Quando si scopre di essere stati vittime di phishing sul proprio conto corrente, il tempo e la precisione nelle azioni sono decisivi per aumentare le probabilità di recuperare le somme sottratte. Il phishing bancario è una delle minacce informatiche più comuni e insidiose: tramite email, SMS o chiamate ingannevoli, i truffatori inducono le vittime a comunicare i propri dati sensibili, come credenziali di accesso, codici OTP o numeri di carta. Spesso il danno si concretizza in pochi minuti mediante prelievi non autorizzati, bonifici o pagamenti verso terzi sconosciuti.
Passaggi urgenti da seguire in caso di phishing
Appena ci si rende conto di essere stati truffati, è essenziale agire immediatamente seguendo alcuni fondamentali step:
- Bloccare tempestivamente strumenti e accessi: la prima cosa da fare è contattare la banca per bloccare carte, conto corrente e home banking. Queste operazioni possono essere effettuate anche tramite i numeri di emergenza delle banche attivi 24 ore.
- Formalizzare una comunicazione scritta alla banca: è necessario inviare subito una comunicazione ufficiale (via PEC, raccomandata o tramite i canali digitali della banca) contestando le operazioni non riconosciute e chiedendo l’immediato rimborso ai sensi della normativa vigente.
- Sporgere denuncia alle autorità: presentare una denuncia/querela presso Polizia Postale, Carabinieri o Commissariato, allegando ogni elemento utile (messaggi, email ricevute, estratti conto con le transazioni sospette, comunicazioni con l’istituto).
Questi passaggi sono importanti sia per favorire le indagini sia perché costituiscono prova dell’operato diligente del cliente, condizione importante ai fini della successiva procedura di rimborso.
Il diritto al rimborso per le vittime di phishing
La normativa italiana, seguendo le direttive europee in materia di phishing e tutela dei servizi di pagamento, prevede tutele particolarmente forti per il cliente bancario.
Secondo l’articolo 11 del D.Lgs 11/2010 (che attua la direttiva UE PSD2), se un’operazione di pagamento è stata eseguita senza il consenso esplicito del titolare, tra cui appunto i casi di phishing, la banca è obbligata a rimborsare immediatamente la somma sottratta, entro la giornata lavorativa successiva alla ricezione della contestazione da parte dell’utente
. La responsabilità della banca è oggettiva: il cliente non deve dimostrare la propria innocenza, ma spetta all’istituto l’onere di provare che:
- L’operazione è stata effettivamente autorizzata dal cliente;
- Oppure il cliente ha agito con dolo o colpa grave (ad esempio comunicando con estrema imprudenza i propri codici a terzi sconosciuti o cliccando su link manifestamente sospetti).
La banca può quindi rifiutarsi di rimborsare solo se riesce a provare la colpa grave del cliente, ossia una condotta ben al di sotto degli standard di attenzione richiesti . Tuttavia, la valutazione di colpa grave è molto restrittiva e richiede una documentazione chiara ed esauriente degli errori del cliente, non basta una semplice accusa della banca.
Procedura formale di richiesta rimborso
Vediamo ora il percorso dettagliato da intraprendere affinché la richiesta di rimborso venga presa in carico nel modo più efficace e conforme a quanto stabilito dalla legge.
1. Contestazione formale delle operazioni
Il cliente deve contestare per iscritto tutte le operazioni non autorizzate non appena viene a conoscenza della frode. Nella lettera va esplicitata la richiesta di rimborso secondo quanto previsto dalla legge e allegata copia della denuncia presentata alle autorità . Gli istituti bancari sono tenuti a mettere a disposizione canali dedicati (area clienti, moduli online, PEC ecc.) per queste comunicazioni.
2. Tempi per la richiesta
È fondamentale agire tempestivamente, ma la legge concede fino a 13 mesi dalla data dell’addebito per presentare la richiesta di rimborso e il disconoscimento delle operazioni . Tuttavia, ritardare può peggiorare la posizione e rendere più difficile il recupero delle somme, quindi si consiglia di agire subito dopo aver scoperto la truffa.
3. Risposta della banca
Ricevuta la contestazione, la banca è obbligata a rispondere entro termini stringenti (solitamente 15 giorni lavorativi o, in casi complessi, fino a 60 giorni). Può sospendere il rimborso solo in presenza di “motivato sospetto di frode” da parte del cliente .
4. Reclamo, mediazione e ABF
Se la banca nega il rimborso o non risponde, si può presentare un reclamo formale interno presso l’istituto. Qualora anche questa via non sortisca effetto o la risposta sia negativa, il consumatore ha diritto a ricorrere per via alternativa:
- Rivolgersi all’Arbitro Bancario Finanziario (ABF), una procedura stragiudiziale ed economica che permette di risolvere la controversia in pochi mesi;
- Intraprendere mediazione obbligatoria davanti a un organismo specializzato, per tentare un accordo prima di arrivare al giudizio civile;
- Come ultimo passo, avviare una causa civile con l’assistenza di un avvocato esperto di truffe informatiche.
La scelta della procedura alternativa dipende dal caso specifico, dall’importo in gioco e dall’urgenza di recuperare le somme. È buona prassi conservare ogni comunicazione, ricevuta e risposta della banca per documentare diligentemente le proprie ragioni .
Domande frequenti e criticità nella pratica
Posso chiedere il rimborso anche se ho fornito io i dati al truffatore?
Sì, ma la possibilità di ottenere il rimborso dipende dal livello di inganno e dalla sofisticazione della truffa. Se il comportamento della vittima non configura colpa grave, il diritto al rimborso resta, anche in caso di inserimento diretto dei dati di bonifico o di conferma di pagamenti falsi . Per esempio, se il messaggio fraudolento era pressoché indistinguibile da una comunicazione ufficiale della banca, è riconosciuto il rimborso.
Quando la banca si può rifiutare di rimborsare?
L’istituto può opporre il rifiuto esclusivamente in presenza di prove chiare che il cliente abbia:
- Agito con dolo (complicità o consapevolezza nella frode)
- Messo in atto condotte di colpa grave (ad esempio non segnalando tempestivamente l’anomalia, trascurando avvisi di sicurezza, ignorando comportamenti palesemente sospetti)
Anche in questi casi, la valutazione viene fatta caso per caso dagli organi di mediazione o dai giudici .
Quanto tempo ci mette la banca a rimborsarmi?
Secondo la normativa, la banca dovrebbe rimborsare “immediatamente”, cioè entro la giornata lavorativa successiva alla contestazione . Tuttavia, tempistiche più lunghe possono verificarsi in caso di indagini o di opposizione dell’istituto, specie nei casi più complessi.
L’intervento di organi esterni (come Arbitro Bancario Finanziario) può allungare i tempi, ma garantisce comunque una decisione imparziale sulla vicenda.
Cosa fare se la banca non risponde al reclamo?
Dopo 60 giorni senza risposta o diniego, si può accedere direttamente alle procedure arbitrali o giudiziarie. Documentare ogni passaggio è essenziale: la prova dell’invio delle comunicazioni, la copia della denuncia e la cronologia dei fatti sono spesso la chiave per ottenere ragione .
Prevenzione e buone pratiche
Per ridurre il rischio di essere vittima di future truffe, è fondamentale adottare una serie di accorgimenti:
- Mai comunicare codici OTP, password o dati bancari via telefono, email o SMS
- Controllare che i messaggi ricevuti siano autentici e provenienti da canali ufficiali
- Attivare servizi di notifiche in tempo reale per ogni operazione effettuata
- Modificare frequentemente le password e utilizzare autenticazione a più fattori
- Tenere sempre aggiornati gli strumenti di sicurezza digitale (app di home banking, antivirus, browser)
Per approfondire i concetti legati alle truffe informatiche e ai rischi del phishing, è possibile consultare anche la relativa pagina su sicurezza informatica, che approfondisce in modo esaustivo molte delle dinamiche e tecniche utilizzate dai criminali digitali.
Seguendo tempestivamente la procedura urgente sopra indicata e affidandosi a professionisti in caso di contestazioni, aumentano notevolmente le possibilità di ottenere il rimborso e di difendersi dagli attacchi alla propria sicurezza digitale e al proprio patrimonio.
