Phishing bancario: quando la banca deve risarcire il cliente
Email, SMS, telefonate e notifiche apparentemente provenienti dalla propria banca sono oggi tra gli strumenti più usati dai truffatori per sottrarre credenziali, codici OTP o autorizzazioni di pagamento. Il punto centrale, però, non è solo capire come avviene la truffa: per il consumatore è fondamentale sapere quando la banca può essere chiamata a rimborsare le somme sottratte.
Negli ultimi anni, il tema è diventato sempre più rilevante. La Banca d’Italia segnala che le controversie su utilizzi fraudolenti di strumenti di pagamento riguardano soprattutto casi di phishing, spoofing, smishing e vishing, cioè tecniche che imitano comunicazioni bancarie reali tramite email, SMS o telefonate.
Il problema: operazioni “autorizzate” solo in apparenza
Molte banche, dopo una truffa, respingono la richiesta di rimborso sostenendo che l’operazione sia stata eseguita con credenziali corrette o tramite autenticazione forte. Ma questo non basta sempre a escludere la responsabilità dell’istituto.
La disciplina dei servizi di pagamento prevede infatti che, in caso di operazione non autorizzata, il prestatore di servizi di pagamento debba rimborsare il cliente in modo integrale, immediato e comunque entro la fine della giornata operativa successiva alla conoscenza dell’operazione non autorizzata.
Questo principio è richiamato anche dagli articoli di partenza: il contenuto pubblicato da Ventura Associati sottolinea il ruolo della PSD2 e della responsabilità della banca nei pagamenti non autorizzati, mentre Facile.it ha ripreso il tema evidenziando l’importanza degli orientamenti recenti della Cassazione in materia di truffe digitali e SIM swapping.
Cosa deve provare la banca
Il punto decisivo è l’onere della prova. In parole semplici: non basta che la banca dica che il pagamento risulta formalmente eseguito con codici o app. Deve dimostrare che l’operazione è stata autenticata, correttamente registrata, contabilizzata e che non vi sono state carenze nei sistemi di sicurezza.
La Cassazione, con la sentenza n. 3780/2024, ha ribadito che la responsabilità della banca per operazioni eseguite tramite strumenti elettronici ha natura contrattuale e può essere esclusa solo in presenza di una situazione di colpa grave dell’utente. La stessa pronuncia evidenzia che la sottrazione dei codici tramite tecniche fraudolente rientra nel rischio professionale dell’attività bancaria online.
Anche l’ordinanza n. 23683/2024 della Cassazione richiama il principio secondo cui la banca deve provare l’adozione di misure idonee a garantire la sicurezza del servizio e non può limitarsi ad attribuire automaticamente al cliente la responsabilità dell’accaduto.
Autenticazione forte: perché non è sempre sufficiente
L’autenticazione forte, o SCA, è un sistema che richiede almeno due elementi tra conoscenza, possesso e inerenza. In teoria, serve a rendere più sicuri accessi e pagamenti. Tuttavia, anche qui la valutazione va fatta caso per caso.
La Banca d’Italia ha chiarito che, quando non risulta un comportamento fraudolento del cliente, il diritto al rimborso deve essere garantito se il prestatore di servizi di pagamento non richiede l’autenticazione forte o non riesce a dimostrare che l’operazione sia stata autorizzata con SCA.
L’Arbitro Bancario Finanziario, con decisione n. 4187 del 5 aprile 2024, ha accolto il ricorso di una cliente e disposto il pagamento di 11.420 euro perché l’intermediario non aveva fornito prova completa dei fattori di autenticazione effettivamente utilizzati. Il Collegio ha chiarito che la prova della SCA non può essere generica o indiretta, ma deve riguardare i singoli fattori utilizzati e l’intero processo di autenticazione.
Phishing, smishing, vishing e spoofing: quando il consumatore non è in colpa grave
Le truffe più sofisticate non si limitano a un’email sospetta. Spesso il messaggio fraudolento compare nella stessa conversazione SMS della banca, oppure il numero del chiamante sembra coincidere con quello dell’istituto. In questi casi si parla spesso di spoofing o caller ID spoofing.
L’ABF, nella decisione n. 3277 del 13 marzo 2024, ha riconosciuto che nelle ipotesi di spoofing non è generalmente ravvisabile la colpa grave del cliente, proprio per l’insidiosità del meccanismo. Nel caso specifico, però, ha riconosciuto un concorso di colpa: 70% a carico dell’intermediario e 30% a carico del cliente, perché la cliente aveva comunicato un codice che aveva agevolato la truffa.
Questo conferma un principio importante: non esiste una risposta automatica valida per tutti. La banca non è sempre obbligata a rimborsare, ma non può nemmeno negare il rimborso con formule standard, senza valutare concretamente la dinamica della frode, i sistemi di sicurezza e il comportamento del cliente.
Le sentenze e decisioni recenti da conoscere
Gli orientamenti più rilevanti per il consumatore sono tre.
Primo: la Cassazione n. 3780/2024 rafforza l’idea che la banca debba gestire il rischio professionale legato all’home banking e alle operazioni digitali, salvo prova della colpa grave del cliente.
Secondo: la Cassazione n. 23683/2024 conferma che la banca deve provare i fatti che escludono la propria responsabilità e l’adeguatezza delle misure di sicurezza adottate.
Terzo: l’ABF, nelle decisioni del 2024, continua a distinguere tra casi in cui manca la prova di autenticazione forte, con rimborso integrale, e casi in cui vi è concorso di colpa tra banca e cliente.
Tra le pronunce di merito più recenti, fonti giuridiche specialistiche segnalano anche Tribunale di Roma, Sez. XVI, 1 febbraio 2025, n. 1656, e Corte d’Appello di Venezia, n. 699/2025, entrambe richiamate nel dibattito sulla responsabilità bancaria in caso di phishing e operazioni non autorizzate.
Cosa significa in concreto per i consumatori
In concreto, se un cliente subisce un addebito, un bonifico o un pagamento mai realmente voluto, non deve fermarsi alla prima risposta negativa della banca.
Il consumatore dovrebbe chiedersi:
la banca ha dimostrato davvero come è stata autenticata l’operazione?
il pagamento era anomalo rispetto alle abitudini del cliente?
ci sono stati accessi da dispositivi nuovi o località insolite?
la banca ha inviato alert tempestivi?
il cliente ha comunicato codici o credenziali in modo gravemente imprudente?
la truffa era particolarmente sofisticata, con SMS o telefonate apparentemente provenienti dalla banca?
Queste domande sono decisive, perché la colpa grave non può essere presunta solo perché il cliente è caduto nella trappola. Deve essere valutata in base alla dinamica concreta.
Cosa fare subito dopo una truffa bancaria online
Il consumatore dovrebbe agire rapidamente e conservare ogni prova utile.
Prima di tutto, deve bloccare carte, conto e home banking tramite i canali ufficiali della banca. Poi deve presentare denuncia alle autorità competenti e inviare alla banca un disconoscimento scritto delle operazioni non autorizzate, allegando screenshot, SMS, email, estratti conto, numeri chiamanti e ogni comunicazione ricevuta.
È importante evitare reclami solo telefonici. Meglio usare PEC, raccomandata o canali tracciabili messi a disposizione dall’istituto. Se la banca respinge la richiesta o non risponde nei termini previsti, il cliente può valutare il ricorso all’Arbitro Bancario Finanziario. La Banca d’Italia ricorda che l’ABF è un sistema alternativo al giudice, accessibile online, e che decide sulla base della normativa e della documentazione prodotta dalle parti.
Conclusione
Il phishing bancario non comporta automaticamente il diritto al rimborso, ma nemmeno consente alla banca di scaricare subito la responsabilità sul cliente. La valutazione dipende dalle prove: autenticazione, sistemi di sicurezza, anomalie dell’operazione, tempestività degli avvisi e comportamento concreto dell’utente.
Il principio da tenere a mente è semplice: se l’operazione non è stata realmente autorizzata, la banca deve dimostrare di aver fatto tutto ciò che era richiesto per prevenirla, gestirla e provarne la corretta esecuzione.
Se hai subito una truffa bancaria online o la banca ha respinto la tua richiesta di rimborso, Centro Tutele può aiutarti a valutare il tuo caso. Vai su centrotutele.it e richiedi una prima verifica della documentazione.