ASSOCIAZIONE CULTURALE GIURIDICAMENTE
info@giuridicamente.com
+39 3248743655
Carrello
0
0,00 €

La responsabilità della banca in caso di Phishing: come tutelarsi

06.08.2025

A cura di Avv. Beatrice Donati

Il Phishing è una delle tecniche di frode informatica più comuni e insidiose nel settore bancario. Consiste nel carpire, con modalità ingannevoli, i dati personali o le credenziali bancarie dell'utente, al fine di eseguire operazioni di pagamento non autorizzate. I mezzi utilizzati sono molteplici: SMS apparentemente provenienti dalla banca, email contraffatte o telefonate da parte di falsi operatori che inducono il cliente a rivelare i propri codici dispositivi.

L'utente, spesso in buona fede, inserisce i dati in una pagina web identica a quella ufficiale oppure comunica telefonicamente il codice OTP, senza rendersi conto di essere vittima di una frode. Pochi minuti dopo, il suo conto viene svuotato tramite bonifici o ricariche verso conti intestati a terzi.

Viene quindi da chiedersi se in questi casi, la banca è responsabile, e se sì, quali sono i rimedi di cui può avvalersi il cliente per recuperare le somme indebitamente sottratte.

In Italia, la disciplina delle operazioni di pagamento non autorizzate è contenuta nel d.lgs. 27 gennaio 2010, n. 11, che ha dato attuazione alla direttiva 2007/64/CE (PSD1) e successivamente integrato alla luce della direttiva (UE) 2015/2366 (PSD2).[1]

L'art. 10 del decreto prevede che, in caso di operazione non autorizzata, il prestatore dei servizi di pagamento (tipicamente, la banca) rimborsa al pagatore l'importo dell'operazione stessa, salvo che possa dimostrare che questa è stata eseguita correttamente e autorizzata dall'utente.[2]

Si tratta di una disposizione che attribuisce alla banca un obbligo di restituzione immediato, invertendo l'onere della prova: non è l'utente a dover dimostrare di non aver eseguito l'operazione, bensì l'istituto a dover provare il contrario. Per farlo, non basta dimostrare che sono stati utilizzati i codici giusti, ma occorre provare che il cliente ha agito in modo fraudolento o con colpa grave.[3]

Il concetto di colpa grave non è definito dal legislatore, ma viene valutato caso per caso, con un orientamento generalmente cauto da parte della giurisprudenza.

Non ogni imprudenza può infatti essere qualificata come grave: il cliente medio non ha le competenze tecniche per distinguere un messaggio fraudolento da uno autentico, soprattutto se il layout e il numero del mittente sono identici a quelli utilizzati abitualmente dalla banca.

Esempi concreti in cui solitamente non viene riconosciuta la colpa grave del cliente includono:

  • Inserimento delle credenziali in un sito esteticamente identico a quello ufficiale;
  • Comunicazione dei codici OTP durante una telefonata ricevuta da un numero registrato come "servizio clienti";
  • Mancanza di segnalazione immediata, ma senza intenzionalità o reiterazione dell'errore.

Diversamente, si può configurare colpa grave se:

  • Il cliente ha ignorato ripetuti avvisi sulla sicurezza ricevuti in precedenza;
  • Ha comunicato informazioni bancarie riservate in contesti palesemente sospetti;
  • Ha utilizzato dispositivi compromessi senza precauzioni minime.

Chi subisce un'operazione non autorizzata ha la possibilità di attivare diversi rimedi:

  1. Comunicazione immediata alla banca: la segnalazione deve essere tempestiva e documentata. La normativa consente di agire entro 13 mesi dalla data dell'addebito, ma è consigliabile non attendere.[4]
  1. Reclamo scritto: la banca ha 30 giorni per fornire risposta. In caso di rigetto, è possibile rivolgersi all'Arbitro Bancario Finanziario (ABF).
  1. Ricorso all'ABF: il procedimento è semplice, veloce (circa sei mesi) e ha un costo contenuto. In molte decisioni, l'ABF ha riconosciuto il diritto al rimborso anche quando il cliente aveva inserito i propri dati nel sito fraudolento, ritenendo che non vi fosse colpa grave.[5]
  1. Azione giudiziale ordinaria: in alternativa, è possibile intraprendere un giudizio civile fondato sulla responsabilità contrattuale dell'istituto. Questa via comporta però tempi e costi maggiori.

La giurisprudenza dell'ABF si è rivelata particolarmente favorevole alla tutela del cliente. In una decisione del Collegio di Roma del 2021, ad esempio, è stato riconosciuto il diritto al rimborso di una somma superiore ai 4.000 euro, addebitata tramite bonifici disposti a seguito di phishing. Il Collegio ha rilevato l'assenza di elementi che potessero integrare la colpa grave dell'utente, il quale aveva agito in buona fede.[6]

In altri casi, l'Arbitro ha ritenuto che la banca non avesse adottato adeguati sistemi di sicurezza e prevenzione antifrode, rilevando l'insufficienza delle misure poste in essere rispetto alla sofisticazione delle tecniche di attacco informatico.

Sebbene la normativa offra una tutela efficace, resta essenziale che l'utente adotti comportamenti responsabili. Di seguito alcune buone prassi generalmente raccomandate:

  • Non cliccare mai su link contenuti in SMS o email sospette;
  • Accedere ai servizi bancari solo tramite canali ufficiali;
  • Non condividere codici OTP via telefono o messaggistica;
  • Installare antivirus e mantenere aggiornati i dispositivi;
  • Attivare notifiche in tempo reale per ogni operazione.

Ricapitolando, il phishing rappresenta una minaccia concreta e diffusa, ma la normativa italiana offre strumenti di tutela efficaci per chi ne è vittima. Nella maggior parte dei casi, l'istituto bancario è tenuto a rimborsare l'utente, salvo che dimostri la sua colpa grave. È fondamentale agire con tempestività e documentare ogni fase della vicenda, dal reclamo all'eventuale ricorso.

A fronte di situazioni complesse o di rifiuto ingiustificato da parte della banca, è sempre opportuno avvalersi di una consulenza legale specializzata. Una gestione consapevole e scrupolosa può infatti fare la differenza tra una perdita definitiva e il pieno ristoro del danno subito.


[1] Direttiva 2007/64/CE del Parlamento europeo e del Consiglio del 13 novembre 2007 (PSD1), integrata dalla direttiva (UE) 2015/2366 (PSD2).

[2] Art. 10, d.lgs. 27 gennaio 2010, n. 11.

[3] Cass. civ., sez. I, 12 aprile 2018, n. 9158.

[4] Art. 8, comma 1, d.lgs. 11/2010.

[5] ABF, Collegio di Roma, decisione n. 1235/2021.

[6] Ibidem

Share