Bancario e Finanziario 

Phishing bancario: ho diritto al rimborso dalla banca?

Guida completa sui diritti del cliente bancario vittima di phishing: rimborso, responsabilità della banca, normativa PSD2 e come agire per tutelare il proprio patrimonio

Ultimo aggiornamento: 5/24/2026

Il phishing bancario è una delle frodi informatiche più diffuse e devastanti degli ultimi anni. Attraverso email ingannevoli, SMS contraffatti (smishing) o telefonate fraudolente (vishing), i criminali informatici riescono a sottrarre le credenziali di accesso ai conti bancari online e a effettuare trasferimenti non autorizzati, spesso svuotando completamente i conti delle vittime nel giro di poche ore. In Italia i casi sono in costante aumento, con danni economici che ammontano a centinaia di milioni di euro ogni anno.

La domanda che si pone ogni vittima è sempre la stessa: la banca è obbligata a rimborsarmi? La risposta non è semplice né univoca, ma la normativa europea e italiana — in particolare la Direttiva PSD2 recepita nel nostro ordinamento — offre tutele significative ai clienti che subiscono operazioni non autorizzate. La responsabilità del rimborso dipende da diversi fattori, tra cui la tipologia di frode, il comportamento del cliente e le misure di sicurezza adottate dall'istituto bancario.

In questa guida analizziamo in dettaglio il quadro normativo, i diritti del cliente, le difese tipicamente opposte dalle banche e la strategia migliore per ottenere il rimborso. Se sei stato vittima di phishing, non aspettare: contatta subito un avvocato bancario specializzato in frodi informatiche per valutare la tua situazione.

Cos'è il phishing bancario: tipologie e modalità di attacco

Il phishing bancario è una tecnica di ingegneria sociale volta a carpire le credenziali di accesso ai servizi bancari online. I cybercriminali si spacciano per la tua banca, per Poste Italiane, per l'Agenzia delle Entrate o per altri enti autorevoli, creando messaggi convincenti che inducono la vittima a fornire dati sensibili o ad autorizzare operazioni fraudolente.

Le principali tipologie di phishing bancario

  • Email phishing: Messaggi email che replicano graficamente le comunicazioni ufficiali della banca, con link a siti web contraffatti che raccolgono username, password e codici OTP.
  • Smishing (SMS phishing): SMS che sembrano provenire dalla banca, spesso con link malevoli o inviti a chiamare un numero fraudolento. In crescita esponenziale negli ultimi tre anni.
  • Vishing (voice phishing): Telefonate in cui il truffatore si finge un operatore bancario, crea un senso di urgenza (es. "c'è un'operazione sospetta sul suo conto") e convince la vittima a fornire codici di autorizzazione per operazioni truffaldine.
  • Man-in-the-middle: Attacchi più sofisticati in cui il criminale si interpone tra l'utente e la banca, intercettando le comunicazioni in tempo reale per appropriarsi dei codici di autorizzazione.
  • SIM swapping: Il truffatore convince il gestore telefonico a trasferire il numero di telefono della vittima su una nuova SIM, acquisendo così il controllo dei codici OTP inviati via SMS.

Il quadro normativo: PSD2 e responsabilità della banca

Il principale riferimento normativo per le frodi bancarie online è la Direttiva europea sui servizi di pagamento (PSD2), recepita in Italia con il D.Lgs. 218/2017. Questa normativa stabilisce principi molto chiari sulla responsabilità degli istituti di credito in caso di operazioni non autorizzate.

L'art. 12 del D.Lgs. 218/2017 (che ha modificato il D.Lgs. 11/2010) stabilisce che il prestatore di servizi di pagamento — ovvero la banca — deve rimborsare immediatamente l'importo dell'operazione non autorizzata al cliente, ripristinando il saldo del conto allo stato in cui si sarebbe trovato senza l'operazione fraudolenta. Questo principio di rimborso immediato è uno dei cardini della normativa PSD2.

Le eccezioni al rimborso: negligenza grave e frode del cliente

Il rimborso non è automatico e incondizionato. La banca può sottrarsi all'obbligo di rimborso dimostrando che:

  • Il cliente ha agito con dolo (ha partecipato alla frode)
  • Il cliente ha agito con negligenza grave, ovvero con una condotta particolarmente imprudente che va oltre la normale disattenzione

Il concetto di negligenza grave è al centro di molte controversie. Le banche spesso oppongono questo argomento per rifiutare il rimborso, sostenendo che il cliente "avrebbe dovuto accorgersi" della truffa. Ma la giurisprudenza più recente è molto critica verso questa difesa: non basta che il cliente abbia commesso un errore per configurare la negligenza grave — deve trattarsi di un comportamento oggettivamente irragionevole.

Comportamento del clienteValutazione giuridicaDiritto al rimborso
Risponde a email e inserisce le credenziali su sito contraffattoGeneralmente non è negligenza grave (la truffa era sofisticata)Probabile rimborso
Condivide codici OTP al telefono con un "operatore bancario"Dibattuto: dipende dalla sofisticatezza della truffaPossibile rimborso (da valutare)
Conserva PIN scritto sul telefono o condivide passwordPuò configurare negligenza graveRimborso a rischio
Partecipazione volontaria alla frodeDoloNessun rimborso

La responsabilità oggettiva della banca: autenticazione forte e SCA

La PSD2 ha introdotto l'obbligo di autenticazione forte del cliente (Strong Customer Authentication — SCA) per tutte le operazioni di pagamento online. La SCA richiede che l'operazione sia autorizzata attraverso almeno due dei tre fattori seguenti: qualcosa che il cliente conosce (PIN, password), qualcosa che il cliente possiede (smartphone, token), qualcosa che il cliente è (biometria).

Se la banca non ha implementato correttamente la SCA e l'operazione fraudolenta è stata eseguita senza adeguata autenticazione a due fattori, la responsabilità dell'istituto è molto forte. In questi casi, la giurisprudenza riconosce ampiamente il diritto al rimborso indipendentemente dalla condotta del cliente.

Il SIM swapping e la responsabilità della banca

Il SIM swapping rappresenta un caso particolarmente delicato. In questo scenario, il criminale ottiene il controllo del numero di telefono della vittima e intercetta i codici OTP. La banca riceve un'operazione formalmente autenticata con SCA, ma la vittima non ha mai autorizzato nulla.

Diverse sentenze italiane e dell'ABF hanno riconosciuto il diritto al rimborso in questi casi, stabilendo che la banca avrebbe dovuto implementare sistemi di rilevamento delle anomalie (es. il fatto che il SIM swap è avvenuto poche ore prima dell'operazione è un segnale di allarme che la banca avrebbe dovuto intercettare).

Come agire dopo aver subito un attacco di phishing

Agire rapidamente dopo la scoperta della frode è essenziale per aumentare le probabilità di recuperare i fondi sottratti e ottenere il rimborso dalla banca. Ecco i passi da compiere nell'ordine corretto.

Azioni immediate (prime 24-48 ore)

  1. Blocca immediatamente l'accesso all'home banking tramite l'app o chiamando il numero verde della banca. Chiedi il blocco della carta e del conto.
  2. Cambia tutte le password collegate ai servizi bancari e all'email associata al conto.
  3. Contatta il servizio antifrode della banca e segnala il furto, chiedendo formalmente il blocco e il ripristino delle operazioni non autorizzate.
  4. Sporgi denuncia alla Polizia Postale il prima possibile. La denuncia è fondamentale: senza di essa sarà molto più difficile dimostrare la frode nella fase legale successiva.
  5. Conserva tutta la documentazione: screenshot delle email/SMS fraudolenti, registro delle chiamate, estratti conto con le operazioni non autorizzate.

Azioni successive (entro i primi giorni)

  1. Invia un reclamo formale scritto alla banca, descrivendo dettagliatamente l'accaduto e richiedendo il rimborso delle somme sottratte ai sensi del D.Lgs. 11/2010.
  2. Richiedi alla banca i log delle operazioni per avere evidenza tecnica di come e da dove siano state eseguite le transazioni fraudolente.
  3. Consulta un avvocato specializzato in frodi bancarie per valutare la solidità della tua posizione e la strategia più adeguata.

Il reclamo alla banca e i rimedi stragiudiziali

Il reclamo formale alla banca è il primo step obbligatorio. Deve essere inviato per iscritto (raccomandata A/R o PEC), deve citare espressamente l'art. 12 del D.Lgs. 11/2010 (e successive modifiche), deve descrivere i fatti con precisione e deve indicare chiaramente le somme richieste a rimborso. La banca ha 15 giorni lavorativi per rispondere ai reclami relativi a operazioni di pagamento (30 giorni per gli altri reclami bancari).

Se il reclamo non viene accolto o la risposta è insoddisfacente, puoi rivolgerti all'Arbitro Bancario Finanziario. L'ABF è particolarmente attivo sul tema del phishing e ha emesso numerose decisioni favorevoli ai clienti, soprattutto nei casi in cui la truffa era sofisticata e la banca non aveva implementato adeguati sistemi di sicurezza o di rilevamento delle anomalie.

Nei procedimenti ABF relativi a phishing, la banca ha l'onere di dimostrare che l'operazione era autenticata correttamente e che il cliente ha agito con negligenza grave. Se non riesce a fornire questa prova, il rimborso viene disposto. Puoi anche avvalerti dell'assistenza di un esperto in recupero crediti bancari per supportarti nella procedura.

Quando è necessario andare in giudizio

Se l'ABF non risolve la controversia — o se la banca non aderisce alla decisione (l'ABF non è vincolante, sebbene le banche aderiscano nella grandissima maggioranza dei casi) — il ricorso al giudice ordinario diventa necessario. Prima di adire il tribunale è però obbligatorio il tentativo di mediazione.

Il giudizio ordinario per frode bancaria può essere lungo (da uno a tre anni in primo grado), ma le probabilità di successo sono significative quando la documentazione è solida e la truffa era sofisticata. I tribunali italiani, specialmente quelli con sezioni specializzate, hanno una giurisprudenza sempre più orientata a tutelare i consumatori nelle controversie con le banche su operazioni non autorizzate.

In sede giudiziale, oltre al rimborso del capitale sottratto, è possibile richiedere anche gli interessi legali maturati dalla data delle operazioni fraudolente e, nei casi più gravi, il risarcimento del danno non patrimoniale (stress, ansia, danni alla reputazione creditizia).

Prevenzione: come proteggersi dal phishing bancario

La prevenzione rimane il primo strumento di difesa. Alcune regole fondamentali possono ridurre drasticamente il rischio di cadere vittima di queste frodi:

  • Non cliccare mai su link contenuti in email o SMS che riguardano la tua banca: accedi sempre digitando l'indirizzo direttamente nel browser.
  • La tua banca non ti chiederà mai via email, SMS o telefono il codice OTP, il PIN o la password: qualsiasi richiesta in tal senso è una truffa.
  • Attiva le notifiche push o via SMS per ogni operazione: ti permettono di accorgerti immediatamente di movimenti sospetti.
  • Utilizza l'autenticazione biometrica (impronta digitale, Face ID) dove disponibile.
  • Verifica regolarmente gli accessi al tuo home banking dalla sezione "storico accessi" o equivalente.
  • Se ricevi una telefonata da un sedicente operatore bancario che crea urgenza, riaggancia e richiama il numero ufficiale della banca.

Hai un problema con la tua banca?

Consulta un avvocato specializzato su AvvocatoFlash:

Casistiche pratiche: quando l'ABF e i tribunali hanno dato ragione al cliente

L'Arbitro Bancario Finanziario ha sviluppato nel tempo una giurisprudenza sempre più strutturata sul tema del phishing, che costituisce oggi un riferimento fondamentale per chiunque voglia valutare le proprie probabilità di successo. In numerose decisioni degli ultimi anni, il Collegio ha accolto i ricorsi dei clienti riconoscendo che la sofisticatezza delle tecniche di attacco moderno — clonazione grafica perfetta delle pagine bancarie, spoofing del numero di telefono della banca, utilizzo di domini quasi identici a quelli originali — esclude la configurabilità della negligenza grave in capo al consumatore medio. In queste pronunce il principio ricorrente è chiaro: non si può pretendere dal cliente una vigilanza tecnica che va ben oltre le normali cautele di un utente diligente.

Sul fronte giudiziale ordinario, diversi tribunali italiani hanno condannato le banche al rimborso integrale delle somme sottratte tramite phishing, applicando il principio della responsabilità oggettiva sancito dal D.Lgs. 11/2010. In particolare, quando il sistema di autenticazione adottato dalla banca non era adeguato a rilevare anomalie comportamentali — come accessi dall'estero, operazioni a orari insoliti o bonifici verso IBAN mai utilizzati in precedenza — i giudici hanno ritenuto che l'istituto di credito non avesse assolto il proprio obbligo di protezione del cliente. Alcune sentenze hanno inoltre riconosciuto il danno non patrimoniale da stress e perdita di serenità, liquidato in via equitativa, nei casi più gravi in cui la vittima aveva perso i risparmi di una vita.

Il caso del vishing "a numero spoofato"

Una tipologia di truffa sempre più frequente, e oggetto di significativa attenzione da parte dell'ABF, è quella del cosiddetto vishing con spoofing del numero di telefono. In questi casi il truffatore chiama la vittima da un numero che appare identico a quello ufficiale della banca — verificabile persino nell'elenco telefonico — creando una situazione di inganno pressoché irresistibile per un utente comune. Diverse decisioni ABF hanno stabilito che, in queste circostanze, la banca non può opporre la negligenza grave del cliente: chiunque, ricevendo una chiamata proveniente dal numero certificato della propria banca, sarebbe ragionevolmente indotto a seguire le istruzioni del sedicente operatore. La responsabilità ricade sull'istituto, che avrebbe dovuto adottare sistemi di alert per operazioni eseguite in prossimità di tali chiamate o in circostanze anomale.

Errori comuni che compromettono il diritto al rimborso

Uno degli errori più frequenti e più dannosi che commettono le vittime di phishing è attendere troppo prima di agire. Molte persone, scosse emotivamente dalla scoperta della frode, rimandano di giorni o addirittura settimane la denuncia e il reclamo formale. Questo ritardo può avere conseguenze serie: i fondi sottratti vengono nel frattempo movimentati e resi irrecuperabili, e la banca potrebbe eccepire che il ritardo nella segnalazione ha aggravato il danno, riducendo la propria responsabilità. Il D.Lgs. 11/2010 stabilisce che il cliente deve comunicare senza indugio all'istituto la scoperta dell'operazione non autorizzata: ogni ritardo ingiustificato può essere interpretato sfavorevolmente.

Un secondo errore molto comune è non conservare o addirittura eliminare le prove della frode. Molte vittime cancellano le email o gli SMS sospetti, convinte che non siano più utili, oppure non effettuano screenshot delle pagine contraffatte prima che i server fraudolenti vengano oscurati. Senza queste prove, dimostrare in sede ABF o giudiziale che la truffa era sofisticata e che l'inganno era oggettivamente difficile da smascherare diventa molto più arduo. È essenziale conservare tutto: messaggi, log delle chiamate, link visitati, estratti conto, ricevute delle operazioni contestate. Se possibile, è utile anche conservare i file delle email originali (formato .eml) che consentono all'avvocato o a un consulente tecnico di analizzare gli header e risalire all'origine dell'attacco.

Altro errore frequente è contestare verbalmente la frode al call center bancario senza seguire con un reclamo scritto formale. La comunicazione telefonica non ha valore probatorio e non fa decorrere il termine di risposta obbligatorio previsto dalla normativa. Solo il reclamo scritto — inviato tramite raccomandata A/R, PEC o anche email certificata alla casella dedicata reclami dell'istituto — attiva formalmente le tutele previste dalla legge e apre la strada al ricorso ABF in caso di risposta negativa o silenzio della banca.

Il profilo penale: la denuncia e le norme del codice penale applicabili

Parallelamente alla tutela civile e bancaria, il phishing configura una serie di reati previsti dal codice penale italiano che è importante conoscere, sia per valutare la posizione della vittima sia per comprendere l'importanza strategica della denuncia penale nel percorso di rimborso. Le fattispecie più rilevanti sono: la frode informatica (art. 640-ter c.p.), che punisce chiunque alteri il funzionamento di un sistema informatico o intervenga senza diritto su dati o programmi per procurarsi un ingiusto profitto; il furto di identità digitale (art. 494 c.p. e art. 9 del D.Lgs. 70/2003); la sostituzione di persona (art. 494 c.p.); e l'accesso abusivo a sistema informatico (art. 615-ter c.p.) per chi viola i sistemi di home banking. Nei casi di organizzazioni criminali strutturate, si applica anche l'aggravante dell'art. 640-ter comma 2 c.p., con pene significativamente più elevate.

La denuncia alla Polizia Postale — che è l'autorità specializzata nei crimini informatici — è un atto che riveste importanza fondamentale non solo ai fini penali ma anche per il successivo procedimento civile o ABF. La denuncia costituisce prova documentale dell'avvenuta frode e della tempestività della reazione della vittima, due elementi che i collegi ABF e i tribunali valutano positivamente. Inoltre, in alcuni casi, le indagini penali riescono a tracciare i movimenti dei fondi e a bloccarli prima che vengano polverizzati attraverso catene di conti correnti "mule": questa è una possibilità concreta, soprattutto se la denuncia avviene nelle primissime ore successive alla scoperta della frode. L'avvocato specializzato può coordinare la denuncia penale con l'azione civile in modo da massimizzare le chances di recupero.

Tempistiche e costi indicativi del percorso di rimborso

Comprendere le tempistiche realistiche è essenziale per affrontare il percorso di rimborso con aspettative corrette. La fase del reclamo bancario è in genere la più rapida: la banca ha 15 giorni lavorativi per rispondere (circa tre settimane di calendario). Tuttavia, nella maggior parte dei casi di phishing, la risposta è negativa o parziale, e occorre passare alla fase successiva. Il ricorso all'ABF ha tempi medi di definizione che oscillano tra i sei e i dodici mesi dalla presentazione del ricorso, con alcune variazioni a seconda del Collegio competente per territorio. Si tratta di una procedura relativamente snella e a costo contenuto: la quota di iscrizione al ricorso è di 20 euro, e non è obbligatoria l'assistenza di un avvocato, sebbene sia fortemente consigliata per strutturare correttamente le memorie e raccogliere la documentazione tecnica necessaria.

Qualora la controversia approdasse in sede giudiziale ordinaria, le tempistiche si allungano considerevolmente. In primo grado, i tribunali italiani impiegano mediamente da uno a tre anni per definire una causa bancaria, con punte più elevate nelle sedi più congestionate. I costi di un giudizio civile includono il contributo unificato (calcolato sul valore della causa), le spese legali e, se necessaria, la consulenza tecnica d'ufficio informatica. Tuttavia, in caso di vittoria, il giudice condanna la banca soccombente al pagamento delle spese processuali, riducendo l'esborso netto per il cliente. È importante valutare con il proprio legale il rapporto costi-benefici prima di intraprendere questa strada, tenendo conto dell'entità della somma sottratta e della solidità delle prove disponibili.

FaseDurata indicativaCosto stimatoVincolatività
Reclamo alla banca15 giorni lavorativiGratuitoNon vincolante
Ricorso ABF6–12 mesi€20 + eventuale onorario legaleNon vincolante (ma aderenza ~90%)
Mediazione obbligatoria1–3 mesi€50–€500 (organismo + legale)Presupposto processuale
Giudizio ordinario (1° grado)1–3 anni€500–€3.000+ (contributo + legale)Vincolante

Hai dubbi su bancario e finanziario?

Un avvocato a tua disposizione ogni volta che ti serve

Hai bisogno di assistenza legale? Studio legale online o Avvocato online su AvvocatoFlash: descrivi il tuo problema e ricevi una risposta da un avvocato specializzato entro 24 ore.
Se sono vittima di phishing la banca deve rimborsarmi?
In linea generale sì: il D.Lgs. 11/2010 (che recepisce la PSD2) impone alla banca di rimborsare immediatamente le operazioni non autorizzate. La banca può rifiutare solo se dimostra che il cliente ha agito con dolo o negligenza grave. L'onere della prova spetta alla banca, non al cliente.
Ho fornito il codice OTP al telefono a un falso operatore: perdo il diritto al rimborso?
Non necessariamente. La giurisprudenza e l'ABF valutano caso per caso. Se la truffa era sofisticata (ad esempio il truffatore conosceva dati riservati della vittima, come il numero di conto o l'ultima operazione effettuata), questo può escludere la negligenza grave. È fondamentale documentare ogni dettaglio della telefonata e affidarsi a un avvocato.
Entro quanto tempo devo segnalare la frode alla banca?
Prima possibile. Non esiste un termine perentorio brevissimo, ma la normativa prevede che la contestazione avvenga senza indugio non appena il cliente viene a conoscenza dell'operazione non autorizzata. Attendere settimane senza agire può essere interpretato come negligenza. Il termine massimo per la contestazione è 13 mesi dall'addebito.
Devo fare denuncia alla Polizia per ottenere il rimborso dalla banca?
La denuncia non è formalmente obbligatoria per richiedere il rimborso, ma è fortemente consigliata. Dimostra che il cliente ha preso sul serio l'accaduto, fornisce una prova documentale della frode e può aiutare nelle fasi successive (mediazione, ABF, giudizio). Va fatta alla Polizia Postale il prima possibile.
Cosa fa l'ABF nei casi di phishing?
L'Arbitro Bancario Finanziario ha trattato centinaia di casi di phishing e smishing, emettendo spesso decisioni favorevoli ai clienti. Analizza la sofisticatezza della truffa, le misure di sicurezza della banca (es. rispetto della SCA/PSD2) e il comportamento del cliente. Il procedimento è gratuito (20 euro rimborsabili) e dura al massimo 12 mesi.
Cosa succede se la banca non aderisce alla decisione dell'ABF?
L'ABF non emette provvedimenti vincolanti, ma le banche aderiscono nella grandissima maggioranza dei casi per evitare sanzioni reputazionali (le decisioni sono pubbliche). Se la banca non aderisce, puoi procedere con la mediazione obbligatoria e, se necessario, con il giudizio ordinario.
Posso essere rimborsato anche per il SIM swapping?
Sì. Il SIM swapping è una frode in cui il criminale ottiene una copia della tua SIM e intercetta i codici OTP. Diverse pronunce dell'ABF e sentenze di merito hanno riconosciuto il diritto al rimborso, stabilendo che la banca avrebbe dovuto rilevare l'anomalia (un SIM swap seguito a breve da un'operazione di pagamento è un segnale d'allarme).
Oltre al rimborso posso chiedere altri danni alla banca?
Sì. In sede giudiziale, oltre al rimborso del capitale sottratto con gli interessi legali, è possibile richiedere il risarcimento del danno non patrimoniale nei casi più gravi (stress significativo, danni alla salute, danno alla reputazione creditizia causato da eventuali segnalazioni negative conseguenti alla frode). La valutazione va fatta con un avvocato specializzato.

Hai bisogno di assistenza legale?

Scrivici, ti mettiamo in contatto con il miglior avvocato nella tua zona in poche ore.

Minimo 80 caratteri0 / 80
Avvocati verificati
50.000+ clienti aiutati

Articoli Correlati

Bilancia della giustizia e martelletto

Anatocismo bancario: quando la banca capitalizza illegalmente gli interessi

Lavoratore stressato alla scrivania

Anatocismo bancario: cos'è, quando è illegale e come recuperare gli interessi pagati sugli interessi

related article

Assegno Bancario: La Guida Completa per Capirlo

Un avvocato a tua disposizione ogni volta che ti serve

Oltre 200 avvocati in tutta Italia pronti a risolvere i tuoi problemi legali ad un costo fisso.

Stai cercando un Avvocato?

AvvocatoFlash ha aiutato oltre 50.000 persone come te nel 2026.

Da oggi con AvvocatoFlash puoi fare video conferenze con gli Avvocati e firmare i tuoi documenti legali senza uscire di casa

Contattaci per risolvere il tuo problema legale


Hai bisogno di un Avvocato?

Oltre 50.000 utenti hanno già provato AvvocatoFlash

Descrivi il tuo caso