Phishing e truffe sul conto corrente: quando la banca deve rimborsare il correntista
Le truffe bancarie online sono ormai una delle cause più frequenti di svuotamento del conto corrente. Email false, sms apparentemente inviati dalla banca, telefonate di finti operatori e siti clone dell’home banking inducono il correntista a compiere operazioni che, in realtà, favoriscono i truffatori. In questi casi, però, la risposta dell’istituto di credito non può essere automatica: la normativa sui servizi di pagamento impone alla banca di rimborsare le operazioni non autorizzate, salvo che essa dimostri la frode del cliente o una sua colpa grave.
Il principio è oggi particolarmente chiaro. La Banca d’Italia ha ricordato che i prestatori di servizi di pagamento devono rimborsare immediatamente le operazioni non autorizzate, e comunque non oltre la fine della giornata operativa successiva a quella in cui ne sono venuti a conoscenza, salvo il caso di sospetto di frode da comunicare formalmente alla stessa Banca d’Italia. Inoltre, con la comunicazione del 17 giugno 2024, l’Autorità di vigilanza ha richiamato gli operatori a gestire i disconoscimenti con correttezza, evitando risposte stereotipate e non coerenti con il riparto legale degli oneri probatori.
In termini pratici, questo significa che la banca non può limitarsi a scrivere: “il cliente ha inserito i codici”, “l’operazione risulta autenticata”, oppure “non emergono criticità nei sistemi di sicurezza”. L’intermediario deve invece provare, nel caso concreto, che l’operazione è effettivamente riconducibile alla volontà del correntista oppure che quest’ultimo ha tenuto una condotta gravemente imprudente. La Banca d’Italia ha espressamente richiamato gli intermediari a una verifica sostanziale e non meramente formale.
Anche la giurisprudenza di legittimità si è mossa in questa direzione. Con Cass. civ., ord. 12 aprile 2018, n. 9158, la Corte ha affermato che, in materia di operazioni effettuate mediante strumenti elettronici, è ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento la possibilità che terzi utilizzino i codici di accesso del cliente, salvo dolo del titolare o comportamenti talmente incauti da non poter essere fronteggiati in anticipo. La stessa pronuncia richiama la necessità di valutare la condotta della banca secondo il parametro dell’accorto banchiere e di pretendere una prova concreta della riconducibilità dell’operazione al cliente.
Per questo, chi subisce un episodio di phishing, smishing o vishing non deve fermarsi al primo diniego. In molti casi, soprattutto quando la truffa è sofisticata, il rimborso può essere ancora ottenuto. Ciò accade, ad esempio, quando il messaggio fraudolento riproduce in modo credibile comunicazioni ufficiali della banca, quando l’SMS si inserisce nella conversazione autentica dell’istituto, quando il numero chiamante appare compatibile con quello della banca oppure quando i sistemi antifrode non hanno intercettato operazioni anomale rispetto al profilo del cliente. La stessa Banca d’Italia ha evidenziato che la mera presenza dell’autenticazione forte non basta, da sola, a escludere il diritto al rimborso.
Al contrario, il rimborso può essere legittimamente negato soltanto se la banca dimostra una condotta qualificata del cliente, cioè un comportamento gravemente negligente. Anche qui, però, non esistono scorciatoie. Non ogni errore del correntista equivale a colpa grave. Occorre valutare il livello di sofisticazione dell’inganno, la chiarezza degli alert ricevuti, il contenuto dei messaggi, il tipo di operazione disposta e la capacità della banca di prevenire o bloccare la frode. È proprio questo il terreno sul quale si gioca, nella maggior parte dei casi, la contestazione del diniego.
Dal punto di vista operativo, chi si accorge di avere il conto svuotato deve agire immediatamente: bloccare carte e home banking, contestare per iscritto le operazioni, sporgere denuncia, acquisire screenshot di sms, email, chiamate, movimenti e codici identificativi dei bonifici, e far analizzare subito la risposta della banca. La tempestività è decisiva sia sul piano sostanziale sia su quello probatorio. La Banca d’Italia ricorda inoltre che il disconoscimento deve comunque intervenire entro 13 mesi dall’addebito, ma la segnalazione va fatta non appena il cliente viene a conoscenza dell’operazione.
Lo Studio Legale Contessa – Avv. Mario Pio Contessa assiste correntisti, privati e imprese vittime di phishing, smishing, vishing, bonifici fraudolenti e operazioni bancarie non autorizzate, con attività di reclamo, ricorso all’ABF e tutela giudiziale, operando a Bologna, provincia di Bologna, San Lazzaro di Savena, Casalecchio di Reno, Imola, Castel Maggiore, San Giovanni in Persiceto, Budrio, Pianoro, Zola Predosa, Calderara di Reno, Sasso Marconi, Ozzano dell’Emilia, Castel San Pietro Terme e Modena.
Cosa fare subito se ti hanno svuotato il conto
Blocca immediatamente gli strumenti di pagamento.
Contesta subito per iscritto i bonifici o gli addebiti non autorizzati.
Sporgi denuncia dettagliata.
Conserva ogni prova della truffa.
Non accettare come definitiva una risposta standard della banca senza una verifica legale.
