Spoofing bancario: se la truffa è sofisticata la banca deve rimborsare
Ricevere un SMS che sembra della propria banca, inserito nella stessa conversazione delle comunicazioni ufficiali, seguito da una telefonata proveniente dal numero reale dell’istituto: è la combinazione di phishing, spoofing e vishing che oggi svuota i conti di famiglie, professionisti e imprese. La domanda decisiva è se, in questi casi, la perdita debba restare a carico del cliente o della banca. Una recente pronuncia offre una risposta chiara in tema di spoofing bancario e rimborso.
Il caso deciso dal Tribunale di Perugia
Il Tribunale di Perugia, con la sentenza n. 1711 del 7 maggio 2026, ha esaminato una frode particolarmente insidiosa: SMS apparentemente istituzionali, un sito clone dell’home banking e una telefonata da un numero che, grazie allo spoofing, risultava quello autentico della banca. Convinti di dialogare con il proprio istituto, i correntisti avevano seguito le istruzioni del finto operatore, subendo un bonifico non autorizzato.
Il Tribunale ha accolto la domanda dei clienti e condannato la banca alla restituzione integrale della somma sottratta. (Riferimento verificato quanto a esistenza e principio tramite fonte giuridica autorevole; per l’impiego in un atto se ne consiglia comunque il controllo sul testo integrale.)
Il principio: la sofisticazione dell’inganno esclude la colpa grave
Il cuore della decisione è netto. Quando l’inganno è costruito in modo da risultare indistinguibile dai canali ufficiali — messaggi senza errori, siti identici agli originali, chiamate dal numero reale dell’istituto — il comportamento del cliente che vi presta fede non può essere qualificato come colpa grave. Si tratta della reazione di un utente mediamente diligente, tratto in errore da professionisti della frode.
Ne discende una conseguenza precisa sul piano della ripartizione del rischio: in assenza di colpa grave, l’uso indebito delle credenziali rientra nel rischio d’impresa della banca, che risponde delle operazioni non autorizzate.
L’onere della prova grava sull’istituto
Il profilo probatorio è dirimente. Non spetta al cliente dimostrare di non aver autorizzato l’operazione: è la banca a dover provare due elementi distinti. Da un lato, il dolo o la colpa grave del cliente; dall’altro, di aver predisposto misure di sicurezza adeguate, proporzionate ai rischi e costantemente aggiornate contro le tecniche fraudolente più evolute. Non è sufficiente invocare genericamente l’autenticazione forte: occorre dimostrare che i presìdi adottati siano concretamente efficaci proprio contro lo spoofing e il phishing di ultima generazione.
Questa impostazione si inserisce nel quadro della responsabilità del prestatore di servizi di pagamento delineato dal D.Lgs. n. 11/2010, attuativo delle direttive europee sui servizi di pagamento, e si allinea a un orientamento ormai consolidato della giurisprudenza di legittimità in tema di diligenza tecnica qualificata dell'”accorto banchiere”, nonché alle decisioni dell’Arbitro Bancario Finanziario che escludono la colpa grave quando la frode sfrutta la falsificazione del numero chiamante.
Perché la vicenda riguarda quasi tutti
Le truffe che combinano SMS civetta, siti clonati, spoofing del numero e, come nel caso esaminato, l’installazione di un’app che intercetta i codici, sono in forte crescita e colpiscono chiunque utilizzi l’home banking. La reazione più comune, dopo essere caduti in una trappola così ben costruita, è il senso di colpa e la rassegnazione alla perdita. È una reazione comprensibile ma spesso giuridicamente ingiustificata: la disciplina dei servizi di pagamento e la giurisprudenza più recente tutelano il cliente in via tendenzialmente ampia, salvo il dolo o la colpa grave da provarsi a cura della banca.
Cosa verificare se si è vittime di una frode di questo tipo
- Le modalità concrete dell’operazione contestata e il grado di sofisticazione dell’inganno
- Il sistema di autenticazione utilizzato e la sua idoneità rispetto alla specifica tecnica fraudolenta
- La tempestività con cui la frode è stata segnalata alla banca
- Le comunicazioni ricevute (SMS, email, telefonate) e la loro provenienza apparente
- Il termine per contestare l’operazione non autorizzata, da attivare senza indugio
Conclusione
Lo Studio Legale Contessa, con l’Avv. Mario Pio Contessa, assiste clienti e imprese in tutta Italia nelle controversie relative a spoofing, phishing, vishing, operazioni di pagamento non autorizzate e tutela del consumatore nei servizi bancari, con particolare attenzione alla provincia di Bologna — inclusi Valsamoggia, Castel Maggiore, San Giorgio di Piano, Castel San Pietro Terme, San Lazzaro di Savena, Casalecchio di Reno, Imola — alla provincia di Modena — inclusi Vignola, Castelvetro di Modena, Formigine, Maranello, Ravarino — e alla provincia di Ferrara — inclusi Cento, Argenta, Comacchio e l’intero territorio provinciale.

Vishing e responsabilità della banca: il nostro commento alla sentenza del Tribunale di Bologna n. 2540/2026 su Diritto del Risparmio
Il nostro studio ha commentato su Diritto del Risparmio la sentenza del Tribunale di Bologna…