Phishing: quando la banca deve risarcire il cliente

Phishing: quando la banca deve risarcire il cliente

Nel cuore della nostra epoca digitale, dove la comodità delle operazioni online si intreccia con rischi invisibili, il phishing bancario è diventato una minaccia quotidiana. Basta un clic distratto, un SMS apparentemente innocuo o una mail camuffata da comunicazione ufficiale, e i risparmi di una vita possono svanire in pochi secondi. Ma cosa accade dopo il danno? Chi paga per l’errore: il cliente o la banca?

In questo viaggio tra normative, diritti e sentenze, scopriamo quando la legge italiana impone alla banca di risarcire il correntista truffato, e come muoversi legalmente per far valere i propri diritti.

Cos’è il phishing e come agiscono i truffatori online

Le tecniche più comuni di phishing

Il phishing è un tipo di truffa informatica in cui il malintenzionato si finge un soggetto affidabile (solitamente una banca) per carpire dati sensibili come credenziali di accesso, codici OTP o dati delle carte di pagamento.

Le modalità più frequenti sono:

  • Email ingannevoli con link a siti falsi;

  • SMS (smishing) che inducono a cliccare su link truffaldini;

  • Telefonate (vishing) in cui il truffatore si finge un operatore bancario;

  • App contraffatte che imitano l’home banking.

Perché è difficile accorgersene in tempo

Il phishing sfrutta l’urgenza e la paura: blocco del conto, accesso non autorizzato, transazioni sospette. Questi messaggi fanno leva su un’emozione forte per spingere l’utente ad agire d’impulso, spesso senza pensarci due volte. Inoltre, i siti e le comunicazioni fraudolente sono sempre più realistiche e difficili da distinguere da quelle vere.

Il quadro normativo: cosa dice il diritto bancario

Il principio di diligenza professionale della banca

Le banche, secondo l’art. 1176 c.c. e il Codice del Consumo, devono agire con la massima diligenza professionale. Questo significa mettere in atto tutte le misure necessarie per proteggere il cliente da accessi non autorizzati e transazioni fraudolente.

Le disposizioni del Testo Unico Bancario (TUB)

Il TUB impone obblighi precisi agli istituti di credito, tra cui:

  • garantire sistemi di autenticazione sicuri;

  • fornire informazioni trasparenti al cliente;

  • agire prontamente in caso di anomalie.

Direttiva PSD2 e responsabilità nei pagamenti non autorizzati

La Direttiva PSD2 (Payment Services Directive 2), recepita in Italia dal D.Lgs. 218/2017, stabilisce che il cliente non è responsabile per pagamenti non autorizzati se ha agito senza colpa grave e ha comunicato tempestivamente l’accaduto.

In caso di truffa, la banca deve rimborsare l’importo sottratto entro il giorno lavorativo successivo, salvo prova di negligenza grave del cliente.

Responsabilità e risarcimento: quando la colpa è della banca

Obblighi di sicurezza e prevenzione

Le banche sono tenute a implementare sistemi di sicurezza avanzati (come l’autenticazione a due fattori) e a informare correttamente i clienti sui rischi delle frodi digitali. La mancata adozione di misure preventive può configurare una responsabilità contrattuale e legittimare il risarcimento.

Sentenze favorevoli ai clienti truffati

Sempre più tribunali italiani stanno riconoscendo la responsabilità degli istituti di credito, soprattutto nei casi in cui:

  • il sistema di sicurezza era inadeguato;

  • il cliente era stato poco o male informato;

  • la transazione anomala non è stata bloccata dalla banca.

Quando il cliente è “non colpevole”

La giurisprudenza sottolinea che il cliente non può essere ritenuto colpevole solo perché è caduto in un tranello ben orchestrato, soprattutto se ha seguito norme di diligenza ordinaria e ha agito in buona fede.

Come agire dopo un attacco di phishing: i passi fondamentali

Denunciare alle autorità competenti

La prima azione da compiere è sporgere denuncia presso la Polizia Postale o i Carabinieri, allegando tutte le prove: SMS ricevuti, mail, screenshot, cronologia delle operazioni.

Bloccare subito il conto e avvisare la banca

Bisogna contattare immediatamente la banca per:

  • bloccare il conto o la carta;

  • chiedere l’annullamento delle operazioni sospette;

  • ottenere copia dei log delle transazioni.

Iniziare una procedura di reclamo o mediazione

Se la banca non riconosce il diritto al rimborso, è possibile:

  • inviare un reclamo formale alla banca;

  • ricorrere all’Arbitro Bancario Finanziario (ABF);

  • agire in sede giudiziaria per ottenere il risarcimento.

Casi reali: sentenze e precedenti giurisprudenziali

Caso Tribunale di Roma

Una sentenza del Tribunale di Roma (2021) ha condannato una banca al risarcimento di oltre 15.000 euro a un cliente vittima di phishing via SMS. Il giudice ha stabilito che la banca non aveva adottato misure di sicurezza adeguate e non aveva bloccato la transazione anomala.

Decisione dell’Arbitro Bancario Finanziario (ABF)

L’ABF, in diverse decisioni, ha ritenuto le banche responsabili in caso di phishing, soprattutto se la transazione avviene da un IP o un dispositivo sconosciuto, o in orari insoliti. In questi casi, il cliente ha ottenuto il rimborso integrale.

Quando la banca è stata assolta: il ruolo della negligenza del cliente

Ci sono casi in cui la banca non è stata condannata, ad esempio quando il cliente ha:

  • condiviso volontariamente il proprio codice OTP;

  • installato app non sicure su dispositivi compromessi;

  • ignorato avvisi di sicurezza.

Come proteggersi dal phishing: consigli pratici e legali

Prevenzione digitale e comportamento consapevole

Per evitare il phishing è fondamentale:

  • non cliccare su link sospetti;

  • non fornire mai codici personali via telefono o email;

  • attivare notifiche in tempo reale per ogni operazione bancaria;

  • usare app ufficiali e mantenere aggiornati i dispositivi.

La tutela legale preventiva e assicurativa

Esistono strumenti di protezione assicurativa contro le frodi online. Inoltre, è consigliabile conservare tutta la documentazione delle comunicazioni con la banca e delle operazioni effettuate.

Domande frequenti

1. La banca è sempre obbligata a risarcire in caso di phishing?
No. Il risarcimento dipende dalla colpa grave o meno del cliente e dalla diligenza adottata dalla banca nella gestione del sistema di sicurezza.

2. Come si dimostra la responsabilità della banca in una truffa online?
Attraverso prove come: comunicazioni avute, cronologia operazioni, notifiche ricevute, denuncia alle autorità e consulenze tecniche se necessario.

3. Cosa dice la legge italiana sul phishing bancario?
La normativa italiana, in armonia con la PSD2, prevede che la banca debba rimborsare le operazioni non autorizzate, salvo dimostrazione di negligenza grave del cliente.

4. Quanto tempo ho per fare reclamo alla banca dopo un attacco?
Generalmente, entro 13 mesi dalla data della transazione, ma è consigliabile agire immediatamente.

5. A chi posso rivolgermi per ottenere il risarcimento in caso di phishing?
Puoi rivolgerti a:

  • La tua banca (per reclamo);

  • L’Arbitro Bancario Finanziario (ABF);

  • Un avvocato specializzato in diritto bancario.

Conclusione:

Difendersi dal phishing: una battaglia che si può vincere

Il phishing è subdolo, veloce e devastante. Ma la legge non lascia il cittadino solo. Con consapevolezza, rapidità d’azione e un supporto legale adeguato, è possibile recuperare i propri fondi e far valere i propri diritti.
La responsabilità bancaria non è solo tecnica, ma anche morale: chi custodisce il denaro dei cittadini ha il dovere di proteggerlo — anche nel mondo virtuale.

Resta informato, agisci con lucidità e ricordati: non sei solo nella rete.

Link a: Contatti

Desideri una consulenza? Contattaci

Non esitare, manda una richiesta compilando il form qui di seguito.
Lo studio ti risponderà entro 24h.

Consenso Privacy Policy(Obbligatorio)
Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.
Link a: Contatti

MENU
CHI SIAMO
LO STUDIO
I PROFESSIONISTI
AREE DI ATTIVITA’
CONTATTI

NEWS
PUBBLICAZIONI
BLOG
GIURISPRUDENZA
COSA DICONO DI NOI
LAVORA CON NOI

CONTATTI CANTU’
Via Giulio Carcano 14,
22063 Cantù (CO)
Tel. +39 031 27 59 032
Fax. +39 031 24 50 345
info@venturassociati.com

CONTATTI MILANO
Via Monte Napoleone, 8
20121  Milano

info@venturassociati.com

© 2023 Studio Legale Katia e Mirko Ventura Avvocati Associati
Via Giulio Carcano 14, 22063 Cantù (CO)
P.IVA 04045360130

Artwork by LIUKdesign | Privacy | Cookies