Mi hanno svuotato il conto col phishing: la banca deve rimborsarmi?

Ti hanno svuotato il conto con una truffa di phishing e la banca dice che è colpa tua? La regola, in realtà, è opposta: per le operazioni che disconosci, di norma la banca deve rimborsarti, a meno che provi un tuo dolo (cioè che eri complice) o una tua colpa grave. E l’orientamento più recente della Corte di Cassazione (ordinanza n. 23683 del 2024) è nettamente favorevole al correntista. Vediamo quando il rimborso spetta, quando no, e cosa devi fare subito.

La regola del d.lgs 11/2010: rimborso salvo dolo o colpa grave

I pagamenti non autorizzati sono disciplinati dal d.lgs. 27 gennaio 2010, n. 11, che ha attuato in Italia la direttiva europea sui servizi di pagamento (la cosiddetta PSD2). Il principio è semplice e protegge il cliente: se tu disconosci un’operazione, cioè dichiari di non averla autorizzata, la banca o il prestatore di servizi di pagamento (PSP) deve restituirti la somma.

L’unica via d’uscita per la banca è dimostrare che hai agito con dolo oppure con colpa grave. Non basta una tua disattenzione qualunque: deve trattarsi di una negligenza pesantissima. In tutti gli altri casi — comprese le frodi sofisticate, i finti SMS della banca, i siti clone — il rischio resta a carico dell’intermediario.

Un altro tassello importante è l’autenticazione forte del cliente (in inglese Strong Customer Authentication, SCA): per molte operazioni online la banca è obbligata a richiedere almeno due elementi di verifica indipendenti (ad esempio password più codice usa-e-getta sul telefono). Se la banca non ha applicato la SCA dove avrebbe dovuto, la sua posizione si aggrava notevolmente e il rimborso diventa molto difficile da negare.

Chi deve provare cosa: l’onere è della banca

È il punto che ribalta tutto. Quando contesti un’operazione, non sei tu a dover dimostrare di essere stato truffato: è la banca a dover provare che l’operazione era stata autenticata correttamente, registrata in modo accurato e non inficiata da guasti tecnici o malfunzionamenti del sistema.

In concreto significa che la banca deve portare elementi tecnici precisi. Non le basta dire «l’operazione è partita dal tuo dispositivo, dunque sei stato tu»: la legge esclude espressamente che la sola registrazione dell’operazione sia prova sufficiente del fatto che tu l’abbia autorizzata o che tu abbia agito con dolo o colpa grave. Tradotto: l’asticella probatoria pesa sulle spalle dell’intermediario, non sulle tue.

La svolta della Cassazione 2024: il «banchiere prudente»

Con l’ordinanza n. 23683 del settembre 2024 la Corte di Cassazione ha consolidato un orientamento molto favorevole al correntista. Il ragionamento è questo: la banca esercita un’attività professionale e per questo le si chiede la diligenza qualificata del «banchiere prudente» (la diligenza professionale di cui all’art. 1176, secondo comma, del Codice civile).

Da qui discende che la banca risponde di tutto ciò che rientra nella sua sfera di controllo tecnico: la sicurezza dei sistemi, l’efficacia dell’autenticazione, la capacità di intercettare operazioni anomale. L’unico modo per liberarsi è provare che la condotta del cliente sia stata così gravemente negligente da uscire dalle possibilità di controllo ragionevolmente esigibili dalla banca stessa.

È un’inversione di prospettiva che pesa: la frode informatica non viene più vista come un evento «esterno» di cui il cliente porta automaticamente il rischio, ma come un rischio tipico dell’attività bancaria, che la banca deve presidiare con strumenti adeguati.

Quando invece NON ti rimborsano: la colpa grave

Il rimborso non è automatico in ogni situazione. La banca può legittimamente rifiutarlo se prova il tuo dolo (eri d’accordo con il truffatore o hai simulato la frode) oppure la tua colpa grave.

La colpa grave, però, è molto più di una distrazione. Ricorre solo quando il comportamento è così imprudente da azzerare ogni cautela minima: pensa a chi comunica spontaneamente a uno sconosciuto, magari più volte, le credenziali complete e i codici di autenticazione, ignorando avvisi chiari e palesi. Nella pratica è un’ipotesi rara, perché le frodi moderne sono costruite apposta per sembrare comunicazioni legittime: loghi perfetti, numeri di telefono che risultano quelli della banca, messaggi che si inseriscono nello stesso thread degli SMS reali.

Per questo cadere in una truffa ben congegnata, da solo, non equivale a colpa grave. Il giudice valuta caso per caso quanto fosse riconoscibile l’inganno: più la frode era sofisticata, più difficile sarà per la banca dimostrare che tu sia stato gravemente negligente.

Cosa fare subito, passo per passo

La rapidità è decisiva, sia per recuperare i soldi sia per rafforzare la tua posizione. Ecco la sequenza.

1. Disconosci l’operazione e blocca lo strumento. Appena ti accorgi dell’addebito, contatta la banca (numero verde, app, filiale) e dichiara formalmente di non aver autorizzato l’operazione. Chiedi il blocco immediato di carta, conto online o app di pagamento, e fatti dare conferma scritta dell’orario della segnalazione.
2. Presenta un reclamo scritto. Invia alla banca un reclamo formale (PEC o raccomandata A/R), descrivendo i fatti, indicando le operazioni contestate, gli importi e le date, e chiedendo espressamente il rimborso. La banca ha un termine per risponderti; conserva ogni ricevuta.
3. Se non rimborsa, rivolgiti all’ABF. In caso di risposta negativa o di silenzio, puoi presentare ricorso all’Arbitro Bancario Finanziario (ABF), un organismo che decide le controversie tra clienti e banche in modo più rapido ed economico di una causa. In alternativa o in aggiunta resta sempre possibile la causa civile davanti al giudice ordinario.
4. Sporgi denuncia o querela. Recati dalle forze dell’ordine (Polizia Postale, Carabinieri) e presenta denuncia/querela per frode informatica, reato previsto dall’art. 640-ter del Codice penale. La denuncia documenta la natura illecita dell’accaduto e spesso è richiesta dalla banca nell’istruttoria.

Sul fronte dei tempi di rimborso: la regola generale prevede che, una volta segnalata l’operazione non autorizzata, la banca restituisca la somma entro la giornata operativa successiva alla segnalazione, riportando il conto allo stato in cui si trovava. La banca può sospendere il rimborso solo se ha un motivato sospetto di frode da parte tua, comunicandolo per iscritto: non è un alibi per rinviare a tempo indeterminato.

La franchigia dei 50 euro e quando non si applica

La legge prevede, per le operazioni non autorizzate compiute con uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente, una franchigia a carico del cliente: storicamente fissata fino a 50 euro, è la quota di perdita che in linea di principio resta a tuo carico anche quando il resto ti viene rimborsato.

Attenzione, però, perché questa franchigia ha importanti eccezioni e non si applica quando:

• l’utilizzo indebito non poteva essere notato dal cliente prima del pagamento (cioè non potevi accorgerti per tempo della sottrazione);
• la perdita è stata causata da atti o omissioni della banca o di un suo dipendente;
• la banca non ha richiesto l’autenticazione forte (SCA) dove era obbligatoria.

In questi casi la franchigia salta e il cliente in buona fede non sopporta nemmeno i 50 euro. Resta inteso che se invece il cliente ha agito con dolo o colpa grave, il discorso franchigia non lo aiuta affatto: in quel caso può perdere l’intero importo. I dettagli numerici esatti e i casi puntuali di esclusione vanno sempre verificati sul testo aggiornato del d.lgs 11/2010 e sulle istruzioni della Banca d’Italia.

Un caso pratico: Tizio, Caio e Sempronio

Tizio riceve un SMS che sembra della sua banca, lo apre perché finisce nello stesso thread dei messaggi veri, clicca un link e inserisce le credenziali su un sito clone perfetto. Poche ore dopo gli svuotano il conto. Tizio disconosce subito, blocca tutto, fa reclamo e denuncia. La banca prova a dire che «l’operazione risulta autenticata», ma non dimostra una sua colpa grave: l’inganno era sofisticato e non riconoscibile. Tizio ha ottime probabilità di essere rimborsato, in linea con la Cassazione 2024.

Caio subisce la stessa truffa, ma scopre che la banca non aveva attivato l’autenticazione forte sui bonifici online. Qui la posizione della banca è ancora più debole: senza SCA dove era dovuta, non solo deve rimborsare, ma non può nemmeno applicare la franchigia dei 50 euro.

Sempronio, invece, riceve diverse telefonate da un «operatore», viene avvisato più volte dalla banca con messaggi che dicono espressamente di non comunicare i codici, eppure detta al truffatore tutti i codici usa-e-getta uno dopo l’altro autorizzando lui stesso i bonifici. Qui la banca può sostenere la colpa grave: il rimborso diventa molto incerto. La differenza, come si vede, non è nell’aver subito la frode, ma in quanto era riconoscibile e in cosa hai concretamente fatto o ignorato.

In sintesi: parti dal presupposto che il rimborso ti spetti, muoviti in fretta, metti tutto per iscritto e non accettare un rifiuto generico. L’onere di provare la tua colpa grave è della banca, e nelle frodi ben costruite è un onere tutt’altro che facile.