Breaking News

Economia
54 minuti fa

Fari di Rischio Logico e autenticazione forte: il quadro giuridico che ridisegna la tutela nell'home banking

(Teleborsa) - Trentunomilaseicento. Tante sono state, nel 2025, le segnalazioni di operazioni sospette che riguardavano truffe e frodi informatiche — poco meno di un quinto dell'intero flusso arrivato sui tavoli dell'Unità di Informazione Finanziaria. Un numero che racconta la fragilità di chi ogni giorno apre l'home banking dal telefono, mentre nelle aule dei tribunali italiani qualcuno sta riscrivendo daccapo la mappa delle colpe. Le segnalazioni complessive hanno toccato quota 162.059, in crescita dell'11,5% sull'anno prima, dopo due stagioni in cui il dato calava.L'impennata è derivata dal contributo di segnalanti di recente iscrizione, in particolare banche telematiche, ed è stata per lo più collegata a truffe e frodi informatiche.Poco alla volta, la Corte di Cassazione ha spostato il peso della bilancia. Con la sentenza n.3780 del 12 febbraio 2024 i giudici hanno messo nero su bianco che, mancando prove concrete di misure preventive, la banca si accolla il rischio professionale dell'accesso fraudolento all'home banking e deve risarcire il cliente se non dimostra di aver fatto tutto il possibile. Sei mesi più tardi, il 4 settembre, la sentenza n. 23683 ha stretto ancora la vite: il rischio dell'uso fraudolento dei codici grava sul prestatore di servizi di pagamento, tranne quando l'imprudenza dell'utente sia stata talmente clamorosa da rendere l'evento imprevedibile — e la responsabilità arriva a coprire persino le cause cosiddette "ignote".Marcello Stanca, avvocato che di contenzioso bancario si occupa da anni, prende la questione da lontano, dalla radice psicologica dell'inganno. "La truffa è una questione profondamente umana e psicologica, ma la sua realizzazione finanziaria è una questione tecnica", precisa. Ma dov'è, tecnicamente, il buco? Nell'assenza di strumenti automatici capaci di bloccare un'operazione prima che sia troppo tardi, come denunciato nelle Petizioni al Parlamento Europeo nr. 888-2024 e 645-2025. Stanca li battezza "Fari di Rischio Logico": sistemi che interrogano in tempo reale i registri europei e istituzionali nell'istante prima della convalida."La carenza di diligenza della banca si manifesta primariamente nella mancata integrazione, colpevole, di un elementare Interruttore di Rischio Logico", rivendica. Parla di tecnologie RegTech che, a suo dire, esistono già sul mercato ma restano spesso nel cassetto. Non è più soltanto una tesi difensiva. Il Parlamento Europeo ha accolto entrambe le Petizioni — pubblicate sul Portale PETI — e la Banca d'Italia, con decreto del giugno 2026, ne ha confermato la validità e il carattere vincolante delle precauzioni bancarie che ne discendono.Il principio è secco: nessun bonifico deve essere eseguito a favore di imprese estere prive di codice identificativo LEI, prive di licenza finanziaria della Consob per l'Italia e delle Autorità Finanziarie UE competenti nei Paesi in cui dichiarano di essere iscritte. Tradotto: il controllo preventivo non è più una cortesia dell'istituto verso il correntista, ma un obbligo con una fonte precisa alle spalle. C'è poi un capitolo che genera equivoci a valanga: la verifica di corrispondenza tra IBAN e nome del beneficiario, resa obbligatoria dal Regolamento UE 2024/1620 sui pagamenti istantanei. I correntisti la leggono come un bollino di garanzia. Sbagliano. "La verifica automatica di coerenza ha uno scopo unico e ristretto", taglia corto Stanca, che poi aggiunge: "Questo strumento non costituisce in alcun modo una verifica della legittimità finanziaria del beneficiario né attesta che questi sia autorizzato a raccogliere risparmio". Il truffatore, del resto, lavora con conti intestati a prestanome censiti alla perfezione: l'anagrafica combacia con l'IBAN, ma dietro si nasconde una società veicolo. Ed è proprio qui che le Petizioni mordono: il LEI e la licenza dell'Autorità di vigilanza dicono ciò che l'IBAN non dirà mai.La sentenza n. 07214 del 13 marzo 2023 ha stabilito che la banca non risponde quando il cliente ha agito con colpa grave, usando i codici in modo sconsiderato, e l'istituto aveva rispettato le procedure di autenticazione. Resta però un cardine che non si sposta — l'autenticazione forte: senza la prova della SCA, la responsabilità per le operazioni contestate ricade tutta sul prestatore di servizi di pagamento.Sportello fisico contro filiale digitale: qui Stanca costruisce il suo parallelismo più tagliente. "Il cliente che opera all'interno della filiale digitale deve godere della medesima tutela e protezione del cliente che esegue le medesime operazioni allo sportello fisico", sostiene. E rincara: "L'assenza di un blocco preventivo o di un alert automatico di fronte a flussi palesemente anomali equivale a mantenere spente le telecamere di sorveglianza della filiale". Immagine che fa capire in un lampo ciò che mille cavilli tecnici non spiegherebbero.Che il tema non sia una fissazione italiana lo dimostra il caso della Westminster National Bank, sanzionata dal Fisco inglese con una multa da 264 milioni di sterline per i mancati controlli antiriciclaggio sui bonifici in ingresso e in uscita. Il precedente è istruttivo perché sposta il baricentro: il danno da omesso controllo non colpisce solo il correntista truffato, ma l'Erario. Anche il Fisco italiano, in questa logica, è parte lesa — e ha titolo per controllare e sanzionare le banche e le Poste che si comportano con imprudenza.Quanto pesa tutto questo sulla vita delle persone lo dice un numero crudo: 612 arresti a fronte di oltre 61.000 denunce informatiche in Italia nel 2023. Stanca lancia alcune proposte di sistema — un fondo alimentato dagli istituti che ignorano gli obblighi di prevenzione tecnologica, un obbligo di segnalare all'AGCM le piattaforme sospette — e ha raccolto l'intera materia in un libro, Rischio Trading, disponibile su Amazon e in tutti i bookstore online. Il mercato, intanto, spinge verso l'automazione della prudenza: risk scoring in tempo reale, interrogazione di white e black list, blocchi sui bonifici istantanei diventano armi competitive prima ancora che adempimenti di compliance. La rotta l'hanno tracciata le sentenze del 2023-2024, le Petizioni accolte a Bruxelles e le nuove regole UIF, che declassano la prevenzione tecnologica da optional a presidio misurabile.
Fonte: Teleborsa