Obbligo di monitoraggio delle operazioni bancarie e responsabilità dell’intermediario: le recenti decisioni del Collegio di Milano dell’Arbitro Bancario Finanziario
Introduzione
La crescente sofisticazione delle frodi informatiche — nelle loro varianti di phishing, vishing, smishing e spoofing — ha riportato al centro del contenzioso bancario il tema dell’obbligo di monitoraggio delle operazioni gravante sugli intermediari.
La questione non si esaurisce nella verifica della formale autorizzazione delle singole operazioni, ma investe il più ampio dovere della banca di presidiare attivamente l’operatività del rapporto, individuando tempestivamente eventuali segnali di anomalia coerenti con scenari di frode.
Le recenti decisioni del Collegio di Milano dell’Arbitro Bancario Finanziario offrono, sotto questo profilo, indicazioni particolarmente rilevanti, contribuendo a definire in modo più concreto il contenuto dell’obbligo di monitoraggio e i limiti della responsabilità dell’intermediario.
Il contenuto dell’obbligo di monitoraggio
Sul piano normativo, gli intermediari sono tenuti a esercitare un controllo costante sui rapporti bancari e a mantenere aggiornato il profilo del cliente, verificando la coerenza delle operazioni rispetto alle abitudini pregresse.
Tale attività si fonda anche sulle informazioni acquisite in sede di adeguata verifica, incluse quelle relative al titolare effettivo, e si inserisce nel più ampio sistema di prevenzione delle frodi e del riciclaggio.
È tuttavia necessario chiarire che tale obbligo non si traduce in un dovere generalizzato di bloccare ogni operazione inconsueta. Il monitoraggio è funzionale a una valutazione del rischio, che può condurre all’attivazione di controlli rafforzati, alla richiesta di verifiche ulteriori, alla segnalazione di operazioni sospette o, nei casi più gravi, all’astensione dall’esecuzione.
Il quadro normativo: Regolamento (UE) 2018/389 e art. 8 D.M. n. 112/2007
Il riferimento principale è rappresentato dall’art. 2 del Regolamento delegato (UE) 2018/389, che impone ai prestatori di servizi di pagamento di dotarsi di meccanismi di monitoraggio idonei a rilevare operazioni non autorizzate o fraudolente.
Tali meccanismi devono fondarsi sull’analisi delle operazioni in relazione al comportamento tipico dell’utente e devono tenere conto, tra l’altro, dell’importo delle transazioni, degli scenari di frode conosciuti, dell’eventuale compromissione delle credenziali di sicurezza, della presenza di malware e dell’utilizzo anomalo dei dispositivi o dei software di accesso.
Accanto a questa disciplina europea assume rilievo anche l’art. 8 del D.M. n. 112/2007, che individua i cosiddetti indici di anomalia. Si tratta di parametri normativi che, per frequenza, modalità esecutiva, importi o localizzazione delle operazioni, sono considerati sintomatici di possibile frode.
Tra questi rientrano, a titolo esemplificativo, la concentrazione di numerose operazioni in un arco temporale ristretto, il superamento significativo degli importi medi abituali, l’esaurimento del plafond in tempi brevi o l’esecuzione di operazioni da località geografiche incompatibili tra loro.
Il ruolo degli indici di anomalia nella giurisprudenza ABF
Per consolidato orientamento dei Collegi territoriali dell’Arbitro Bancario Finanziario, gli indici di anomalia non hanno valore precettivo diretto nelle controversie relative al disconoscimento delle operazioni, ma costituiscono un parametro rilevante ai fini della valutazione della diligenza tecnica dell’intermediario.
In tal senso si è espresso chiaramente il Collegio di Milano, il quale ha affermato che “nonostante gli indici previsti dal citato D.M. non abbiano un valore precettivo diretto in materia di disconoscimento di operazioni non autorizzate, secondo gli orientamenti dei Collegi essi sono espressione di un generale obbligo di monitoraggio delle operazioni, da valorizzare per valutare la condotta dell’intermediario” (Collegio di Milano, decisione n. 7981/2025).
Nello stesso senso si pongono anche le decisioni nn. 7848/2025, 7819/2025, 6086/2025, 6082/2025, 5733/2025, 5542/2025 e 5488/2025 del medesimo Collegio, che confermano un orientamento ormai consolidato nel riconoscere agli indici di anomalia una funzione centrale nella valutazione della correttezza dell’operato bancario.
Gli indici ulteriori rispetto a quelli normativamente tipizzati
Un profilo particolarmente rilevante emerge dalla decisione del Collegio di Milano n. 8604 del 30 settembre 2025, nella quale si afferma che possono essere valorizzati anche indici di frode ulteriori rispetto a quelli espressamente previsti dal D.M. n. 112/2007.
Il Collegio precisa che tale valutazione deve fondarsi sull’evidenza di un’operatività anomala rispetto alle movimentazioni storiche del cliente, con riguardo, in particolare, al numero delle operazioni, alla loro tipologia, all’importo, al tempo di esecuzione e alla riconducibilità delle disposizioni al medesimo beneficiario.
Ne deriva un approccio interpretativo flessibile, che consente di adattare il giudizio di anomalia all’evoluzione delle frodi digitali, evitando che la tutela del cliente resti vincolata a schemi normativi troppo rigidi o non più attuali.
I limiti dell’obbligo di sospensione delle operazioni
Il Collegio di Milano ha tuttavia chiarito che l’obbligo di monitoraggio non può essere interpretato in modo tale da compromettere il regolare funzionamento del sistema dei pagamenti.
In particolare, nella decisione n. 8573/2025 è stato affermato che un obbligo di monitoraggio e di sospensione dei pagamenti può ritenersi sussistente solo in presenza di anomalie evidenti, poiché, diversamente, si determinerebbero frequenti e potenzialmente pregiudizievoli intoppi nel mercato dei servizi di pagamento.
La stessa decisione evidenzia che l’anomalia deve essere verificata in concreto, parametrandola all’entità della provvista e alle movimentazioni storiche del cliente, tenendo conto del numero, della tipologia, dell’importo, del tempo di esecuzione e della riconducibilità delle operazioni al medesimo beneficiario.
Il principio che ne deriva è che la banca non è tenuta a bloccare ogni operazione semplicemente inconsueta, ma deve intervenire quando la deviazione rispetto al comportamento ordinario del cliente sia oggettivamente significativa e riconoscibile.
Considerazioni conclusive
Le recenti pronunce del Collegio di Milano dell’ABF segnano un punto di equilibrio particolarmente rilevante nel sistema di tutela del cliente bancario.
Da un lato, viene ribadito che la banca non è un mero esecutore passivo delle disposizioni impartite dal correntista, ma un operatore professionale tenuto a presidiare attivamente le anomalie e i rischi emergenti dall’operatività.
Dall’altro lato, si esclude che tale obbligo possa tradursi in un controllo invasivo e indiscriminato, tale da compromettere il regolare funzionamento del sistema dei pagamenti.
In questo equilibrio si colloca il principio ormai consolidato secondo cui la responsabilità dell’intermediario sorge quando le anomalie sono evidenti, riconoscibili e coerenti con modelli di frode già noti, mentre non può essere affermata in assenza di elementi concreti che rendano l’operazione sospetta.
Per il cliente vittima di truffa, queste decisioni offrono uno strumento difensivo di grande rilievo: la possibilità di contestare non solo l’evento fraudolento in sé, ma anche l’adeguatezza dei presìdi di controllo adottati dalla banca.
