Nota a ABF, Collegio di Milano, 4 novembre 2025, n. 9601.
di Luca Cardi
Banca Popolare di Fondi - Servizi Legali“Non tocca a noi dominare tutte le maree del mondo,
il nostro compito è di fare il possibile per la salvezza degli anni nei quali viviamo,
sradicando il male dai campi che conosciamo.”
(J.R.R. Tolkien)
Si è sempre responsabili
di quello che non si è saputo evitare
(Jean-Paul Sartre)
Chi volesse davvero individuare, se non il principio fondamentale, ma – per certo – uno dei principi portanti dell’ordinamento giuridico, non potrebbe tralasciare di considerare il concetto di responsabilità. Nell’etimologia dei nomi è, di sovente (per non dire sempre), celata l’essenza più vera dei concetti cui il nome stesso rimanda (nomen omen, avrebbero detto i Padri). Ebbene, talora, dimentichiamo che il termine “responsabilità” deriva da “rispondere”. Cioè è a dire dal farsi carico delle conseguenze della nostra condotta, commissiva o omissiva che sia, ove dalla condotta stessa derivino danni e lesioni dell’altrui sfera giuridica. Ma in tanto siamo soggetti a tale equa sanzione della nostra condotta in quanto, tra la condotta medesima e la lesione che ne deriva, esista un nesso di causalità e, ancor più alla radice, in quanto a quella condotta fossimo tenuti. La fattispecie del disconoscimento dei bonifici a opera della clientela e della conseguente condotta risarcitoria che ne deriva in capo agli istituti di credito sta divenendo un vero e proprio banco di prova di questi assunti.
Con la propria Decisione n. 9601 del 4 novembre 2025, il Collegio di Milano dell’Arbitro Bancario Finanziario si interroga, per l’appunto sui profili di responsabilità di due intermediari in merito a una disposizione di bonifico denunciata fraudolenta e dichiarata disconosciuta, rispondendo a tre distinti quesiti:
- si ravvisa una responsabilità della banca ove il bonifico sia stato volontariamente disposto dalla clientela sia pur rimasta vittima di una frode rientrante nella casistica nota come “business email compromised” (in altri termini, il frodatore si “intromette” nel software di posta elettronica del cliente fornendogli informazioni truffaldine sul beneficiario e/o sulle coordinate IBAN del bonifico da disporre)?
- ove la clientela sia rimasta vittima di tale frode, e abbia disposto il bonifico per come indicatogli nell’e-mail dal truffatore, può individuarsi una responsabilità della banca nella circostanza che, nel disporre il recall del bonifico abbia qualificato la motivazione della richiesta di restituzione quale “CUST – requested by customer” (richiesta del cliente) e non come “FRAUD – origine fraudolenta” (bonifico fraudolento)?
- da ultimo, può invocare il cliente una responsabilità della banca per non avere, quest’ultima, effettuato le verifiche sulla congruità tra nominativo del beneficiario e coordinate IBAN per come previste dal Regolamento UE 2024/886 (cosiddetto sistema “VOP – Verification Of Payee”)?
Il Collegio meneghino risponde negativamente a tutti i quesiti sopra proposti.
Quanto al primo quesito, sottolinea il Collegio come «la domanda avanzata dal ricorrente è tesa a determinare eventuali profili di responsabilità degli intermediari resistenti […] nella vicenda descritta. Dalla documentazione versata in atti, inclusa la denuncia all’Autorità Giudiziaria, risulta che il ricorrente in data 27/07/2025, ha ricevuto due e-mail provenienti dall’indirizzo del commercialista […]. La prima, alle ore 16.15, era corredata da una fattura pro-forma che indica l’IBAN corretto e una successiva e-mail, alle ore 16.16, recante l’IBAN modificato dai truffatori. La vicenda risulta verosimilmente riconducibile alle modalità di truffa nota come business emali compromised. È tuttavia pacifico che l’operazione è stata eseguita direttamente dal ricorrente, sia nella fase dispositiva sia in quella di autenticazione, e quindi non può trovare applicazione il regime di cui alla Direttiva 2015/2366/UE e al d.lgs. 11/2010. Il consolidato orientamento dei Collegi esclude, infatti, che le operazioni possano essere qualificate come “non autorizzate” in casi analoghi a quello di specie (cfr. ex multis Collegio di Milano 432/2023)».[1]
Sul punto, occorre rammentare che «La normativa nazionale e comunitaria, dettata in materia di sistemi di pagamento, predispone idonei presidi atti a garantire la genuinità delle operazioni di pagamento e prevede, al fine di preservare la fiducia del pubblico negli strumenti di pagamento, che al ricorrere di determinate condizioni siano riconosciute forme di tutela rafforzate ai loro utilizzatori.
I riferimenti normativi si rinvengono nella Direttiva 2015/2366/UE (Payment Services Directive 2, cosiddetta PSD2), recepita in Italia dal D. Lgs. 15 dicembre 2017 n. 218[2] che modifica il D. Lgs.27 gennaio 2010 n. 11[3] (di recepimento della direttiva 2007/64/CE, cosiddetta PSD). Per il profilo, che qui interessa, occorre analizzare quanto previsto dall’anzidetta normativa in merito al disconoscimento delle operazioni di pagamento e alle conseguenze che ne discendono. L’art. 10 del D. Lgs. 11/2010 rubricato “Prova di autenticazione ed esecuzione delle operazioni di pagamento”, al primo comma, così recita: “Qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”. Si assiste, nel caso di specie, a un’inversione dell’onere della prova. In altri termini, a fronte del disconoscimento dell’operazione da parte del cliente, la Banca è chiamata a provare, oltre all’insussistenza di malfunzionamenti nei propri sistemi informatici, l’autenticazione dell’utente, ossia la procedura attraverso cui la Banca stessa verifica l’identità di un utente o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dalla Banca stessa.
L’art. 11 del D. Lgs. 11/2010 rubricato “Responsabilità del prestatore di servizi di pagamento per le operazioni di pagamento non autorizzate” stabilisce, al comma 1, che:
“[…] nel caso in cui sia stata eseguita un’operazione di pagamento non autorizzata, il prestatore di servizi di pagamento rimborsa al pagatore l’importo dell’operazione medesima immediatamente e in ogni caso al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell’operazione o riceve una comunicazione in merito. Ove per l’esecuzione dell’operazione sia stato addebitato un conto di pagamento, il prestatore di servizi di pagamento riporta il conto nello stato in cui si sarebbe trovato se l’operazione di pagamento non avesse avuto luogo, assicurando che la data valuta dell’accredito non sia successiva a quella dell’addebito dell’importo”; ulteriormente precisando, comma 3, che: “Il rimborso […] non preclude la possibilità per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l’operazione di pagamento era stata autorizzata. In tal caso, il prestatore di servizi di pagamento ha il diritto di chiedere direttamente all’utente e ottenere da quest’ultimo la restituzione dell’importo rimborsato […]”. “L’utente, venuto a conoscenza di un’operazione di pagamento non autorizzata o non correttamente eseguita […] ha il diritto di ottenerne la rettifica solo se comunica senza indugio tale circostanza al proprio prestatore di servizi di pagamento secondo i termini e le modalità previste nel contratto quadro o nel contratto relativo a singole operazioni di pagamento. La comunicazione deve essere in ogni caso effettuata entro 13 mesi dalla data di addebito, nel caso del pagatore, o di accredito, nel caso del beneficiario” (così l’art. 9 rubricato “Responsabilità del pagatore per l’utilizzo non autorizzato di strumenti o servizi di pagamento”).
Pertanto, a fronte della comunicazione – effettuata senza indugio e, comunque, non oltre 13 mesi dalla data di addebito – di un’operazione di pagamento non autorizzata, il cliente ha diritto ad ottenere il tempestivo rimborso della stessa nella giornata lavorativa successiva a quella in cui l’intermediario prende atto dell’operazione o riceve una comunicazione in merito. La norma, dunque, prevede che il diritto al rimborso discenda dalla circostanza che sia stata posta in essere un’operazione di pagamento priva di autorizzazione ovvero derivante dall’utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente. Per l’individuazione del perimetro oggettivo di applicazione del dato normativo occorre, di conseguenza, delineare il concetto di “operazione di pagamento”, di “strumento di pagamento” e di “autorizzazione”.
Per “operazione di pagamento” (cfr. art. 1, lett. c, del D. Lgs. 11/2010) deve intendersi “l’attività, posta in essere dal pagatore o dal beneficiario, di versare, trasferire o prelevare fondi”.
Uno “strumento di pagamento” (cfr. art. 1, lett, s, del D.Lgs. 11/2010) è “qualsiasi dispositivo personalizzato e/o insieme di procedure concordate tra l’utente e il prestatore di servizi di pagamento e di cui l’utente di servizi di pagamento si avvale per impartire un ordine di pagamento” ove l’”ordine di pagamento” è definito, alla lett. o dell’art. 1 del D. Lgs. 11/2010 come “qualsiasi istruzione data da un pagatore o da un beneficiario al proprio prestatore di servizi di pagamento con la quale viene chiesta l’esecuzione di un’operazione di pagamento”.
L’operazione di pagamento si considera autorizzata a fronte del consenso prestato alla stessa da parte del pagatore. “Il consenso del pagatore – come previsto dall’art. 5 del D. Lgs. 11/2010 – è un elemento necessario per la corretta esecuzione di un’operazione di pagamento. In assenza del consenso, un’operazione di pagamento non può considerarsi autorizzata. Il consenso ad eseguire un’operazione di pagamento o una serie di operazioni di pagamento è prestato nella forma e secondo la procedura concordata nel contratto quadro o nel contratto relativo a singole operazioni di pagamento”. Pertanto, un’operazione di pagamento può considerarsi non autorizzata qualora sia carente il consenso del pagatore, prestato nella forma e secondo la procedura concordata nel contratto quadro PSD. Qualora l’operazione sia priva del consenso dell’utente, essa non è autorizzata e – a fronte del disconoscimento – si impone il subitaneo rimborso. Diversamente, qualora sussista il consenso dell’utente, ossia in caso di operazione autorizzata, non si integra il presupposto per l’applicazione del rimborso “immediato” per come previsto dall’art. 11 del D. Lgs. 11/2010.
Al fine di garantire che l’autorizzazione, ovvero il consenso dell’utente, all’effettuazione dell’operazione di pagamento si svolga con i più elevati standard di sicurezza, si è previsto che l’autenticazione dell’utente all’utilizzo dello strumento di pagamento sia un’autenticazione cosiddetta “forte” Il D. Lgs. 11/2010, all’art. 1 lett. q e q bis, definisce rispettivamente l’”autenticazione” e l’”autenticazione forte” (SCA – strong customer authentication) per come segue
- “autenticazione”: “la procedura che consente al prestatore di servizi di pagamento di verificare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dal prestatore;
- “autenticazione forte del cliente”: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione».[4] [5] [6] Nel caso di specie – conclude il giudice arbitrale – che «l’interposizione dei malfattori è avvenuta nelle comunicazioni tra il ricorrente e l’aderente prima dell’operazione di bonifico e quindi al di fuori dei sistemi informatici degli intermediari coinvolti. Tale circostanza esclude un apporto causale dell’intermediario alla frode».
Quanto al secondo quesito (l’asserita negligenza degli intermediari nella gestione della richiesta di recall), rileva il Collegio «che le banche hanno dato esecuzione in tempi congrui alla richiesta del ricorrente, il quale non dimostra come il profilo dell’inquadramento informatico della richiesta ad opera dell’intermediario richiedente (ossia l’uso della dicitura CUST “requested by customer” anziché FRAUD “fraudolent origin”) abbia determinato il respingimento del recall». In assenza dell’adempimento di siffatto onere probatorio, ritiene il Collegio di non accogliere la richiesta del ricorrente. Resta, comunque, da sottolineare che un consolidato orientamento arbitrale ritiene che, in linea generale, l’ordine di bonifico, una volta ricevuto dal prestatore di servizi di pagamento del pagatore, è irrevocabile. La procedura di “recall” non costituisce un diritto automatico alla restituzione delle somme, ma una richiesta di storno che la banca del pagatore inoltra alla banca del beneficiario. Quest’ultima, a sua volta, non può procedere unilateralmente all’addebito sul conto del proprio cliente.
La prassi e le regole interbancarie, come quelle del SEPA Credit Transfer Scheme, chiariscono che il buon esito del recall è subordinato a determinate condizioni. La banca del beneficiario può legittimamente dare riscontro negativo alla richiesta se, ad esempio, i fondi sul conto non sono sufficienti, il conto è stato chiuso, oppure se il beneficiario stesso non acconsente alla restituzione (cfr. Collegio Di Bari decisione n. 38/2023; Collegio di Roma decisioni nn. 697/22; 22141/21 e 12583/21; Collegio di Milano, decisione n. 21136/21) e, in ogni caso, non può essere disposto in caso di insufficienza di fondi sul contro di quest’ultimo (cfr. Collegio di Napoli, decisione n. 21846/21). La procedura, infatti, “richiede la necessaria cooperazione del beneficiario del bonifico per il recupero della somma (cfr. Collegio di Roma n. 5188/2023). Pertanto, in una situazione ordinaria, la banca del beneficiario si limita a interpellare il proprio cliente e, in assenza del suo consenso, non può procedere alla restituzione, non avendo un potere di storno unilaterale delle somme legittimamente accreditate. L’intermediario, infatti, non può offrire alcuna garanzia circa il buon esito della procedura di recall (cfr. Collegio di Roma n. 2486/2023). Altra e più delicata questione potrebbe astrattamente porsi (nel caso di specie, quale mera ipotesi di scuola) in caso di bonifico di cui sia dimostrata l’origine fraudolenta. Ma sul punto – come detto – il Collegio decidente ha ritenuto che la parte richiedente non abbia dato dimostrazione alcuna di come la mera diversa qualificazione nominale della richiesta di recall possa aver negativamente inciso sull’esito dello stesso.
«Venendo, infine, all’ultimo quesito della verifica della corrispondenza tra il destinatario dell’operazione di bonifico inserito dal ricorrente e l’intestatario dell’IBAN, si rileva» – osserva il Collegio – che «l’operazione contestata è stata posta in essere il 27.02.2025. Il ricorrente evoca a sostegno delle proprie ragioni le linee guida dell’European Payment Council del 10.10,2024. Tali fonti secondarie chiariscono profili di implementazione tecnica di una norma che sarebbe entrata in vigore dal 09.10.2025 (art. 5 quater, apr. 9, del Regolamento UE 2012/260 per come modificato dal Regolamento UE 2024/866). Tuttavia, le linee guida non anticipano il periodo di vigenza della fonte legislativa primaria e sugli intermediari non gravava il detto obbligo al 27.02.2025, momento della disposizione di pagamento oggetto del presente ricorso».
Il riferimento è, nel caso di specie, all’applicazione del sistema di verifica del beneficiario (noto come “Verification of Payee” o VOP), introdotto dal Regolamento (UE) 2024/886. Il Regolamento (UE) 2024/886 ha modificato il Regolamento (UE) n. 260/2012 (noto come Regolamento SEPA) introducendo, tra le altre cose, l’articolo 5 quater, intitolato “Verifica del beneficiario in caso di bonifici” Questa disposizione stabilisce un nuovo obbligo per i prestatori di servizi di pagamento (PSP). Ai sensi di tale articolo, il PSP di un pagatore è tenuto a offrire un servizio di verifica del beneficiario per tutti i bonifici, non solo per quelli istantanei. La norma stabilisce: “Il PSP di un pagatore offre al pagatore un servizio di verifica del beneficiario al quale il pagatore intende inviare un bonifico (servizio di verifica). Il PSP del pagatore effettua il servizio di verifica immediatamente dopo che il pagatore ha fornito le informazioni pertinenti relative al beneficiario e prima che al pagatore sia offerta la possibilità di autorizzare tale bonifico”. Il servizio consiste nel verificare la corrispondenza tra l’identificativo del conto di pagamento (IBAN) e il nome del beneficiario forniti dal pagatore. Il PSP del beneficiario, su richiesta del PSP del pagatore, esegue questa verifica e comunica l’esito. In caso di mancata corrispondenza, il pagatore viene informato del rischio che i fondi possano essere trasferiti a un beneficiario errato. L’obbligatorietà di tale servizio non era immediata, ma soggetta a una precisa scadenza, Per i PSP situati in uno Stato membro la cui moneta è l’euro: l’obbligo di conformarsi all’articolo 5 quater decorreva dal 9 ottobre 2025. Pertanto, correttamente applicando il principio “tempus regit actum”, l’ABF ha ritenuto non doversi applicare al caso di specie una norma entrata in vigore mesi dopo l’effettuazione del bonifico.
Peraltro, ed è questa osservazione assolutamente personale, la verifica cosiddetta VOP resta un valido presidio (e, forse, lo sarebbe stato nel caso di specie) solo in determinate circostanze. Lo è, per certo, nel caso in cui – nell’ambito di una frode – nominativo del beneficiario e coordinate IBAN di accredito non coincidano. Ma si assuma che il frodatore abbia aperto un rapporto di conto corrente presso un ignaro istituto di credito, inducendo quindi le vittime delle proprie truffe a convogliarvi disposizioni di bonifico. Nel caso in questione, il sistema VOP non evidenzierebbe anomalie di sorta in quanto intestazione del conto e coordinate IBAN coinciderebbero. Alla perfezione, verrebbe da chiosare amaramente.
_______________________________________________________
[1] ABF, Collegio di Milano, Decisione n. 432 del 17 gennaio 2023: «… Ne deriva che, nel caso di specie, l’operazione, sia pure a causa di un raggiro perpetrato da un terzo, è stata autorizzata dalla ricorrente” (Collegio di Roma, n. 8538/2021). Orbene, in casi simili, in modo assorbente, i Collegi territoriali hanno statuito che le operazioni effettuate dal cliente, seppure sulla base di un consenso viziato dal raggiro subito dal terzo ignoto, non possono configurarsi come non autorizzate in quanto ex art. 5 d.lgs. n. 11/2010 tale è quella effettuata in assenza del consenso del pagatore».
[2] Decreto Legislativo 15 dicembre 2017, n. 218. Recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, nonché adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta. https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2017-12-15;218
[3] Decreto Legislativo 27 gennaio 2010, n. 11. Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva 97/5/CE. https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2010-01-27;11
[4] Diritto del Risparmio, Induzione truffaldina del cliente a disporre bonifico con inserimento volontario delle credenziali e irresponsabilità della Banca, Nota ad ABF Collegio di Milano, 13 dicembre 2024, n. 12842 (a cura di Luca Cardi, pubblicata il 1° aprile 2024).
[5] Cfr., altresì, Arbitro Bancario Finanziario, Collegio di Bari, Decisione n. 11402 del 30 ottobre 2024: “Con riguardo alle operazioni “autorizzate” dal cliente, si osserva che secondo le più recenti posizioni condivise dai Collegi, solo quando la transazione è eseguita per intero dal pagatore (con inserimento della disposizione di pagamento e di tutti i fattori di autenticazione), la stessa può considerarsi autorizzata e non è quindi soggetta al regime di responsabilità previsto dalla disciplina di tutela di cui agli artt. 10 e 12, del d.lgs. n. 11/2010; rientrano in questa fattispecie le operazioni eseguite dal pagatore seguendo le indicazioni del frodatore senza la consapevolezza di disporre una transazione. Diversamente, ove il concorso causale dell’utente in fase dispositiva e/o autorizzativa è parziale, la transazione non deve intendersi, per ciò solo, autorizzata”.
[6] Cfr. altresì, Arbitro Bancario Finanziario, Collegio di Milano, Decisione n. 12842 del 13 dicembre 2024. «In proposito, i Collegi hanno osservato che “diversamente opinando, si avrebbe il risultato aberrante di ritenere rilevanti tutti i vizi del consenso di colui che abbia autorizzato una operazione di pagamento, e così non solo il dolo, come nel caso di specie, ma anche la violenza e l’errore, imputando tali vizi direttamente all’intermediario incolpevole. Di conseguenza, ad esempio, in caso di errore ex art. 1429 c.c., l’intermediario che abbia prestato un servizio di pagamento relativo ad un contratto viziato sarebbe tenuto alla restituzione delle somme alla parte in errore; così come, in caso di pagamento imposto con violenza al cliente nel corso di una rapina nella sua abitazione, sarebbe sempre l’intermediario a dover risarcire il cliente medesimo” (Collegio di Bologna, decisioni n. 7966/2024 e n. 8021/2024). Sul punto, in fattispecie analoga, è stato pertanto concluso che “per quanto la volontà del cliente di effettuare tale operazione sia stata viziata per effetto del raggiro subìto dal terzo ignoto, il previo consenso autorizzativo dell’istante appare dirimente per escludere la natura indebita del pagamento e, correlativamente, l’esistenza di un obbligo restitutorio in capo alla convenuta” (Collegio di Roma, decisione n. 1907/2021). Nel caso in esame non emergono, inoltre, elementi che possano configurare una responsabilità concorrente dell’intermediario resistente, sulla base delle evidenze disponibili e secondo le norme di diritto comune (cfr. Collegio di Palermo, decisione n. 9120/2024). Per tutto quanto sopra esposto il Collegio, constatato che i bonifici sono stati effettuati interamente e direttamente dalla parte ricorrente, sia pure sotto dettatura del frodatore, non può che dichiarare il non accoglimento della domanda di restituzione degli importi, trattandosi di operazioni volontariamente disposte».