Ogni anno milioni di italiani subiscono truffe informatiche attraverso i canali dell'home banking: phishing via email, smishing via SMS, vishing con telefonate false, SIM swapping. La domanda che pone ogni vittima è sempre la stessa: la banca è obbligata a rimborsarmi? La risposta, in base alla giurisprudenza più aggiornata, è spesso sì — a condizione di muoversi nel modo corretto e tempestivo.
Il correntista che si vede prosciugare il conto da bonifici che non ha mai disposto vive un'esperienza di smarrimento totale: la violazione non avviene per strada, ma dentro la propria banca, attraverso i canali tecnologici che dovrebbero garantire sicurezza. Eppure la prima risposta delle banche è quasi invariabilmente la stessa: colpa tua. L'operazione è stata autenticata, i codici erano corretti, il sistema ha funzionato. Questa difesa, per quanto formalmente plausibile, viene oggi respinta con crescente fermezza dalla giurisprudenza italiana, che ha progressivamente spostato il baricentro della responsabilità verso l'istituto di credito.
Il fondamento normativo di questo orientamento è solido. Il D.Lgs. n. 11 del 2010, attuativo della Direttiva PSD europea sui servizi di pagamento, stabilisce in modo inequivoco che, quando il cliente disconosce un'operazione non autorizzata, spetta al prestatore del servizio di pagamento — cioè alla banca — dimostrare che l'operazione è stata autenticata correttamente, che non vi sono stati malfunzionamenti tecnici e che il cliente ha agito con dolo o colpa grave. In assenza di tale prova, la banca è obbligata al rimborso immediato dell'intera somma. Questo meccanismo di inversione dell'onere probatorio è la chiave di volta dell'intera tutela.
Si aggiunge a questo il quadro codicistico. L'art. 1218 del Codice civile impone alla banca, quale debitore inadempiente, di dimostrare che il mancato funzionamento in sicurezza del servizio derivi da causa a essa non imputabile. Gli artt. 1176, secondo comma, e 1856 c.c. richiedono alla banca la diligenza qualificata dell'accorto banchiere, assai più elevata di quella del buon padre di famiglia, proprio perché l'istituto è un operatore professionale che gestisce risorse altrui. Il collegamento tra questi principi e la responsabilità per frodi informatiche non è automatico, ma è stato costruito dalla giurisprudenza con coerenza crescente.
Il rischio professionale della banca e l'orientamento della giurisprudenza recente
Il concetto centrale che regge tutta l'architettura giurisprudenziale in materia è quello di rischio professionale. La possibilità che terzi si appropriino fraudolentemente delle credenziali di accesso al conto corrente di un cliente — attraverso phishing, smishing, vishing o SIM swap — rientra nell'area del rischio prevedibile e prevenibile della banca, che dispone delle competenze tecniche, delle risorse economiche e degli strumenti necessari per contrastare tali fenomeni. Il cliente singolo, per quanto dotato di ragionevole accortezza, non ha né le conoscenze né gli strumenti per fronteggiare attacchi informatici sofisticati.
Questa impostazione è stata consolidata dalla Corte di Cassazione con l'ordinanza n. 23683 del 4 settembre 2024, che ha ribadito il principio: la diligenza della banca deve coprire le operazioni riconducibili alla sua sfera di controllo tecnico, sulla base di una valutazione di prevedibilità ed evitabilità. La responsabilità contrattuale dell'istituto è presunta e può essere esclusa soltanto dimostrando un evento che si ponga al di là dello sforzo diligente esigibile, oppure la colpa grave del cliente. Il medesimo principio è stato applicato concretamente dai giudici di merito in numerose pronunce del 2025.
Il Tribunale di Roma, Sezione XVI, con la sentenza del 1 febbraio 2025, n. 1656, ha condannato una banca al risarcimento integrale di oltre 115.000 euro sottratti a una correntista vittima di un attacco combinato di smishing, vishing e spoofing telefonico. I truffatori, dopo aver inviato un SMS civetta identico nelle forme grafiche a quello dell'istituto, avevano telefonato alla vittima dal numero ufficiale della banca — reso possibile dalla tecnica dello spoofing — e l'avevano guidata attraverso una procedura apparentemente legittima. Il Tribunale ha escluso la colpa grave della correntista, rilevando che la sofisticazione del raggiro era tale da rendere oggettivamente impossibile il riconoscimento della frode con la normale diligenza richiesta a un utente medio. Decisivo è stato il dato che l'accesso al conto era avvenuto tramite impronta digitale — non tramite digitazione di credenziali — a conferma che le informazioni erano state carpite senza alcuna comunicazione volontaria da parte della vittima.
Il Tribunale di Brescia, con la sentenza n. 4508 del 2025, ha condannato in solido un primario istituto bancario e un operatore di telefonia mobile al risarcimento di circa 25.000 euro sottratti a una società attraverso la tecnica del SIM swapping: il duplicato della SIM era stato rilasciato dall'operatore senza adeguata verifica dell'identità del richiedente, consentendo ai truffatori di intercettare i codici OTP e disporre bonifici fraudolenti. Il Tribunale ha chiarito che spettava alla banca dimostrare la colpa grave del cliente — onere che l'istituto non aveva assolto — e che l'operazione presentava anomalie macroscopiche (conto mai utilizzato per quella tipologia di pagamenti, beneficiari sconosciuti, causali incongrue) che avrebbero dovuto attivare i sistemi di allerta. L'omessa segnalazione di tali anomalie ha configurato colpa specifica della banca, autonoma rispetto all'inadempimento dell'operatore telefonico.
Il Tribunale di Napoli, con la sentenza n. 3759 del 15 aprile 2025, ha ribadito che il solo fatto che l'operazione bancaria risulti tecnicamente autenticata non è sufficiente a esonerare l'istituto da responsabilità. La banca deve dimostrare che la transazione sia stata correttamente registrata, autenticata e non influenzata da malfunzionamenti tecnici, e che non vi sia stata alcuna condotta colposa imputabile all'istituto, prima ancora di poter invocare la colpa grave del cliente.
In questo contesto, è illuminante l'orientamento espresso dalla Corte di Cassazione con l'ordinanza n. 7134 del 25 marzo 2026 — pubblicata dal Sole 24 Ore del 10 aprile 2026 — che, pur riguardando la nullità del finanziamento concesso a un'impresa in stato di insolvenza, ha ribadito il principio secondo cui la banca, quale soggetto professionale, assume su di sé il rischio contrattuale derivante da condotte rientranti nella propria sfera tecnica di controllo. Quella pronuncia, nel dichiarare nullo il contratto di finanziamento ex art. 1418 c.c. per violazione della norma che sanziona l'aggravamento del dissesto, ha ulteriormente rafforzato la visione giurisprudenziale di un istituto bancario chiamato a rispondere delle conseguenze prevedibili delle proprie scelte operative — anche quando queste sembrano formalmente conformi agli standard contrattuali. Lo stesso schema logico vale, specularmente, per le frodi informatiche: la banca non può limitarsi a registrare l'operazione come "autenticata" per andare esente da responsabilità.
Come insegna la massima latina, culpa lata dolo aequiparatur: la colpa grave — ossia la totale mancanza delle cautele elementari che anche il meno diligente degli operatori avrebbe adottato — è giuridicamente equiparata al dolo. Una banca che offre un servizio di home banking privo di sistemi di autenticazione adeguati agli standard tecnici correnti, o che non attiva meccanismi di allerta su operazioni anomale, non può invocare la buona fede per sottrarsi al rimborso.
Occorre però essere precisi su un punto critico: la tutela non è assoluta. La banca è esonerata da responsabilità quando il cliente ha agito con dolo o colpa grave. La colpa grave ricorre, secondo la giurisprudenza, quando l'utente ha comunicato volontariamente e consapevolmente le proprie credenziali a terzi in circostanze che avrebbero reso evidente la frode a chiunque dotato di ragionevole giudizio; quando ha ignorato per lungo tempo operazioni sospette nonostante segnalazioni; quando ha agito con comportamento così incauto da non poter essere contrastato con alcuna misura di sicurezza bancaria. Ma la linea di confine non è mai semplice, e la giurisprudenza valuta caso per caso il grado di sofisticazione della truffa: una frode che replica con perfezione grafica e testuale le comunicazioni ufficiali della banca, o che sfrutta la tecnica dello spoofing per chiamare dal numero ufficiale dell'istituto, non può essere considerata riconoscibile con la normale diligenza di un cliente medio. Come scriveva Dante Alighieri nell'Inferno, Canto XI: «La frode, ond'ogne coscienza è morsa, può l'omo usare in colui che 'n lui fida» — il tradimento di chi si fida è la forma di male più profonda, proprio perché sfrutta la fiducia come leva e non lascia difese all'ingannato. La giurisprudenza ha recepito questa intuizione morale nel diritto: chi si fida ragionevolmente del sistema bancario non può essere lasciato senza tutela quando quel sistema fallisce.
Cosa fare immediatamente dopo una frode bancaria online
Quando si subisce un'operazione non autorizzata, ogni ora conta. Il primo passo è bloccare immediatamente gli strumenti di pagamento contattando la banca tramite il numero antifrode, e disabilitare l'accesso all'home banking. Contemporaneamente, o subito dopo, è indispensabile sporgere denuncia-querela alla Polizia Postale o ai Carabinieri, conservandone copia: questo atto è fondamentale sia come documentazione processuale sia come presupposto per la successiva richiesta alla banca. Entro trenta giorni dall'operazione contestata occorre inviare formale reclamo scritto alla banca, preferibilmente via PEC, indicando analiticamente le operazioni disconosciute e allegando copia della denuncia. La banca ha l'obbligo di rispondere entro quindici giorni lavorativi. Se il rimborso viene rifiutato o la risposta è inadeguata, si può adire l'Arbitro Bancario Finanziario (ABF), in modo rapido ed economico, oppure intraprendere l'azione giudiziaria. Il ABF è una via preferibile quando le somme sono contenute; per importi rilevanti, o quando l'istituto solleva eccezioni complesse, la via giudiziale offre garanzie maggiori.
È essenziale raccogliere e conservare ogni elemento utile alla prova: SMS ricevuti, screenshot di email fraudolente, log di accesso al conto, estratti conto con le movimentazioni contestate, registrazioni di eventuali chiamate, messaggi WhatsApp o email con presunti operatori bancari. Il materiale probatorio costruisce la narrazione del fatto e consente di dimostrare la sofisticazione della frode e l'assenza di colpa grave del cliente.
Redazione - Staff Studio Legale MP
