Le nuove pronunce "obbligano" gli istituti di credito a prevenire le frodi informatiche: se la banca non adotta misure efficaci dovrà risarcire i clienti vittime di phishing
“Non è tutto oro quello che luccica.” – William Shakespeare, Il mercante di Venezia. Questo famoso proverbio riassume bene la natura del phishing bancario: e-mail o SMS che sembrano provenire dalla banca (logo ufficiale, tono formale) ma in realtà sono esche per carpire dati sensibili. Il termine phishing indica proprio il “pescare” informazioni riservate: il truffatore invita il correntista a cliccare su un link e inserire credenziali, codici OTP o altre informazioni. Una volta ottenuti questi dati, i criminali possono accedere al conto online e disporre bonifici, prelievi o pagamenti fraudolenti, causando al cliente la perdita di somme spesso ingenti. Purtroppo il phishing è in costante aumento e si evolve in forme sempre più sofisticate (e-mail contraffatte, smishing via SMS, chiamate di finto operatore bancario vishing), tali da ingannare anche utenti attenti.
In passato, di fronte a un conto svuotato da estranei, le banche tendevano a scaricare la responsabilità sul cliente, sostenendo che fosse stata la sua negligenza a permettere la frode. Spesso l’istituto di credito negava ogni rimborso se il correntista aveva comunicato i propri codici a terzi (sia pure raggirato). Questa posizione trovava appiglio in un orientamento giurisprudenziale ormai superato: ad esempio, una decisione del 2023 della Cassazione aveva escluso la responsabilità della banca quando l’utente, anche inconsapevolmente, aveva fornito le credenziali ai truffatori, qualificando tale condotta come caso fortuito idoneo a interrompere il nesso causale (Cass. civ., ord. n. 7214/2023). In altre parole, fino a poco tempo fa vigeva la regola per cui “chi cade nel tranello paga le conseguenze”, e la banca poteva chiamarsi fuori se dimostrava di avere sistemi di sicurezza certificati e se l’operazione fraudolenta era avvenuta tramite i codici segreti del cliente.
Va ricordato, però, che già la normativa di settore prevedeva obblighi stringenti a carico dei prestatori di servizi di pagamento. Il D.lgs. 11/2010 (attuativo delle direttive europee sui pagamenti) stabilisce che, in caso di operazioni non autorizzate, la banca deve rimborsare immediatamente il cliente, salvo provare che l’operazione è stata autenticata correttamente, registrata e contabilizzata a regola d’arte e – soprattutto – che il cliente ha agito con dolo o colpa grave nel custodire i propri strumenti di pagamento (artt. 8 e 10 D.lgs. 11/2010). In teoria, dunque, la legge già imponeva un’equa distribuzione dei rischi: le truffe informatiche rientrano nel rischio d’impresa bancario, a meno che non si provi una grave negligenza dell’utente. Tuttavia, l’applicazione pratica di questi principi non era sempre uniforme, e alcune sentenze di merito e di legittimità avevano lasciato spazio alla tesi “colpa del cliente = banca non responsabile”.
Nel 2024 la Corte di Cassazione ha inaugurato un nuovo orientamento, molto più favorevole ai correntisti truffati, che rivoluziona il riparto di responsabilità tra banca e cliente. In particolare, con una decisione di grande rilievo la Terza Sezione Civile ha affermato un principio chiaro: spetta alla banca dimostrare di aver fatto tutto il possibile per evitare l’uso fraudolento degli strumenti di pagamento, altrimenti deve rispondere delle perdite subìte dal cliente (Cass. civ., Sez. III, sent. n. 3780/2024). La Suprema Corte ha rigettato il ricorso di un noto istituto (Poste Italiane, nel caso di specie, per una frode su carta Postepay) e ha statuito che i prestatori di servizi di pagamento devono adottare misure tecniche adeguate a prevenire accessi illeciti, in base al principio generale di diligenza professionale qualificata (art. 1176 co.2 c.c.). Questo dovere di protezione è comunemente definito la diligenza dell’“accorto banchiere”: la banca deve operare con il grado di prudenza, perizia e attenzione specifico del suo ruolo, tenendo conto dei rischi tipici dell’attività bancaria online.
La responsabilità contrattuale della banca per inadempimento dei suoi obblighi di sicurezza è presunta ex art. 1218 c.c.: se avviene un pagamento non autorizzato, spetta alla banca provare che ciò è dipeso da una causa a sé non imputabile. La Cassazione 2024 insiste su questo punto, chiarendo che il furto di credenziali tramite phishing rientra nel novero degli eventi prevedibili e contrastabili dalla banca attraverso adeguati controlli tecnici. Di conseguenza, il fatto che un cliente sia stato ingannato da una e-mail fraudolenta non esonera automaticamente la banca: per andare esente da colpa l’istituto deve provare che l’evento dannoso è avvenuto per una causa al di fuori della propria sfera di controllo (ad esempio un comportamento talmente imprudente dell’utente da costituire colpa esclusiva). Viene quindi superata la logica precedente secondo cui la leggerezza del cliente chiudeva ogni discussione. Ora il rischio informatico ricade sulla banca, salvo il caso in cui quest’ultima dimostri una colpa grave del cliente.
La novità più importante emersa dalle pronunce del 2024 riguarda proprio la distribuzione dell’onere della prova. La Cassazione ha stabilito che, di fronte al disconoscimento di un’operazione da parte del cliente, la banca deve fornire prova liberatoria di due elementi fondamentali:
Sistemi di sicurezza adeguati: l’operazione contestata dev’essere stata eseguita con meccanismi di autenticazione forti e sistemi di sicurezza conformi agli standard: in pratica l’istituto deve dimostrare di aver messo in atto tutte le misure tecnologiche idonee (es. invio di SMS alert per ogni transazione, autenticazione a due fattori, blocco tempestivo di operazioni anomale, ecc.), senza malfunzionamenti o falle. Solo un evento imprevedibile e inevitabile, al di fuori della normale diligenza tecnica, potrebbe escludere la sua responsabilità. In mancanza, la banca risponde del danno.
Assenza di colpa grave del cliente: la banca deve inoltre provare che il cliente ha agito con dolo oppure con colpa grave, ad esempio fornendo con estrema incautela le proprie credenziali a estranei. Se invece l’utente medio è stato tratto in inganno con astuzia (senza grossolanamente ignorare ogni avviso di sicurezza), la sua lieve imprudenza non esclude il rimborso. La colpa grave dell’utente – unica ipotesi in cui la banca può evitare il risarcimento – ricorre solo quando il comportamento del cliente è stato talmente imprudente da vanificare qualsiasi cautela (situazione peraltro rara, dato che le moderne truffe sono pensate proprio per sembrare comunicazioni legittime).
Questi principi sono stati affermati, tra le altre, dall’Ordinanza della Cassazione n. 23683/2024 (Sez. I), che ha esplicitamente richiamato il concetto di rischio d’impresa: le tecniche fraudolente come il phishing rientrano nei rischi tipici dell’attività bancaria online, che la banca deve prevedere e neutralizzare. La diligenza richiesta all’operatore finanziario copre tutte le operazioni nella sua sfera di controllo tecnico; se un hacker riesce a truffare un cliente utilizzando i codici carpiti, significa – salvo casi eccezionali di grave incuria del cliente – che qualche misura preventiva è mancata. In dubio pro cliente: in caso di contestazione, il dubbio sulla dinamica dell’operazione ricade sulla banca, che non può limitarsi a invocare l’uso delle password per declinare ogni responsabilità.
Il nuovo indirizzo giurisprudenziale non è rimasto teoria sulla carta, ma ha trovato rapida applicazione in casi concreti. Diverse pronunce tra 2024 e 2025 hanno infatti condannato gli istituti bancari a risarcire i correntisti vittime di phishing, coerentemente con i principi sanciti dalla Cassazione. Ad esempio, il Tribunale di Roma (Sez. XVI, sent. n. 1656/2025) ha riconosciuto il diritto al rimborso di una correntista a cui erano stati sottratti oltre 115.000 euro tramite una complessa frode via SMS (smishing con chiamate di follow-up, in cui i truffatori si spacciavano per operatori della banca). In quella sentenza, il giudice ha rilevato che la banca non aveva adottato strumenti di protezione “attivi” efficaci, limitandosi a inviare generiche e-mail di avvertimento ai clienti. Misure di mera sensibilizzazione dell’utenza – per quanto utili – non esauriscono gli obblighi di sicurezza della banca, che deve invece predisporre sistemi di allerta e blocco automatico delle operazioni anomale. Non avendo la banca provato di aver attuato precauzioni idonee (come ad esempio sospendere bonifici di importo elevato disposti improvvisamente via home banking, in attesa di conferma), la domanda di risarcimento della cliente è stata giudicata fondata.
Anche in grado di appello si consolidano queste tutele: la Corte d’Appello di Venezia (sent. n. 699/2025) ha confermato la condanna di una banca a rifondere circa 100.000 euro a un imprenditore vittima di phishing. I giudici di Venezia, richiamando l’orientamento della Cassazione, hanno ribadito che spetta all’istituto di credito dimostrare di aver fatto il possibile per impedire accessi fraudolenti, mentre al cliente è richiesto solo di provare di aver subito l’addebito non autorizzato sul proprio conto. In assenza di prova di un’imperizia inescusabile del correntista, la responsabilità resta in capo alla banca.
Queste decisioni, insieme ad altre analoghe emesse in vari tribunali italiani, segnano un deciso cambio di passo: oggi chi subisce una truffa online sul proprio conto corrente ha maggiori chance di ottenere giustizia. Le banche sono avvisate: non basta predisporre clausole contrattuali standard o proclamare elevati standard di sicurezza certificati; occorre dimostrare concretamente di aver protetto il cliente medio dagli attacchi più ricorrenti. In difetto, il danno economico causato dal phishing va risarcito dall’intermediario, configurandosi un inadempimento dei doveri contrattuali di protezione.
“Timeo Danaos et dona ferentes” (Temo i Greci anche quando portano doni). Questa antica massima latina ci ricorda di diffidare delle offerte fin troppo allettanti: nel contesto digitale, ogni messaggio in cui si chiede di fornire password, PIN o codici OTP va trattato con estrema cautela. Le banche, da parte loro, hanno il dovere di educare e proteggere la clientela: campagne informative, avvisi nelle app e sui siti, e soprattutto soluzioni tecnologiche anti-phishing (come filtri anti-spam potenziati, autenticazione biometrica, conferme telefoniche per operazioni sospette) sono ormai imprescindibili.
Dal lato utenti, alcuni accorgimenti riducono il rischio di cadere vittima di queste frodi: non cliccare mai su link ricevuti via e-mail/SMS che richiedono credenziali, non inserire dati sensibili se il sito non è quello ufficiale della banca (controllare sempre l’URL), diffidare di comunicazioni urgenti che prospettano blocchi del conto o problemi di sicurezza invitando a “verificare” i dati. In caso di dubbio, è bene contattare direttamente la propria banca attraverso i canali ufficiali. Inoltre, se si sospetta di aver subito un attacco (es. si sono forniti codici per errore), occorre avvisare immediatamente l’istituto e sporgere denuncia alle autorità competenti. Spesso la rapidità nell’intervento può mitigare il danno (ad esempio bloccando tempestivamente bonifici fraudolenti non ancora eseguiti).
Le sentenze recenti offrono un duplice messaggio di speranza e monito. Da un lato, i clienti possono confidare che la legge è dalla loro parte: chi ha subìto un raggiro informatico non è più automaticamente considerato colpevole, anzi le banche hanno l’obbligo di tutelare i risparmiatori e, se qualcosa va storto, di indennizzarli. Dall’altro lato, gli istituti di credito sono spronati ad innalzare il livello di guardia: investire in sicurezza informatica e procedure antifrode non è solo un dovere normativo ma anche l’unico modo per evitare perdite economiche e reputazionali.
In sintesi, la recente giurisprudenza italiana in materia di phishing bancario ha spostato l’ago della bilancia a favore dei consumatori. La tutela del correntista truffato è oggi più effettiva: se la banca non prova di aver agito con la massima accortezza (e che il cliente ha invece agito con grave negligenza), dovrà farsi carico delle conseguenze economiche dell’attacco. Questo nuovo approccio, oltre a garantire giustizia alle vittime, ha un importante effetto deterrente: le banche saranno incentivate a migliorare continuamente i propri sistemi di sicurezza e a vigilare sulle transazioni anomale, rendendo la vita più difficile ai truffatori informatici. È una rivoluzione copernicana nel rapporto banca-cliente in ambito digitale, dove finalmente si riconosce che la fiducia del pubblico va protetta attivamente da chi gestisce i nostri risparmi.
Avv. Marco Panato, avvocato del Foro di Verona e Dottore di Ricerca in Diritto ed Economia dell’Impresa – Discipline Interne ed Internazionali - Curriculum Diritto Amministrativo (Dipartimento di Scienze Giuridiche, Università degli Studi di Verona).
E' autore di pubblicazioni scientifiche in materia giuridica, in particolare nel ramo del diritto amministrativo. Si occupa anche di docenza ed alta formazione.
