Phishing e bonifico fraudolento: quando la banca rimborsa

Le illustrazioni di questa pagina sono schemi tecnici vettoriali realizzati dallo studio a fini divulgativi: non rappresentano casi reali e potranno essere sostituiti con immagini editoriali. Le tutele concrete dipendono dalle circostanze del singolo caso.

Quando un cliente bancario riceve un'e-mail apparentemente autentica, inserisce le proprie credenziali su un sito clone e si ritrova con il conto svuotato da un bonifico fraudolento, la domanda immediata è: il phishing rimborso banca lo prevede? La risposta è sì, in molti casi, perché il D.lgs. 11/2010 — che recepisce la direttiva europea sui servizi di pagamento, la cosiddetta PSD2 — pone sull'istituto l'onere di provare che il cliente ha agito con dolo o colpa grave. Se la banca non ci riesce, il rimborso delle operazioni non autorizzate è dovuto.

Questo articolo è pensato per tre destinatari: il privato che ha subito una frode bancaria e vuole capire come tutelarsi; l'imprenditore o il professionista che gestisce conti aziendali e teme conseguenze patrimoniali; il collega avvocato che cerca un quadro normativo affidabile su cui impostare la difesa, eventualmente con il supporto di un consulente informatico-forense.

Come funziona un attacco phishing bancario

Il phishing bancario è una tecnica di ingegneria sociale che sfrutta la credibilità dei marchi degli istituti di credito per indurre le vittime a consegnare volontariamente le proprie credenziali di accesso. L'attacco inizia quasi sempre con un messaggio — e-mail, SMS (in questo caso si parla di smishing) o persino una telefonata (vishing) — che imita con cura grafica e tono il canale ufficiale della banca.

Il link contenuto nel messaggio conduce a un sito clone, costruito per essere visivamente identico alla pagina di accesso originale. La vittima inserisce username e password, e a volte anche il codice OTP inviato per confermare l'operazione. Nel frattempo i truffatori, che ricevono le credenziali in tempo reale, si autenticano sulla piattaforma vera e dispongono il bonifico verso un conto controllato da loro.

La velocità con cui l'operazione viene eseguita è uno degli elementi più critici: in molti casi i fondi vengono subito trasferiti su una catena di conti, rendendo più difficile il recupero. La violazione dell'account e il furto d'identità digitale che ne derivano possono avere conseguenze che vanno oltre il singolo prelievo, coinvolgendo l'intera identità bancaria e finanziaria della persona.

Il quadro normativo: D.lgs. 11/2010 e PSD2

Il riferimento normativo centrale è il D.lgs. 11/2010, che recepisce nell'ordinamento italiano la direttiva europea sui servizi di pagamento (PSD2, 2015/2366/UE). Questo decreto regola i diritti e gli obblighi delle parti nei contratti di servizi di pagamento, con una disciplina specifica per le operazioni di pagamento non autorizzate.

Il principio cardine è contenuto nell'articolo dedicato alla responsabilità del prestatore di servizi di pagamento per le operazioni non autorizzate: salvo che si dimostri il dolo o la colpa grave dell'utente, il rimborso è dovuto. La norma prevede che l'istituto rimborsi immediatamente l'importo dell'operazione non autorizzata e ripristini il saldo del conto nella situazione in cui si sarebbe trovato se l'operazione non avesse avuto luogo.

Il decreto stabilisce anche termini precisi per la contestazione: l'utente deve notificare senza indugio all'istituto l'operazione non autorizzata appena ne viene a conoscenza. I termini entro cui la contestazione è efficace sono indicati nel decreto stesso — il riferimento puntuale agli articoli e ai termini esatti è da verificare con il testo vigente, tenuto conto delle possibili modifiche normative successive. In ogni caso, la tempestività della contestazione è determinante.

L'autenticazione forte (SCA) e il suo peso probatorio

L'autenticazione forte del cliente, nota con l'acronimo inglese SCA (Strong Customer Authentication), è uno dei pilastri della PSD2 e del D.lgs. 11/2010. Essa richiede che le banche verifichino l'identità del cliente attraverso almeno due dei tre fattori seguenti: qualcosa che l'utente conosce (password, PIN), qualcosa che l'utente possiede (token, dispositivo mobile), qualcosa che inerisce all'utente (impronta digitale, riconoscimento facciale).

L'importanza della SCA nel contenzioso è decisiva: se la banca ha applicato correttamente l'autenticazione forte e il cliente ha comunque consegnato sia le credenziali sia il codice OTP al truffatore, la questione si sposta sulla valutazione del comportamento dell'utente. Se invece la banca non ha adottato la SCA per l'operazione contestata, l'orientamento prevalente è che la responsabilità dell'operazione non autorizzata ricada sull'istituto, indipendentemente dal comportamento del cliente.

Onere della prova: chi deve dimostrare cosa

La regola sull'onere della prova è uno dei punti più favorevoli per la vittima di phishing. Il D.lgs. 11/2010 è chiaro nell'attribuire all'istituto l'onere di provare che l'operazione è stata autorizzata dal cliente oppure che quest'ultimo ha agito con dolo o con colpa grave. In assenza di questa prova, il rimborso è dovuto.

Cosa si intende per colpa grave in questo contesto? L'orientamento prevalente tra ABF e giurisprudenza ordinaria distingue la colpa lieve — il normale errore di chi cade in una truffa ben congegnata — dalla colpa grave, che presuppone una negligenza macroscopica. Aver creduto a un'e-mail graficamente fedele, in un momento di distrazione, non raggiunge di regola la soglia della colpa grave. Diverso sarebbe il caso di chi, avvisato esplicitamente dalla banca di un tentativo di frode in corso, abbia comunque comunicato i propri codici.

È importante notare che nessuna affermazione in questo articolo costituisce una promessa sull'esito di un singolo caso: ogni vicenda va esaminata nei suoi elementi concreti. Ciò detto, il quadro normativo è strutturato in modo da tutelare l'utente ragionevolmente diligente.

Tipologie di attacco e distribuzione della responsabilità

Tipologia di attacco	SCA applicata	Comportamento cliente	Orientamento prevalente
Phishing via e-mail + sito clone	No (assenza SCA)	Inserimento credenziali su sito falso	Rimborso tendenzialmente a carico della banca
Smishing (SMS) + OTP comunicato	Parziale	OTP comunicato al truffatore dopo avviso esplicito banca	Valutazione caso per caso; rischio di colpa grave
Vishing (telefonata) + credenziali cedute	Sì (ma aggirata)	Comunicazione spontanea di PIN e password	Difficile da risolvere senza analisi tecnica specifica
Malware su dispositivo cliente	Sì	Cliente ignaro dell'infezione	Rimborso tendenzialmente dovuto; rileva perizia informatica
Frode simulata dall'utente	Irrilevante	Dolo dell'utente	Nessun rimborso; responsabilità penale

La tabella riassume orientamenti generali; l'esito concreto dipende sempre dall'analisi del caso specifico e dall'evoluzione della giurisprudenza e delle decisioni ABF.

Cosa fare subito dopo aver scoperto la frode

Le prime ore dopo la scoperta di un bonifico non autorizzato sono quelle in cui si costruisce — o si compromette — la possibilità di recuperare il denaro. Agire tempestivamente e in modo documentato fa una differenza concreta.

Il primo passo è contattare immediatamente la banca per segnalare l'operazione non autorizzata e richiederne il blocco o il richiamo. Molti istituti dispongono di procedure di emergenza che, se attivate entro poche ore, possono in alcuni casi fermare il bonifico prima che i fondi lascino definitivamente il sistema bancario europeo. Contestualmente è opportuno cambiare tutte le credenziali compromesse.

Il secondo passo, da compiere nelle ore successive, è presentare denuncia-querela alla Polizia Postale o all'Autorità Giudiziaria competente. La denuncia ha un duplice valore: avvia le indagini penali e costituisce un documento ufficiale che attesta la data in cui si è venuti a conoscenza della frode, elemento rilevante per i termini di contestazione alla banca.

Subito dopo è necessario inviare alla banca una contestazione scritta formale — meglio con raccomandata A/R o PEC — indicando che l'operazione non è stata autorizzata e richiamando la normativa sui servizi di pagamento. Conservare in modo integro tutto ciò che può documentare l'attacco è essenziale: le e-mail di phishing ricevute, gli screenshot del sito clone, i log di accesso eventualmente disponibili. Questa documentazione potrà essere analizzata in seguito dal consulente informatico-forense. Per un approfondimento sulla rilevanza processuale della prova digitale, è utile leggere anche l'articolo sul recupero di dati e prove cancellate per una causa.

ABF, accordo stragiudiziale e giudizio civile

Dopo aver presentato il reclamo formale alla banca, se la risposta è negativa o non arriva nei termini previsti, il cliente può ricorrere all'Arbitro Bancario Finanziario (ABF). L'ABF è l'organismo stragiudiziale istituito dalla Banca d'Italia per la risoluzione delle controversie tra clienti e intermediari in materia di operazioni e servizi bancari. Il ricorso è gratuito per il cliente e si svolge in forma scritta, senza necessità di comparire di persona.

Le decisioni dell'ABF in materia di phishing e operazioni non autorizzate hanno in molti casi riconosciuto il diritto al rimborso del cliente, applicando i principi del D.lgs. 11/2010 sull'onere della prova. Le decisioni non hanno forza di sentenza ma gli intermediari aderenti sono tenuti ad adeguarsi; in caso contrario il loro inadempimento viene reso pubblico, con conseguenze reputazionali significative. Per questa ragione il ricorso ABF ha nella pratica un tasso di effettività elevato.

Se l'importo in gioco è rilevante o se la banca resiste anche dopo la decisione ABF, la strada è quella del giudizio civile ordinario. Qui entrano in gioco le regole processuali generali e la necessità di documentare in modo tecnico il meccanismo della frode. Le prove digitali nel giudizio, tra cui le e-mail di phishing, i log di accesso e i metadati, acquistano rilevanza decisiva e possono richiedere una perizia informatico-forense che le valuti e le presenti in modo processualmente corretto.

Il ruolo del consulente informatico-forense

Nelle controversie più complesse — quelle in cui la banca contesta la ricostruzione dei fatti, in cui il meccanismo della frode è stato sofisticato, o in cui il giudizio civile è inevitabile — il supporto di un consulente informatico-forense può essere determinante. Questa figura professionale analizza le tracce digitali dell'attacco con metodo scientifico, producendo una relazione tecnica utilizzabile come prova nel contraddittorio.

L'analisi informatico-forense in un caso di phishing bancario può comprendere: l'esame delle intestazioni (header) delle e-mail per identificare l'origine reale del messaggio; la verifica dei metadati del sito clone per ricondurne la proprietà o il server; l'analisi dei log di accesso per stabilire con precisione orari e modalità dell'operazione fraudolenta; la valutazione delle misure di sicurezza adottate dalla banca, compreso il rispetto degli obblighi SCA.

Lo studio affianca i propri clienti — privati, imprese e colleghi avvocati — con competenze tecnico-forensi nell'ambito delle frodi informatiche, integrando l'assistenza legale con l'analisi tecnica quando il caso lo richiede. Questo approccio è lo stesso che lo studio adotta in altri ambiti che richiedono la lettura tecnica delle prove digitali, come illustrato nell'articolo sull'account violato e il furto d'identità digitale. Nessuna promessa di esito: la perizia informatica non garantisce il rimborso, ma rafforza la posizione processuale in modo documentato e verificabile.

Domande frequenti

La banca rimborsa sempre in caso di phishing?

Non sempre in modo automatico, ma il quadro normativo è favorevole alla vittima. Il D.lgs. 11/2010 (attuativo della PSD2) stabilisce che le operazioni di pagamento non autorizzate devono essere rimborsate dall'istituto, salvo che la banca provi il dolo o la colpa grave del cliente. Il semplice fatto di aver aperto un'e-mail o inserito le credenziali su un sito clone non è di per sé colpa grave, secondo l'orientamento prevalente.

Cosa si intende per autenticazione forte (SCA)?

L'autenticazione forte del cliente, o Strong Customer Authentication (SCA), è il meccanismo che richiede almeno due fattori indipendenti tra conoscenza (password), possesso (telefono, token) e inerenza (impronta, riconoscimento biometrico). Il D.lgs. 11/2010 e le norme tecniche EBA obbligano le banche ad applicarla per le operazioni a distanza. Se la banca non ha adottato la SCA, l'orientamento prevalente è che la responsabilità dell'operazione non autorizzata ricada sull'istituto.

Cosa devo fare subito se scopro un bonifico fraudolento?

Le prime ore sono decisive. È opportuno: 1) contattare immediatamente la banca per bloccare o richiamare l'operazione; 2) presentare denuncia-querela alla Polizia Postale o all'Autorità Giudiziaria; 3) conservare e-mail, screenshot, log di accesso e qualsiasi elemento che documenti l'attacco; 4) inviare formale contestazione scritta all'istituto, indicando che si tratta di operazione non autorizzata ai sensi del D.lgs. 11/2010.

Cos'è l'ABF e come funziona il ricorso?

L'Arbitro Bancario Finanziario (ABF) è l'organismo stragiudiziale istituito dalla Banca d'Italia che risolve le controversie tra clienti e intermediari bancari in materia di operazioni e servizi bancari e finanziari. Il ricorso è gratuito per il cliente, si svolge in forma scritta e la decisione viene emessa in tempi relativamente brevi. Prima di ricorrere è necessario aver presentato reclamo alla banca e attendere la risposta o il decorso dei termini. Le decisioni ABF non hanno forza di sentenza ma vincolano di fatto gli intermediari aderenti.

Quando la banca può rifiutare il rimborso per phishing?

La banca può rifiutare il rimborso se riesce a provare che il cliente ha agito con dolo (ad esempio, simulando la frode) o con colpa grave. La colpa grave è qualcosa di più del semplice aver creduto a un'e-mail credibile: richiede una negligenza macroscopica, come aver comunicato volontariamente PIN e password a terzi dopo essere stati esplicitamente avvisati del rischio. L'onere di questa prova è sempre a carico della banca, non del cliente.

Serve un consulente informatico-forense per recuperare il denaro?

Non è sempre indispensabile in fase stragiudiziale, ma può essere determinante se la banca contesta la ricostruzione dei fatti o la causa arriva in sede giudiziale. Un consulente informatico-forense può analizzare log, intestazioni e-mail, metadati di accesso e tracce digitali per documentare con precisione il meccanismo dell'attacco. Questa analisi tecnica rafforza la posizione del cliente sia davanti all'ABF sia in un eventuale giudizio civile.

Tutte le domande frequenti del sitoSfogliale raggruppate per tema e per argomentoApri l'indice FAQ →