1 L'Evoluzione Normativa: dalla PSD2 al Nuovo Regolamento PSR
Sebbene la Direttiva PSD2 (recepita in Italia dal D.Lgs. 11/2010) rappresenti ancora il fondamento normativo, l'anno di svolta è il 2026 con la piena operatività del Regolamento (UE) PSR (Payment Services Regulation).
Le Novità Cruciali del PSR 2026
-
1
Responsabilità per "Spoofing"
Quando il truffatore manipola l'identità della banca (SMS nelle chat ufficiali o chiamate da numeri bancari reali), la banca è tenuta a rimborsare il cliente, a meno che non provi il dolo dell'utente.
-
2
SCA di Nuova Generazione
Non è più sufficiente dimostrare l'invio di un codice OTP; l'istituto deve provare che il proprio sistema di Strong Customer Authentication era inattaccabile e dotato di monitoraggio dinamico delle transazioni.
2 Il Parere della Corte di Giustizia UE (Causa C-70/25)
Causa C-70/25
Corte di Giustizia dell'Unione Europea
Un pilastro del nuovo orientamento è costituito dalle conclusioni dell'Avvocato Generale Athanasios Rantos, presentate il 5 marzo 2025.
Principio Cardine Stabilito
"L'art. 73 della PSD2 impone alla banca un obbligo di rimborso immediato (entro la giornata operativa successiva alla segnalazione). La banca non può sospendere il ristoro invocando la 'colpa grave' del cliente per giustificare indagini prolungate; il rimborso può essere negato solo se vi è un fondato e comunicato sospetto di frode da parte del cliente stesso."
3 La Giurisprudenza Italiana: Orientamenti 2025-2026
Esclusione della Colpa Grave
Recenti pronunce hanno stabilito che cadere in un phishing particolarmente insidioso non costituisce colpa grave.
Mancato Rilevamento Anomalie
Il Tribunale di Roma ha confermato che la banca risponde se i suoi sistemi non bloccano operazioni palesemente estranee al profilo di spesa del cliente.
Privacy e Dati Bancari
La Corte EDU ha ricordato che la sicurezza dei dati bancari è parte integrante del diritto alla vita privata (Art. 8 CEDU), rafforzando indirettamente l'obbligo dei PSP di garantire infrastrutture inviolabili.
4 Tabella di Confronto: Obblighi e Responsabilità
| Aspetto | Regole Precedenti | Orientamento 2026 |
|---|---|---|
| Rimborso | Spesso sospeso in attesa di perizia tecnica | Immediato, salva prova di frode del cliente |
| Onere Probatorio | Bastava il log dell'invio OTP | Necessaria prova di monitoraggio anti-spoofing |
| Colpa del Cliente | Facilmente invocata per negare il ristoro | Interpretata restrittivamente (quasi nulla in caso di spoofing) |
Riferimenti Documentali e Link Utili
In Sintesi
Nel 2026, il rischio d'impresa legato alle frodi digitali è quasi interamente traslato sulle banche. La protezione del correntista non è più un'eccezione, ma il principio cardine dell'ordinamento europeo.