Phishing bancario e conto svuotato: quando la banca può dover rimborsare il cliente
Quando una persona si accorge che il conto corrente è stato svuotato dopo un messaggio, una telefonata o un accesso anomalo all’home banking, la prima domanda è sempre la stessa: la banca deve rimborsare? La risposta non è automatica, ma in molti casi si può avere diritto al rimborso integrale. Il quadro normativo sui servizi di pagamento prevede infatti che, nelle operazioni non autorizzate, il prestatore di servizi di pagamento debba normalmente rimborsare il cliente; spetta alla banca provare la frode, il dolo o la colpa grave dell’utente. Banca d’Italia, inoltre, ribadisce che il rimborso delle operazioni disconosciute va effettuato, di regola, entro la fine della giornata lavorativa successiva alla richiesta, salvo i casi di fondato sospetto di frode.
Il phishing bancario non si presenta più soltanto con la classica e-mail ingannevole. Oggi le truffe passano spesso attraverso sms apparentemente provenienti dalla banca, telefonate costruite con tecniche di spoofing, link verso siti-clone e richieste urgenti di inserire credenziali, OTP o codici di conferma. Proprio per questo la valutazione giuridica non può essere standardizzata: bisogna distinguere fra operazioni realmente non autorizzate, operazioni apparentemente autorizzate ma indotte con artifici particolarmente sofisticati, e condotte del cliente che il giudice o l’ABF possono invece ritenere gravemente imprudenti.
Il punto decisivo, quindi, è questo: non basta che la banca neghi il rimborso. Deve dimostrare, in concreto, che il cliente ha agito con dolo o colpa grave, oppure che l’operazione era assistita dai presidi di sicurezza richiesti e correttamente autorizzata. Sul piano pratico, ciò significa che la controversia ruota spesso attorno a elementi molto concreti: qualità dell’sms o della chiamata ricevuta, presenza o meno di autenticazione forte, sistema di alert della banca, rapidità del disconoscimento, anomalie nei bonifici, destinatari dei pagamenti e comportamento tenuto dal correntista subito dopo la truffa.
In alcuni casi il rimborso può essere riconosciuto perché il cliente è stato vittima di una tecnica particolarmente insidiosa, difficilmente percepibile come fraudolenta. In altri, invece, il quadro si complica quando emergono condotte come il clic su link palesemente estranei al sito ufficiale, la comunicazione telefonica dei codici dispositivi o la trasmissione di credenziali che la banca dichiara di non chiedere mai. Proprio una decisione ABF del 25 marzo 2025 ha ritenuto sussistente la colpa grave in un caso di phishing “classico” via link a sito clone; ciò conferma che non esiste un automatismo, ma una valutazione caso per caso.
Per questo, se dici “mi hanno svuotato il conto”, la prima mossa non deve essere la rassegnazione, ma una reazione immediata e ordinata. Occorre bloccare subito gli strumenti di pagamento e gli accessi digitali, contestare formalmente le operazioni, presentare reclamo scritto alla banca e sporgere denuncia dettagliata alla Polizia Postale, allegando screenshot, numeri chiamanti, sms, e-mail, cronologia dell’home banking e movimenti contestati. Banca d’Italia ricorda inoltre che, se il reclamo non viene accolto o la risposta non convince, il cliente può presentare esposto e, dopo il reclamo, ricorso all’ABF.
Sul piano legale, la differenza la fa spesso la ricostruzione tecnica del fatto. Una denuncia generica e una contestazione sommaria raramente bastano. Serve invece un’impostazione precisa, capace di distinguere tra phishing, smishing, vishing, operazione non autorizzata, operazione contestata, eventuale colpa grave e responsabilità organizzativa della banca. In questa materia, la qualità della prova è decisiva almeno quanto la norma applicabile.
Lo Studio Legale Contessa – Avv. Mario Pio Contessa assiste clienti nei casi di phishing bancario, truffe online, bonifici fraudolenti e conto corrente svuotato, con attività di reclamo, ricorso ABF e azione giudiziale, operando su Bologna, provincia di Bologna, San Lazzaro di Savena, Casalecchio di Reno, Imola, Castel Maggiore, San Giovanni in Persiceto, Budrio, Pianoro, Zola Predosa, Granarolo dell’Emilia, Ozzano dell’Emilia, Calderara di Reno, Sasso Marconi, Anzola dell’Emilia, Castel San Pietro Terme e Modena.
