Le truffe online continuano a evolversi, colpendo anche utenti esperti di strumenti digitali. L’ultima decisione dell’Arbitro Bancario Finanziario (ABF) di Roma offre uno spunto prezioso per comprendere come la giurisprudenza stia affrontando i casi di sms spoofing e di phishing bancario, bilanciando l’esigenza di tutela dei correntisti con la responsabilità contrattuale degli istituti di credito.

Il caso: due bonifici istantanei dopo una telefonata truffaldina

La vicenda trae origine dalla denuncia di una cliente della banca che, il 19 settembre 2024, ha ricevuto una chiamata da un numero apparentemente riconducibile alla banca. Il sedicente operatore, dopo aver fornito dati personali e informazioni sul conto, ha convinto la correntista a installare un software di controllo remoto sul proprio computer per “mettere in sicurezza il conto”.

Nel frattempo, la vittima ha ricevuto SMS apparentemente provenienti dalla banca, che confermavano la necessità di proteggere l’account, accrescendo così la fiducia nel falso interlocutore. Sotto questa pressione psicologica, la cliente ha autorizzato due bonifici istantanei verso conti sconosciuti. Solo il giorno successivo, insospettita dall’accaduto, ha contattato il servizio clienti dell’istituto di credito, scoprendo di essere stata vittima di una frode sofisticata.

La banca ha respinto le contestazioni, sostenendo che le operazioni erano state autorizzate dall’utente stesso e che i propri sistemi di sicurezza avevano inviato alert via SMS ed e-mail al momento dell’esecuzione del primo bonifico. La banca ha inoltre sottolineato che la frode era stata resa possibile dall’“inconsapevole, quanto colpevole, collaborazione della ricorrente”.

La decisione dell’ABF: tra colpa grave del cliente e obblighi di sicurezza della banca

La vittima si era rivolta allo Studio Legale Parente Bianculli del Foro di Roma per cercare di recuperare i soldi persi con la truffa online. Con la decisione n. 0008198/2025, pubblicata il 12 settembre 2025, il Collegio di Roma dell’ABF ha analizzato in modo approfondito la fattispecie.

Il primo punto fermo è stata l’esclusione dell’applicazione del D.Lgs. 11/2010, che disciplina i pagamenti non autorizzati. Il Collegio ha affermato che “le operazioni per cui è causa sono state, di fatto, compiute ed autorizzate dalla stessa ricorrente», escludendo così che si potesse parlare di “pagamenti non autorizzati” ai sensi dell’art. 17.

Tuttavia, ciò non ha impedito un esame della condotta della banca sotto il profilo contrattuale e della buona fede. L’ABF ha infatti precisato che “la condotta dell’intermediario può essere comunque scrutinata, sotto il profilo del corretto adempimento delle obbligazioni contrattuali, eventualmente integrate dal principio di buona fede, potendosi dunque fondare la decisione sugli artt. 1375, 1176, comma 2, e 1218 c.c.“.

La frode è stata qualificata come sofisticata, in quanto accompagnata dalla trasmissione di SMS contraffatti (spoofing) e da un contatto telefonico credibile. “Questo Collegio – richiamando un punto della motivazione della pronuncia del Collegio di Coordinamento n. 22745/2019 – ha ricondotto alla categoria delle frodi sofisticate le intrusioni truffaldine tramite “sms spoofed”. Pur riconoscendo che in astratto tali truffe non fanno presumere colpa grave del cliente, il Collegio ha evidenziato che nel caso concreto vi erano “indici di inattendibilità o anomalia dei messaggi, che consentono di configurare un concorso di colpa tra le parti“.

Un altro passaggio di rilievo riguarda gli obblighi di monitoraggio antifrode degli intermediari: “secondo l’art. 2 del Regolamento (UE) n. 2018/389 gli intermediari devono predisporre meccanismi di monitoraggio in grado di rilevare le operazioni di pagamento non autorizzate o fraudolente. Peraltro, […] non è necessario che questi meccanismi operino in tempo reale – vagliando le operazioni prima della loro esecuzione –, potendo limitarsi a un monitoraggio delle frodi ex post. Non può ritenersi, dunque, che la resistente avesse l’obbligo di negare l’autorizzazione delle operazioni contestate”.

Alla luce di queste valutazioni, l’ABF ha applicato l’art. 1227 c.c. sul concorso di colpa, stabilendo che, pur essendo la cliente stata gravemente imprudente nel concedere l’accesso remoto e nell’ignorare gli avvisi della banca, la sofisticazione dell’attacco e la capacità di convincimento dei truffatori giustificavano un parziale indennizzo. Il Collegio ha quindi “ravvisato un concorso di colpa tra le parti e […] ritenuto dovuta alla parte attrice la somma di euro 17.000,00, determinata in via equitativa”.

Implicazioni per i consumatori e le banche

Questa pronuncia conferma che il cliente non è automaticamente privo di tutela quando è vittima di una frode informatica, anche se ha agito con leggerezza. Al contempo, chiarisce che le banche non hanno un obbligo assoluto di bloccare in tempo reale ogni operazione anomala, purché dimostrino di avere procedure di sicurezza adeguate e sistemi di autenticazione affidabili.

Il caso evidenzia anche l’importanza di reagire tempestivamente: la richiesta di “recall” dei bonifici era stata inviata dalla cliente solo il giorno dopo, riducendo le possibilità di recupero.

Il commento dell’Avv. Domenico Bianculli

L’avvocato Domenico Bianculli, che ha seguito la pratica per conto della cliente, sottolinea la rilevanza della decisione:

“Questa pronuncia dimostra che anche nelle frodi più sofisticate, in cui l’utente viene indotto con artifizi e raggiri a collaborare inconsapevolmente, è possibile ottenere un rimborso parziale se si dimostra l’inadeguatezza o la mancata vigilanza dell’intermediario. Il Collegio ABF sta tracciando un equilibrio tra responsabilità dell’utente e dovere di sicurezza delle banche“.

Non sempre è colpa del cliente

Il caso deciso dall’ABF di Roma offre un precedente significativo per chi subisce truffe online: non sempre la colpa del cliente esclude ogni rimborso. Tuttavia, è essenziale rivolgersi a un professionista esperto in diritto bancario e sicurezza informatica per impostare correttamente il reclamo e il ricorso all’Arbitro Bancario Finanziario, così da far valere ogni possibile responsabilità dell’istituto di credito.