Nel crescente panorama delle truffe online, i consumatori sono sempre più esposti a rischi che minano la sicurezza dei propri conti correnti. Ma cosa accade quando una frode va a buon fine? La banca può sempre lavarsene le mani, o in alcuni casi è responsabile? Non farti fottere

In Europa, la direttiva PSD2 (Payment Services Directive 2) stabilisce chiaramente che, salvo comportamento gravemente negligente da parte dell’utente, la banca deve rimborsare immediatamente le somme sottratte tramite operazioni non autorizzate. L’art. 11 D. Lgs. 11/2010 (che recepisce la direttiva) ci ricorda che: Il cliente ha diritto al rimborso immediato dell'importo dell’operazione non autorizzata, purché non sia stato gravemente negligente o colpevole di frode.

Il phishing bancario (frode informatica che mira a rubare informazioni sensibili come credenziali di accesso, spacciandosi per un’istituzione bancaria o finanziaria affidabile). Non è raro ricevere una notifica sul proprio cellulare, apparentemente inviata dalla propria banca, che segnala un’attività sospetta sul conto. A tali notifiche seguono spesso delle telefonate “ufficiali”, nel corso delle quali l’interlocutore, che si spaccia per un dipendente della banca, guida il cliente in una fantomatica procedura di verifica. Il risultato si traduce spesso nell’avere il proprio conto svuotato in pochi minuti. Negli ultimi mesi, una serie di pronunce dei Tribunali italiani sta cambiando l’equilibrio dei rapporti tra vittime e banche, in quanto queste ultime, sempre più spesso, vengono ritenute responsabili e obbligate a risarcire i clienti. Ciò accade a condizione che il cliente non abbia agito con imprudenza o non sia caduto in trappole grossolane e facilmente identificabili. In linea generale, la normativa (D.lgs. 11/2010) stabilisce che, quando un'operazione di pagamento viene eseguita senza autorizzazione del titolare del conto, la banca ha l'obbligo di rimborsare immediatamente l'importo. Tuttavia, questo principio è soggetto a un’eccezione piuttosto rilevante: se l’istituto riesce a dimostrare che il cliente ha agito con colpa grave o in modo fraudolento, può rifiutare il rimborso. A questo punto si pone la fatidica domanda: A chi spetta l’onere della prova? Secondo la recente giurisprudenza, alla banca, la quale, a sostegno del proprio rifiuto, è chiamata a fornire a prove concrete, documentate e inequivocabili. 

Vediamo insieme alcuni casi emblematici.  La prima pronuncia (Tribunale di Roma, sent. n. 1656/2025) ha riguardato una correntista – vittima di phishing – che lamentava l’inefficienza dei sistemi di sicurezza della banca, nonché il mancato assolvimento dell’obbligo di diligenza che grava sulla stessa. Il Tribunale, dando ragione all’attrice che non aveva alcuna colpa, ha condannato la banca a risarcire la somma di 115.793,00 euro. Ulteriore pronuncia rilevante è stata emessa dalla Corte di Appello di Venezia (sent. 699/2025): in questo caso la banca è stata condannata per non aver inviato alcun avviso tramite SMS al cliente in occasione di operazioni sospette, non adempiendo a un obbligo basilare di sicurezza. 

Quando il cliente sbaglia: colpa grave e niente rimborso. Come abbiamo anticipato, se il comportamento del cliente è giudicato eccessivamente ingenuo o negligente, non sussiste alcuna tutela a suo favore. Riportiamo, di seguito, alcune tra le situazioni più frequenti: inserire le credenziali su siti falsi: se l’utente clicca su un link truffaldino e inserisce i propri dati di accesso, la responsabilità ricade su di lui. La Cassazione (sent. 7214/2023) ha chiarito che questa specie di “cooperazione attiva” interrompe la responsabilità dell’istituto; fornire codici OTP al telefono: comunicare le one-time password (OTP— una password valida solo Per una singola sessione di accesso) a un interlocutore sconosciuto (anche se si presenta come operatore della banca) è un errore grave; **ignorare segnali evidenti come e-mail sgrammaticate, magari provenienti da indirizzi sospetti, link con URL anomali: cliccarci sopra, secondo l’Arbitro Bancario Finanziario, denota scarsa diligenza e fa perdere il diritto al risarcimento.

I doveri della banca per evitare la condanna. Per difendersi efficacemente, le banche devono dimostrare: di aver implementato misure antifrode efficaci e aggiornate; di aver inviato tempestivamente avvisi di sicurezza (con prove documentali come i log dei messaggi🡪 informazioni come gli indirizzi mittente e destinatario, la date e l’ora, il tipo di operazione…); **di aver svolto campagne informative sui rischi e sulle buone pratiche da seguire per evitare le truffe.

E allora? Fate attenzione🡪  Non cliccate mai su link ricevuti via SMS o e-mail, nemmeno se sembrano ufficiali. È preferibile accedere solo tramite app o digitando l’URL della banca direttamente nel browser; Non condividere le credenziali o i codici temporanei con nessuno, neanche con chi si spaccia per un operatore della banca; **attivare le notifiche in tempo reale, via SMS o app, per controllare ogni movimento sul conto.

Se nonostante tutte le cautele si è comunque vittima di una truffa, bisogna disconoscere immediatamente le operazioni, sporgere denuncia e presentare un reclamo alla banca, che dovrà dimostrare la colpa grave del cliente (vedi a seguire)

Conclusioni 🡪 Le banche non possono limitarsi a scaricare la responsabilità sulle vittime delle truffe online. In un mondo digitale sempre più complesso, devono garantire standard di sicurezza elevati e intervenire tempestivamente. I tribunali, come abbiamo visto, stanno valutando con attenzione il contesto psicologico e le tecniche manipolative usate dai truffatori, riconoscendo sempre più spesso che è il cliente ad avere ragione e che è la  banca a dover  pagare 

FACSIMILE – RECLAMO ALLA BANCA PER OPERAZIONE FRAUDOLENTA

Omissis

Oggetto: Reclamo per operazione non autorizzata – Richiesta di rimborso ai sensi del D.lgs. 11/2010

Spett.le Banca Bassotti,

il sottoscritto Paolo Rossi, titolare del conto corrente n. **************, intende formalizzare il presente reclamo in merito a un’operazione di pagamento da me mai autorizzata, e presumibilmente frutto di una frode informatica subita in data ************. Nello specifico, in data *************, ho constatato l’addebito anomalo sul mio conto di un’operazione di pagamento dell’importo di € **************, a favore di *********************************, eseguita tramite (bonifico, pagamento carta, operazione online] che non ho mai disposto né autorizzato. Appresa l’anomalia, ho tempestivamente provveduto a segnalare l’operazione al vostro servizio clienti in data************ ; sporto denuncia alle autorità competenti in data ********** (si allega copia della denuncia).

Richiesta: Ai sensi dell’art. 10 e 11 del D.lgs. 11/2010 e in conformità alla Direttiva (UE) 2015/2366 (PSD2), richiedo: Il rimborso immediato e integrale dell’importo di € …………, sottratto con un’operazione non autorizzata; Una relazione scritta con la documentazione tecnica comprovante l’autenticazione dell’operazione (es. log di accesso, IP, uso dell’autenticazione forte – SCA); **Una risposta scritta entro 15 giorni lavorativi, come previsto dalle disposizioni in materia di trasparenza bancaria e dai diritti del consumatore. Si rammenta che, in assenza di gravi negligenze da parte del cliente – che si escludono nel caso di specie – il cliente ha diritto al rimborso automatico delle somme indebitamente prelevate. Resto in attesa di un sollecito riscontro e mi riservo di adire l’Arbitro Bancario Finanziario (ABF) e/o l’Autorità Giudiziaria in difesa dei miei diritti. Distinti saluti.

Luogo e data: …………………………. Firma: ………………………….  Allegati: (Copia documento d’identità - Estratto conto con operazione contestata - Copia della denuncia alle autorità - Eventuali comunicazioni intercorse con la banca