Rispondere a un messaggio apparentemente inviato dalla propria banca e comunicare i propri dati di sicurezza personali a un sedicente operatore può costare caro a un cliente. Integra infatti la fattispecie di colpa grave che impedisce al correntista di chiedere alla banca di sopportare i danni subiti in caso di truffa digitale. È quanto ha stabilito il Collegio di Coordinamento dell’Arbitro Bancario Finanziario che, con la decisione n. 4274 del 12 maggio 2026, è intervenuto su alcune questioni operative di grande attualità nella gestione delle frodi digitali: il corretto impiego della strong customer authentication (SCA), l’utilizzo delle esenzioni previste dagli standard tecnici della direttiva sui servizi di pagamento, i cosiddetti RTS della PSD2, per l’accesso informativo al conto e la qualificazione del codice di sicurezza temporaneo (il cosiddetto CVV dinamico) nel processo di autenticazione delle operazioni e-commerce.
Il caso trae origine da una frode realizzata mediante SMS spoofing e vishing, due tra le più comuni modalità utilizzate dai truffatori per ingannare i consumatori. L’SMS spoofing maschera il mittente di un messaggio facendolo apparire legittimo (es. «la tua banca»). Il vishing è una truffa telefonica in cui un finto operatore manipola la vittima. Proprio questo è accaduto nel caso in esame. La cliente di una banca riceveva un messaggio apparentemente proveniente dall’intermediario, con cui veniva informata di una presunta operazione non autorizzata e invitata a contattare un numero telefonico. A quel numero rispondeva un sedicente operatore dell’ufficio frodi, che induceva la cliente a fornire informazioni e codici necessari per l’esecuzione di due operazioni: un bonifico di 4.225,77 euro e un pagamento e-commerce di 850,00 euro. La ricorrente chiedeva quindi il rimborso delle somme, sostenendo di essere stata vittima di una frode sofisticata e di non avere autorizzato le operazioni contestate.
L’intermediario resisteva affermando che le operazioni erano state correttamente autenticate, registrate e contabilizzate, e che la condotta della cliente integrava gli estremi della colpa grave. Il Collegio di Milano, rilevata la presenza di orientamenti non uniformi tra i Collegi territoriali, rimetteva la questione al Collegio di Coordinamento, che ha dato ragione all’intermediario e torto alla cliente.
Il Collegio non valuta il CVV dinamico in modo isolato, ma considera l’intero procedimento autorizzativo, verificando se il processo complessivo consenta di riconoscere fattori distinti e indipendenti idonei a integrare la SCA
La prima questione affrontata riguarda l’applicabilità dell’esenzione dalla SCA prevista dall’art. 10 del Regolamento Delegato UE 2018/389 per l’accesso online al conto. In particolare, il problema era stabilire se, una volta effettuato un accesso al conto con un solo fattore di autenticazione in regime di esenzione, quel fattore potesse essere riutilizzato, nella medesima sessione, insieme a un secondo fattore, per autorizzare un’operazione dispositiva.
Il Collegio di Coordinamento risponde positivamente. La procedura è ritenuta conforme al quadro normativo quando ricorrono alcune condizioni precise: la sessione deve essere unica; deve prodursi il dynamic linking; non deve trattarsi del primo accesso al conto; non devono essere trascorsi più di 180 giorni dall’ultima applicazione della SCA.
La decisione valorizza le Q&A dell’European Banking Authority del 2018 e 2020, riconoscendone la funzione interpretativa nelle prassi applicative europee.
Ne consegue che non può ritenersi automaticamente irregolare una procedura che consenta l’accesso informativo con un solo fattore e, successivamente, nella stessa sessione, l’autorizzazione del pagamento mediante riutilizzo di quel fattore insieme a un secondo elemento.
Il secondo snodo riguarda il CVV dinamico. L’intermediario aveva descritto una procedura in cui il CVV dinamico veniva generato previo accesso all’area riservata tramite username e password e mediante inserimento di un OTP inviato via SMS. L’operazione e-commerce veniva poi confermata attraverso l’inserimento delle credenziali della carta, del CVV dinamico e di un ulteriore OTP.
Il Collegio adotta un’impostazione sostanziale: non valuta il CVV dinamico in modo isolato, ma considera l’intero procedimento autorizzativo. In questa prospettiva, quando il CVV dinamico è generato attraverso un iter che incorpora un fattore di conoscenza (password) e un fattore di possesso (OTP), esso può assumere rilievo nel sistema complessivo di autenticazione.
Ne deriva il principio secondo cui può configurarsi un sistema di autenticazione a doppio fattore anche tramite CVV dinamico, se inserito in un processo strutturato di SCA.
Questo passaggio è rilevante perché supera una lettura meramente atomistica dei singoli elementi di autenticazione. Il Collegio verifica invece se il processo complessivo consenta di riconoscere fattori distinti e indipendenti, idonei a integrare la SCA.
Accertata la regolare autenticazione, il Collegio passa al profilo della colpa grave dell’utente. Anche qui la decisione è netta. La ricorrente aveva contattato un numero non riconducibile alla banca, aveva interagito con un sedicente operatore, aveva comunicato codici OTP ricevuti via SMS e aveva aderito a una procedura anomala: effettuare un pagamento per bloccare un presunto addebito non autorizzato. A ciò si aggiungevano ulteriori indici di allarme, come errori grammaticali e di punteggiatura nei messaggi ricevuti.
Il Collegio ritiene quindi che la condotta abbia superato la soglia della mera disattenzione, integrando una violazione grave degli obblighi di custodia delle credenziali di sicurezza personalizzate. Il ricorso viene pertanto rigettato.
La decisione ha un impatto pratico significativo. Per gli intermediari, conferma che la difesa nei contenziosi da frodi digitali non può fondarsi su affermazioni generiche circa la correttezza dei sistemi informatici. Occorrono log chiari, evidenza puntuale dei fattori di autenticazione, dimostrazione del dynamic linking e ricostruzione della customer journey.
Per i clienti, la decisione ribadisce che la sofisticazione delle frodi non elimina gli obblighi di diligenza. SMS apparentemente provenienti dalla banca, chiamate da falsi operatori e messaggi inseriti in conversazioni già esistenti possono abbassare la soglia di attenzione; tuttavia, la comunicazione di OTP a terzi e l’esecuzione di pagamenti su indicazione telefonica restano condotte incompatibili con la diligenza richiesta nell’uso degli strumenti di pagamento.
Il punto di equilibrio tracciato dal Collegio di Coordinamento è quindi chiaro: la disciplina PSD2 tutela l’utente rispetto alle operazioni non autorizzate, ma non trasforma l’intermediario in garante assoluto di ogni frode subita dal cliente. Quando il PSP dimostra la corretta applicazione della SCA e la regolare esecuzione dell’operazione, e quando emergono indici gravi, precisi e concordanti di cooperazione imprudente dell’utente, la responsabilità restitutoria dell’intermediario può essere esclusa.
La decisione n. 4274/2026 si colloca dunque in una linea evolutiva dell’Arbitro Bancario Finanziario che tende a valutare le frodi digitali non solo attraverso la vulnerabilità del cliente, ma anche attraverso la robustezza del processo tecnico e la condotta concreta dell’utilizzatore. È un approccio destinato ad assumere crescente rilievo in un contesto in cui le frodi sfruttano soprattutto l’ingegneria sociale e l’uso non consapevole degli strumenti di autenticazione.
Link di riferimento: https://www.arbitrobancariofinanziario.it/decisioni/2026/05/Dec-20260512-4274.pdf
Iscriviti alla newsletter: https://www.bebankers.it/newsletter/
