Credenziali rubate e bonifici fraudolenti: chi paga il danno?
📌 Truffa informatica e phishing: il caso deciso dal Tribunale di Napoli
Con la sentenza n. 969 del 21 gennaio 2026, il Tribunale di Napoli affronta il tema della responsabilità in caso di truffe informatiche e utilizzo abusivo delle credenziali bancarie, con particolare riferimento ai fenomeni di phishing, smishing e vishing.
La vicenda riguarda una cliente titolare di carta Postepay Evolution, vittima di una sofisticata truffa articolata attraverso SMS e contatto telefonico fraudolento, culminata con l’esecuzione di operazioni non autorizzate e il conseguente svuotamento del conto.
⚖️ I fatti: phishing, sms spoofing e vishing
Nel caso di specie:
- la vittima riceveva un SMS apparentemente proveniente dal proprio istituto;
- veniva indotta a inserire dati personali e credenziali;
- successivamente veniva contattata telefonicamente da un falso operatore;
- veniva così convinta a comunicare i codici dispositivi ricevuti sul proprio cellulare.
Il giorno seguente, la cliente riscontrava:
- un bonifico di importo elevato;
- operazioni di ricarica telefonica non autorizzate.
Nonostante il tempestivo reclamo e la denuncia, l’intermediario rifiutava il rimborso.
🏛️ La posizione dell’intermediario
Poste Italiane sosteneva:
- la correttezza delle operazioni eseguite;
- l’utilizzo volontario delle credenziali da parte della cliente;
- l’assenza di responsabilità, richiamando gli standard di sicurezza adottati;
- la colpa della cliente per aver comunicato i codici.
⚙️ Il fenomeno delle truffe digitali: phishing, smishing e vishing
Il Tribunale inquadra il caso nell’ambito delle moderne frodi informatiche, evidenziando:
- Phishing: sottrazione di credenziali tramite email fraudolente
- Smishing: utilizzo di SMS ingannevoli
- Vishing: contatto telefonico fraudolento
- SMS spoofing: falsificazione del mittente per aumentare l’affidabilità del messaggio
Tali tecniche si caratterizzano per la crescente sofisticazione e per la capacità di indurre in errore anche utenti diligenti.
⚖️ Il principio di diritto: responsabilità della banca
Il Tribunale richiama l’orientamento consolidato della giurisprudenza di legittimità, secondo cui:
- non spetta al cliente dimostrare di non aver autorizzato l’operazione;
- grava sull’intermediario l’onere di provare:
- di aver adottato tutte le misure di sicurezza idonee;
- che il danno sia imputabile a dolo o colpa grave del cliente.
Si configura, dunque, una forma di responsabilità “semi-oggettiva” dell’intermediario, fondata su:
- art. 10 D.Lgs. n. 11/2010
- art. 15 D.Lgs. n. 196/2003
- art. 2050 c.c. (attività pericolose)
🔍 Onere della prova e decisione del Tribunale
La giurisprudenza configura una responsabilità di tipo semi-oggettivo in capo all’intermediario, fondato sull’art. 2050 c.c. e sulle disposizioni in materia di trattamento dei dati personali.
Nel caso concreto, il Tribunale ha ritenuto che l’intermediario non avesse fornito prova adeguata circa la sicurezza dei sistemi adottati e ha quindi riconosciuto il diritto della cliente alla restituzione delle somme sottratte.
- Chi è responsabile in caso di phishing bancario?
Di regola, la responsabilità ricade sull’intermediario finanziario, salvo prova di dolo o colpa grave del cliente.
- Il cliente deve dimostrare di non aver autorizzato il pagamento?
No, il cliente deve solo provare il danno subito. Spetta alla banca dimostrare la legittimità dell’operazione.
- Quando la banca è obbligata al rimborso?
Quando non prova di aver adottato tutte le misure di sicurezza idonee o non dimostra la colpa grave del cliente.
- Cos’è lo spoofing o smishing?
Sono tecniche di truffa che utilizzano SMS o chiamate falsificate per sottrarre credenziali bancarie.
- Le operazioni effettuate con credenziali corrette sono sempre valide?
No, anche in caso di utilizzo corretto delle credenziali, la banca può essere responsabile se non dimostra adeguati sistemi di sicurezza.
