La decisione del Collegio ABF di Palermo n. 523/2026, resa in uncaso patrocinato dagli avvocati Edoardo Gloria ed Alessandro Ripoldi, merita attenzione perché affronta un caso ormai ricorrente: SMS apparentemente proveniente dall’intermediario e “agganciato” alla chat autentica, invito a chiamare un numero, telefonata con sedicente operatore e successive autorizzazioni impartite dall’utente tramite l’app di home banking.
Si tratta di una pronuncia di particolare interesse perchè affronta, con ordine, i passaggi giuridici che regolano queste tematiche, distinguendo ciò che l’intermediario deve provare, ciò che può essere imputato al cliente e quando, nonostante l’errore dell’utente, può residuare una responsabilità concorrente della banca.
L’onere probatorio dell’intermediario e il ruolo dell’art. 10 d.lgs. 11/2010
Il Collegio ribadisce un principio di base, spesso trascurato nelle risposte “standard”fornite agli utenti: se il cliente contesta un’operazione, l’intermediario deve provare che essa sia stata autenticata, correttamente registrata e contabilizzata, ai sensi dell’art. 10 del D. Lgs. 11/2010.
Nel caso esaminato, la banca ha assolto a tale onere mediante produzione di documentazione tecnica (log file), dalla quale risulta l’adozione di una procedura di Strong Customer Authentication (SCA) a due fattori, con notifica push sul dispositivo associato e validazione tramite biometria o PIN, senza evidenza di malfunzionamenti tecnici.
Il principio che si ricava è chiaro: la banca non può limitarsi ad affermazioni apodittiche; se però produce tracciati tecnici coerenti e privi di anomalie, il piano dell’accertamento si sposta dalla “regolarità tecnica” alla condotta dell’utente e, soprattutto, alla capacità dei presìdi antifrode di intercettare operazioni anomale.
L’autenticazione forte non equivale automaticamente a “consenso consapevole”: la valutazione della condotta del cliente
Accertata la corretta autenticazione, il Collegio richiama l’art. 12 D. Lgs. 11/2010 e valuta la condotta dell’utente.
Qui la decisione enuncia un principio molto netto in materia di social engineering: quando il cliente, su impulso di terzi, interloquisce con i truffatori e autorizza attivamente le operazioni tramite l’app (anche mediante push), la condotta può integrare colpa grave, perché viene meno una diligenza minima esigibile.
Il Collegio valorizza anche elementi concreti che avrebbero dovuto allertare l’utente (come l’inattendibilità del messaggio, per errori grammaticali e sintattici), oltre al dato che le autorizzazioni sono state comunque conferite dal dispositivo del cliente.
Questo passaggio è importante per i clienti truffati: l’ABF, in presenza di autorizzazioni “attive”, tende a scrutinare con severità il comportamento dell’utente, soprattutto quando i segnali di allarme sono percepibili con diligenza ordinaria.
Il principio più rilevante: la colpa grave del cliente non esonera sempre la banca, se i sistemi non rilevano anomalie evidenti
Il cuore della decisione, e l’aspetto più interessante per la tutela dei clienti, però, sta nel principio per cui, anche a fronte di colpa grave, l’intermediario non è automaticamente esente da responsabilità se i propri sistemi di sicurezza non rilevano anomalie “evidenti” rispetto alla normale operatività del conto.
Il Collegio ha richiamato espressamente l’orientamento consolidato dell’ABF in tal senso, individuando indici oggettivi di rischio (successione ravvicinata di più operazioni, ricorrenza del medesimo beneficiario estero) e, soprattutto, un profilo che incide direttamente sulla consapevolezza autorizzativa: una delle notifiche push, come risultava dai log, non riportava in modo chiaro e completo i dati del beneficiario.
Il principio che ne discende è di primaria importanza: la SCA attesta che l’operazione è passata per il “canale corretto”, ma non fa venir meno l’esigenza che il sistema antifrode e l’interfaccia autorizzativa mettano l’utente in condizione di comprendere cosa stia autorizzando e, al contempo, intercettino sequenze operative anomale.
Responsabilità concorrente e ristoro in via equitativa
Sulla base di questi presupposti, il Collegio ha affermato che il mancato intervento dei sistemi di sicurezza integra una responsabilità concorrente della banca nella causazione del danno, arrivando a riconoscere un ristoro parziale determinato in via equitativa in favore del Cliente.
In altre parole quando si parla di risarcimento nelle frodi da social engineering l’esito non è necessariamente “tutto o niente”: l’ABF valuta il concorso tra comportamento del cliente e adeguatezza dei presìdi posti in essere dall’intermediario.
Perché questa decisione è utile ai clienti truffati
Questa pronuncia, letta in maniera sistematica, offre tre coordinate estremamente significativa: l’intermediario deve provare tecnicamente autenticazione e regolarità; l’utente che autorizza attivamente l’operazione, specie in presenza di segnali di frode percepibili, si espone alla contestazione di colpa grave; tuttavia, anche in tale scenario, la banca può essere chiamata a rispondere se l’operatività presentava anomalie evidenti e se i presìdi di monitoraggio e le modalità informative (incluse le notifiche push) non erano adeguate a intercettare o rendere intelligibile il rischio frode.
