Truffe, ecco quando la banca deve risarcire il cliente

Truffe, ecco quando la banca deve risarcire il cliente

Le frodi digitali continuano a crescere e, insieme alle tecniche utilizzate dai criminali informatici, si evolve anche il quadro delle responsabilità.

Una recente decisione dell’Arbitro Bancario Finanziario offre infatti un’indicazione importante: anche quando il correntista cade nella trappola di una truffa ben costruita, l’istituto di credito non è automaticamente esente da responsabilità. Se i sistemi di sicurezza avrebbero potuto intercettare movimenti anomali e impedirne l’esecuzione, la banca può essere chiamata a rimborsare almeno parte delle somme sottratte.

È quanto emerge da una vicenda che ha visto protagonista un risparmiatore vittima di una sofisticata frode informatica, conclusasi con una decisione favorevole davanti all’ABF, l’organismo indipendente che si occupa delle controversie tra clienti e intermediari finanziari.

La truffa costruita per sembrare autentica

Il caso risale al novembre 2025 e rappresenta uno degli esempi più avanzati delle moderne tecniche di ingegneria sociale. La vittima ha ricevuto una serie di messaggi SMS apparentemente inviati dal canale ufficiale della propria banca. Poco dopo è arrivata anche una telefonata da un sedicente addetto dell’ufficio antifrode.

L’elemento che ha reso la truffa particolarmente credibile è stato il cosiddetto spoofing, una tecnica che permette ai malintenzionati di falsificare il numero telefonico visualizzato sul display del destinatario. In questo modo il chiamante sembrava coincidere perfettamente con il recapito ufficiale dell’istituto bancario.

Convinto di dialogare con un operatore autorizzato, il cliente ha seguito le istruzioni ricevute con l’obiettivo di “proteggere” il proprio conto corrente. In realtà stava autorizzando operazioni che hanno consentito ai truffatori di sottrarre una consistente somma di denaro.

La decisione dell’Arbitro Bancario Finanziario

La vicenda è approdata davanti al Collegio di Bologna dell’Arbitro Bancario Finanziario, che ha esaminato il comportamento di entrambe le parti.

La decisione non ha attribuito tutta la responsabilità alla banca né al cliente. Il Collegio ha infatti riconosciuto un concorso di colpa, ritenendo che il correntista abbia comunque autorizzato alcune operazioni richieste dai truffatori. Tuttavia, è stato riconosciuto anche un profilo di responsabilità dell’istituto di credito, condannato a rimborsare 6.000 euro quale risarcimento parziale delle perdite subite.

Si tratta di un pronunciamento che conferma un orientamento ormai consolidato: la sicurezza dei pagamenti elettronici non può essere scaricata interamente sul cliente.

Perché la banca è stata ritenuta corresponsabile

L’aspetto centrale della decisione riguarda il funzionamento dei sistemi di controllo interni.

Nel corso del procedimento è stato evidenziato come fossero presenti diversi elementi che avrebbero potuto far emergere immediatamente il rischio di frode. In particolare, le richieste di autorizzazione si erano concentrate in un arco temporale molto ristretto, circostanza normalmente considerata un indicatore di possibile attività anomala.

Secondo quanto sostenuto dal legale del ricorrente e accolto dal Collegio, proprio questi segnali avrebbero dovuto attivare procedure automatiche di verifica, sospensione delle operazioni o ulteriori controlli prima dell’esecuzione dei pagamenti.

L’assenza di misure sufficientemente efficaci è stata quindi considerata una carenza organizzativa imputabile all’intermediario finanziario.

Una giurisprudenza sempre più attenta alla sicurezza digitale

Negli ultimi anni l’Arbitro Bancario Finanziario e numerose decisioni della magistratura hanno progressivamente delineato un principio destinato ad assumere un peso crescente.

Le banche sono certamente tenute a garantire servizi sempre più digitalizzati e veloci, ma devono parallelamente investire in sistemi di prevenzione capaci di riconoscere comportamenti incompatibili con le normali abitudini operative dei clienti.

L’aumento degli attacchi informatici, infatti, impone agli intermediari di aggiornare continuamente gli strumenti di monitoraggio. Le frodi non si limitano più al semplice phishing tramite e-mail, ma sfruttano SMS apparentemente autentici, telefonate credibili, applicazioni di messaggistica e sofisticate tecniche di falsificazione dell’identità.

In questo scenario, pretendere che sia soltanto il correntista a difendersi diventa sempre meno sostenibile.

Lo spoofing è oggi una delle minacce più insidiose

Tra le tecniche utilizzate dai cybercriminali, lo spoofing rappresenta una delle più difficili da riconoscere.

Diversamente dalle tradizionali truffe telefoniche, in cui il numero del chiamante appare sconosciuto, questa modalità consente di visualizzare sul display il recapito reale della banca o di altri enti affidabili.

Per chi riceve la chiamata diventa quindi estremamente complicato distinguere un operatore autentico da uno fraudolento, soprattutto se il truffatore possiede già alcune informazioni personali raccolte attraverso precedenti violazioni di dati o campagne di phishing.

È proprio questa apparente legittimità a spingere molte vittime a seguire istruzioni che, in condizioni normali, avrebbero immediatamente destato sospetti.

Il ruolo della normativa europea

La vicenda si inserisce nel più ampio quadro della disciplina europea sui servizi di pagamento.

La direttiva PSD2 ha introdotto regole sempre più stringenti in materia di autenticazione forte del cliente e gestione del rischio operativo, imponendo agli istituti finanziari di adottare procedure adeguate per limitare le frodi.

Nonostante tali obblighi, nessun sistema può garantire un livello di sicurezza assoluto. Per questo motivo, quando emergono evidenti anomalie nelle operazioni effettuate, viene valutato se l’intermediario abbia realmente adottato tutte le cautele tecnologiche e organizzative richieste dalla normativa.

Le parole del legale del risparmiatore

Secondo l’avvocato Emanuele Magnani, che ha assistito il correntista nella controversia, la decisione rappresenta un segnale significativo per tutti i consumatori.

Pur riconoscendo il concorso di responsabilità del cliente, il provvedimento evidenzia che gli intermediari finanziari devono adeguare costantemente i propri sistemi di protezione all’evoluzione delle tecniche utilizzate dai truffatori.

In altre parole, la crescente sofisticazione delle frodi rende necessario un continuo investimento nella sicurezza informatica e nei meccanismi di rilevazione preventiva delle operazioni sospette.

Cosa insegna questa decisione ai correntisti

La pronuncia dell’Arbitro Bancario Finanziario non significa che ogni vittima di truffa abbia automaticamente diritto al rimborso. Ogni caso viene analizzato singolarmente, valutando il comportamento del cliente e quello della banca.

Resta però un principio importante: gli istituti di credito devono dimostrare di aver predisposto controlli realmente efficaci e proporzionati ai rischi attuali.

Per i correntisti continua a essere fondamentale mantenere la massima prudenza. Nessuna banca, infatti, chiede telefonicamente di autorizzare bonifici, spostare denaro su conti “sicuri” o comunicare codici dispositivi per mettere al riparo il conto.

Quando si ricevono comunicazioni inattese, anche se sembrano provenire da numeri ufficiali, la scelta più prudente è interrompere la conversazione e contattare direttamente il servizio clienti utilizzando esclusivamente i recapiti pubblicati sul sito ufficiale dell’istituto.

La vicenda dimostra come la sicurezza bancaria sia oggi una responsabilità condivisa. Da un lato il cliente deve prestare attenzione ai tentativi di raggiro; dall’altro gli intermediari sono chiamati a investire continuamente in tecnologie capaci di individuare comportamenti anomali prima che il danno diventi irreparabile. In un panorama in cui le truffe informatiche sono sempre più credibili e difficili da riconoscere, la tutela del risparmio passa inevitabilmente dalla collaborazione tra utenti, banche e sistemi di controllo sempre più evoluti.

Lascia un commento

Inserisci il risultato.