Puntata 4 — Le banche e il rischio calcolato — Il Portafoglio Trasparente — effedc.it
Inchiesta · effedc.it · 5 puntate

Il Portafoglio Trasparente

Puntata 4 — Le banche e il rischio calcolato: cosa dice davvero la PSD2 sui rimborsi, e perché "negligenza grave" è diventata la parola più contestata d'Europa.

effedc.it Giugno 2026 Dati aggiornati al 30 giugno 2026 Inchiesta Puntata 4 / 5
In sintesi

Questa puntata entra nel merito legale ed economico: perché le banche, pur conoscendo i rischi, non sempre corrono a eliminarli.

  • La direttiva europea PSD2 obbliga le banche a rimborsare le transazioni non autorizzate (art. 73), salvo che dimostrino "negligenza grave" da parte del cliente (art. 74) — ma la direttiva non definisce in modo tassativo cosa costituisca negligenza grave.
  • Non serve un documento riservato per documentare il conflitto: il BEUC, la federazione europea dei consumatori, riporta pubblicamente segnalazioni da associazioni di sei paesi secondo cui le banche tendono a rifiutare sistematicamente i rimborsi invocando proprio quella clausola.
  • Una prima versione di questa puntata citava un caso legale specifico contro una banca reale: non essendo stato verificabile su fonti pubbliche, è stato rimosso — il pattern resta documentato solo a livello aggregato dalle fonti istituzionali citate.
  • La sicurezza costa in attrito, e l'attrito riduce le transazioni: è un compromesso che la stessa Corte di Giustizia UE riconosce esplicitamente nella normativa (la "Low Value Derogation" per i pagamenti di importo ridotto).
  • In Italia, i dati ufficiali di Banca d'Italia mostrano un tasso di frode su carte contenuto (0,017%) ma in crescita per la categoria "manipolazione del pagatore" — proprio lo schema usato da NGate e SuperCard X — che non attiva i rimborsi automatici.

01 / La cornice normativa: cosa dice davvero la PSD2

Questa puntata cambia metodo rispetto al resto dell'inchiesta. Invece di documenti "riservati" o testimonianze anonime non verificabili — materiale che, per quanto specifico, non possiamo controllare e che quindi non pubblichiamo come fatto — usiamo solo ciò che è verificabile da chiunque: il testo della direttiva europea, i report ufficiali di Banca d'Italia, e le posizioni pubbliche delle associazioni dei consumatori europee.

Il quadro è fissato dalla Direttiva (UE) 2015/2366, nota come PSD2 (Payment Services Directive 2), in vigore dal gennaio 2018. Tre articoli sono centrali:

Art. 69
Obblighi dell'utente: usare lo strumento di pagamento secondo i termini d'uso e adottare "tutte le ragionevoli misure" per proteggere le credenziali di sicurezza personalizzate
Art. 73
Obbligo del prestatore di servizi di pagamento (la banca) di rimborsare immediatamente l'importo di una transazione non autorizzata
Art. 74
Eccezione: il pagatore può essere chiamato a sostenere la perdita, fino a un massimo di 50 euro per i casi limite, e senza alcun limite se ha agito in modo fraudolento o con "negligenza grave" rispetto agli obblighi dell'art. 69

Sulla carta, il sistema è pensato per proteggere il consumatore: la banca rimborsa, salvo dimostri negligenza grave da parte del cliente. Nella pratica, l'intero conflitto si concentra su quell'unica espressione: negligenza grave.

02 / "Negligenza grave": la parola più contestata d'Europa

La PSD2 non definisce in modo tassativo cosa costituisca negligenza grave — è una scelta legislativa deliberata, per lasciare margine di valutazione caso per caso, ma è anche la porta attraverso cui passa gran parte del contenzioso reale. L'Autorità Bancaria Europea (EBA), interpellata più volte sul tema attraverso il proprio meccanismo di Q&A, ha confermato che la negligenza grave comporta responsabilità del pagatore senza il tetto di 50 euro previsto invece per i casi di smarrimento o furto "innocenti" — un dettaglio tecnico che rende la qualificazione di un caso come "negligenza grave" particolarmente conveniente, dal punto di vista economico, per chi deve decidere se rimborsare.

Cosa rientri in concreto in quella definizione — aver cliccato un link in un SMS, aver installato un'app fuori dagli store ufficiali, aver condiviso un PIN al telefono — non è scritto nella direttiva: è una valutazione che, nella prima istanza, fa la banca stessa.

03 / Il caso BEUC: un fronte di associazioni dei consumatori, non un'opinione isolata

Non serve un documento "trapelato" per documentare questo conflitto: lo fa, pubblicamente, il BEUC (Bureau Européen des Unions de Consommateurs, la federazione delle associazioni dei consumatori europee) nel suo position paper ufficiale sulla revisione della PSD2. Il documento — pubblico, scaricabile dal sito BEUC — riporta le segnalazioni di un fronte ampio di associazioni nazionali: Arbeiterkammer (Austria), vzbv (Germania), Norwegian Consumer Council, Which? (Regno Unito), UFC-Que Choisir (Francia) e Consumentenbond (Paesi Bassi), tutte concordi su un punto: le banche, in pratica, tendono a rifiutare il rimborso sostenendo che il cliente ha "autorizzato" la transazione — ad esempio inserendo le proprie credenziali di sicurezza — oppure invocando la negligenza grave.

UFC-Que Choisir, in Francia, è arrivata a depositare un reclamo formale contro dodici banche per rifiuto sistematico di rimborso in caso di frode con autenticazione forte già superata dal cliente — un caso pubblico, citato dallo stesso BEUC, non un aneddoto isolato.

Perché qui non troverai un "caso giudiziario" con nomi e banca specifici Una prima versione di questa inchiesta citava un caso legale specifico, con tanto di nome del querelante e di una banca reale, presentato come causa in corso. Non siamo riusciti a verificarlo su alcuna fonte giudiziaria o di stampa pubblica, e lo abbiamo quindi rimosso: un caso legale inventato e attribuito a un istituto reale e identificabile sarebbe un'informazione falsa, non un dettaglio stilistico. Il pattern che descriviamo — banche che oppongono la negligenza grave a richieste di rimborso legittime — resta comunque ampiamente documentato, ma a livello aggregato dalle fonti istituzionali sopra citate, non da un singolo caso che non possiamo verificare.

04 / L'economia della frizione: perché la sicurezza "costa" davvero

Perché le banche non risolvono il problema alla radice, imponendo ad esempio l'autenticazione biometrica obbligatoria su ogni transazione contactless? La risposta più onesta non richiede documenti riservati: è economia di base, e gli elementi sono tutti pubblici.

I pagamenti contactless hanno avuto successo proprio perché eliminano l'attrito psicologico dell'acquisto — niente PIN, niente attesa. È lo stesso principio dietro al "one-click buying": meno barriere tra il desiderio e l'acquisto, più transazioni avvengono. Qualunque misura di sicurezza aggiuntiva (autenticazione biometrica obbligatoria, limiti contactless più bassi) reintroduce attrito, e l'attrito riduce il volume di transazioni — e quindi le commissioni che banche e circuiti di pagamento incassano su ciascuna di esse.

Questo non è un'illazione: è la stessa logica che la Corte di Giustizia dell'Unione Europea ha dovuto affrontare esplicitamente in una causa sulla PSD2, riconoscendo nella propria sentenza l'esistenza di una "Low Value Derogation" — una deroga che gli Stati membri possono applicare agli strumenti di pagamento di basso valore proprio per non "appesantirli con requisiti eccessivi" (è la formulazione usata nel Considerando 81 della direttiva stessa). In altre parole: il legislatore europeo ha riconosciuto, esplicitamente e per iscritto, che esiste un compromesso tra sicurezza e comodità d'uso per i pagamenti di importo ridotto — lo stesso compromesso che alimenta il rischio descritto in questa inchiesta.

05 / Cosa dicono i dati italiani

Da febbraio 2025 Banca d'Italia pubblica un Rapporto sulle operazioni di pagamento fraudolente in Italia su base semestrale, basato sulle segnalazioni obbligatorie dei prestatori di servizi di pagamento. È, per distanza, la fonte più solida disponibile sul tema in Italia — più solida di qualunque stima di terze parti.

0,017%Tasso di frode sulle operazioni con carta in Italia, in valore, nel secondo semestre 2024 (Banca d'Italia) — circa 13 frodi ogni 100.000 transazioni, 18 euro sottratti ogni 100.000 euro pagati

Guardando alla serie storica 2015-2024, Banca d'Italia osserva che il numero annuo di frodi è triplicato e il loro valore è raddoppiato — ma la crescita ha seguito quasi proporzionalmente la diffusione delle carte stesse (le operazioni con carta sono triplicate nello stesso periodo), quindi il rischio per singola operazione è cresciuto solo marginalmente. L'importo medio della frode, peraltro, si è ridotto: da 130 euro nel 2015 a 80 euro nel 2024.

Un dato più specifico e più insidioso, che Banca d'Italia segnala come tendenza in crescita anche sulle carte: la "manipolazione del pagatore" — quando la vittima stessa, ingannata, dispone il pagamento verso il criminale. È esattamente lo schema NGate/SuperCard X descritto nella Puntata 2: a differenza delle frodi "non autorizzate" classiche (es. clonazione), questa categoria, avvenendo anche in presenza di autenticazione forte regolarmente superata dalla vittima, non attiva i meccanismi di rimborso automatico previsti dalla normativa — rendendo il recupero del denaro molto più difficile per chi ne è vittima.

06 / L'opacità sui dati NFC specifici

Un punto critico, questo sì confermabile direttamente dai report ufficiali: né Banca d'Italia né l'European Banking Authority pubblicano una scomposizione che isoli specificamente le frodi "via NFC/contactless fisico" da altre forme di frode su carta. I report aggregano per canale (POS fisico vs. e-commerce), per ambito geografico (nazionale vs. transfrontaliero) e per tipologia generale (non autorizzata vs. manipolazione del pagatore) — non per vettore tecnico specifico.

Non è necessariamente una scelta opaca in mala fede: è in parte una conseguenza del fatto che, come visto nella Puntata 2, le frodi NFC moderne (NGate, SuperCard X, RatOn) sono tecnicamente classificabili come "manipolazione del pagatore" — la vittima inserisce volontariamente il PIN, autorizza la transazione — più che come clonazione classica, e quindi finiscono dentro una categoria più ampia che le statistiche ufficiali non scompongono ulteriormente per canale tecnico. Resta però un limite reale per chiunque voglia misurare con precisione la diffusione di questo specifico fenomeno in Italia.

07 / Il ruolo dei regolatori, tra PSD2 e PSD3

La Commissione Europea ha proposto, a partire dal giugno 2023, un pacchetto di riforma che include una nuova direttiva (PSD3) e un regolamento (PSR) destinati a sostituire la PSD2, con l'obiettivo dichiarato di rafforzare la protezione dei consumatori e affinare i criteri di prevenzione e rimedio per le frodi nei pagamenti digitali — compreso, nelle intenzioni, un perimetro più chiaro su cosa costituisca negligenza dell'utente. Al momento di questo aggiornamento (giugno 2026) il pacchetto PSD3/PSR è ancora in fase di negoziazione nel processo legislativo europeo: non è ancora diritto applicabile, ed è quindi prematuro descriverne gli effetti pratici, ma è il segnale più concreto che il nodo "negligenza grave" descritto in questa puntata è riconosciuto come un problema aperto anche a livello legislativo, non solo dalle associazioni dei consumatori.

Nell'ultima puntata lasciamo da parte l'analisi del sistema e torniamo al livello pratico: cosa puoi fare davvero, con quale efficacia reale e a quale costo, per ridurre il tuo rischio personale — e cosa fare nei primi minuti se ti accorgi di essere stato colpito.

08 / Fonti di questa puntata

01Direttiva (UE) 2015/2366 (PSD2) — testo ufficiale, artt. 69, 73, 74EUR-Lex
02European Banking Authority — Q&A 2021_6305 sull'art. 74(1) PSD2 e la negligenza graveeba.europa.eu
03BEUC — Review of the Payment Services Directive 2, position paper con segnalazioni di Which?, UFC-Que Choisir, vzbv, Arbeiterkammer, Consumentenbond, Norwegian Consumer Councilbeuc.eu, 2022
04Corte di Giustizia UE — sentenza su disposizioni PSD2 e responsabilità del titolare per pagamenti contactless (analisi Bird & Bird)twobirds.com
05Banca d'Italia — Rapporto sulle operazioni di pagamento fraudolente in Italia, serie 2015-2024 e aggiornamento H1 2025bancaditalia.it
06Commissione Europea — proposta di riforma PSD3/PSR (giugno 2023, iter legislativo in corso)ec.europa.eu
Il Portafoglio Trasparente — Puntata 4 di 5 · effedc.it · Inchiesta giornalistica
Tutte le fonti citate sono pubblicamente verificabili ai link indicati. Articolo aggiornato al 30 giugno 2026.
← Puntata 3 · Puntata 5 — Difendersi davvero →