Quando se si subisce una truffa bancaria non si ha mai diritto al rimborso

In un contesto dove l'adozione delle tecnologie digitali per la gestione del denaro è cresciuta in maniera esponenziale, anche le modalità di attacco di cybercriminali si sono evolute rapidamente: phishing, smishing, vishing, social hacking e il cosiddetto spoofing sono solo alcuni dei volti di questa emergenza. Ogni giorno, migliaia di correntisti italiani diventano, spesso loro malgrado, potenziali bersagli di malintenzionati che puntano a sottrarre risparmi e dati sensibili sfruttando abilmente la psicologia degli utenti e le imperfezioni dei processi di sicurezza.

Le statistiche su questi fenomeni confermano una crescita costante negli ultimi anni, sia in termini numerici che in termini di somme sottratte. L'espansione dei servizi di home banking ha portato più comodità, ma anche nuove vulnerabilità: la capacità dei truffatori di rendere credibili le loro comunicazioni, replicare loghi ufficiali o persino camuffare numeri telefonici della banca, rende sempre più difficile per i cittadini distinguere un contatto autentico da uno fraudolento. La conseguenza è che spesso anche utenti accorti possono cadere in raggiri articolati. Tuttavia, il quadro normativo italiano e la giurisprudenza offrono strumenti efficaci di tutela per le vittime, ma stabiliscono anche precisi limiti.

Quando la banca rimborsa: la regola generale

La normativa di riferimento in materia di pagamenti digitali - Decreto Legislativo n. 11 del 2010, attuativo delle direttive europee PSD - sancisce un principio di tutela favorevole al consumatore: in presenza di un'operazione di pagamento non autorizzata dal titolare del conto, la banca è tenuta a rimborsare l'importo sottratto, riportando il conto nelle condizioni precedenti la frode. Tale obbligo è rafforzato dall'art. 11, che impone un termine rigido di ripristino entro la giornata lavorativa successiva alla segnalazione, salvo fondato sospetto di frode a carico del cliente.

L'onere della prova ricade espressamente sull'intermediario: non basta attestare la presenza di sistemi di autenticazione sicuri (SCA, OTP, token, biometria, ecc.), ma occorre dimostrare che tali strumenti siano stati usati correttamente e che il cliente non abbia in alcun modo favorito l'esito della truffa con comportamenti gravemente imprudenti. Questo approccio è stato rafforzato da pronunce di Cassazione e Arbitro Bancario Finanziario (ABF), che hanno chiarito come la responsabilità contrattuale della banca sia presunta, e solo l'evidenza di condotte dolose o gravemente negligenti può esonerare l'istituto da ogni responsabilità.

Le ultime decisioni hanno inoltre ribadito che il furto di credenziali e l'uso fraudolento degli strumenti di pagamento rientrano tra i rischi d'impresa propri delle attività bancarie, con conseguente obbligo di rimborso salvo precise eccezioni chiaramente provate. Nei casi dubbiosi - e nel dubbio sulla dinamica - la giurisprudenza tende a privilegiare la posizione del correntista.

Casi in cui il rimborso è negato

Nonostante le tutele introdotte dal legislatore, la possibilità di ottenere il rimborso integrale non è sempre garantita. Ci sono circostanze ben individuate in cui il diritto alla restituzione viene meno. La normativa e l'orientamento dei tribunali convergono nel ritenere che la banca può negare il rimborso solo dimostrando che la perdita economica sia il risultato di un comportamento gravemente negligente o doloso del cliente.

Secondo la giurisprudenza la colpa grave si configura quando l'utente:

• comunica in modo palesemente incauto password, pin o codici temporanei di accesso a soggetti terzi senza effettuare verifiche minime;
• inserisce le proprie credenziali su siti clone o link sospetti, ignorando segnali evidenti di pericolo (errori grammaticali, domini web inconsueti, mancato protocollo HTTPS, ecc.);
• non presta attenzione agli alert inviati dalla banca (ad es.: notifiche di accessi anomali o operazioni sospette) o trasmette codici OTP al telefono a finti operatori;
• utilizza device evidentemente compromessi senza le precauzioni consigliate (assenza di antivirus, software obsoleti, ecc.).

Alla banca spetta produrre prove concrete, documentate e inequivocabili a sostegno del proprio diniego alla richiesta di rimborso: la semplice esistenza di una procedura di autenticazione tecnica, o la mera evidenza dell'attivazione di una OTP, non bastano a trasferire la responsabilità sul cliente, specie se questi è stato vittima di uno schema raggirante sofisticato. Tuttavia, una volta dimostrata la colpa grave - ad esempio, l'invio deliberato delle proprie chiavi di sicurezza a sconosciuti, aggirando le indicazioni ricevute - ogni pretesa economica decade.

Alcune decisioni hanno sottolineato che, pur restando il livello di diligenza richiesto quello del buon padre di famiglia, la valutazione tiene conto anche di età e competenze digitali della vittima: per le generazioni più giovani o utenti esperti, sono attesi standard di attenzione superiore rispetto ad altri profili, come precisato da pronunce di tribunali e ABF.

Il social hacking e la truffa con pagamenti autorizzati

L'ABF Collegio di Bologna nel 2025 si è trovato a valutare uno dei casi più delicati nella materia delle frodi bancarie: la truffa perpetrata tramite social engineering (social hacking). Si tratta di situazioni nelle quali la vittima, pur manipolata o indotta con menzogna, autorizza di persona l'operazione (ad esempio, un bonifico o una ricarica), spesso perché convinta di agire nell'interesse proprio o di terzi che si fingono noti, funzionari della banca o forze dell'ordine.

Il Collegio ha stabilito, aderendo a precedenti orientamenti, che le operazioni eseguite personalmente dal titolare dello strumento di pagamento - anche se l'ordine sia stato indotto da raggiro, pressione psicologica o inganno - devono considerarsi pienamente autorizzate. L'intermediario, per il tramite dei sistemi di sicurezza adottati e della corretta registrazione tecnica, non ha alcuno strumento oggettivo per distinguere un pagamento disposto su iniziativa dell'utente rispetto ad uno fraudolento indotto da social hacking, a meno che non emergano anomalie tecniche o evidenze specifiche di malfunzionamenti nei sistemi antifrode.

Sottolinea l'ABF nella sua decisione: «Per quanto la volontà del cliente di effettuare tali operazioni sia stata viziata per effetto del raggiro subito dal terzo ignoto, l'intermediario non poteva che considerare autorizzati i pagamenti effettuati personalmente dal titolare dello strumento di pagamento, non avendo alcuna possibilità di accorgersi della truffa perpetrata ai danni del cliente».

Differenza tra operazioni non autorizzate e disposte

La linea di confine tra rimborso garantito e negato risiede nella natura dell'operazione contestata. Secondo la normativa e le più rilevanti pronunce, sono considerate non autorizzate le transazioni disposte da terzi che hanno acquisito dati d'accesso tramite frodi informatiche o raggiri, senza che il titolare abbia avuto alcun coinvolgimento diretto, se non quello - talvolta non consapevole - di cedere le proprie informazioni indotto da inganno.

Viceversa, se il titolare esegue materialmente l'operazione di pagamento, ad esempio inserendo il codice OTP in una pagina, firmando digitalmente un bonifico o confermando un'operazione tramite l'app, questi movimenti sono giuridicamente qualificati come autorizzati. In tali scenari, nessun obbligo di rimborso grava sull'intermediario: la volontà contraffatta ma non tecnicamente rilevabile fa sì che il danno non sia indennizzabile.

Questo aspetto è alla base della pluralità di dispute in materia di rimborsi bancari, spesso oggetto di valutazione da parte dell'ABF e dei tribunali ordinari. Ne deriva che, agli occhi delle banche, anche un pagamento viziato psicologicamente è comunque attribuibile al cliente se tecnicamente corretto. La differenza ha un impatto concreto e determinante sulla tutela risarcitoria e sulla possibilità di recuperare quanto sottratto nelle varie forme di inganno (phishing, vishing, smishing, social engineering).

Come difendersi: consigli e responsabilità della banca

Affrontare i rischi legati alle frodi bancarie richiede un approccio condiviso tra utenti e banche, basato su comportamenti proattivi e sistemi di sicurezza aggiornati. L'esperienza insegna che la prevenzione è la migliore strategia per limitare le perdite e non trovarsi esclusi dalla tutela risarcitoria:

• Evita di cliccare su link ricevuti via SMS o e-mail che sembrano provenire dalla banca. L'accesso ai servizi online deve avvenire solo tramite inserimento manuale dell'indirizzo ufficiale o l'uso delle app dedicate.
• Non rivelare a nessuno - nemmeno a presunti funzionari della banca o alle forze dell'ordine - password, PIN o codici di autenticazione temporanei (OTP). Il rischio che la volontà sia viziata da un raggiro non esonera da responsabilità nella maggior parte delle casistiche.
• Attivare sistemi di notifica in tempo reale (via SMS o app) per essere tempestivamente informati di ogni tentativo di operazione.
• Mantieni aggiornati software e dispositivi ed installa antivirus, soprattutto sui device da cui esegui pagamenti digitali.
• Segnala senza indugio movimenti sospetti, sporgi immediatamente reclamo all'istituto e denuncia alla Polizia Postale.

Dal lato degli intermediari finanziari, la responsabilità si traduce nell'adozione di sistemi di autenticazione forte (SCA), protocolli anti-frode, blocco e segnalazione delle operazioni sospette, formazione costante del personale e campagne informative diffuse alla clientela. L'adeguatezza delle misure, e la reale efficacia nell'avvertire i clienti di rischi emergenti, sono elementi sempre più valutati dai giudici ai fini di eventuale esclusione della responsabilità della banca stessa.

• Quando se si subisce una truffa bancaria non si ha mai diritto al rimborso
• Bff Bank, crollo del titolo dopo nomina nuovo Ceo: i rischi per clienti ed investitori
• Le molte resistenze e ostacoli non detti quando si vuole e si prova a cambiare banca