Ultimo aggiornamento: 5 Maggio 2026
In sintesi. Sei stato vittima di una truffa online — un finto messaggio dalla banca, una telefonata che ha ottenuto i tuoi codici, un bonifico partito senza il tuo consenso reale — e ti sei accorto della sottrazione quando il denaro era già sparito. Questa guida spiega in modo chiaro cosa fare nelle prime ore, perché la legge prevede che la banca rimborsi il cliente in caso di operazioni non autorizzate, e in quali situazioni l’intermediario può andare esente da responsabilità solo dimostrando una “colpa grave” del cliente che la giurisprudenza interpreta in senso sempre più restrittivo.
Le prime ore sono decisive
Se hai appena scoperto la frode, fai queste cose prima di tutto il resto. L’ordine conta.
- Blocca subito la carta o il dispositivo. Chiama il numero di emergenza della tua banca o della società emittente della carta. La maggior parte degli istituti ha un numero verde attivo 24 ore su 24. Comunica che vuoi bloccare immediatamente il pagamento, la carta, l’home banking. Conserva il riferimento della chiamata (orario, nome dell’operatore, numero di pratica se te lo dà).
- Recupera ogni traccia del raggiro. Salva i messaggi (email, SMS, WhatsApp), gli URL dei finti siti su cui hai cliccato, gli screenshot del telefono, i numeri da cui ti hanno chiamato, l’orario delle operazioni. Non cancellare nulla. È il materiale probatorio che servirà in seguito.
- Disconosci formalmente l’operazione presso la banca. Va inviata, idealmente entro 24-48 ore e comunque al più presto, una comunicazione scritta alla banca (PEC o raccomandata) in cui dichiari di non aver autorizzato l’operazione, ne chiedi la riaccredito sul tuo conto, e diffidi la banca dall’effettuare ulteriori movimenti. La normativa europea pone termini molto stringenti per la denuncia, e perderli può compromettere il diritto al rimborso.
- Sporgi denuncia ai Carabinieri o alla Polizia Postale. È un passaggio sostanzialmente obbligato: la denuncia documenta la tua estraneità all’operazione, attiva l’attività di indagine, e nei casi in cui la banca contesti il rimborso costituisce elemento di prova essenziale. Conserva la copia della denuncia.
- Non rispondere a “chi ti chiama dalla banca per aiutarti”. Una delle tecniche più diffuse è quella del falso operatore di sicurezza che, dopo aver visto il primo addebito, chiama la vittima fingendosi dipendente della banca o della Polizia Postale per “annullare l’operazione”. Quasi sempre serve a estorcere altri codici e completare lo svuotamento del conto. La banca vera non chiama mai chiedendo OTP, PIN, codici dispositivi o credenziali. Se ricevi una chiamata sospetta, riaggancia.
Le frodi più diffuse, oggi
Per costruire la difesa serve capire come si è consumata la truffa. I modelli ricorrenti sono cinque, e ognuno ha implicazioni giuridiche diverse.
Phishing classico. Email o SMS che imitano la grafica della banca e invitano a cliccare su un link per “verificare l’account”, “sbloccare la carta”, “confermare un’operazione”. Il link porta a un sito-clone dove la vittima inserisce credenziali e OTP, che vengono catturati in tempo reale.
Smishing e vishing. Variante via SMS (smishing) o via telefono (vishing). I messaggi simulano comunicazioni urgenti della banca o del corriere, contengono un numero da chiamare o un link da cliccare. Le telefonate utilizzano tecniche di spoofing del numero: sul display della vittima compare il vero numero della banca, perché il chiamante ha falsificato il caller-ID.
Frode con SPID violato. Negli ultimi anni si è diffusa una variante particolarmente grave: i truffatori, raccolti dati personali (codice fiscale, documento, residenza), riescono ad attivare uno SPID intestato alla vittima presso un nuovo gestore di identità. Con quello SPID accedono ai conti bancari online, ai cassetti fiscali, ai servizi INPS e completano lo svuotamento. La vittima si accorge spesso solo a operazioni concluse.
Sostituzione del numero di telefono (SIM swap). Il truffatore, con dati raccolti via phishing o tramite documenti falsi, ottiene dall’operatore telefonico una nuova SIM intestata alla vittima. Da quel momento gli OTP via SMS arrivano sul telefono del truffatore, e il sistema bancario vede operazioni “regolarmente autorizzate” tramite il secondo fattore.
Manomissione del bonifico (man-in-the-middle). Tipica delle frodi al business: il truffatore intercetta una corrispondenza commerciale, sostituisce le coordinate IBAN nelle email che fattura/ordina/conferma, e dirotta il bonifico verso un proprio conto. La vittima è convinta di pagare il fornitore vero.
In tutti e cinque i casi la legge italiana — in attuazione della direttiva europea sui servizi di pagamento — prevede una specifica disciplina sulla responsabilità della banca. Vediamola.
La regola di base: in caso di operazione non autorizzata, la banca rimborsa
Risposta diretta. Quando un’operazione di pagamento non è stata autorizzata dal titolare del conto, la legge prevede che l’intermediario debba rimborsare immediatamente la somma sottratta, riportando il conto nello stato in cui sarebbe stato senza l’operazione. È la regola generale della disciplina europea recepita in Italia con il decreto legislativo 11/2010, modificato per attuare la direttiva PSD2.
La logica è semplice e va spiegata senza ambiguità al cliente: il rischio di frode informatica grava sulla banca, non sul cliente. La banca offre al pubblico un servizio di pagamento elettronico e incassa per quel servizio: è lei che deve garantire la sicurezza del sistema. Se il sistema viene violato, la perdita ricade in primo luogo sull’intermediario.
Questa regola non è una concessione benevola: è il presupposto stesso del funzionamento del mercato dei pagamenti. Se il rischio gravasse sul cliente, nessuno userebbe servizi di home banking.
L’onere della prova è della banca
Un punto tecnico fondamentale, che cambia gli equilibri di ogni controversia: in caso di operazione contestata, non spetta al cliente provare di non averla autorizzata. È la banca che deve dimostrare che l’operazione è stata autenticata, correttamente registrata, contabilizzata, e che non ha subìto malfunzionamenti.
Il decreto legislativo 11/2010 contiene una norma chiave su questo punto: l’utilizzo dello strumento di pagamento da parte del cliente, di per sé, non basta a dimostrare che il cliente abbia autorizzato l’operazione, agito in modo fraudolento o omesso con dolo o colpa grave gli obblighi di custodia delle credenziali. La prova che è andata oltre il semplice “uso tecnico dello strumento” tocca alla banca.
Tradotto: se la banca dice “ma il bonifico è partito col suo SPID e con il suo OTP, quindi è autorizzato”, non basta. Deve dimostrare che il cliente ha consapevolmente — o con colpa grave — fornito quelle credenziali al truffatore. È un’asticella alta.
L’autenticazione forte e la sua “tenuta”
La normativa europea ha introdotto un concetto centrale: la strong customer authentication (autenticazione forte del cliente). Per le operazioni online significative la banca deve verificare l’identità del cliente attraverso almeno due fattori indipendenti, scelti tra:
- qualcosa che il cliente conosce (password, PIN);
- qualcosa che il cliente possiede (token, smartphone, dispositivo dedicato);
- qualcosa che il cliente è (impronta digitale, riconoscimento facciale).
Il punto è cruciale per il contenzioso: quando una frode è andata a buon fine nonostante il sistema di autenticazione forte fosse attivo, due ipotesi si presentano. O il sistema di sicurezza della banca presenta una vulnerabilità tecnica (allora la banca risponde a maggior ragione), oppure il truffatore ha ottenuto i fattori di autenticazione attraverso un’azione sofisticata che ha eluso il sistema (e qui la banca tende a sostenere la “colpa grave” del cliente per aver “consegnato” le credenziali).
Su quest’ultimo punto la giurisprudenza italiana ed europea sta tracciando linee sempre più favorevoli al cliente, riconoscendo che le tecniche di phishing moderno sono talmente raffinate — siti-clone perfetti, messaggi che imitano la comunicazione vera, telefonate di operatori che conoscono dati personali della vittima — che cadere nella trappola non equivale a colpa grave.
Quando la banca dice “lei ha consegnato le credenziali, è colpa sua”
È la difesa standard che molte banche oppongono al cliente che chiede il rimborso. La frase tipica nelle lettere di rifiuto è: “L’operazione è stata regolarmente autenticata mediante credenziali a Lei riservate; pertanto la banca non risponde dell’evento”. Capire perché questa affermazione, spesso, è insufficiente è la chiave per la difesa.
Cosa è la “colpa grave” del cliente
La banca può andare esente da responsabilità solo dimostrando che il cliente ha agito con colpa grave o con dolo nella custodia o nell’uso delle credenziali. Sono concetti tecnici che non coincidono con qualsiasi disattenzione: la colpa grave esige una negligenza inescusabile, una deviazione macroscopica dalle regole di prudenza che ogni persona avveduta osserverebbe.
La giurisprudenza ha valorizzato alcuni principi che pesano molto a favore del cliente:
La sofisticazione della truffa. Quando l’attacco utilizza siti-clone perfetti, telefonate con spoofing del numero della banca, messaggi che riproducono fedelmente la grafica e il linguaggio dell’intermediario, il cliente medio non è in grado di distinguere il falso dal vero. Cadere nella trappola in queste condizioni non è “colpa grave” ma una vulnerabilità che ricade sul sistema.
L’omessa adozione di misure di sicurezza da parte della banca. Se la banca non ha implementato presidi avanzati (analisi comportamentale dei pagamenti, geolocalizzazione, blocco automatico di operazioni anomale), l’eventuale “imprudenza” del cliente non assorbe la mancanza di sicurezza dell’infrastruttura.
Le anomalie ignorate dal sistema. Spesso le frodi presentano segnali oggettivi: bonifico verso paese a rischio, importo molto superiore alla media del cliente, orario notturno, operazioni multiple ravvicinate. Quando questi segnali vengono ignorati dai sistemi antifrode, la banca ha mancato a un proprio dovere e non può scaricare l’esito sul cliente.
La proporzione dell’operazione rispetto alla disponibilità. Quando il bonifico fraudolento svuota completamente un conto consumer in un’unica operazione, l’evento esce dal range tipico del cliente e avrebbe dovuto attivare i presidi di controllo.
In molte vicende processuali queste argomentazioni hanno portato i tribunali a condannare la banca al rimborso integrale, senza alcuna riduzione per “concorso di colpa” del cliente.
I log informatici e la trasparenza dei sistemi
Un punto tecnico in evoluzione, su cui la giurisprudenza recente sta lavorando, riguarda l’utilizzabilità in giudizio dei log informatici prodotti dalla banca per dimostrare l’autenticazione dell’operazione. La banca, in causa, tipicamente produce stampe dei propri sistemi che attestano l’avvenuta autenticazione, l’IP del client, l’orario, la corrispondenza dei codici. Sono documenti che la banca stessa genera e custodisce, e questo solleva un problema di affidabilità probatoria.
L’orientamento giurisprudenziale più recente sta valorizzando la necessità che questi documenti rispettino requisiti tecnici di integrità e immodificabilità (firma digitale, marcatura temporale, audit trail certificato), e sta riconoscendo al cliente il diritto di contestare con consulenza tecnica di parte le risultanze dei log bancari.
In altre parole: la stampa di una schermata interna della banca, da sola, non può più costituire prova schiacciante a sfavore del cliente. È un’evoluzione importante che restituisce al contenzioso un equilibrio probatorio più equo.
Le vie di tutela: dal reclamo alla causa
Riassumiamo gli strumenti a disposizione della vittima di frode bancaria, in ordine logico di attivazione.
1. Reclamo formale alla banca
Primo passo, sempre. Va inviato per PEC o raccomandata, con descrizione dettagliata dei fatti, allegando ogni documento utile (denuncia, screenshot, evidenze del raggiro), chiedendo il rimborso e fissando un termine breve. La banca ha 60 giorni per rispondere; il silenzio o il rifiuto apre la strada agli strumenti successivi.
2. Ricorso all’Arbitro Bancario Finanziario
L’ABF è particolarmente adatto al contenzioso da frode bancaria, soprattutto quando l’importo rientra nei limiti di valore previsti. Procedura semplificata, costi contenuti, tempi ragionevoli, decisione motivata. La banca generalmente si conforma alla pronuncia, anche per ragioni reputazionali.
3. Ricorso d’urgenza
Quando la frode ha colpito un conto utilizzato per esigenze quotidiane essenziali (stipendio, pensione, gestione familiare) e la mancata reintegrazione sta causando un pregiudizio attuale e grave, è possibile ricorrere a strumenti d’urgenza per ottenere la riaccredito provvisorio in attesa del giudizio di merito.
4. Causa di merito
L’azione ordinaria davanti al Tribunale è la sede in cui si chiude la partita: accertamento della responsabilità della banca, condanna al rimborso integrale, risarcimento del danno ulteriore (interessi moratori, spese sostenute, danno non patrimoniale quando ne ricorrano i presupposti). Le cause ben istruite, con consulenza tecnica e ricostruzione documentale dei sistemi di sicurezza della banca, hanno alte probabilità di successo.
5. Strumenti penali
In parallelo alle azioni civili, l’attività della Polizia Postale può portare all’identificazione dei truffatori e, in alcuni casi, al recupero parziale delle somme se il truffatore ha lasciato tracce o se i conti destinatari non sono stati subito svuotati. Il coordinamento tra azione civile e azione penale è una variabile importante della strategia.
Errori più frequenti
Aspettare per “vergogna”. Molti clienti, dopo una truffa, si sentono in colpa e ritardano la denuncia. È un errore: i termini per la denuncia sono stretti e ogni ora che passa peggiora la posizione.
Accettare il primo “no” della banca. La risposta standard al primo reclamo è quasi sempre il rifiuto. Non è una sentenza definitiva: gli strumenti successivi (ABF, causa) hanno tassi di successo molto più alti del reclamo iniziale.
Non conservare le evidenze. Cancellare gli SMS, archiviare le email, formattare il telefono “per sicurezza”: tutto questo distrugge prova. Va conservato esattamente come è.
Comunicare con la “banca” sui canali sospetti. Dopo la prima truffa, spesso seguono tentativi di “secondo round” via email o telefono. Vanno ignorati e segnalati.
Sottovalutare il danno collaterale. La frode bancaria tipicamente non è solo perdita economica diretta: comporta blocco di pagamenti, segnalazioni a sofferenza per scoperti generati dall’evento, danni reputazionali. La domanda di risarcimento in causa va costruita guardando all’intero pregiudizio, non solo all’importo sottratto.
FAQ — Domande frequenti
Entro quanto tempo posso disconoscere un’operazione?
I termini sono stretti: la legge richiede una comunicazione tempestiva, idealmente nelle prime ore o giorni dalla scoperta. Termini massimi specifici sono previsti dalla normativa di settore. Nel dubbio, ogni ora di ritardo è un rischio: è urgente attivarsi non appena ci si accorge dell’operazione anomala.
La banca può rifiutare il rimborso se ho cliccato sul link del phishing?
Aver cliccato su un link di phishing non equivale automaticamente a “colpa grave”. La giurisprudenza più recente valuta caso per caso la sofisticazione della truffa, le caratteristiche del messaggio fraudolento, la condotta concreta del cliente. In molti casi i tribunali hanno ritenuto che cadere in trappole sofisticate non sia colpa grave e hanno condannato comunque la banca al rimborso.
Mi hanno svuotato il conto attivando uno SPID falso a mio nome: cosa faccio?
Il caso dello SPID violato è particolarmente grave perché coinvolge sia la banca sia il gestore dell’identità digitale. La difesa si articola su più fronti: disconoscimento dell’operazione bancaria, denuncia penale, contestazione al gestore SPID, eventuale azione contro l’AgID. È una vicenda complessa che richiede assistenza tecnica specialistica fin dalle prime ore.
Cosa è la PSD2 e cosa cambia per me?
La PSD2 è la direttiva europea sui servizi di pagamento, recepita in Italia. Per il cittadino le novità più rilevanti sono: l’obbligo della banca di applicare l’autenticazione forte alle operazioni significative, la responsabilità dell’intermediario per le operazioni non autorizzate, la riduzione delle franchigie a carico del cliente in caso di frode. Sono tutele oggettivamente robuste, che spesso il cliente non conosce e che la banca non sempre ha interesse a rendere visibili.
La franchigia: quanto può chiedermi la banca anche in caso di frode?
In linea generale, in caso di operazione non autorizzata, la legge prevede una franchigia massima limitata a carico del cliente per le operazioni eseguite prima della denuncia, che si applica solo in determinate condizioni e che può essere esclusa se la banca non ha richiesto autenticazione forte o se sussistono particolari circostanze. È un dettaglio tecnico ma può fare la differenza in cifre.
Le frodi sui conti aziendali sono trattate diversamente?
In parte sì. Per le piccole imprese e i professionisti la disciplina di tutela è simile a quella del consumatore. Per i clienti business più strutturati alcuni istituti consentono accordi che derogano alle tutele standard, ma queste deroghe sono valide solo entro precisi limiti. Anche le imprese, in caso di frode, hanno strumenti di tutela importanti.
Cosa succede se la mia banca ha contratti che dichiarano la mia responsabilità totale?
Le clausole contrattuali che pongono a carico del cliente la responsabilità per operazioni non autorizzate, in deroga alla normativa di settore, sono invalide quando il cliente è consumatore. Anche per i clienti business le deroghe hanno limiti stringenti. La banca non può sostituire con un contratto la disciplina protettiva di legge.
Se identifico il truffatore, posso chiedere il risarcimento direttamente a lui?
Sì, è possibile costituirsi parte civile nel procedimento penale e chiedere il risarcimento al responsabile della frode. Tuttavia, nei casi di truffe online organizzate, il truffatore è spesso irreperibile, all’estero o con patrimoni inattaccabili. La via principale per il rimborso resta quella della responsabilità della banca, che è solvibile e identificabile.
Quanto dura una causa per frode bancaria?
I tempi variano in funzione del tribunale, della complessità del caso, dell’eventuale necessità di consulenza tecnica d’ufficio per analizzare i sistemi di sicurezza della banca. Nei casi standard si parla di un paio d’anni, ma molti casi si chiudono prima con transazione una volta che la banca valuta il rischio processuale.
Conviene fare prima ABF o subito causa?
Dipende dall’importo e dalla complessità del caso. Per somme contenute e con prove solide l’ABF è spesso lo strumento più efficiente. Per somme rilevanti, casi complessi, o quando occorre consulenza tecnica approfondita, la causa di merito offre maggiori possibilità istruttorie. Una valutazione preliminare con un avvocato esperto consente di scegliere la strada giusta.
Conclusione
La frode bancaria non è un evento contro cui il cliente è disarmato. Il quadro normativo europeo e italiano pone in capo alla banca un dovere di sicurezza e una responsabilità presunta per le operazioni non autorizzate, dalla quale l’intermediario può sottrarsi solo dimostrando rigorosamente la colpa grave o il dolo del cliente — un’asticella che la giurisprudenza più recente sta interpretando in modo sempre più favorevole alla vittima.
La chiave, come in tutti i contenziosi bancari, è muoversi presto: bloccare lo strumento, conservare le prove, denunciare, attivare la richiesta di rimborso scritta, valutare lo strumento di tutela più adatto. Le banche tendono a respingere il primo reclamo nella speranza che il cliente desista; chi va avanti con strumenti adeguati ha ottime possibilità di recuperare integralmente o larga parte di quanto sottratto.
Lo Studio Legale Mondello assiste vittime di phishing e frodi bancarie in tutto il territorio nazionale, dalle prime fasi del disconoscimento e della denuncia fino alla causa civile per il rimborso, con patrocinio in Cassazione e nelle giurisdizioni superiori, e con consulenze tecniche specialistiche sui sistemi di sicurezza degli intermediari.
Letture correlate
- Contenzioso Bancario e Riscossione: la guida completa
- Segnalazione a sofferenza in Centrale Rischi: come difendersi e ottenere la cancellazione
- Opposizione a decreto ingiuntivo bancario: cosa fare nei 40 giorni
- Fideiussione firmata in famiglia: quando si può uscire dalla garanzia
- Concessione abusiva di credito: la difesa del fideiussore
Tutti i contenuti sono di carattere generale e non sostituiscono una valutazione professionale del caso concreto. Per assistenza legale personalizzata, contattare direttamente lo Studio.