Phishing bancario: cosa fare se la banca nega il rimborso del conto svuotato
Il phishing bancario è oggi una delle cause più frequenti di svuotamento del conto corrente. Il cliente riceve un sms, una telefonata o un messaggio apparentemente proveniente dalla banca, viene indotto a compiere un’operazione urgente e, solo dopo, scopre bonifici, pagamenti o accessi che non riconosce. In molti casi, dopo la contestazione, la banca risponde con formule standard: operazione autorizzata, credenziali inserite dal cliente, assenza di anomalie nei sistemi, responsabilità del correntista. Eppure il rimborso non può essere negato automaticamente solo perché la truffa è passata attraverso un link, un codice OTP o un’autenticazione apparentemente regolare. La Banca d’Italia ha richiamato gli intermediari proprio su questo punto, segnalando prassi di rifiuto non sempre coerenti con le tutele dovute ai clienti.
La disciplina sui servizi di pagamento impone infatti alla banca di provare che l’operazione sia stata autenticata, correttamente registrata e contabilizzata, e che non vi siano stati malfunzionamenti o inconvenienti nel processo esecutivo. L’Arbitro Bancario Finanziario ha ribadito nel 2025 che la prova dell’autenticazione viene prima ancora della valutazione sulla colpa grave del cliente: se questa prova manca, anche solo in parte, il ricorso può essere accolto integralmente. In una decisione del 14 gennaio 2025, l’ABF ha precisato che la prova di autenticazione costituisce un vero e proprio prius logico rispetto alla colpa grave dell’utente, e ha accolto la domanda restitutoria proprio per difetto di prova adeguata da parte dell’intermediario.
Questo significa, in concreto, che frasi come “il cliente ha inserito le credenziali” oppure “l’operazione risulta autorizzata” non bastano, da sole, a chiudere la questione. La stessa Banca d’Italia chiarisce che la semplice presenza dell’autenticazione forte non è sufficiente, di per sé, per dedurre automaticamente dolo o colpa grave del cliente. Occorre una valutazione concreta della dinamica della frode, del comportamento tenuto dal correntista, del livello di sofisticazione del messaggio o della telefonata, e delle misure di sicurezza concretamente adottate dalla banca.
Naturalmente non tutti i casi portano al rimborso. Quando emerge una condotta macroscopicamente imprudente, l’esito può essere opposto. In una decisione ABF del 25 marzo 2025, ad esempio, è stata ritenuta sussistente la colpa grave del cliente in un caso di phishing con sette bonifici effettuati in pochi minuti, sul presupposto che la modalità truffaldina non potesse più considerarsi particolarmente sofisticata e che la banca avesse prodotto log informatici ritenuti idonei a dimostrare l’autenticazione delle operazioni. Questo conferma che il tema non si risolve con formule astratte: conta la prova, e conta il caso concreto.
Per il cliente, dunque, la questione decisiva è capire quando il rifiuto della banca sia davvero contestabile. Il diniego può essere rimesso in discussione quando il messaggio o il sito falso erano altamente credibili, quando la truffa simulava in modo convincente comunicazioni ufficiali dell’istituto, quando il cliente ha agito con tempestività nel bloccare il conto e segnalare l’accaduto, oppure quando le misure di sicurezza della banca non hanno intercettato operazioni anomale o seriali. La Banca d’Italia, sul piano informativo e di vigilanza, invita i clienti a segnalare subito l’accaduto e ricorda che, se la banca nega il rimborso o non risponde al disconoscimento entro 15 giorni lavorativi, il cliente può proporre reclamo e poi ricorso all’ABF.
C’è poi un altro profilo importante: non tutto ciò che avviene dopo una truffa rientra automaticamente nelle operazioni non autorizzate. La Banca d’Italia avverte che, se il cliente viene convinto a eseguire personalmente un pagamento a favore del truffatore, l’autenticazione forte non lo protegge, perché è lui stesso a superare i controlli di sicurezza. Anche per questo la fase di analisi legale deve essere molto accurata: bisogna distinguere le ipotesi di operazione non autorizzata da quelle in cui la banca sostiene l’esistenza di un consenso, sia pure carpito con artifici. Da questa distinzione dipende spesso l’intera strategia difensiva.
Se la banca ha negato il rimborso, non conviene fermarsi alla prima risposta. Occorre esaminare il testo del diniego, verificare se l’intermediario abbia davvero dimostrato la colpa grave, controllare la tracciabilità dell’autenticazione, i log, i tempi di segnalazione, l’eventuale presenza di alert, il contenuto dei messaggi ricevuti e il tipo di operazioni eseguite. In molti casi, una contestazione ben costruita cambia radicalmente il quadro.
Lo Studio Legale Contessa – Avv. Mario Pio Contessa assiste clienti nei casi di phishing bancario, smishing, vishing, bonifici fraudolenti, home banking compromesso e rimborso negato dalla banca, con attività di reclamo, ricorso ABF e tutela giudiziale, operando su Bologna, provincia di Bologna, San Lazzaro di Savena, Casalecchio di Reno, Imola, Castel Maggiore, San Giovanni in Persiceto, Budrio, Pianoro, Zola Predosa, Granarolo dell’Emilia, Ozzano dell’Emilia, Calderara di Reno, Sasso Marconi, Anzola dell’Emilia, Castel San Pietro Terme e Modena.
