
Il Portafoglio Trasparente
Puntata 4 — Le banche e il rischio calcolato: cosa dice davvero la PSD2 sui rimborsi, e perché "negligenza grave" è diventata la parola più contestata d'Europa.
Questa puntata entra nel merito legale ed economico: perché le banche, pur conoscendo i rischi, non sempre corrono a eliminarli.
- La direttiva europea PSD2 obbliga le banche a rimborsare le transazioni non autorizzate (art. 73), salvo che dimostrino "negligenza grave" da parte del cliente (art. 74) — ma la direttiva non definisce in modo tassativo cosa costituisca negligenza grave.
- Non serve un documento riservato per documentare il conflitto: il BEUC, la federazione europea dei consumatori, riporta pubblicamente segnalazioni da associazioni di sei paesi secondo cui le banche tendono a rifiutare sistematicamente i rimborsi invocando proprio quella clausola.
- Una prima versione di questa puntata citava un caso legale specifico contro una banca reale: non essendo stato verificabile su fonti pubbliche, è stato rimosso — il pattern resta documentato solo a livello aggregato dalle fonti istituzionali citate.
- La sicurezza costa in attrito, e l'attrito riduce le transazioni: è un compromesso che la stessa Corte di Giustizia UE riconosce esplicitamente nella normativa (la "Low Value Derogation" per i pagamenti di importo ridotto).
- In Italia, i dati ufficiali di Banca d'Italia mostrano un tasso di frode su carte contenuto (0,017%) ma in crescita per la categoria "manipolazione del pagatore" — proprio lo schema usato da NGate e SuperCard X — che non attiva i rimborsi automatici.
01 / La cornice normativa: cosa dice davvero la PSD2
Questa puntata cambia metodo rispetto al resto dell'inchiesta. Invece di documenti "riservati" o testimonianze anonime non verificabili — materiale che, per quanto specifico, non possiamo controllare e che quindi non pubblichiamo come fatto — usiamo solo ciò che è verificabile da chiunque: il testo della direttiva europea, i report ufficiali di Banca d'Italia, e le posizioni pubbliche delle associazioni dei consumatori europee.
Il quadro è fissato dalla Direttiva (UE) 2015/2366, nota come PSD2 (Payment Services Directive 2), in vigore dal gennaio 2018. Tre articoli sono centrali:
Sulla carta, il sistema è pensato per proteggere il consumatore: la banca rimborsa, salvo dimostri negligenza grave da parte del cliente. Nella pratica, l'intero conflitto si concentra su quell'unica espressione: negligenza grave.
02 / "Negligenza grave": la parola più contestata d'Europa
La PSD2 non definisce in modo tassativo cosa costituisca negligenza grave — è una scelta legislativa deliberata, per lasciare margine di valutazione caso per caso, ma è anche la porta attraverso cui passa gran parte del contenzioso reale. L'Autorità Bancaria Europea (EBA), interpellata più volte sul tema attraverso il proprio meccanismo di Q&A, ha confermato che la negligenza grave comporta responsabilità del pagatore senza il tetto di 50 euro previsto invece per i casi di smarrimento o furto "innocenti" — un dettaglio tecnico che rende la qualificazione di un caso come "negligenza grave" particolarmente conveniente, dal punto di vista economico, per chi deve decidere se rimborsare.
Cosa rientri in concreto in quella definizione — aver cliccato un link in un SMS, aver installato un'app fuori dagli store ufficiali, aver condiviso un PIN al telefono — non è scritto nella direttiva: è una valutazione che, nella prima istanza, fa la banca stessa.
03 / Il caso BEUC: un fronte di associazioni dei consumatori, non un'opinione isolata
Non serve un documento "trapelato" per documentare questo conflitto: lo fa, pubblicamente, il BEUC (Bureau Européen des Unions de Consommateurs, la federazione delle associazioni dei consumatori europee) nel suo position paper ufficiale sulla revisione della PSD2. Il documento — pubblico, scaricabile dal sito BEUC — riporta le segnalazioni di un fronte ampio di associazioni nazionali: Arbeiterkammer (Austria), vzbv (Germania), Norwegian Consumer Council, Which? (Regno Unito), UFC-Que Choisir (Francia) e Consumentenbond (Paesi Bassi), tutte concordi su un punto: le banche, in pratica, tendono a rifiutare il rimborso sostenendo che il cliente ha "autorizzato" la transazione — ad esempio inserendo le proprie credenziali di sicurezza — oppure invocando la negligenza grave.
UFC-Que Choisir, in Francia, è arrivata a depositare un reclamo formale contro dodici banche per rifiuto sistematico di rimborso in caso di frode con autenticazione forte già superata dal cliente — un caso pubblico, citato dallo stesso BEUC, non un aneddoto isolato.
04 / L'economia della frizione: perché la sicurezza "costa" davvero
Perché le banche non risolvono il problema alla radice, imponendo ad esempio l'autenticazione biometrica obbligatoria su ogni transazione contactless? La risposta più onesta non richiede documenti riservati: è economia di base, e gli elementi sono tutti pubblici.
I pagamenti contactless hanno avuto successo proprio perché eliminano l'attrito psicologico dell'acquisto — niente PIN, niente attesa. È lo stesso principio dietro al "one-click buying": meno barriere tra il desiderio e l'acquisto, più transazioni avvengono. Qualunque misura di sicurezza aggiuntiva (autenticazione biometrica obbligatoria, limiti contactless più bassi) reintroduce attrito, e l'attrito riduce il volume di transazioni — e quindi le commissioni che banche e circuiti di pagamento incassano su ciascuna di esse.
Questo non è un'illazione: è la stessa logica che la Corte di Giustizia dell'Unione Europea ha dovuto affrontare esplicitamente in una causa sulla PSD2, riconoscendo nella propria sentenza l'esistenza di una "Low Value Derogation" — una deroga che gli Stati membri possono applicare agli strumenti di pagamento di basso valore proprio per non "appesantirli con requisiti eccessivi" (è la formulazione usata nel Considerando 81 della direttiva stessa). In altre parole: il legislatore europeo ha riconosciuto, esplicitamente e per iscritto, che esiste un compromesso tra sicurezza e comodità d'uso per i pagamenti di importo ridotto — lo stesso compromesso che alimenta il rischio descritto in questa inchiesta.
05 / Cosa dicono i dati italiani
Da febbraio 2025 Banca d'Italia pubblica un Rapporto sulle operazioni di pagamento fraudolente in Italia su base semestrale, basato sulle segnalazioni obbligatorie dei prestatori di servizi di pagamento. È, per distanza, la fonte più solida disponibile sul tema in Italia — più solida di qualunque stima di terze parti.
Guardando alla serie storica 2015-2024, Banca d'Italia osserva che il numero annuo di frodi è triplicato e il loro valore è raddoppiato — ma la crescita ha seguito quasi proporzionalmente la diffusione delle carte stesse (le operazioni con carta sono triplicate nello stesso periodo), quindi il rischio per singola operazione è cresciuto solo marginalmente. L'importo medio della frode, peraltro, si è ridotto: da 130 euro nel 2015 a 80 euro nel 2024.
Un dato più specifico e più insidioso, che Banca d'Italia segnala come tendenza in crescita anche sulle carte: la "manipolazione del pagatore" — quando la vittima stessa, ingannata, dispone il pagamento verso il criminale. È esattamente lo schema NGate/SuperCard X descritto nella Puntata 2: a differenza delle frodi "non autorizzate" classiche (es. clonazione), questa categoria, avvenendo anche in presenza di autenticazione forte regolarmente superata dalla vittima, non attiva i meccanismi di rimborso automatico previsti dalla normativa — rendendo il recupero del denaro molto più difficile per chi ne è vittima.
06 / L'opacità sui dati NFC specifici
Un punto critico, questo sì confermabile direttamente dai report ufficiali: né Banca d'Italia né l'European Banking Authority pubblicano una scomposizione che isoli specificamente le frodi "via NFC/contactless fisico" da altre forme di frode su carta. I report aggregano per canale (POS fisico vs. e-commerce), per ambito geografico (nazionale vs. transfrontaliero) e per tipologia generale (non autorizzata vs. manipolazione del pagatore) — non per vettore tecnico specifico.
Non è necessariamente una scelta opaca in mala fede: è in parte una conseguenza del fatto che, come visto nella Puntata 2, le frodi NFC moderne (NGate, SuperCard X, RatOn) sono tecnicamente classificabili come "manipolazione del pagatore" — la vittima inserisce volontariamente il PIN, autorizza la transazione — più che come clonazione classica, e quindi finiscono dentro una categoria più ampia che le statistiche ufficiali non scompongono ulteriormente per canale tecnico. Resta però un limite reale per chiunque voglia misurare con precisione la diffusione di questo specifico fenomeno in Italia.
07 / Il ruolo dei regolatori, tra PSD2 e PSD3
La Commissione Europea ha proposto, a partire dal giugno 2023, un pacchetto di riforma che include una nuova direttiva (PSD3) e un regolamento (PSR) destinati a sostituire la PSD2, con l'obiettivo dichiarato di rafforzare la protezione dei consumatori e affinare i criteri di prevenzione e rimedio per le frodi nei pagamenti digitali — compreso, nelle intenzioni, un perimetro più chiaro su cosa costituisca negligenza dell'utente. Al momento di questo aggiornamento (giugno 2026) il pacchetto PSD3/PSR è ancora in fase di negoziazione nel processo legislativo europeo: non è ancora diritto applicabile, ed è quindi prematuro descriverne gli effetti pratici, ma è il segnale più concreto che il nodo "negligenza grave" descritto in questa puntata è riconosciuto come un problema aperto anche a livello legislativo, non solo dalle associazioni dei consumatori.
