Ti hanno svuotato il conto con una truffa online? Quando la banca deve rimborsare

Quando un cliente scopre bonifici, pagamenti o disposizioni mai volute, la prima domanda è sempre la stessa: la banca deve rimborsare oppure no? La risposta non è automatica. La disciplina sui servizi di pagamento tutela il correntista contro le operazioni non autorizzate, ma il rimborso può essere escluso se l’intermediario prova che il cliente ha agito con dolo o con colpa grave. Proprio su questo punto la Banca d’Italia ha richiamato gli intermediari, segnalando che il rifiuto del rimborso non può basarsi su formule standard o su valutazioni sommarie.

Dire semplicemente “hai inserito il codice OTP, quindi la banca non risponde” non è corretto in termini assoluti. La Banca d’Italia ha chiarito che la semplice presenza dell’autenticazione forte non basta, da sola, per affermare automaticamente la colpa grave del cliente. Occorre invece una verifica concreta della dinamica della frode, del livello di inganno del messaggio, del comportamento del correntista e dei sistemi di sicurezza adottati dall’intermediario.

In linea generale, il cliente ha diritto al rimborso quando si trova davanti a operazioni non autorizzate, cioè pagamenti o bonifici che non ha realmente voluto disporre. La Banca d’Italia ricorda che il cliente può disconoscere tali operazioni e chiederne la restituzione, e che il rimborso non è dovuto solo se la banca prova che l’operazione è stata autenticata, correttamente registrata e contabilizzata, e che il cliente ha agito in modo fraudolento oppure con dolo o colpa grave.

Per questo motivo, se ti hanno svuotato il conto con una truffa online, la regola pratica è questa: la banca può essere chiamata a rimborsare quando risulta che il cliente ha subito un attacco di phishing, smishing o vishing, ha custodito in modo diligente le proprie credenziali, ha segnalato l’accaduto con tempestività e non emerge una sua negligenza qualificata. La Banca d’Italia ha inoltre precisato che, se manca l’autenticazione forte oppure l’intermediario non riesce a dimostrare che l’operazione è stata autorizzata con SCA, il cliente ha diritto al rimborso, salvo ipotesi di frode da parte sua.

Diverso è il caso in cui la banca riesca a dimostrare una condotta gravemente imprudente. Nella prassi ABF, il rimborso è stato talvolta negato quando il cliente ha cliccato su un link con evidenti indici di inattendibilità, ha seguito pedissequamente le istruzioni del truffatore o ha comunicato dati sensibili senza alcuna cautela elementare. In una decisione del 25 settembre 2025, ad esempio, l’ABF ha valorizzato proprio questi elementi per ritenere sussistente la colpa grave della cliente.

Ma esistono anche casi di segno opposto. In una decisione del 7 maggio 2025, l’ABF ha esaminato un caso di vishing e smishing con bonifico online e ha ricordato che la controversia va valutata alla luce del D.lgs. n. 11/2010, senza scorciatoie automatiche in danno del cliente. In altra decisione del 14 gennaio 2025, l’ABF ha affermato che la prova della corretta autenticazione è un presupposto logico anteriore rispetto alla valutazione della colpa grave, accogliendo la domanda del correntista proprio perché l’intermediario non aveva fornito una dimostrazione sufficiente.

Il punto centrale, quindi, è questo: non basta che il cliente abbia materialmente digitato qualcosa. Bisogna capire come è stato indotto a farlo, se il messaggio appariva davvero provenire dalla banca, se vi erano alert chiari, se il sito era riconoscibile come falso, se l’operazione era coerente con il profilo abituale del cliente e se la banca ha intercettato o meno anomalie significative. La stessa Banca d’Italia raccomanda ai prestatori di servizi di pagamento di valutare le richieste di disconoscimento tenendo conto del corretto riparto delle responsabilità e di evitare rifiuti infondati.

Sul piano pratico, chi subisce una truffa deve muoversi subito: bloccare gli strumenti di pagamento, contestare immediatamente l’operazione, presentare denuncia e conservare screenshot, sms, email, numeri chiamanti, movimenti bancari e ogni elemento utile. La Banca d’Italia ricorda che la contestazione va effettuata il prima possibile e comunque entro 13 mesi dalla data dell’addebito, fermo restando l’obbligo di avvisare la banca non appena ci si accorge dell’uso non autorizzato.

In questa materia, quindi, non esiste una formula valida per tutti. La frase giusta non è “se hai inserito l’OTP hai perso”, ma piuttosto questa: la banca non può negare il rimborso senza provare seriamente la colpa grave del cliente e la regolarità dell’autenticazione. Ed è proprio su questa verifica tecnica  che si gioca la difesa.

Lo Studio Legale Contessa – Avv. Mario Pio Contessa assiste clienti vittime di phishing, smishing, vishing, bonifici fraudolenti e conto corrente svuotato, con attività di reclamo, ricorso ABF e tutela giudiziale, operando a Bologna, in tutta la provincia di Bologna, San Lazzaro di Savena, Casalecchio di Reno, Imola, Castel Maggiore, San Giovanni in Persiceto, Budrio, Pianoro, Zola Predosa, Granarolo dell’Emilia, Ozzano dell’Emilia, Calderara di Reno, Sasso Marconi, Anzola dell’Emilia, Castel San Pietro Terme e Modena.

Consigli pratici immediati

• Non cliccare mai su link ricevuti via sms o email che sembrano provenire dalla banca.
• Digita sempre manualmente l’indirizzo del sito ufficiale.
• Attiva notifiche in tempo reale su bonifici, accessi e movimenti.
• Contesta subito ogni operazione sospetta.
• Fai verificare la risposta della banca prima di fermarti  ad un diniego.