Le banche UE devono rimborsare immediatamente le vittime di cyberfrodi come il phishing, secondo un parere influente della Corte di Giustizia. Questo approccio prioritizza la tutela dei consumatori, garantendo liquidità rapida mentre le indagini proseguono.
Un esperto legale dell’Unione Europea sta rivoluzionando le regole sui pagamenti digitali. Le vittime di truffe informatiche potrebbero ottenere risarcimenti immediati dalle banche, senza attendere complesse verifiche di responsabilità. Questa proposta deriva dall’opinione dell’Avvocato Generale Athanasios Rantos, che invita a reinterpretare la Direttiva PSD2 per accelerare le protezioni finanziarie.
Attualmente, le banche valutano ogni caso di frode online prima di decidere sul rimborso, spesso invocando la negligenza grave del cliente per ritardarlo. Questo lascia le vittime in una situazione precaria, costrette a lottare legalmente per recuperare i fondi persi. Con il nuovo orientamento, le istituzioni finanziarie dovrebbero pagare subito, recuperando poi l’importo se emerge una colpa pesante da parte dell’utente.
Perché questo cambia le regole del gioco
La PSD2, in vigore dal 2015, impone già rimborsi rapidi per transazioni non autorizzate, entro 24 ore dalla segnalazione. Tuttavia, la “zona grigia” della negligenza grave permette alle banche di sospendere i pagamenti. Rantos propone di invertire la logica: prima il rimborso, poi le indagini. Questo rafforza la fiducia nei pagamenti digitali e limita i danni economici immediati per i cittadini.
In Italia, la PSD2 è recepita con il D.lgs. 218/2017, e recenti sentenze, come quella del Tribunale di Napoli, confermano che le banche devono risarcire se non adottano misure di sicurezza adeguate contro phishing e vishing.
Un esempio concreto di phishing
Immaginate di comprare un oggetto su un marketplace online. Il venditore fraudolento vi invia un link a un sito falso che imita perfettamente la vostra banca. Inserite credenziali e codice usa-e-getta per confermare, ma i ladri rubano i dati e svuotano il conto. La banca rifiuta il rimborso immediato accusandovi di non aver notato il phishing. Secondo Rantos, dovreste ricevere i soldi immediatamente, con la banca che rivaluta dopo.
Esperti del settore sottolineano che questo sposta il rischio iniziale sulle banche, incentivandole a migliorare rilevamento di takeover account e compromissioni di credenziali prima di processare pagamenti.
Verso PSD3 e PSR: il futuro delle protezioni
L’opinione di Rantos anticipa PSD3 e il nuovo Payment Services Regulation (PSR), proposti nel 2024. Queste norme codificano esplicitamente i rimborsi immediati, con sanzioni per chi non implementa la Strong Customer Authentication (SCA). La SCA richiede due fattori distinti (conoscenza, possesso, inerenza) per autenticare pagamenti, riducendo frodi.
PSD3/PSR introducono cambiamenti chiave:
- Obblighi più stringenti per prestatori di servizi di pagamento (PSP).
- Condivisione dati tra merchant e PSP: posizioni utente, IP dispositivo, sessioni per distinguere legittimi da fraudolenti.
- Metodi SCA ampliati, accessibili anche senza smartphone, per inclusività.
- PSR come regolamento direttamente applicabile, senza trasposizione nazionale.
In Italia, frodi bancarie da manipolazione pagatore (phishing, vishing) rappresentano il 74% del valore totale nel 2024, evidenziando l’urgenza.
Le banche già rimborsano il 98% delle frodi non autorizzate in alcuni contesti, ma l’Europa punta a uniformare.
Approfondimento tecnico
Meccanismi di rimborso PSD2: articolo 73 e responsabilità
L’articolo 73 PSD2 stabilisce che per operazioni non autorizzate, il PSP deve rimborsare immediatamente l’importo, ripristinando il saldo pre-frode senza costi. Eccezioni solo per dolo o colpa grave (art. 12 D.lgs. 11/2010 in Italia), definita come violazione intenzionale o gravemente imprudente delle regole di sicurezza, come condividere codici OTP.
Rantos chiarisce: in phishing, anche se il cliente sbaglia, il rimborso è prioritario. Banche possono sospendere solo su sospetto fondato di frode, ma verifiche post-rimborso.
SCA: implementazione e esenzioni
SCA coinvolge:
- Qualcosa che sai (password).
- Qualcosa che hai (token, app).
- Qualcosa che sei (biometria).
Esenzione per transazioni low-value (<30€) o low-risk via assessment dinamico. PSD3 definisce meglio liability: PSP non conformi rischiano procedimenti.
Proposte revisione PSD2
Documenti Banca d’Italia suggeriscono modifiche artt. 68/79 per bloccare accrediti sospetti, facilitare recuperi fondi. In caso di frode confermata pre-accredito, PSP beneficiario restituisce a pagatore.
Impatto NIS2 e reporting
PSD2 integra NIS2: banche notificano gravi incidenti (data breach, frodi massive) entro ore all’autorità. EBA guidelines 2021 impongono reporting standardizzati. In Italia, Circolare Banca d’Italia 285 aggiornata.
Statistiche frodi 2024-2026
Frodi “manipolazione pagatore” al 65% volume transazioni. Trend: AI agents per scammer, spyware in app, campagne ClickFix. Protezioni evolvono con wallet provider e identificazione chiamante/email.
Per tecnici: implementate SCA multi-metodo, monitorate anomalie behavioral (BioCatch-like), conformatevi PSR per enforcement immediato. Questo ecosistema riduce frodi del 30-50% stimato.
(Conteggio parole: circa 1050)
Fonte: https://go.theregister.com/feed/www.theregister.com/2026/03/11/eu_psd2_compensation/
