Phishing e conto svuotato: quando la banca deve rimborsare il correntista
Ricevere un SMS che sembra provenire davvero dalla propria banca, cliccare per paura di un accesso anomalo e ritrovarsi dopo pochi minuti con il conto svuotato è oggi uno degli scenari più frequenti nelle frodi bancarie online. Il punto decisivo, però, è questo: il semplice fatto che il cliente abbia materialmente inserito credenziali o codici non basta, da solo, a liberare la banca dall’obbligo di rimborso. La disciplina sui servizi di pagamento pone infatti a carico dell’intermediario l’onere di provare che l’operazione sia stata autenticata, correttamente registrata e contabilizzata; inoltre, in caso di operazione non autorizzata, il prestatore di servizi di pagamento deve effettuare un rimborso integrale, immediato e comunque non oltre la fine della giornata operativa successiva, salvo il caso di motivato sospetto di comportamento fraudolento dell’utente.
Questo significa che la banca non può respingere il disconoscimento con formule generiche del tipo “l’operazione risulta autenticata” oppure “il cliente ha inserito i codici”. La stessa Banca d’Italia ha chiarito che la mera presenza dell’autenticazione forte non è, di per sé, sufficiente a dimostrare che il cliente abbia autorizzato l’operazione o che abbia agito con dolo o colpa grave. In altre parole, la Strong Customer Authentication non chiude automaticamente il caso a favore della banca.
Il vero nodo giuridico è la colpa grave del correntista. Ed è proprio qui che gli orientamenti dell’Arbitro Bancario Finanziario stanno assumendo un peso decisivo. In più decisioni ufficiali, l’ABF ha affermato che, nelle fattispecie di spoofing — cioè quando SMS o telefonate appaiono provenire dal numero autentico dell’intermediario — la colpa grave del cliente non è generalmente ravvisabile, proprio per l’elevata insidiosità del meccanismo fraudolento. In particolare, l’ABF ha valorizzato i casi in cui il messaggio truffaldino si inserisce nella chat genuina della banca o la chiamata appare provenire dal numero del servizio clienti, perché queste modalità sono idonee a trarre in inganno anche l’utente medio diligente.
Diverso è il caso del phishing semplice, nel quale non vi è prova che il messaggio, l’SMS o la telefonata fossero effettivamente riconducibili, almeno in apparenza, all’intermediario. In una decisione del 2025 l’ABF ha ribadito che, se il cliente non fornisce elementi concreti idonei a dimostrare lo spoofing — per esempio screenshot, copia dell’SMS, prova del numero chiamante o dell’indirizzo realmente ingannevole — la vicenda può essere qualificata come semplice phishing, con conseguente possibile affermazione della colpa grave dell’utente. È quindi essenziale, fin dal primo momento, conservare ogni traccia tecnica della truffa.
Sul piano pratico, chi subisce una frode di questo tipo deve muoversi subito. Occorre bloccare immediatamente carte, accessi e strumenti dispositivi, contestare formalmente le operazioni non autorizzate e raccogliere tutta la documentazione utile: screenshot degli SMS, email ricevute, numeri telefonici, cronologia degli accessi, contabili dei bonifici e ogni comunicazione con la banca. La contestazione va effettuata il prima possibile e comunque entro 13 mesi dall’addebito. La Banca d’Italia ha inoltre chiarito un punto molto importante: la denuncia all’autorità non è condizione necessaria per avviare il disconoscimento, e la banca non può pretendere quel documento come presupposto per aprire la pratica, anche se potrà poi richiederlo in un momento successivo per le proprie valutazioni.
Se la banca rigetta il disconoscimento oppure non risponde entro 15 giorni, il cliente può rivolgersi all’Arbitro Bancario Finanziario. La procedura richiede un contributo di 20 euro e rappresenta, in molti casi, uno strumento concreto e rapido per contestare il diniego dell’intermediario.
Per questo motivo, nei casi di phishing, smishing, spoofing e vishing, non bisogna fermarsi alla prima risposta negativa della banca. Occorre invece verificare se l’istituto abbia davvero assolto il proprio onere probatorio, se abbia motivato in modo serio la presunta colpa grave del cliente e se i propri sistemi di sicurezza fossero adeguati rispetto alla concreta anomalia dell’operazione. È proprio su questo terreno che si gioca, nella maggior parte dei casi, il diritto al rimborso.
Lo Studio Legale Contessa – Avv. Mario Pio Contessa assiste correntisti e imprese nei casi di phishing bancario, sms truffa, conto svuotato, bonifici fraudolenti e operazioni non autorizzate, con attività di reclamo, ricorso ABF e tutela giudiziale, operando a Bologna, provincia di Bologna, San Lazzaro di Savena, Casalecchio di Reno, Imola, Castel Maggiore, Budrio, San Giovanni in Persiceto, Pianoro, Zola Predosa, Calderara di Reno, Sasso Marconi e Modena.
Cosa fare subito se ti hanno svuotato il conto
Blocca immediatamente carte, app e home banking.
Contesta subito per iscritto le operazioni non autorizzate.
Conserva prove tecniche della truffa.
Sporgi denuncia dettagliata.
Verifica con precisione se il diniego della banca è davvero fondato.
In conclusione
Nei casi di phishing bancario la regola non è “hai inserito i codici, quindi non vieni rimborsato”.
La regola corretta è un’altra: la banca deve rimborsare, salvo che riesca a provare in concreto il dolo o la colpa grave del cliente. E, quando la truffa è costruita con tecniche di spoofing particolarmente insidiose, gli orientamenti più recenti mostrano che quella prova, per l’intermediario, non è affatto semplice
