La protezione dei clienti bancari dalle truffe informatiche come il phishing è diventata un tema centrale negli ultimi anni, soprattutto a causa del crescente utilizzo dei servizi di home banking e dei pagamenti elettronici. Quando un utente cade vittima di una truffa di phishing e si vede sottrarre somme dal proprio conto, si pone il delicato problema di capire quando la responsabilità ricade sull’istituto di credito e come agire per ottenere il risarcimento del danno subito.
Quando la banca è responsabile dopo una truffa di phishing
La responsabilità della banca in caso di truffa di phishing si basa su un principio fondamentale: la banca è tenuta a risarcire il cliente vittima di frode, a meno che non riesca a dimostrare che l’utente abbia agito con colpa grave o con negligenza evidente. In altre parole, la banca deve provare che il cliente non ha osservato le precauzioni minime richieste, ad esempio inserendo i propri codici personali su un sito chiaramente sospetto o ignorando alert di sicurezza evidenti.
Una recente sentenza della Corte di Cassazione, la numero 3780 del 2024, ha ribadito questo punto: il cliente truffato non è tenuto a dimostrare la truffa, mentre la banca deve fornire la prova che il comportamento negligente del cliente sia stato determinante nel compimento dell’operazione fraudolenta.
Secondo la sentenza citata, l’uso illecito dei codici di accesso ricade sotto la responsabilità professionale della banca e rientra nel cosiddetto rischio d’impresa. Le banche, infatti, devono adottare tutte le misure necessarie e tecnicamente adeguate per prevenire e segnalare accessi non autorizzati, come prevede la normativa europea e nazionale sui servizi di pagamento elettronico. In assenza di misure di sicurezza adeguate, la banca è tenuta a risarcire i danni causati dalla truffa, anche se avvenuta tramite tecniche sofisticate di phishing.
I casi esclusi dalla responsabilità: colpa grave e negligenza del cliente
Nonostante la tutela del cliente sia molto ampia, la giurisprudenza italiana prevede comunque delle eccezioni. La banca è infatti esonerata da responsabilità se dimostra che la condotta del cliente è stata talmente imprudente da configurare una colpa grave. Alcuni esempi tipici sono:
- Comunicazione a terzi dei propri codici dispositivi o PIN
- Inserimento delle credenziali di accesso su siti web chiaramente non sicuri o con evidenti segnali di falsa autenticità
- Mancata segnalazione tempestiva alla banca dell’operazione non autorizzata (ad esempio, attendere diversi giorni prima di bloccare la carta o avvisare la banca)
Tuttavia, il confine tra semplice distrazione e vera colpa grave viene valutato caso per caso dai giudici, considerando il livello di consapevolezza e di educazione digitale dell’utente medio. L’ABI (Associazione Bancaria Italiana) sottolinea l’importanza dell’educazione degli utenti e promuove costantemente campagne informative sui rischi del phishing e sulle migliori pratiche per evitare truffe, sottolineando che nessun operatore bancario può chiedere i codici riservati dei clienti al telefono o tramite email.
Come agire dopo essere stati vittima di phishing
Nel malaugurato caso in cui ci si accorga di essere stati vittima di una truffa bancaria tramite phishing, è fondamentale agire tempestivamente seguendo queste fasi:
- Bloccare subito la carta o il conto, contattando direttamente la propria banca tramite i canali ufficiali
- Sporgere denuncia presso le forze dell’ordine, preferibilmente presso la Polizia Postale, allegando tutta la documentazione utile come estratti conto, email ricevute, sms sospetti e qualsiasi comunicazione intercorsa con la banca
- Comunicare formalmente l’accaduto alla banca, chiedendo l’annullamento dell’operazione non autorizzata e la restituzione delle somme sottratte
Se la banca dovesse rigettare la richiesta di rimborso o non fornire risposta entro i termini di legge, il cliente può rivolgersi all’Arbitro Bancario Finanziario (ABF), un organismo indipendente che decide in modo rapido e poco costoso sulle controversie tra clienti e banche. Questo ricorso può essere presentato anche senza l’assistenza di un avvocato, ma in casi di particolare complessità è consigliabile affidarsi a un legale esperto in diritto bancario.
La documentazione necessaria e l’iter del ricorso
Per avere maggiore possibilità di ottenere un rimborso, è essenziale presentare una documentazione completa e accurata. Il fascicolo deve contenere:
- La denuncia alle autorità competenti
- Tutta la corrispondenza intercorsa con la banca
- L’estratto conto bancario che evidenzi le operazioni non autorizzate
- Eventuali messaggi o email fraudolente ricevute
- Un resoconto dettagliato delle azioni compiute prima e dopo la scoperta della truffa
L’ABF analizza il caso e, qualora stabilisca che la banca non ha adottato adeguate misure di sicurezza o non dimostri la colpa grave del cliente, può ordinare la restituzione delle somme entro termini brevi. Le decisioni dell’ABF hanno un notevole peso nei confronti degli istituti bancari, i quali difficilmente si sottraggono agli obblighi imposti per mantenere la propria reputazione e affidabilità.
In casi estremi, se anche il ricorso all’ABF si conclude negativamente, il cliente può agire in sede giudiziaria. La recente giurisprudenza tende a privilegiare il risarcimento della vittima, specie quando la banca non prova di aver fatto tutto il possibile per evitare l’uso illecito delle credenziali di accesso da parte di terzi. Spesso il maestro di diligenza richiesto agli istituti bancari è particolarmente elevato, data la pericolosità delle frodi informatiche e la costante crescita delle tecniche di ingegneria sociale adottate dai truffatori.
In conclusione, la banca è generalmente tenuta a risarcire il cliente che subisce una sottrazione illecita dal proprio conto a causa di phishing, salvo che non sia provata una negligenza grave da parte dell’utente. Essere tempestivi nella segnalazione e nella raccolta di prove è la chiave per far valere i propri diritti e ottenere il giusto ristoro economico.
