La crescente diffusione delle truffe online ha posto sotto i riflettori il tema della responsabilità bancaria e della tutela dei correntisti. Gli attacchi tramite phishing, smishing o sofisticati inganni telefonici possono svuotare in pochi secondi il conto di un consumatore, causando danni talvolta ingenti. In questo scenario, la legge italiana e la normativa europea impongono regole precise su chi deve rispondere di queste perdite e in quali casi la banca è realmente obbligata a risarcire la somma sottratta.
Responsabilità oggettiva e diritto al rimborso immediato
L’articolo 11 del D.Lgs. 11/2010, che recepisce la Direttiva UE 2007/64/CE e la successiva PSD2, stabilisce un principio fondamentale: quando un’operazione di pagamento viene eseguita senza il consenso esplicito del cliente, la banca è tenuta a rimborsare tempestivamente l’importo sottratto. Il rimborso deve avvenire entro la giornata operativa successiva rispetto alla segnalazione della transazione fraudolenta da parte del titolare.
Questa forma di responsabilità oggettiva significa che, di norma, il rischio legato alle operazioni non autorizzate è a carico dell’istituto bancario. La protezione del cliente rappresenta dunque la regola generale. Tuttavia, esistono eccezioni importanti che spostano la responsabilità sul correntista, in particolare quando si verificano comportamenti imprudenti o dolosi.
I limiti della responsabilità della banca: dolo e colpa grave
La banca può evitare il rimborso se riesce a dimostrare che il correntista ha agito con dolo o colpa grave. La giurisprudenza italiana, corroborata da numerose sentenze tra cui la Cassazione 7214/2023 e 3780/2024, ha specificato quando si può intendere integra la colpa grave del cliente:
- Fornire consapevolmente le proprie credenziali (password, OTP, dati bancari) a estranei o a siti web non ufficiali.
- Ignorare segnali di allarme quali avvisi della banca, messaggi sospetti o procedimenti che deviano dalle usuali procedure di accesso.
- Condividere dati sensibili tramite canali non sicuri o a seguito di pressioni telefoniche senza aver fatto opportuni controlli.
- Trascurare le misure di sicurezza di base, come il mancato aggiornamento dei dispositivi o l’uso di autenticazione debole.
Nei casi in cui la truffa sia “grossolana” o facilmente riconoscibile da un utente medio, la responsabilità del danno tende a ricadere sul cliente. Al contrario, se il raggiro è altamente sofisticato e difficile da individuare — un caso sempre più frequente data l’evoluzione delle tecniche truffaldine — prevale la tutela del consumatore: la banca, per liberarsi dall’obbligo di rimborso, dovrà provare che la perdita è dipesa da una condotta gravemente imprudente del cliente e che essa stessa ha adottato ogni misura idonea a prevenire la frode.
L’onere della prova e il ruolo della banca
Il regime della responsabilità contrattuale attribuisce alla banca l’onere di dimostrare sia il corretto adempimento degli obblighi di sicurezza sia, ove richiesto, l’esistenza di dolo o colpa grave da parte del cliente. In altre parole, spetta all’istituto finanziario provare di aver:
- Adottato tutte le misure di protezione stabilite dalla normativa europea, come la strong customer authentication e la costante vigilanza sulle transazioni sospette.
- Informato adeguatamente il correntista circa i rischi e i comportamenti sicuri da adottare.
- Analizzato e segnalato tempestivamente anomalie nei movimenti di conto che possano preludere a frodi.
Come ribadito da recenti pronunce dei tribunali italiani, anche la giurisprudenza si sta schierando a favore di un’interpretazione evolutiva delle norme, che amplia la protezione dei risparmiatori in presenza di truffe di nuova generazione sempre più complesse. La banca non può sottrarsi alle proprie responsabilità, essendo il rischio di frodi informatiche un evento insito nell’attività d’impresa.
Cosa deve fare la vittima di una truffa: passi immediati e tutela legale
Se si subisce una sottrazione di denaro per effetto di una truffa online, è fondamentale:
- Bloccare immediatamente il conto tramite il servizio clienti della propria banca, attivando tutti gli strumenti messi a disposizione per prevenire ulteriori movimenti fraudolenti.
- Presentare tempestivamente una denuncia alle autorità competenti (Polizia Postale o Carabinieri), indicando con precisione tutte le operazioni non autorizzate e fornendo ogni dettaglio utile alla ricostruzione dei fatti.
- Comunicare per iscritto alla banca l’accaduto, richiedendo formalmente il rimborso previsto dalla legge e allegando copia della denuncia.
Il cliente è tenuto a dimostrare esclusivamente l’esistenza della relazione bancaria e la sottrazione del denaro; spetta invece all’istituto provare di aver operato secondo le migliori pratiche e che la truffa è imputabile a negligenza grave o dolo del titolare.
La difesa in caso di contestazione
Se la banca oppone un rifiuto, sostenendo di aver già adottato tutte le misure necessarie, il correntista potrà:
- Richiedere la copia di tutta la documentazione inerente le operazioni contestate.
- Ricorrere all’Arbitro Bancario Finanziario, organo super partes che giudica i casi di contenzioso tra cliente e banca spesso in tempi molto rapidi.
- Inoltrare eventualmente una citazione in giudizio, chiedendo il risarcimento del danno se ritiene non sussistano elementi per configurare la propria colpa grave.
Le recenti pronunce dei tribunali italiani rappresentano una crescente tutela per i consumatori vittime di truffe online. Secondo la Corte di Cassazione e varie sentenze di merito, la banca può essere esonerata dalla responsabilità solo qualora dimostri la sussistenza di eventi eccezionali estranei a qualsivoglia sua negligenza e la presenza di un comportamento imprudente del cliente che valga a integrare la colpa grave. In altri casi, l’onere economico della truffa resta a carico dell’istituto bancario, che opera in un settore che per sua natura comporta rischi e deve adottare ogni misura ragionevole per contenerli.
Al passo con le nuove modalità di attacco, i sistemi di sicurezza bancari si evolvono costantemente. Tuttavia, l’insidia del phishing e delle frodi digitali rende indispensabile il ruolo di una normativa chiara e aggiornata, che bilanci l’interesse delle banche e il diritto dei cittadini a vedere protetti i propri risparmi.
