Negli ultimi anni il phishing si è consolidato come una delle principali minacce informatiche a danno dei correntisti bancari italiani. Attraverso tecniche sempre più sofisticate, i truffatori riescono a sottrarre credenziali di accesso e denaro direttamente dai conti online delle loro vittime. Sebbene la normativa europea e nazionale tenda a tutelare il consumatore, stabilendo il rimborso delle somme illecitamente sottratte in caso di utilizzo non autorizzato degli strumenti di pagamento, esistono precise circostanze in cui la banca può legittimamente opporsi al rimborso. È fondamentale conoscere questi limiti per tutelarsi efficacemente e non trovarsi privi di difese davanti a una doppia perdita: quella finanziaria e quella legale.
Le responsabilità in caso di phishing: quadro normativo e prassi
La legge italiana ed europea impone agli istituti bancari l’obbligo di risarcire il cliente ogni volta che egli subisce una perdita economica a seguito di frodi informatiche, salvo alcuni specifici casi. Questo principio si fonda sulla presunzione che la banca debba adottare tutte le misure di sicurezza ragionevolmente necessarie per prevenire frodi e accessi non autorizzati. Tuttavia, questa tutela non è assoluta: la banca ha il diritto di rifiutare il rimborso se riesce a dimostrare che la perdita è derivata da una grave negligenza o da un comportamento doloso del cliente.
La colpa grave del cliente rappresenta il caso limite in cui la normale protezione decade. Secondo la giurisprudenza e una casistica ormai consolidata, si configura una condotta manifestamente imprudente — e quindi non meritevole di tutela — nei seguenti casi:
- Condivisione volontaria di codici di accesso, PIN o OTP con terzi, anche in modo inconsapevole ma comunque poco cauto.
- Ignoranza di avvisi ufficiali diffusi dalla banca su tecniche di phishing già note o su campagne di truffa in corso.
- Esecuzione di operazioni manifestamente sospette, come la conferma di bonifici verso conti esteri sconosciuti o la digitazione delle proprie credenziali su siti palesemente falsi.
I casi tipici in cui la banca può rifiutare il rimborso
Entrando nel dettaglio, la responsabilità del cliente viene riconosciuta quando il suo comportamento viola elementari regole di diligenza. La banca, però, per potersi legittimamente sottrarre all’obbligo di rimborso deve fornire prove rigorose della negligenza o della complicità dell’utente. Ecco le fattispecie principali:
- Fornitura delle proprie credenziali d’accesso: se il correntista, dopo aver ricevuto una email o SMS di phishing, inserisce consapevolmente login e password su un portale falso, è ritenuto responsabile. Come affermato dalla Suprema Corte, questa cooperazione attiva dell’utente spezza la responsabilità della banca.
- Mancata custodia di carta e codici: la perdita o la gestione superficiale degli strumenti di pagamento (ad esempio il PIN scritto sul biglietto accanto alla carta) costituisce un’inadempienza grave che esclude l’obbligo di rimborso da parte dell’istituto finanziario.
- Ignorare alert e procedure di sicurezza: il cliente che non presta attenzione agli avvisi (ad esempio notifica push o SMS di tentativi di accesso) e non blocca tempestivamente il conto, perde il diritto alla restituzione delle somme per uso fraudolento.
- Acconsentire a operazioni sospette su indicazione del truffatore: se si seguono le istruzioni dell’attaccante per confermare movimenti anomali — come bonifici verso sconosciuti — si configura dolo o colpa grave.
Responsabilità della banca: quando il rimborso è obbligatorio
Laddove il cliente sia stato ingannato da tecniche di phishing avanzato difficili da riconoscere, la responsabilità resta invece in capo alla banca. Questo accade, per esempio, quando l’attacco avviene tramite numeri di telefono clonati che imitano perfettamente quelli dell’assistenza clienti, oppure attraverso email indistinguibili dagli avvisi ufficiali.
La banca è altresì sempre obbligata a risarcire quando omette l’invio degli SMS di allerta previsti per legge o non implementa l’autenticazione a due fattori per la conferma delle operazioni online. In questi casi la mancanza di adeguati sistemi di controllo e protezione fa ricadere la colpa sull’istituto, che dovrà rimborsare integralmente la vittima della frode.
Obblighi di diligenza della banca
Gli istituti devono mantenere livelli di sicurezza proporzionati alla sofisticazione delle minacce. Se la truffa sfrutta vulnerabilità o falle tecnologiche non ancora conosciute e quindi difficilmente prevenibili da parte del cliente medio, la banca non potrà eccepire negligenza da parte dell’utente e dovrà procedere con il rimborso delle somme sottratte.
Come comportarsi in caso di rifiuto e le vie di ricorso
Quando si è vittime di phishing e la banca rifiuta il rimborso asserendo la presenza di colpa grave, è bene procedere per gradi:
- Presentare denuncia presso la polizia postale o i carabinieri e inviarne copia alla propria banca, unitamente alla richiesta scritta di rimborso.
- Presentare reclamo formale alla banca stesso: spesso queste sono obbligate per legge a rispondere entro 30 giorni.
- In caso di risposta negativa o assenza di risposta, è possibile ricorrere all’Arbitro Bancario Finanziario (ABF), un organismo indipendente che dirime le controversie tra clienti e istituti finanziari con procedure snelle e costi contenuti.
- Solo se la procedura arbitrale non dà esito o il parere è sfavorevole, resta la possibilità di una causa civile in tribunale con l’assistenza di un avvocato.
È opportuno ricordare che, se il furto avviene attraverso tecniche imprevedibili o tramite la falsificazione delle procedure di sicurezza adottate dall’istituto, il cliente conserva il diritto al rimborso. La colpa grave, invece, comporta quasi sempre la perdita integrale dell’indennizzo economico, a meno che la banca non riesca a dimostrare con prove certe e inequivocabili la condotta imprudente del correntista.
Nel dubbio, è fondamentale adottare le massime cautele nell’uso di strumenti elettronici di pagamento, non condividere mai i codici di sicurezza, ignorare richieste sospette e informarsi regolarmente sulle campagne di phishing in corso. Solo in questo modo, in caso di problemi, si potrà far valere con efficacia il diritto alla restituzione delle somme sottratte.
