Phishing bancario e truffe online: cosa fare quando ti svuotano il conto
Quando un correntista si accorge che il conto è stato svuotato a seguito di phishing, vishing, smishing o altre truffe bancarie online, il primo errore è pensare che la responsabilità ricada sempre e solo sul cliente. Non è così. Il quadro normativo dei servizi di pagamento impone alla banca specifici obblighi di sicurezza, di autenticazione e di gestione del disconoscimento. In particolare, nel sistema del D.lgs. n. 11/2010, se l’utente nega di avere autorizzato l’operazione, spetta al prestatore di servizi di pagamento dimostrare che l’operazione è stata autenticata, correttamente registrata e contabilizzata e che non ha subito malfunzionamenti o altre anomalie.
La disciplina vigente prevede inoltre che, in caso di operazione non autorizzata, il prestatore di servizi di pagamento debba rimborsare l’importo o fornire una motivazione del rifiuto entro la fine della giornata operativa successiva, salvo il caso in cui vi siano motivati sospetti di frode da parte del cliente. Allo stesso modo, il cliente deve contestare l’addebito senza indugio e, comunque, entro tredici mesi dalla data dell’addebito, salvo specifiche eccezioni informative.
Un punto decisivo, anche in chiave difensiva, riguarda l’autenticazione forte del cliente (SCA). L’art. 12 del D.lgs. n. 11/2010 stabilisce che, salvo il caso di comportamento fraudolento del pagatore, il cliente non sopporta alcuna perdita se la banca non ha richiesto l’autenticazione forte o non ricorrono i presupposti normativi. In coerenza con questo assetto, la Banca d’Italia ha chiarito nel 2024 che, in assenza di comportamenti fraudolenti del cliente, deve essere garantito il rimborso quando il prestatore non richiede la SCA oppure non riesce a dimostrare che l’operazione sia stata autorizzata con SCA; ha inoltre ribadito che la valutazione dell’eventuale dolo o colpa grave del cliente non può essere automatica, ma va compiuta in concreto.
Va però detto con chiarezza che non tutte le frodi hanno lo stesso inquadramento. La Banca d’Italia, nel Rapporto sulle operazioni di pagamento fraudolente, distingue le operazioni “non autorizzate” dalle ipotesi di manipolazione del pagatore, cioè dai casi in cui il cliente viene indotto dal truffatore a eseguire personalmente il bonifico o a compiere atti dispositivi mediante tecniche di social engineering. Proprio per i bonifici, il valore medio delle frodi è più elevato e, nelle frodi da manipolazione, i meccanismi automatici di rimborso sono più difficili da attivare. Questo non significa che il cliente sia sempre privo di tutela: significa, piuttosto, che la difesa deve concentrarsi sulla concreta adeguatezza dei presidi della banca, sul livello di sicurezza adottato, sui sistemi di allerta, sulla corretta implementazione della SCA e sulla reale sussistenza, o meno, di una colpa grave del correntista.
Per questo, quando il conto viene svuotato online, bisogna agire subito: blocco immediato degli strumenti di pagamento, disconoscimento scritto delle operazioni, reclamo formale alla banca, acquisizione degli estratti e dei log disponibili, verifica delle modalità di autenticazione utilizzate e valutazione tecnica della vicenda. In molti casi, la differenza non la fa la semplice denuncia del fatto, ma la capacità di impostare fin dall’inizio una contestazione giuridica precisa, documentata e coerente con il regime delle operazioni non autorizzate.
Nel phishing bancario non esistono automatismi favorevoli garantiti in ogni caso.
Ma quando la banca non prova correttamente l’autorizzazione dell’operazione, non adotta presidi adeguati o non gestisce bene il disconoscimento, o non informa adeguatamente il cliente, esistono spazi difensivi concreti per chiedere il rimborso integrale delle somme sottratte.
Per info: Studio Legale Contessa – Avv Mario Pio Contessa
