Il 16 maggio 2023 un correntista – titolare di conto corrente, libretto di risparmio e carta prepagata collegata – riceve un SMS apparentemente genuino della banca che segnala un accesso sospetto. Seguendo il link contenuto nel messaggio, inserisce i propri dati e viene contattato telefonicamente da un falso operatore antifrode. Convinto di dover «restituire» somme indebite, in filiale dispone:

• ricarica carta di terzi per 4.800 € (da carta prepagata);

• girofondo libretto → conto per 4.900 €;

• ulteriore ricarica di 450 € il giorno successivo.

Scoperti i prelievi, sporge denuncia e chiede all’intermediario il rimborso di tutte le uscite (oltre 10.000 €) come operazioni non autorizzate.

La posizione dell’intermediario

La banca replica che le operazioni:

1. sono state eseguite dallo stesso cliente inserendo codici OTP;

2. riguardano in parte trasferimenti interni (provvista dal libretto al conto), esenti da SCA;

3. non mostrano anomalie tali da imporre un blocco automatico;

4. pertanto non ricorrono i presupposti di rimborso previsti dal d.lgs. 11/2010.

La questione di coordinamento

Il Collegio territoriale ha chiesto al Collegio di Coordinamento se le operazioni di costituzione della provvista (girofondi e ricariche tra rapporti intestati allo stesso cliente) debbano essere soggette alla Strong Customer Authentication ai sensi dell’art. 10-bis d.lgs. 11/2010.

Il principio espresso

Le movimentazioni fra conti e carte intestati allo stesso titolare rientrano nella definizione di “operazione di pagamento”, ma l’art. 15 del Reg. UE 2018/389 consente l’esenzione dalla SCA per i bonifici interni a basso rischio; l’obbligo di rimborso grava sul PSP solo se l’assenza di SCA è causa immediata e diretta del danno, senza interruzioni causali imputabili al cliente.

Decisione sul merito

Il Collegio rileva che:

• il cliente ha inserito personalmente gli OTP e ordinato i pagamenti presso lo sportello;

• l’eventuale negligenza dell’intermediario non ha nesso causale diretto con la perdita;

e quindi respinge il ricorso, escludendo la responsabilità della banca.

Implicazioni pratiche

• Phishing «misto» (SMS + call-spoofing) non genera rimborso se il cliente conferma le operazioni.

• Trasferimenti interni possono essere esenti da SCA; la banca risponde solo se manca il monitoraggio antifrode in presenza di indici evidenti.

• Onere di diligenza: il cliente deve verificare l’identità di chi lo contatta e non eseguire disposizioni sospette.

Conclusione

La decisione n. 8671 del 23 luglio 2024 conferma che, in caso di frode con consenso indotto, la banca non è tenuta a risarcire se i pagamenti sono stati autorizzati dal cliente e i controlli antifrode non risultano carenti.
Per analizzare la sicurezza della tua carta prepagata e dei relativi movimenti, puoi richiedere la Analisi Carta Prepagata con IBAN di Welix.

Link alla decisione completa:
https://www.arbitrobancariofinanziario.it/decisioni/2024/07/Dec-20240723-8671.PDF