La Decisione n. 10672 del 5 dicembre 2025 dell’ABF – Collegio di Milano rinforza un orientamento ormai consolidato – in sede arbitrale – in relazione all’attualissimo tema delle frodi bancarie. La decisione ha stabilito che l’istituto di credito ha una responsabilità di tipo concorsuale in merito alla frode bancaria.
Lo schema della truffa è ben noto: ignoti attraggono il malcapitato correntista con un SMS fake facendogli credere di essere vittima di un tentativo di accesso non autorizzato al proprio conto corrente, preannunziandogli che verrà chiamato da un consulente della banca che lo aiuterà a risolvere il problema. Nel giro di pochi minuti arriverà una telefonata da parte di un sedicente funzionario della banca – simulata con la tecnica del “phone spoofing” o “caller ID spoofing” – il quale chiederà insistentemente di effettuare dei bonifici bancari istantanei per evitare che il conto si svuoti.
Di fatto è il correntista che procederà – mediante l’autenticazione a due fattori – alle disposizioni di pagamento in favore di conti correnti (solitamente si riferiscono a carte prepagate intestate a prestanomi) che verranno poi istantaneamente svuotati, rendendo il tracciamento impossibile. Ma quindi, se è lo stesso utente ad avere effettuato i pagamenti, l’istituto di credito sarebbe comunque responsabile?
Indice degli argomenti
Quando la banca può concorrere nella frode con phone spoofing
La vicenda che ha portato alla decisione riguardava un imprenditore che, ricevuti SMS e una telefonata da parte di un sedicente Ispettore di Polizia, nell’arco di quattro ore ha trasferito verso i conti di perfetti sconosciuti poco più di 50.000 (fra il conto aziendale e quello personale) di cui circa 14.000 subito recuperati dalla banca.
Il correntista, dopo il rifiuto della banca di rimborsare le somme, proponeva istanza all’arbitro bancario.
Il Collegio, ha premesso che è incontestabile che le operazioni (ben cinque) fossero state autorizzate dal cliente secondo gli strumenti messi a disposizione dall’istituto di credito, il che ha escluso la responsabilità oggettiva della banca, in quanto la stessa è esonerata dalla c.d. “prova della corretta autenticazione” che, generalmente, è la prima difesa posta in essere.
Premesso ciò, il Collegio ha indagato la possibilità di un’eventuale responsabilità concorrente secondo le norme di diritto comune, basandosi su alcuni indici dai cui potesse emergere l’apporto causale dell’istituto rispetto alla condotta di frode.
Gli indici di anomalia rilevati nel caso concreto
Il Collegio ha ritenuto che la banca avrebbe dovuto rilevare i seguenti fattori di anomalia:
- dal 1° gennaio 2025 e fino alla data della frode sugli estratti conto aziendali non sono mai risultati bonifici del tipo “istantaneo”;
- dallo stesso conto non sono mai stati disposti bonifici dell’importo così elevato e verso sconosciuti (rectius, soggetti verso cui l’azienda non ha mai avuto rapporti commerciali e/o di lavoro);
- risultavano, infatti, solo bonifici di € 2.000,00 per il pagamento di stipendi ai dipendenti ed € 4.526,00 relativi ad una fattura commerciale.
Phone spoofing e obblighi di vigilanza dell’intermediario
Ha poi precisato che, nel caso di specie, si configura una responsabilità dell’intermediario per l’omessa vigilanza sui sistemi di pagamento.
Difatti, tenendo conto del principio generale sancito dall’art. 1375 c.c. (buona fede nell’esecuzione del contratto), l’istituto di credito è tenuto a implementare presidi automatici di sicurezza capaci di rilevare pattern di spesa estranei al profilo del cliente; l’evidente natura anomala delle operazioni in esame ha dimostrato l’inefficacia di tali sistemi, il cui corretto funzionamento avrebbe permesso il blocco dei flussi illeciti.
Ha poi condannato l’istituto alla rifusione del danno in ragione di circa un terzo rispetto alle richieste del correntista, tenendo conto del concorso di colpa.
Un orientamento già emerso nelle decisioni ABF sul phone spoofing
Va detto che un diverso Collegio arbitrale (di Roma) aveva già nel 2024 stabilito tale principio di responsabilità concorrente in un caso analogo rispetto a quello in esame.
Difatti, con decisione n° 9220/2024 del 12 luglio 2024, ABF – Collegio di Roma – ha accolto parzialmente il ricorso del correntista (con il patrocinio dello scrivente) così motivando in diritto: « ….la condotta dell’intermediario può essere comunque scrutinata in base alle regole generali del diritto delle obbligazioni, sotto il profilo del corretto adempimento delle obbligazioni contrattuali, eventualmente integrate dal principio di buona fede (cfr. Collegio di Napoli, decisione n. 6488/2023; Collegio di Milano, decisione n. 8435/23; Collegio di Torino, n. 15116/2022), potendosi dunque fondare la decisione sugli artt. 1375, 1176, comma 2, e 1218 c.c. (cfr. Collegio di Roma, decisione n. 2531/2024).
In sostanza, sussistono elementi che possono essere presi in considerazione sotto il profilo del diligente adempimento alle obbligazioni contrattuali da parte del prestatore di servizi di pagamento (art. 1218 c.c.) e, quindi, di un concorso di colpa ex art. 1227 c.c.»
Phone spoofing, nuove regole europee e prevenzione delle frodi
Va detto che le pronunzie in esame, pur ribadendo che l’utente è il primo responsabile della tenuta dei propri conti e delle disposizioni di pagamento, stimolano verso una maggiore responsabilizzazione da parte degli istituti di credito che dovranno dotarsi di sempre più efficaci sistemi di alert e/o blocco automatico in caso di operazioni sospette o che, comunque, mostrino indici di anomalia rispetto alle usuali “abitudini” del correntista.
Certo, le frodi in esame sono state possibili anche perché in passato era sufficiente il solo IBAN per completare la transazione, mentre dal 9 ottobre 2025 è entrato in vigore il Regolamento UE 2024/886 sulla verifica obbligatoria del beneficiario (c.d. Verification of Payee o VoP).
Tuttavia, sarebbe auspicabile l’utilizzo – mirato, responsabile e conforme alla normativa privacy – di sistemi di IA sui movimenti dei correntisti, quale ulteriore strumento in loro favore rispetto alla prevenzione delle frodi bancarie.
