* Il caso polacco che potrebbe cambiare tutto * Cosa ha detto l'avvocato generale Rantos * Negligenza del cliente: non è più una scusa * Le ricadute per milioni di consumatori europei * Cosa fare se si è vittime di phishing bancario
Il caso polacco che potrebbe cambiare tutto {#il-caso-polacco-che-potrebbe-cambiare-tutto}
Tutto nasce da una storia fin troppo comune. Una cliente della banca polacca PKO BP S.A. cade nella trappola di un attacco di phishing: comunicazioni fraudolente, apparentemente provenienti dal proprio istituto di credito, la inducono a fornire dati sensibili. Il risultato è una serie di transazioni non autorizzate dal suo conto corrente. Soldi spariti.
Quando la donna chiede il rimborso, la banca oppone un rifiuto netto. La motivazione? La cliente avrebbe agito con negligenza grave, contribuendo essa stessa alla riuscita della frode. Un copione già visto migliaia di volte in tutta Europa, Italia compresa.
Ma questa volta la vicenda ha preso una piega diversa. Il caso è arrivato fino alla Corte di giustizia dell'Unione Europea, dove il 5 marzo 2026 l'avvocato generale Athanasios Rantos ha depositato un parere destinato a fare giurisprudenza.
Cosa ha detto l'avvocato generale Rantos {#cosa-ha-detto-lavvocato-generale-rantos}
Il parere — va precisato — non è una sentenza vincolante. Tuttavia, le conclusioni degli avvocati generali della Corte UE vengono seguite dai giudici nella stragrande maggioranza dei casi. E il principio enunciato da Rantos è inequivocabile: le banche non possono rifiutare il rimborso immediato ai clienti vittime di transazioni fraudolente.
Nemmeno quando il cliente ha commesso un errore.
Stando a quanto emerge dal documento, l'obbligo di rimborso scatta in modo automatico nel momento in cui viene segnalata un'operazione non autorizzata. La banca è tenuta a restituire le somme sottratte prima di qualsiasi accertamento sulla condotta del correntista. Solo in un secondo momento, e attraverso procedure specifiche, l'istituto potrà eventualmente rivalersi sul cliente dimostrando una sua colpa.
È un ribaltamento dell'onere pratico che oggi grava sui consumatori. Chi subisce una truffa di phishing si trova spesso a dover dimostrare la propria buona fede, in un braccio di ferro impari con l'istituto bancario. Rantos dice, in sostanza, che questo meccanismo viola lo spirito della normativa europea sui servizi di pagamento.
Negligenza del cliente: non è più una scusa {#negligenza-del-cliente-non-è-più-una-scusa}
Il punto più dirompente del parere riguarda proprio il concetto di negligenza. Le banche, in caso di frodi online, tendono a trincerarsi dietro un ragionamento semplice: se il cliente ha cliccato su un link sospetto, ha fornito le proprie credenziali o non ha attivato tutti i sistemi di sicurezza disponibili, la responsabilità è sua.
Rantos smonta questa impostazione. Il fatto che un correntista sia stato ingannato da tecniche di social engineering sempre più sofisticate — email identiche a quelle ufficiali, siti web clonati alla perfezione, SMS che sembrano provenire dalla banca stessa — non può tradursi in un diniego del rimborso immediato. Le truffe di phishing, del resto, sono progettate proprio per superare le difese psicologiche delle vittime, come ben sanno anche le autorità italiane che da anni conducono campagne di sensibilizzazione sul tema.
Vale la pena ricordare che le minacce informatiche rappresentano un problema crescente a livello continentale. Proprio di recente, episodi come l'attacco informatico in Italia: il DDoS e le sue conseguenze hanno dimostrato quanto le infrastrutture digitali siano vulnerabili — e quanto i singoli cittadini restino esposti.
Il quadro normativo di riferimento
Il parere di Rantos si inserisce nel solco della Direttiva europea sui servizi di pagamento (PSD2), che già prevede tutele significative per i consumatori in caso di operazioni non autorizzate. L'articolo 73 della direttiva stabilisce che il prestatore di servizi di pagamento debba rimborsare l'importo dell'operazione non autorizzata "immediatamente" e comunque entro la fine della giornata lavorativa successiva.
Nella pratica, però, molte banche hanno interpretato in modo restrittivo queste disposizioni, facendo leva sulle eccezioni previste per i casi di frode o negligenza grave del cliente. Il parere dell'avvocato generale mira a chiudere questa zona grigia, chiarendo che l'obbligo di rimborso immediato è incondizionato nella sua prima fase.
Le ricadute per milioni di consumatori europei {#le-ricadute-per-milioni-di-consumatori-europei}
Se la Corte di giustizia UE dovesse recepire integralmente le conclusioni di Rantos — come appare probabile — l'impatto sarà enorme. Si parla di un principio applicabile in tutti i 27 Stati membri, Italia inclusa.
I numeri parlano chiaro. Secondo le stime della Banca Centrale Europea, le frodi sui pagamenti elettronici hanno superato il miliardo di euro nel solo 2024. Il phishing resta la tecnica più diffusa, responsabile di una quota significativa di queste perdite. Milioni di consumatori europei che finora si sono visti rifiutare il rimborso potrebbero trovare in questa pronuncia un appiglio decisivo.
Per le banche, naturalmente, si prospetta un cambio di paradigma. Dovranno investire di più in sistemi di prevenzione e di rilevamento delle frodi, anziché scaricare il rischio sui clienti. Un incentivo, in fondo, a rendere davvero sicuri quei servizi digitali che promuovono con tanta enfasi.
In un contesto in cui la capacità di distinguere comunicazioni autentiche da quelle fraudolente diventa sempre più complessa — un tema che tocca anche la più ampia questione della disinformazione online, come evidenziato dagli strumenti messi in campo dalla stessa Commissione Europea per combattere le fake news — la responsabilità non può ricadere interamente sulle spalle del singolo cittadino.
Cosa fare se si è vittime di phishing bancario {#cosa-fare-se-si-è-vittime-di-phishing-bancario}
In attesa della sentenza definitiva della Corte UE, chi subisce una truffa bancaria tramite phishing può già fare affidamento su alcune tutele consolidate. Ecco i passaggi fondamentali:
* Bloccare immediatamente la carta o il conto contattando la propria banca, possibilmente attraverso il numero verde ufficiale * Presentare denuncia alle forze dell'ordine, allegando ogni prova disponibile (screenshot, email ricevute, SMS sospetti) * Inviare un reclamo formale alla banca chiedendo il rimborso delle somme sottratte, facendo esplicito riferimento all'articolo 73 della PSD2 * In caso di rifiuto, rivolgersi all'Arbitro Bancario Finanziario (ABF), organismo della Banca d'Italia che risolve le controversie in modo rapido e gratuito * Valutare, nei casi più complessi, l'assistenza di un legale specializzato in diritto bancario e dei consumatori
Un dato è certo: il parere di Rantos segna un punto di non ritorno. La questione non è più se i consumatori truffati abbiano diritto al rimborso, ma quanto velocemente le banche dovranno adeguarsi a un principio che mette al centro la tutela del cliente. Anche — e soprattutto — quando quel cliente ha commesso un passo falso.