Cara ADUC
Frodi digitali e PSD2: ABF vs tribunale ordinario sulla colpa grave
Domanda
12 maggio 2026
Salve, sono un ragazzo che sta studiando diritto, volevo chiederle una cosa che riguardava l'applicazione di orientamenti della cassazione e della PSD2. Durante una presa visione di diverse decisioni prese dall'ABF mi sono reso conto che in diversi ricorsi per frodi digitali l'intermediario vince il ricorso ricostruendo attraverso prove tecniche (SCA, OTP, orari messi insieme per ricostruire il come sia avvenuta) una narrativa precisa e concordante che faccia presumere la colpa grave/dolo del ricorrente (che spesso non riesce a ricostruire una narrativa valida). Però, visti i diversi orientamenti della cassazione che in sintesi dicono che la prova tecnica non equivale alla colpa grave e alla effettiva volontà del ricorrente, mi chiedevo se uno stesso caso come quello descritto prima in un tribunale ordinario si sarebbe concluso diversamente o se anche in quest'ultimo contesto la colpa grave può essere presunta anche senza prove di condivisione dati etc… ma attraverso delle presunzioni precise e concordanti come device utilizzato, IP etc…
Mi scusi il disturbo.
Samuele, dalla provincia di PI
Mi scusi il disturbo.
Samuele, dalla provincia di PI
Risposta ADUC
Gentile Samuele,
La questione che lei pone è molto pertinente e riflette una tensione reale nell'applicazione della normativa in materia di frodi digitali e responsabilità degli intermediari bancari.
Il punto centrale è questo: la PSD2 (recepita in Italia con il d.lgs. 218/2017 e successive modifiche) pone in capo all'intermediario l'onere di provare che l'operazione non autorizzata è stata autenticata correttamente e che non vi sono stati malfunzionamenti tecnici. Una volta dimostrato ciò, il regime si sposta: se l'intermediario prova l'autenticazione forte (SCA), scatta una presunzione relativa che il pagatore abbia agito con colpa grave o dolo, ma si tratta appunto di presunzione relativa, non assoluta.
Qui emerge la divergenza che lei ha colto. L'ABF, in molte sue decisioni, tende ad accettare la ricostruzione tecnica dell'intermediario (SCA completata, OTP ricevuto sul dispositivo del cliente, accesso da IP e device coerenti) come sufficiente a far prevalere la presunzione di colpa grave, soprattutto quando il ricorrente non fornisce una ricostruzione alternativa credibile. In sostanza, l'ABF ragiona per esclusione: se l'autenticazione è andata a buon fine e non emergono anomalie tecniche, la responsabilità ricade sul cliente.
La Cassazione, in diversi orientamenti più recenti, ha invece chiarito che la prova tecnica dell'autenticazione non equivale automaticamente alla prova della colpa grave del cliente e tanto meno del dolo. Il giudice ordinario è tenuto a valutare la condotta concreta del cliente nel contesto specifico: la tipologia dell'attacco subito (phishing, smishing, vishing), la sofisticazione dell'inganno, e se il comportamento del cliente, pur avendo fornito dati, fosse quello ragionevolmente atteso da un consumatore medio in quella situazione. In pratica, la Cassazione richiede che la colpa grave sia provata in modo diretto e concreto, non meramente desunta da indici tecnici.
Quindi, per rispondere direttamente alla sua domanda: sì, è ragionevole ritenere che lo stesso caso, davanti a un Tribunale ordinario, potrebbe concludersi diversamente rispetto all'ABF, proprio perché il giudice ordinario è vincolato ai principi espressi dalla Cassazione e deve applicare uno standard probatorio più rigoroso per affermare la colpa grave del consumatore. L'ABF, pur autorevole, è un organismo di risoluzione alternativa delle controversie e le sue decisioni non costituiscono giurisprudenza vincolante. La divergenza tra i due contesti è reale e documentata dalla dottrina.
Le consigliamo, per un approfondimento accademico, di consultare le decisioni del Collegio di Coordinamento ABF (che interviene proprio per uniformare gli orientamenti dei collegi territoriali) e di affiancarlo alle sentenze della Cassazione civile, sezione prima, in materia di responsabilità della banca per operazioni non autorizzate: troverà una dialettica molto istruttiva.
La questione che lei pone è molto pertinente e riflette una tensione reale nell'applicazione della normativa in materia di frodi digitali e responsabilità degli intermediari bancari.
Il punto centrale è questo: la PSD2 (recepita in Italia con il d.lgs. 218/2017 e successive modifiche) pone in capo all'intermediario l'onere di provare che l'operazione non autorizzata è stata autenticata correttamente e che non vi sono stati malfunzionamenti tecnici. Una volta dimostrato ciò, il regime si sposta: se l'intermediario prova l'autenticazione forte (SCA), scatta una presunzione relativa che il pagatore abbia agito con colpa grave o dolo, ma si tratta appunto di presunzione relativa, non assoluta.
Qui emerge la divergenza che lei ha colto. L'ABF, in molte sue decisioni, tende ad accettare la ricostruzione tecnica dell'intermediario (SCA completata, OTP ricevuto sul dispositivo del cliente, accesso da IP e device coerenti) come sufficiente a far prevalere la presunzione di colpa grave, soprattutto quando il ricorrente non fornisce una ricostruzione alternativa credibile. In sostanza, l'ABF ragiona per esclusione: se l'autenticazione è andata a buon fine e non emergono anomalie tecniche, la responsabilità ricade sul cliente.
La Cassazione, in diversi orientamenti più recenti, ha invece chiarito che la prova tecnica dell'autenticazione non equivale automaticamente alla prova della colpa grave del cliente e tanto meno del dolo. Il giudice ordinario è tenuto a valutare la condotta concreta del cliente nel contesto specifico: la tipologia dell'attacco subito (phishing, smishing, vishing), la sofisticazione dell'inganno, e se il comportamento del cliente, pur avendo fornito dati, fosse quello ragionevolmente atteso da un consumatore medio in quella situazione. In pratica, la Cassazione richiede che la colpa grave sia provata in modo diretto e concreto, non meramente desunta da indici tecnici.
Quindi, per rispondere direttamente alla sua domanda: sì, è ragionevole ritenere che lo stesso caso, davanti a un Tribunale ordinario, potrebbe concludersi diversamente rispetto all'ABF, proprio perché il giudice ordinario è vincolato ai principi espressi dalla Cassazione e deve applicare uno standard probatorio più rigoroso per affermare la colpa grave del consumatore. L'ABF, pur autorevole, è un organismo di risoluzione alternativa delle controversie e le sue decisioni non costituiscono giurisprudenza vincolante. La divergenza tra i due contesti è reale e documentata dalla dottrina.
Le consigliamo, per un approfondimento accademico, di consultare le decisioni del Collegio di Coordinamento ABF (che interviene proprio per uniformare gli orientamenti dei collegi territoriali) e di affiancarlo alle sentenze della Cassazione civile, sezione prima, in materia di responsabilità della banca per operazioni non autorizzate: troverà una dialettica molto istruttiva.
ADUC è indipendente
Nessun finanziamento pubblico né pubblicità. Solo le donazioni ci rendono liberi.
Sostienici →
Potrebbe interessarti