Testo dell'articoloVigente
Hai dato tu i codici o l’OTP al finto operatore della banca e ora temi di aver perso il diritto al rimborso? Non è così automatico. Anche se hai digitato o comunicato tu i codici, ingannato dalla telefonata, non perdi automaticamente il rimborso. La banca è tenuta a restituirti il denaro a meno che non provi la tua colpa grave (o il dolo). E provarla è raro, perché queste truffe sono costruite per ingannare anche le persone attente.
Cosa significa davvero «colpa grave»
Quando subisci un’operazione non autorizzata, la regola di base è che la banca deve rimborsarti. Lo prevede il decreto legislativo 11/2010, che ha recepito la direttiva europea sui servizi di pagamento (PSD2). L’onere della prova è a carico della banca: è lei che deve dimostrare che l’operazione è stata autenticata correttamente, registrata, e non viziata da un guasto tecnico.
La banca può rifiutare il rimborso solo in due casi: se hai agito con dolo (cioè eri d’accordo con il truffatore, ipotesi rara e da provare) oppure con colpa grave. Ma la colpa grave non è qualunque distrazione o ingenuità. È una negligenza macroscopica: un comportamento così sprovveduto da azzerare ogni minima cautela che chiunque, al tuo posto, avrebbe adottato. Una leggerezza ordinaria, l’essere caduti in un inganno ben congegnato, non è colpa grave.
La differenza è sostanziale: con la colpa lieve hai comunque diritto al rimborso (al massimo può restare a tuo carico una franchigia limitata nei casi previsti); solo con la colpa grave la banca è davvero esonerata. Per questo l’etichetta che la banca attribuisce al tuo comportamento è il vero campo di battaglia.
Perché dare i codici sotto inganno non è (di per sé) colpa grave
Il punto più importante, e meno conosciuto, è proprio questo: il fatto di aver comunicato tu i codici non costituisce, da solo, colpa grave. Conta come e perché li hai forniti.
La Corte di Cassazione, con l’ordinanza n. 23683 del settembre 2024, ha richiamato il criterio della diligenza del «banchiere prudente»: l’istituto di credito, che opera professionalmente e dispone di sistemi antifrode evoluti, deve adottare misure tecniche adeguate al livello reale del rischio. La colpa grave del cliente esonera la banca solo quando il comportamento è talmente negligente da annullare ogni cautela. E i giudici riconoscono che le frodi moderne, come lo spoofing e il vishing, sono progettate apposta per ingannare anche utenti diligenti: di conseguenza la colpa grave non è affatto automatica.
In altre parole: se sei stato vittima di una truffa sofisticata, che imitava perfettamente la tua banca, l’aver consegnato i codici è la prova che l’inganno ha funzionato, non la prova che sei stato gravemente negligente.
Gli elementi che giocano a tuo favore
La valutazione si gioca sulle circostanze concrete. Ecco gli indici che pesano nei due sensi.
| Giocano A TUO FAVORE | Giocano CONTRO di te |
|---|---|
| Il numero di telefono o il mittente SMS era identico a quello ufficiale della banca (spoofing) | Hai ignorato avvisi espliciti della banca del tipo «non chiederemo mai i tuoi codici» |
| Gli SMS-truffa erano inseriti nello stesso thread degli SMS veri della banca | L’operazione era palesemente sospetta (importi enormi, beneficiari sconosciuti) e non te ne sei curato |
| Sei finito su una pagina clonata, identica a quella reale | Hai condiviso i codici in modo reiterato e grossolano, senza alcun contesto credibile |
| L’autenticazione forte (SCA) è mancata o è stata aggirata dal truffatore | Hai comunicato i codici a fronte di richieste palesemente anomale o irrituali |
| La banca non ha bloccato operazioni anomale nonostante i suoi sistemi antifrode | Avevi già ricevuto avvertimenti specifici su quella stessa truffa |
| La truffa è stata rapida e sofisticata, con pressione psicologica e senso di urgenza |
Più indici della prima colonna ricorrono nel tuo caso, più sarà difficile per la banca sostenere la colpa grave.
Il ruolo dello spoofing e della mancata autenticazione forte
Due elementi tecnici fanno spesso la differenza. Il primo è lo spoofing: i truffatori falsificano il numero chiamante o il mittente degli SMS, così che sul tuo telefono compaia esattamente il nome o il numero della tua banca. Se ti sei fidato perché tutto sembrava autentico, la tua condotta appare ragionevole, non gravemente negligente.
Il secondo è l’autenticazione forte del cliente (SCA). La PSD2 impone alla banca di proteggere le operazioni con almeno due fattori indipendenti. Se l’operazione fraudolenta è passata senza una vera SCA, oppure se i sistemi della banca non hanno intercettato un’operazione anomala, la responsabilità si sposta verso l’istituto. Ricorda: è la banca che deve provare di aver applicato correttamente la SCA, non sei tu a dover dimostrare il contrario.
Cosa fare subito
I primi passi sono decisivi. In ordine:
- Blocca e disconosci subito. Contatta la banca tramite i canali ufficiali (non quelli del truffatore), fai bloccare carta e conto e disconosci formalmente le operazioni non autorizzate. La tempestività conta.
- Presenta un reclamo scritto. Invia un reclamo all’ufficio reclami della banca, chiedendo il rimborso e descrivendo per filo e per segno la dinamica (spoofing, SMS nel thread, pagina clonata, eventuale assenza di SCA). Conserva ogni schermata e messaggio.
- Sporgi denuncia. Presenta querela o denuncia alle forze dell’ordine per frode informatica (art. 640-ter del codice penale) e/o truffa (art. 640). Allega copia di tutto.
- Ricorri all’ABF. Se la banca rifiuta o non risponde entro i termini, puoi rivolgerti all’Arbitro Bancario Finanziario, lo strumento stragiudiziale dedicato proprio a queste controversie, prima ed eventualmente in alternativa alla causa civile.
Documentare tutto fin dal primo minuto è l’arma più efficace: è proprio sulle circostanze concrete che si decide se vi sia stata colpa grave.
La valutazione è caso per caso
Non esiste una regola automatica del tipo «hai dato i codici, quindi niente rimborso». La colpa grave si valuta caso per caso, soppesando tutti gli elementi visti sopra. A decidere è l’ABF, se hai scelto questa strada, oppure il giudice civile. Sono loro a stabilire se la tua condotta sia stata una leggerezza scusabile, di fronte a una truffa ingannevole, oppure una negligenza talmente grossolana da liberare la banca.
Per questo non bisogna arrendersi al primo «no» della banca: quel rifiuto è una posizione di parte, non un verdetto.
Un caso pratico
Tizio riceve un SMS che compare nello stesso thread dei messaggi veri della sua banca, seguito da una telefonata: sul display appare il numero ufficiale della filiale. Il sedicente operatore lo avverte di un «accesso sospetto» e gli chiede di confermare un codice per «bloccare la frode». Tizio, sotto pressione, lo comunica. Qui spoofing, SMS nel thread e urgenza giocano a suo favore: difficilmente si configura colpa grave, e il rimborso è plausibile.
Caio è nella stessa identica situazione, ma in più i sistemi antifrode della banca non bloccano un bonifico anomalo verso un beneficiario mai usato e l’operazione passa senza una vera autenticazione forte. La posizione di Caio è ancora più solida: la responsabilità pende verso la banca.
Sempronio, invece, aveva ricevuto giorni prima un avviso chiarissimo della banca («non comunicheremo mai i tuoi codici telefonicamente») e ciononostante li ha dettati a uno sconosciuto per un’operazione palesemente irrituale, ignorando ogni segnale. Qui il rischio che venga riconosciuta la colpa grave è concreto.
Tre storie simili, tre esiti diversi: la prova che, in materia di vishing, sono i dettagli a fare la differenza.
Serve un parere sul tuo caso concreto?
Questa guida spiega la regola generale, ma ogni situazione ha le sue specificità. Per un controllo sul tuo caso puoi trovare un professionista tramite Legge in Chiaro.