Perché le banche non possono rifiutare il rimborso di un pagamento phishing: la sentenza della Corte UE

L’avvocato generale della Corte di giustizia dell’Unione europea, Athanasios Rantos, ha espresso un parere chiaro sulla responsabilità delle banche in caso di rimborso operazione non autorizzata.

Il caso, emerso da una vicenda di phishing avvenuta in Polonia, coinvolge una cliente che, ingannata da un link fraudolento, ha fornito le proprie credenziali bancarie a un truffatore. “Il cliente ha inserito le credenziali sulla pagina che sembrava legittima”, riporta la sentenza. La cliente ha subito un prelievo non autorizzato e, dopo averlo segnalato, la banca ha rifiutato il rimborso, sostenendo una presunta “negligenza grave” da parte dell’utente.


Il giudice nazionale ha quindi chiesto alla Corte di chiarire se il diritto dell’Unione preveda eccezioni al rimborso immediato. Secondo le conclusioni dell’avvocato generale, la normativa UE impone alle banche di rimborsare immediatamente l’importo dell’operazione non autorizzata, a meno che non vi siano motivi ragionevoli per sospettare una frode. In tal caso, la banca deve comunicare per iscritto all’autorità competente le ragioni del sospetto. Non è prevista alcuna altra eccezione al principio del rimborso immediato e il legislatore europeo non ha lasciato margini discrezionali agli Stati membri. Ciononostante, il rimborso non è definitivo: se successivamente la banca dimostra che il cliente ha violato deliberatamente o per grave negligenza gli obblighi di sicurezza, può richiedere il recupero delle somme perse.

Le implicazioni per il mercato B2B italiano, in particolare per le imprese di eCommerce, sono evidenti: le istituzioni finanziarie dovranno adeguare le proprie policy di gestione delle frodi, garantendo trasparenza e rispetto delle norme UE.


Le principali disposizioni evidenziate dalla Corte sono:
- La banca deve effettuare il rimborso immediato dell’importo non autorizzato, salvo motivi di sospetto frode;
- Qualora vi siano sospetti fondati, la banca deve informarli per iscritto all’autorità nazionale competente;
- Se la banca accerta una negligenza grave del cliente, può avviare un’azione legale per recuperare le perdite;
- Gli Stati membri non possono introdurre deroghe al principio del rimborso immediato;
- Il cliente, una volta notificata la decisione, può opporsi solo attraverso vie giudiziarie.

Questo orientamento rafforza la protezione dei consumatori e, allo stesso tempo, impone alle banche un rigoroso controllo interno. Per le aziende che gestiscono pagamenti online, la sentenza sottolinea l’importanza di educare i dipendenti alle migliori pratiche di sicurezza digitale, riducendo il rischio di responsabilità banca phishing. In sintesi, la Corte di giustizia stabilisce che la priorità è il rimborso operazione non autorizzata, con la possibilità per la banca di agire successivamente solo se dimostra una negligenza grave del cliente.



Articolo del 06/03/2026

