involontariamente, in alcun modo all’effettuazione di queste operazioni.
Nelle proprie controdeduzioni l’intermediario dava atto della corretta autenticazione mediante SCA (strong customer authentication) delle operazioni disconosciute.
Infatti, con riferimento ad ogni singola operazione di pagamento, la banca aveva inviato SMS di notifica alla cliente, per cui l’intermediario riteneva che l’uso del telefono personale della ricorrente per l’autenticazione dimostrasse una sua cooperazione nella frode, configurando colpa grave ai sensi dell’art. 7 del D.lgs. n. 11/2010.
Il Collegio dell’ABF inizia ricordando che la vicenda si è verificata sotto la vigenza della direttiva PSD2 (2015/2366/UE) e del Regolamento delegato UE 2018/389, che impongono ai prestatori di servizi di pagamento di utilizzare un sistema di autenticazione forte del cliente (Strong Customer Authentication – SCA).
Nel caso di specie, ha accertato che i log informatici prodotti dalla banca dimostravano che tutte le operazioni contestate erano state eseguite con accesso all’home banking tramite codice cliente, data di nascita e PIN (elemento di conoscenza); con generazione e utilizzo dell’OTP attraverso l’app token installata sullo smartphone della ricorrente (elemento di possesso); e previa digitazione del PIN sull’app (ulteriore elemento di conoscenza).
Il dispositivo utilizzato (lo smartphone della cliente) era stato attivato come token nel 2020, molto prima della frode.
Dopo ogni operazione, la banca aveva inoltre inviato SMS di alert al numero di telefono della Cliente, ma quest’ultima non si era attivata tempestivamente per bloccare il conto o segnalare l’anomalia.
In sede di denuncia-querela, peraltro, la ricorrente non aveva fornito una ricostruzione chiara della dinamica della truffa, limitandosi ad affermare di essersi accorta dei bonifici solo il giorno successivo. In assenza di spiegazioni alternative plausibili, il Collegio ha ritenuto verosimile che la frode fosse avvenuta tramite phishing e che il comportamento della cliente denotasse colpa grave, avendo probabilmente la stessa fornito dati o autorizzato le operazioni sul proprio dispositivo.
L’Arbitro ha concluso, dunque, per il rigetto del ricorso, considerato che la banca aveva assolto all’onere probatorio previsto dall’art. 10 del D.lgs. 11/2010, dimostrando che:
• le operazioni erano state autenticate correttamente con un sistema conforme alla SCA;
• erano state registrate e contabilizzate senza malfunzionamenti;
• la sicurezza del sistema non risultava compromessa.
Pertanto, non sussistevano elementi per imputare alcuna responsabilità all’intermediario, che aveva operato correttamente secondo le norme di sicurezza vigenti.
28.10.2025
