Phishing e pagamenti non autorizzati: per l’avvocato generale Ue la banca deve rimborsare subito

Una banca non può rifiutarsi di effettuare il rimborso immediato di un’operazione non autorizzata sostenendo, fin dall’inizio, che il cliente avrebbe commesso negligenza grave. È la linea indicata dall’avvocato generale della Corte di giustizia dell’Unione europea, Athanasios Rantos, in un parere pubblicato oggi e destinato a pesare sui contenziosi legati alle frodi digitali, a partire dai casi di phishing.

Il punto, però, è a due tempi: il rimborso deve arrivare subito, ma non è necessariamente definitivo. Se dopo gli accertamenti emerge che l’utente, deliberatamente o per negligenza grave, è venuto meno ai propri obblighi, la banca può chiedere che sia lui a sopportare le perdite e, se serve, può anche portarlo in giudizio per ottenere la restituzione.

La vicenda nasce in Polonia. Una cliente di banca viene truffata con una frode informatica: un terzo, fingendosi un acquirente su una piattaforma di vendita, le invia un link fraudolento che imitava la pagina Internet della banca. Convinta di trovarsi su un sito autentico, la donna inserisce le proprie credenziali, permettendo così al truffatore di recuperarle ed eseguire un pagamento non autorizzato dal conto.

Il giorno successivo la cliente segnala l’operazione. La banca, però, rifiuta il rimborso, sostenendo che la cliente avrebbe commesso una negligenza grave divulgando i dati bancari. Da qui l’azione in giudizio e il rinvio del giudice nazionale alla Corte Ue: la domanda è se la banca debba comunque rimborsare immediatamente o se possa negare il rimborso invocando la negligenza grave.

Nelle sue conclusioni, Rantos ritiene che il diritto dell’Unione obblighi la banca, in un primo momento, a rimborsare immediatamente l’importo dell’operazione non autorizzata.

L’unica eccezione indicata è quando la banca abbia ragionevoli motivi per sospettare una frode: in quel caso la circostanza deve essere comunicata per iscritto all’autorità nazionale competente. Fuori da questa ipotesi, non sono previste altre deroghe: secondo l’avvocato generale non esiste margine di discrezionalità per gli Stati membri nel limitare il principio del rimborso immediato.

Il rimborso, però, non chiude la partita. Rantos chiarisce che l’accredito al cliente non è definitivo: in un secondo momento, se la banca accerta che l’utente è venuto meno, deliberatamente o per negligenza grave, a uno degli obblighi che gli incombono, soprattutto quelli relativi alla tutela delle credenziali di sicurezza personalizzate, l’istituto può chiedere che sia il cliente a sopportare le perdite corrispondenti.

E se il cliente non restituisce quanto rimborsato? In quel caso, spiega il parere, spetta alla banca promuovere un’azione giudiziaria per ottenere il pagamento.