Quando le banche sono obbligate a risarcire i clienti per truffe phishing in base sentenze Cassazione

di Chiara Compagnucci pubblicato il 12/03/2024 alle 19:20
aggiornato con informazioni attualizzate il 30/05/2025 alle 22:30

Phishing bancario: quando le banche devono risarcire i clienti truffati secondo le sentenze più recenti. Diritti e tutele

La Corte di Cassazione ha stabilito che i clienti bancari che subiscono danni finanziari a causa di truffe informatiche, come il phishing, hanno diritto a un risarcimento a carico delle istituzioni finanziarie coinvolte, che possono essere le banche, le Poste o altri istituti che offrono servizi simili al conto corrente.

Questa decisione segue una serie di pronunce emesse da organi di arbitrato finanziario che hanno riconosciuto i reclami delle vittime di truffa, costringendo le istituzioni di credito a compensare i danni subiti dai clienti. Approfondiamo quali sono i casi e le condizioni in cui le banche sono obbligate a risarcire i clienti vittime di queste frodi digitali.

Cos'è il phishing e come riconoscerlo

Il phishing, erroneamente categorizzato come un attacco informatico diretto, rappresenta in realtà una forma sofisticata di ingegneria sociale. In questa strategia fraudolenta, il malintenzionato non viola alcun sistema informatico attraverso vulnerabilità tecniche, ma sfrutta comunicazioni come email, SMS o telefonate per manipolare psicologicamente le vittime e ottenere le loro credenziali di accesso ad account, profili online o conti correnti.

Le comunicazioni fraudolente vengono realizzate con particolare attenzione per imitare sia il linguaggio che l'aspetto grafico delle comunicazioni ufficiali, spesso utilizzando anche indirizzi email o numeri telefonici che appaiono legittimi. Questi messaggi contengono generalmente:

Loghi e colori identici a quelli ufficiali dell'istituzione imitata
Testi che creano un senso di urgenza o allarme
Richieste di azione immediata per evitare presunti problemi
Link che conducono a siti web contraffatti

Una volta stabilito il contatto con la vittima, il truffatore la induce a seguire collegamenti che la reindirizzano a siti web fraudolenti, progettati per assomigliare ai portali legittimi delle istituzioni finanziarie. Su questi siti clone, le vittime vengono indotte a inserire le proprie credenziali di accesso, come nome utente e password. Compiuto questo passaggio critico, il conto corrente o l'account della vittima diventa completamente esposto e vulnerabile.

Il principio stabilito dalla Cassazione sul risarcimento per phishing

La sentenza 3780 della Corte di Cassazione stabilisce un principio fondamentale: le istituzioni bancarie sono tenute ad adottare misure idonee e adeguate per prevenire o limitare l'uso fraudolento dei sistemi di pagamento elettronico. In caso contrario, potrebbero essere obbligate a risarcire i propri clienti che sono stati vittime di truffe attraverso il phishing.

Nel caso esaminato, la Corte Suprema ha respinto il ricorso presentato da Poste Italiane contro un individuo che era stato truffato tramite una email fraudolenta. Poste è stata quindi condannata, come stabilito dalla sentenza d'appello, al rimborso di 2.900 euro che erano stati sottratti dalla vittima da parte di alcuni hacker.

La sentenza non attribuisce una colpa automatica all'istituto bancario, in questo caso Poste, ma evidenzia una specifica negligenza. Secondo la Corte, la banca non avrebbe adottato tutte le misure necessarie per prevenire l'accaduto, sia in termini di informazione preventiva ai clienti che di implementazione di adeguati sistemi di sicurezza informatica.

In future controversie, solo quando la difesa della banca sarà in grado di dimostrare la colpa grave dell'utente nell'attuare la truffa, l'istituto potrà essere esonerato dall'obbligo di restituire i fondi sottratti tramite phishing dal conto corrente del cliente.

Le misure di sicurezza che le banche devono adottare

Per evitare responsabilità in caso di frodi, gli istituti bancari devono implementare diverse misure di sicurezza, in linea con quanto previsto dalla normativa europea e italiana:

La direttiva PSD2 (Payment Services Directive 2), recepita in Italia con il D.Lgs. 218/2017, impone agli istituti di credito l'adozione di sistemi di autenticazione forte del cliente (Strong Customer Authentication - SCA), che prevede la verifica dell'identità dell'utente attraverso almeno due dei seguenti elementi:

Conoscenza: qualcosa che solo l'utente conosce (password, PIN)
Possesso: qualcosa che solo l'utente possiede (smartphone, token fisico)
Inerenza: qualcosa che caratterizza l'utente (impronta digitale, riconoscimento facciale)

Oltre all'autenticazione forte, le banche sono tenute a implementare:

Sistemi di monitoraggio delle transazioni per individuare operazioni anomale
Notifiche in tempo reale per ogni operazione (SMS alert o notifiche push)
Procedure di blocco immediato dei conti in caso di attività sospette
Campagne informative ai clienti sui rischi del phishing
Formazione continua del personale sui temi della sicurezza informatica

Secondo la giurisprudenza recente, la mancata implementazione di queste misure può costituire una negligenza da parte dell'istituto di credito, con conseguente obbligo di risarcimento verso i clienti truffati.

Giurisprudenza recente e casi significativi

Oltre alla sentenza 3780 della Cassazione, numerose altre pronunce hanno delineato i contorni della responsabilità bancaria nei casi di phishing:

Il Tribunale di Ragusa, con sentenza n. 420 del 7 marzo 2024, ha affermato la responsabilità della banca che, pur essendo a conoscenza dell'illegittima sottrazione di credenziali e password ai danni del cliente, non abbia cautelativamente e immediatamente provveduto al blocco del conto corrente.

La Cassazione, con sentenza n. 7214 del 13 marzo 2023, ha invece esonerato la banca da responsabilità in un caso in cui il cliente aveva agito con grave negligenza, fornendo volontariamente le proprie credenziali attraverso un sito palesemente ingannevole.

L'Arbitro Bancario Finanziario (ABF), nelle sue decisioni, ha stabilito che:

Se la banca non dimostra di aver implementato l'autenticazione forte del cliente, deve rimborsare integralmente le somme sottratte (Collegio di Coordinamento, decisione n. 13398 del 18 ottobre 2025)
In caso di tecniche sofisticate come lo spoofing (manipolazione del numero chiamante), la responsabilità è generalmente della banca, salvo prova contraria (Collegio di Roma, decisione n. 12005 del 1 settembre 2025)
Il cliente ha diritto al rimborso se la banca non prova di aver inviato avvisi tempestivi sulle operazioni sospette (Collegio di Milano, decisione n. 1606 del 6 febbraio 2024)

Quando la banca è esonerata dal risarcimento

Non sempre le banche sono obbligate a risarcire i clienti vittime di phishing. La legge e la giurisprudenza hanno identificato alcune situazioni in cui la responsabilità ricade principalmente sul cliente:

La Cassazione ha stabilito che la responsabilità della banca viene esclusa in presenza di una colpa grave dell'utente. Questa può manifestarsi in diverse forme:

Condivisione volontaria delle credenziali con terzi
Reazione a messaggi con evidenti indici di anomalia (errori grammaticali, domini sospetti)
Mancata attenzione agli alert inviati dalla banca
Inserimento delle credenziali su siti palesemente non riconducibili alla banca
Utilizzo dello stesso dispositivo per ricevere l'SMS di conferma e per effettuare l'operazione bancaria, in caso di malware installato

Secondo l'Arbitro Bancario Finanziario (Collegio di Torino, decisione n. 15328 del 29 novembre 2025), quando il testo della comunicazione di phishing presenta errori grammaticali o sintattici o altre anomalie evidenti, "il comportamento di colui che abbocchi deve ritenersi inescusabile e gravemente colposo".

Tuttavia, l'onere della prova della colpa grave del cliente resta sempre a carico della banca, che deve dimostrare non solo l'esistenza di tali comportamenti, ma anche il nesso causale con l'operazione fraudolenta.