Con la decisione n. 9922 del 13 novembre 2025, il Collegio di Torino dell’Arbitro Bancario Finanziario (Pres. E. Lucchini Guastalla, Rel. R. Caratozzolo) è tornato a pronunciarsi in materia di operazioni di pagamento non autorizzate, riconoscendo il concorso del fatto colposo del danneggiato nella causazione del danno in un’ipotesi di spoofing.
Il caso sottoposto allo scrutinio dell’Arbitro ha tratto origine da un’articolata vicenda truffaldina che ha preso le mosse dall’invio di un SMS civetta proveniente dalla stessa utenza dell’intermediario, al quale ha fatto seguito una chiamata con cui un sedicente operatore antifrode riferiva l’esecuzione di operazioni di pagamento anomale e la conseguente necessità di provvedere a stornare i bonifici fraudolentemente eseguiti.
A tal fine, il ricorrente è stato persuaso ad utilizzare un software di condivisione dello schermo che ha consentito all’ignoto interlocutore di guidare il cliente nella procedura asseritamente finalizzata a tutelare il conto corrente. Il frodatore è così riuscito ad eseguire in proprio favore diverse disposizioni di pagamento dal conto del danneggiato il quale, avvedutosi del raggiro subito, ha chiesto il riottenimento delle disponibilità monetarie illecitamente sottratte.
Con riguardo alla Strong Customer Authentication (SCA), il Collegio sabaudo ha ritenuto assolto l’onere, gravante sul prestatore dei servizi di pagamento, di provare l’adozione delle prescrizioni normative dettate in tema di autenticazione forte.
Infatti, l’intermediario resistente ha versato in atti la documentazione comprovante la corretta e regolare autenticazione, contabilizzazione e registrazione delle operazioni di pagamento, in forza della predisposizione di un sistema dinamico multifattoriale di autenticazione forte sia nella fase di accesso, che in quella di esecuzione.
Quanto alla prova della colpa grave del ricorrente, l’Arbitro, richiamando il principio di diritto enunciato dal Collegio di Coordinamento con decisione n. 5304/2013, ha ribadito che non ogni contegno imprudente può far ritenere integrato questo grado di colpa, ma solo quello che appaia abnorme ed inescusabile.
In questa prospettiva, il giudizio intorno al grado di colpa dell’utente dei servizi di pagamento deve essere compiuto alla luce di tutte le circostanze di fatto che, di volta in volta, caratterizzano il caso di specie, tenendo in debita considerazione gli obblighi dell’utilizzatore circa la diligente custodia delle credenziali riservate.
Sicché, la prova della colpa grave richiede, più specificamente, la prova dei fatti che, in connessione tra loro, possono ragionevolmente condurre a ritenere gravemente negligente la condotta dell’utilizzatore.
Nello spoofing oggetto del caso di specie, dallo svolgimento fattuale è emerso che il ricorrente ha collaborato fattivamente con il malfattore al compimento della manovra fraudolenta, seguendo le istruzioni ricevute telefonicamente, inserendo le credenziali richieste, autorizzando le operazioni, nonché concedendo l’acquisizione del controllo da remoto del proprio pc e condividendo la schermata dei conti da cui sono state eseguite le operazioni.
Le circostanze di fatto si sono, pertanto, rivelate espressive di una grave negligenza del danneggiato, il quale ha agevolato il frodatore nell’esecuzione delle operazioni contestate.
Stante tutto ciò, il Collegio torinese, in tema di spoofing, pur riconoscendo la particolare insidiosità intrinseca al meccanismo di aggressione posto in essere, ha ritenuto sussistenti i presupposti per un concorso del fatto del cliente nella causazione dell’evento dannoso, e, per l’effetto, ha ripartito la responsabilità nella misura di un terzo a carico dell’intermediario e di due terzi a carico della parte ricorrente.
