Il furto di denaro tramite phishing rappresenta oggi una delle più gravi minacce per chi utilizza servizi bancari online. Questa pratica fraudolenta si manifesta attraverso email, SMS o telefonate che imitano le comunicazioni ufficiali delle banche, inducendo il cliente a rivelare inconsapevolmente dati sensibili come password o codici di accesso. Quando si scopre di essere vittima di phishing e di aver subito il furto dei propri soldi, la reazione tempestiva è fondamentale sia per tentare di recuperare le somme perse sia per attivare la responsabilità legale della banca. La legislazione e le sentenze più recenti stabiliscono precisi compiti e obblighi in capo agli istituti di credito per tutelare i correntisti.
Obblighi immediati della banca secondo la normativa italiana ed europea
La legge italiana, in armonia con la normativa comunitaria, impone alle banche l’obbligo di rimborsare il cliente ogni volta che egli subisce una perdita economica generata da operazioni non autorizzate, salvo specifiche eccezioni. Il punto centrale di riferimento legislativo è l’articolo 11 del D.Lgs. 11/2010, che recepisce la Direttiva UE 2007/64/CE e la Direttiva UE 2015/2366 (PSD2). Questa legge tutela i correntisti indicando che, qualora venga riscontrata un’operazione di pagamento eseguita senza il consenso esplicito del titolare, la banca deve rimborsare immediatamente l’importo sottratto, di norma entro il termine massimo della successiva giornata operativa. Questo significa che la banca non può ritardare o procrastinare il risarcimento quando l’operazione è chiaramente fraudolenta.
Responsabilità oggettiva e requisiti di diligenza per gli istituti di credito
La responsabilità della banca si basa sul principio che la gestione di servizi di pagamento è considerata per legge un’attività pericolosa, ai sensi dell’articolo 2050 c.c.. Per questo, la banca deve adottare un livello elevato di diligenza tecnica e contrattuale, implementando tutte le misure di sicurezza necessarie per prevenire le frodi, dalla due-factor authentication (autenticazione a due fattori) all’invio sistematico di SMS di allerta ogni volta che viene effettuata una movimentazione anomala sul conto. Se la banca omette tali strumenti di controllo e prevenzione, la colpa ricade interamente sull’istituto e il cliente ha diritto ad essere rimborsato totalmente.
Solo nel caso in cui l’utente abbia agito con dolo o colpa grave – ad esempio fornendo volontariamente informazioni riservate ai truffatori o trascurando misure di sicurezza raccomandate dalla banca – l’istituto può essere esonerato da responsabilità. In ogni altra circostanza, la banca deve dimostrare di aver adottato tutte le cautele possibili come previsto dal principio di buona fede contrattuale (art. 1176 co. 2 c.c.), oltre ad adottare un serio controllo tecnico per la valutazione della prevedibilità e della evitabilità di azioni fraudolente.
Casi particolari e sentenze recenti
- Phishing avanzato: Quando la truffa sfrutta tecniche evolute come la clonazione dei numeri di telefono dell’assistenza clienti o messaggi e email praticamente indistinguibili da quelle ufficiali, la responsabilità resta quasi sempre in capo alla banca. La Corte di Cassazione (sentenza n. 3780 del 12 febbraio 2024) rechiede che l’istituto di credito valuti il rischio d’impresa includendo anche la possibilità di uso di tecniche di phishing, costringendo così le banche ad elevati standard di protezione.
- Mancato invio di SMS e autenticazione non rinforzata: La Corte conferma che la mancata adozione di sistemi di alert o autenticazione forte è motivo di responsabilità per l’istituto, che dovrà rimborsare integralmente la vittima.
- Inazione su segnalazione immediata: Se il cliente segnala tempestivamente la frode, la banca deve agire immediatamente per bloccare le operazioni non autorizzate e procedere al risarcimento. Una giurisprudenza recentissima (Tribunale di Ragusa, sentenza n. 420 del 7 marzo 2024) ha punito l’inattività della banca che, pur avendo avuto conoscenza dell’acquisizione illegittima di credenziali e password, non ha provveduto subito al blocco del conto.
Cosa fare se sei vittima di phishing: azioni pratiche e diritti del cliente
La tempestività è fondamentale per garantire la tutela dei propri diritti in caso di furto di denaro da phishing. Una volta che ci si accorge della frode, occorre procedere immediatamente con le seguenti operazioni:
- Blocco immediato della carta o del servizio di home banking, tramite chiamata o accesso agli strumenti di sicurezza forniti dalla banca.
- Comunicazione scritta (tramite raccomandata, PEC o modulo ufficiale) alla banca dell’accaduto, presentando un’istanza formale di rimborso che richiami la normativa vigente e le sentenze di riferimento.
- Conservazione di ogni prova, come email e SMS sospetti, storico degli accessi e movimenti di conto, da allegare alla denuncia e alla richiesta di rimborso.
- Eventuale denuncia ai Carabinieri o alla Polizia Postale, che permetterà di consolidare la richiesta e facilitare un accesso prioritario ai fondi sottratti.
È fondamentale fornire alla banca tutte le informazioni utili per dimostrare la mancanza di autorizzazione nell’operazione. La banca, invece, ha l’onere probatorio inverso: deve dimostrare di aver adottato tutte le misure di sicurezza necessarie e di aver agito con la diligenza richiesta per tutelare il cliente. In caso contrario, sarà obbligata a risarcire immediatamente le somme sottratte.
Prevenzione, educazione e ruolo delle istituzioni
Le iniziative di educazione e prevenzione sono diventate centrali nella strategia delle banche. L’ABI (Associazione Bancaria Italiana) promuove costantemente campagne di sensibilizzazione rivolte ai clienti, con l’obiettivo di accrescere la consapevolezza sulle modalità di phishing più diffuse e sui comportamenti corretti da tenere per evitare situazioni di rischio.
Per ridurre il rischio di attacchi informatici, le banche aggiornano di continuo i sistemi di cybersecurity, introducono strumenti di autenticazione sempre più sofisticati e sviluppano processi di monitoraggio delle operazioni sospette. L’integrazione di tecnologie di intelligenza artificiale, l’analisi automatica delle transazioni e l’educazione sistematica dei clienti restano i pilastri fondamentali per contrastare la crescita esponenziale delle frodi online.
Infine, il cliente deve sempre restare vigile, non comunicare mai le proprie credenziali via email o telefono e segnalare alla banca qualsiasi anomalia riscontrata. La normativa garantisce una ampia tutela: la banca in caso di phishing è obbligata ad agire subito, a rimborsare le somme perdute e a implementare costantemente efficaci misure di sicurezza, salvo possa provare una responsabilità grave del cliente stesso.
