Nel contenzioso in materia di servizi di pagamento, la questione delle frodi informatiche continua a occupare un ruolo centrale, soprattutto quando l operazione contestata non è tecnicamente non autorizzata, ma risulta eseguita dal cliente sotto l effetto dell inganno. È proprio in questa area grigia che si colloca la più significativa evoluzione del diritto europeo dei pagamenti, destinata a incidere sul riparto delle responsabilità tra prestatore di servizi di pagamento e utilizzatore.
Il superamento dell impianto attuale non passa da una semplice modifica della direttiva (UE) 2015/2366, ma da una scelta di sistema più ambiziosa. La disciplina viene infatti articolata in due strumenti distinti: da un lato la Terza direttiva sui servizi di pagamento, PSD3, dedicata all accesso all attività, all autorizzazione, ai requisiti prudenziali e alla vigilanza degli istituti di pagamento; dall altro il Payment Services Regulation, PSR, destinato a divenire direttamente applicabile negli Stati membri e a disciplinare regole di condotta, trasparenza, tutela dell utenza, sicurezza e antifrode. La scelta del regolamento risponde all esigenza di assicurare un livello di armonizzazione più elevato, sottraendo alla variabilità delle discipline nazionali proprio i profili che, sotto la vigenza della PSD2, hanno dato luogo alle maggiori incertezze interpretative.
Dove si colloca oggi la riforma europea
Il pacchetto è stato presentato dalla Commissione europea il 28 giugno 2023. Dopo un negoziato articolato, Parlamento europeo e Consiglio hanno raggiunto un accordo politico provvisorio il 27 novembre 2025. Successivamente il Consiglio ha diffuso, il 23 aprile 2026, i testi di compromesso finali della direttiva e del regolamento, accompagnati da una nota del Segretariato generale del 17 aprile 2026, con cui si invitava il Comitato dei rappresentanti permanenti ad approvare i testi in vista dell accordo in seconda lettura con il Parlamento.
Il procedimento non è ancora formalmente concluso. Restano infatti da compiere l adozione definitiva da parte dei co legislatori, la revisione giuridico linguistica e la pubblicazione nella Gazzetta Ufficiale dell Unione europea, attesa nella seconda metà del 2026. Per questo motivo, ogni riferimento ai contenuti del nuovo assetto deve essere letto come riferito al testo di compromesso, con la necessaria verifica della versione definitiva al momento della pubblicazione.
Quanto alla tempistica di applicazione, il regolamento entrerà in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale dell Unione europea, ma la generalità delle disposizioni troverà applicazione dopo 21 mesi dall entrata in vigore. Alcune regole, tra cui quelle sulla verifica del beneficiario e sulla responsabilità per l errata applicazione del relativo servizio, sono invece differite a 27 mesi. La direttiva PSD3 dovrà essere recepita dagli Stati membri entro il termine previsto. Se la pubblicazione avverrà nella seconda metà del 2026, l operatività concreta della nuova disciplina si collocherà verosimilmente nel 2028.
Il limite della PSD2 nelle frodi autorizzate sotto inganno
La tutela attuale
Nel sistema oggi vigente, fondato sulla PSD2 e recepito in Italia con il d.lgs. n. 11/2010 e successive modificazioni, il cliente può ottenere il rimborso dal proprio prestatore di servizi di pagamento quando l operazione sia non autorizzata, cioè eseguita senza consenso, oppure inesattamente eseguita. Il rimborso può però essere escluso o ridotto quando il prestatore dimostri che l utilizzatore ha agito fraudolentemente oppure ha violato, con dolo o colpa grave, gli obblighi relativi all uso dello strumento di pagamento e delle credenziali di sicurezza personalizzate.
La zona rimasta scoperta
Il punto debole dell attuale disciplina riguarda le ipotesi in cui il pagatore autorizzi egli stesso l operazione, pur essendo stato tratto in inganno da un soggetto che si presenta come altro soggetto reale. È il caso della cosiddetta manipolazione del pagatore, qualificata anche come impersonation fraud o spoofing. In queste situazioni l operazione è formalmente autorizzata e, proprio per questo, resta fuori dal meccanismo di rimborso automatico previsto per le operazioni non autorizzate.
La conseguenza è nota nella prassi dell Arbitro Bancario Finanziario e nei rapporti della Banca d Italia sulle operazioni di pagamento fraudolente: il recupero delle somme per il cliente diviene molto più complesso, perché manca una base normativa espressa che collochi il rischio della truffa in capo al prestatore di servizi di pagamento.
La risposta del PSR alle frodi da impersonation
Il nuovo diritto al rimborso
Il testo di compromesso del PSR interviene precisamente su questa lacuna, introducendo un diritto al rimborso integrale in favore del consumatore vittima di impersonation fraud. La fattispecie è quella in cui il frodatore si spaccia per il prestatore di servizi di pagamento del consumatore, utilizzandone il nome o i canali riconducibili alla sua attività, come sito web, applicazione mobile, dominio, indirizzo di posta elettronica o recapito telefonico, e induce così il cliente a disporre un pagamento in favore del truffatore.
Il rimborso non spetta al consumatore che abbia agito fraudolentemente o con colpa grave. Il diritto è inoltre subordinato a due adempimenti: la denuncia della frode alle autorità di polizia e la comunicazione al proprio prestatore, entrambe effettuate senza indebito ritardo dal momento della conoscenza del fatto.
Il prestatore, ricevuta la notifica e ottenuta la prova della denuncia o segnalazione, deve rimborsare il consumatore entro 15 giorni lavorativi oppure indicare le ragioni oggettivamente giustificate del diniego, qualora ritenga che ricorrano frode o colpa grave del cliente. Anche questo termine dovrà essere confermato nella versione definitiva del regolamento.
Il perimetro della tutela
La portata della nuova disciplina resta volutamente circoscritta. Il rimborso opera soltanto quando il frodatore si presenti come il prestatore di servizi di pagamento del consumatore. Restano invece fuori le ipotesi in cui il soggetto che inganna la vittima si finga un diverso operatore pubblico o privato.
Ne discende che non rientrano nel nuovo obbligo di rimborso le frodi sentimentali, le truffe a fini di investimento e le frodi negli acquisti online, salvo che ricorrano ulteriori basi di responsabilità. È una scelta di compromesso che risponde alla preoccupazione degli operatori bancari europei di non estendere ai prestatori una responsabilità per condotte del tutto estranee alla loro sfera di controllo.
La filiera digitale e il ruolo degli altri operatori
Comunicazione elettronica e prevenzione
Poiché le frodi da impersonation si realizzano spesso attraverso telefono, posta elettronica o messaggi SMS, il PSR costruisce un modello di cooperazione tra settori diversi. I fornitori di servizi di comunicazione elettronica devono predisporre canali di comunicazione con i prestatori di servizi di pagamento, adottare misure informative verso gli utenti e introdurre soluzioni tecniche e organizzative idonee a individuare e prevenire l utilizzo dei propri servizi per frodi da impersonation, compresa la manipolazione dell identificativo della linea chiamante o dell indirizzo e mail.
Rivalsa e responsabilità degli hosting provider
Il testo di compromesso disciplina anche il diritto di rivalsa del prestatore che abbia rimborsato il cliente, soprattutto nei confronti dei provider di hosting, quando non operino le esenzioni previste dal Digital Services Act e il contenuto illecito abbia contribuito alla realizzazione della frode. Si delinea così una catena di responsabilità nella quale il prestatore di servizi di pagamento resta il primo obbligato verso il consumatore, salvo poi potersi rivalere sugli altri soggetti coinvolti nei limiti fissati dal nuovo quadro normativo.
Resta tuttavia aperta una questione delicata, già segnalata dagli operatori, relativa alla formulazione della responsabilità dei soggetti diversi dal prestatore di servizi di pagamento. Il nodo riguarda il nesso causale tra la condotta omissiva, la permanenza del contenuto fraudolento e la consumazione della truffa. Su questo punto saranno decisive la disciplina di secondo livello e la futura prassi applicativa.
Verifica del beneficiario e protezione del pagatore
Il servizio di Verification of Payee
La disciplina sulle frodi da impersonation si inserisce in un rafforzamento più ampio dei presidi antifrode. Un ruolo centrale assume l obbligo di verifica della corrispondenza tra il nome del beneficiario e l identificativo unico del conto, cioè l IBAN, attraverso il servizio di Verification of Payee.
Questo obbligo, già introdotto per i bonifici in euro dal regolamento (UE) 2024/886 sui pagamenti istantanei a decorrere dal 9 ottobre 2025, viene esteso dal PSR ai bonifici non già coperti da tale regolamento. Se emerge una divergenza tra nome e IBAN, il prestatore deve avvisare il pagatore prima dell autorizzazione. Se l avviso manca, la responsabilità per i fondi trasferiti erroneamente ricade sul prestatore del pagatore.
Il raccordo con il contenzioso ABF
La nuova regola si collega direttamente alla casistica già esaminata dall Arbitro Bancario Finanziario. Il caso in cui il rimborso era stato negato perché la verifica nome IBAN non era ancora obbligatoria appartiene infatti alla fase di passaggio che la riforma intende superare. Il nuovo assetto trasforma la verifica del beneficiario da presidio facoltativo a obbligo, la cui violazione genera una specifica responsabilità del prestatore di servizi di pagamento.
La nuova logica della responsabilità nei pagamenti elettronici
L insieme delle modifiche proposte ridisegna il rapporto tra cliente e intermediario. Il PSR non si limita a colmare un vuoto della PSD2, ma introduce una diversa logica di allocazione del rischio, fondata sulla prevenzione e sulla tracciabilità delle condotte. Il rimborso tende a diventare la risposta ordinaria per le fattispecie tipizzate, mentre l esclusione della responsabilità richiede una prova rigorosa della frode o della colpa grave del consumatore.
Per i prestatori di servizi di pagamento ciò comporta un innalzamento degli standard organizzativi e documentali. La gestione dei presidi di sicurezza, il monitoraggio delle operazioni anomale e la verifica del beneficiario non rappresentano più soltanto strumenti difensivi in sede contenziosa, ma elementi costitutivi della corretta allocazione del rischio. In questa prospettiva, la riforma europea segna un passaggio netto rispetto alla PSD2 e conferma che, nelle frodi da impersonation, la qualità dei controlli interni inciderà direttamente sulla tenuta della responsabilità dell intermediario.
In questo quadro si comprende come la disciplina in corso di definizione non si limiti a correggere un aspetto settoriale, ma ridefinisca il modo stesso in cui il diritto dei pagamenti affronta la frode. Il baricentro si sposta dalla sola verifica del consenso alla protezione effettiva del pagatore, anche quando l operazione appaia formalmente autorizzata e sia stata determinata dall inganno.