Truffa difficile da riconoscere, più tutele per le vittime di phishing

Il Sole 24 Ore lunedì 4 Agosto 2025 di Marisa Marraffino

Le vittime di phishing sono tutelate se la truffa è sofisticata e difficile da riconoscere. Oggi, anche per l’utilizzo dell’intelligenza artificiale, sono diventate più elaborate le tecniche di phishing, vale a dire le frodi con cui si cerca di ottenere dalla vittima password o codici di accesso, a partire dalle credenziali bancarie. Tanto che gli istituti di credito sono tenuti ad aggiornare i loro sistemi di sicurezza e a informare i correntisti sulle nuove forme di inganno. Sono questi i principi che stanno emergendo dalla giurisprudenza. Le sentenze stanno però anche confermando che il risarcimento non è riconosciuto quando il danno si sarebbe potuto evitare adottando una diligenza minima. Il phishing è regolato dagli articoli 10 e 11 del Dlgs 11/2010, in base ai quali compete al prestatore dei servizi l’onere di dimostrare la colpa grave del correntista, mentre spetta a quest’ultimo solo la prova del danno.

Correntisti risarciti

La Corte d’appello di Venezia (sentenza 699 del 17 marzo 2025) ha disposto il rimborso di oltre 100mila euro a un correntista che si era visto addebitare bollettini non autorizzati. L’istituto non aveva neppure inviato gli Sms di allerta. Secondo la Corte d’appello la banca è tenuta ad aggiornare le proprie misure di sicurezza in considerazione delle truffe sempre più elaborate.

La Corte di appello di Firenze (sentenza 1386 del 21 luglio scorso) ha confermato la pronuncia di primo grado e disposto il rimborso di oltre 74mila euro a una società di Pistoia che si era vista disporre sei bonifici nell’arco di pochi secondi perché è compito della banca aggiornare i sistemi di sicurezza e accorgersi delle anomalie dovute probabilmente all’intervento di sistemi di intelligenza artificiale. Invece, la banca non aveva inviato gli alert al cliente e non aveva bloccato le operazioni sospette.

Il Tribunale di Milano (sentenza 1514 del 21 febbraio 2025), ha deciso un caso relativo a un correntista a cui erano stati sottratti oltre 200mila euro attraverso sei bonifici bancari disposti a sua insaputa. L’uomo aveva ricevuto via chat dei messaggi apparentemente provenienti dalla propria banca e telefonate da un operatore che lo invitava a seguire la procedura di sicurezza per evitare il blocco del proprio conto. Il correntista non aveva fornito le password al truffatore ma aveva cliccato sui link che gli venivano indicati nella chat, del tutto identica a quella della propria banca. Tanto era bastato per dirottare la somma sui conti del truffatore. Il Tribunale ha escluso la colpa grave dell’utente perché gli Sms erano identici a quelli che riceveva dalla sua banca e anche le telefonate erano riconducibili al vero numero dell’istituto.

Il Tribunale di Viterbo, con la sentenza 17 dell’8 gennaio 2025, ha rimborsato a una donna circa 15mila euro, sottratti da un truffatore che era riuscito ad entrare nel suo home banking modificando il numero di cellulare associato al conto corrente ed effettuando diversi bonifici non autorizzati. La banca aveva provato a difendersi sostenendo di aver avvisato la donna del cambio di cellulare, ma non aveva prodotto i tabulati telefonici che potessero dimostrarlo.

Senza tutela

Non viene invece risarcito il correntista che tiene una condotta imprudente e negligente, come quella di digitare le proprie password dopo aver ricevuto via mail un link dal truffatore. L’orientamento della Corte di cassazione sul punto è pacifico, visto che ormai tutte le banche avvertono i propri clienti di non comunicare mai le password di accesso tramite messaggi di posta elettronica o Sms. In questi casi l’anello debole della truffa è proprio il correntista che ha il dovere di custodire con cura le proprie credenziali ed è pertanto l’unico responsabile dell’addebito. Se la banca dimostra la colpa grave del cliente non sarà tenuta a rimborsare le somme illecitamente sottratte. La cooperazione attiva dell’utente incauto interrompe infatti la responsabilità della banca (Cassazione, sentenza 7214/2023).

Per la stessa ragione non viene rimborsato l’utente che, dopo aver cliccato su un link esca via mail, comunica telefonicamente i propri codici di sicurezza al finto operatore. Anche in questo caso (Tribunale di Taranto, sentenza 589 del 13 marzo 2025,) la banca aveva effettuato numerose campagne informative contro le truffe online e aveva predisposto un codice di autenticazione forte per le operazioni.

La partita si gioca tutta sul livello di accortezza ritenuto necessario da parte del correntista. Se ormai le banche non risarciscono il cliente che “abbocca” alla mail o allo Sms inviato dal criminal-hacker con errori grammaticali o sintattici, come a più riprese ha precisato l’Arbitrato bancario finanziario (ad esempio ABF Torino, 15328/2022), negli altri casi bisogna valutare se l’istituto di credito abbia adottato tutte le misure di sicurezza necessarie e se l’utente cionostante abbia tenuto comportamenti ingenui.

Rileva anche l’età della vittima. Così il Tribunale di Siracusa (sentenza 2084/2023) non ha risarcito a una correntista la somma di 19mila euro, che le era stata sottratta dopo che aveva cliccato su un link neppure lontanamente riconducibile al sito web della banca e aveva fornito al phisher le proprie credenziali. La condotta è stata ritenuta gravemente negligente anche perché la vittima era giovane e avrebbe dovuto riconoscere la truffa.

Né ha ottenuto il rimborso un uomo di Napoli che aveva ricevuto sei messaggi sul cellulare con la richiesta di contattare l’asserito numero verde della banca per ragioni di sicurezza. L’uomo aveva chiamato il finto numero e digitato i codici di sicurezza. Aveva così autorizzato un bonifico di circa 10mila euro che il giorno successivo aveva tentato di bloccare senza esito. Per il Tribunale di Napoli (sentenza 9763/2024) la colpa grave del cliente è lampante, perché il messaggio proveniva da un numero sconosciuto ma aveva inserito i propri codici senza verificare a chi appartenesse.