Truffa online, non è sempre colpa tua: quando la banca è responsabile e deve risarcirti - Mistergadget.tech
Le nuove regole UE e le sentenze italiane rafforzano la tutela dei clienti vittime di frodi digitali: ecco quando la banca deve rimborsare e quali sono i limiti previsti.
Con l’aumento delle truffe digitali, soprattutto attraverso tecniche sempre più raffinate come il phishing bancario, la questione della responsabilità delle banche in caso di frode online assume un’importanza cruciale. La normativa europea, in particolare la Direttiva PSD2 (2015/2366/UE), e le sentenze recenti dei tribunali italiani hanno ridefinito i confini della tutela per i clienti colpiti da frodi, stabilendo quando l’istituto finanziario è tenuto a risarcire i danni subiti.
L’evoluzione della sicurezza nei pagamenti elettronici
Dal 2018, con l’entrata in vigore della PSD2, la sicurezza dei pagamenti elettronici in Europa ha subito un cambiamento radicale. La direttiva ha imposto alle banche di adottare la Strong Customer Authentication (SCA), un sistema di autenticazione a più fattori che richiede almeno due elementi tra conoscenza (password, PIN), possesso (smartphone, token) e inerenza (impronta digitale, riconoscimento facciale). Questa misura ha ridotto in modo significativo le frodi basate sulla semplice sottrazione di credenziali, ma non è stata sufficiente contro tecniche di inganno più sofisticate come il phishing o il vishing.
Parallelamente, la giurisprudenza italiana si è orientata verso una tutela più stringente per i clienti, riconoscendo la responsabilità delle banche nel garantire la sicurezza delle operazioni online, salvo casi di dolo o colpa grave dell’utente.
La normativa italiana recepisce la PSD2 con il decreto legislativo n. 218/2017, che stabilisce l’obbligo della banca di rimborsare immediatamente l’importo delle operazioni non autorizzate dal correntista. Tuttavia, esiste una significativa eccezione: la banca può rifiutare il rimborso se dimostra che il cliente ha agito con colpa grave o in modo fraudolento.
L’orientamento più recente della Corte di Cassazione e di numerosi tribunali italiani ribalta spesso l’onere della prova a favore del cliente, imponendo alla banca di fornire “prove concrete, documentate e inequivocabili” della colpa grave o del dolo da parte dell’utente. In altre parole, è la banca che deve dimostrare che il correntista ha commesso un grave errore o ha collaborato consapevolmente con i truffatori.
Diversi casi emblematici hanno segnato questa tendenza. Ad esempio, con la sentenza n. 1656/2025 il Tribunale di Roma ha condannato una banca a risarcire oltre 115.000 euro a una cliente vittima di phishing, ritenendo inefficaci i sistemi di sicurezza adottati dall’istituto. Analogamente, la Corte d’Appello di Venezia ha sanzionato una banca per non aver inviato tempestivi avvisi di sicurezza al cliente, un obbligo basilare per prevenire frodi.
La colpa grave si configura quando il cliente manifesta un comportamento imprudente che non si sarebbe dovuto verificare, come ad esempio:
- Conservare il PIN scritto sulla carta o in luogo non sicuro;
- Non segnalare tempestivamente il furto o la perdita di carte o dispositivi;
- Fornire volontariamente codici di accesso, password o OTP a terzi, anche se spacciati per operatori bancari;
- Inserire credenziali su siti palesemente falsi o link sospetti.
Se il cliente cade in queste trappole evidenti, perde il diritto al risarcimento. La Cassazione, con la sentenza n. 7214/2023, ha chiarito che questa “cooperazione attiva” nell’inserire dati riservati interrompe la responsabilità della banca.
Al contrario, la semplice sottrazione fraudolenta dei dati senza che il cliente abbia commesso negligenze gravi rende la banca responsabile, poiché la gestione della sicurezza dei sistemi online rientra nella sua sfera di controllo tecnico.
