Phishing e home banking: la banca risponde se non ha protetto il cliente
Le frodi informatiche legate ai servizi di home banking sono in costante aumento. Phishing via email, smishing via SMS, vishing telefonico: le tecniche cambiano ma il risultato è spesso lo stesso — il conto corrente del cliente viene svuotato in pochi minuti. La domanda che molti si pongono è se la banca possa essere chiamata a rispondere di queste perdite.
Il quadro normativo di riferimento
La disciplina dei servizi di pagamento in Italia è regolata dal D.Lgs. n. 11/2010, che ha recepito la direttiva PSD, successivamente aggiornata con il D.Lgs. n. 218/2017 in attuazione della PSD2. Questa normativa stabilisce una ripartizione precisa delle responsabilità tra banca e cliente.
Il principio di base è che il prestatore del servizio di pagamento risponde delle operazioni non autorizzate, salvo che non dimostri che l’utente ha agito con dolo o colpa grave. Non è il cliente a dover provare di non aver autorizzato l’operazione: è la banca a dover dimostrare che l’operazione era autenticata correttamente.
Quando si configura la colpa grave del cliente
Il tema della colpa grave è centrale nel contenzioso su phishing e frodi. La giurisprudenza ha chiarito che non ogni comportamento imprudente integra colpa grave:
Cliccare su un link ricevuto via SMS apparentemente proveniente dalla propria banca, in un contesto di smishing sofisticato, non è automaticamente colpa grave. Rispondere a una telefonata in cui un soggetto si finge operatore bancario e chiede un codice OTP può non integrare colpa grave se la truffa era particolarmente elaborata. La colpa grave richiede una negligenza qualificata, non la semplice ingenuità del cliente medio.
Ogni caso va valutato concretamente, anche in relazione alle circostanze della truffa e alle informazioni preventive fornite dalla banca al cliente.
Gli obblighi della banca che spesso vengono sottovalutati
La normativa PSD2 ha introdotto l’obbligo di autenticazione forte del cliente (Strong Customer Authentication), che richiede l’utilizzo di almeno due fattori indipendenti tra conoscenza, possesso e inerenza. Se la banca non ha implementato correttamente questi sistemi, o se il sistema di sicurezza adottato presentava vulnerabilità, questo è un elemento rilevante nella valutazione della sua responsabilità.
Va esaminata anche la tempestività con cui la banca ha rilevato l’anomalia e avrebbe potuto bloccare le operazioni sospette.
Cosa fare subito dopo una frode bancaria
- Sporgere denuncia/querela alle autorità competenti entro tempi brevi
- Notificare la contestazione alla banca per iscritto, documentando tutto
- Conservare screenshot, SMS, email e qualsiasi comunicazione ricevuta
- Richiedere alla banca copia del log delle operazioni contestate
- Valutare il ricorso all’Arbitro Bancario Finanziario (ABF), strumento stragiudiziale gratuito ed efficace in molti casi di frode informatica
Lo Studio Legale Contessa, con l’Avv. Mario Pio Contessa, assiste clienti e imprese in tutta Italia nelle controversie relative a phishing bancario, frodi informatiche, operazioni non autorizzate e tutela del consumatore nei servizi di pagamento, con particolare attenzione alla provincia di Bologna — inclusi Valsamoggia, Funo di Argelato, Castel Maggiore, San Giorgio di Piano, Castel San Pietro — a Modena — inclusi Castelvetro, Vignola, Maranello, Formigine — e a Ferrara e provincia.
Vishing e responsabilità della banca: il nostro commento alla sentenza del Tribunale di Bologna n. 2540/2026 su Diritto del Risparmio
Il nostro studio ha commentato su Diritto del Risparmio la sentenza del Tribunale di Bologna…