Truffa bancaria online, decisione ABF 0008198/25: vittima recupera 17.000 euro

Negli ultimi anni le truffe bancarie online – spesso basate su telefonate apparentemente provenienti dall’istituto di credito e messaggi SMS falsificati (“spoofed”) – stanno colpendo un numero crescente di correntisti italiani. In questi raggiri, i criminali convincono il cliente a collegarsi in remoto al proprio computer tramite software come Anydesk o TeamViewer e a confermare operazioni che in realtà servono a svuotare il conto. Il danno può essere ingente, con bonifici istantanei che trasferiscono decine di migliaia di euro in pochi minuti verso conti sconosciuti.

Proprio una frode di questo tipo è stata oggetto del ricorso n. 2387851/2024, presentato dall’Avv. Domenico Bianculli e deciso dal Collegio di Roma dell’Arbitro Bancario Finanziario (ABF) con decisione n. 0008198 del 12 settembre 2025. Il caso ha riguardato un correntista che, dopo essere stato contattato da un falso operatore del servizio antifrode della propria banca, aveva ricevuto SMS apparentemente autentici e aveva eseguito due bonifici istantanei ai truffatori. Solo in seguito aveva scoperto di essere vittima di una sofisticata truffa di phishing telefonico con manipolazione del numero chiamante e dei messaggi di conferma.

Le contestazioni sollevate nel ricorso

Il ricorso – introdotto dopo un reclamo formale e un atto di diffida e messa in mora – ha posto l’accento su più profili di responsabilità dell’intermediario:

• l’assenza di sistemi antifrode efficaci per intercettare bonifici anomali di importo elevato;

• la mancata attivazione di blocchi o alert preventivi, nonostante il cliente non avesse mai effettuato operazioni simili;

• la vulnerabilità ai sistemi di spoofing e l’eventuale violazione degli obblighi di protezione dei dati personali ai sensi del GDPR;

• l’inadeguatezza della mera notifica post-esecuzione delle operazioni (email e SMS inviati solo dopo che i bonifici erano già partiti).

Il ricorso ha fatto riferimento alla Direttiva PSD2 (Direttiva UE 2015/2366), recepita in Italia con il D.Lgs. 11/2010, e agli obblighi di diligenza e sicurezza che gravano sul prestatore di servizi di pagamento.

È stato richiamato anche l’orientamento consolidato dell’ABF (Collegio di Coordinamento, decisione n. 22745/2019), secondo cui la banca deve dimostrare di aver adottato sistemi idonei a prevenire frodi telematiche sempre più sofisticate.

La decisione del Collegio ABF di Roma

Con la decisione n. 0008198/2025, l’ABF di Roma ha riconosciuto la natura particolarmente insidiosa della frode, attuata mediante telefonata apparentemente proveniente dalla banca e SMS spoofing. Pur rilevando un certo grado di cooperazione incauta del cliente (che aveva consentito l’accesso remoto e autorizzato le operazioni), il Collegio ha ritenuto sussistente una responsabilità concorrente dell’intermediario per non aver garantito un adeguato livello di sicurezza e per non aver predisposto strumenti capaci di prevenire efficacemente questo tipo di attacco.

Applicando l’art. 1227 c.c. (concorso di colpa del danneggiato), l’ABF ha disposto che l’intermediario rimborsi 17.000 euro al cliente, oltre al contributo spese della procedura. Sebbene l’importo non copra l’intera perdita, la decisione rappresenta un importante precedente per chi intenda chiedere il rimborso alla banca in caso di truffa online e di bonifici fraudolenti disconosciuti.

Analisi della motivazione del Collegio ABF di Roma

La decisione n. 0008198/2025 evidenzia innanzitutto che “le operazioni per cui è causa sono state, di fatto, compiute ed autorizzate dalla stessa ricorrente“, con la conseguenza che “non è configurabile né il furto o smarrimento di strumenti di pagamento, né la loro clonazione da parte di soggetti terzi” e che “all’odierna controversia non è applicabile il d.lgs. 11/2010, il cui art. 17 – peraltro – sancisce il principio generale della irrevocabilità degli ordini di pagamento“.

Pur esclusa l’applicazione della disciplina sulle operazioni di pagamento non autorizzate, il Collegio afferma che “la condotta dell’intermediario può essere comunque scrutinata, sotto il profilo del corretto adempimento delle obbligazioni contrattuali, eventualmente integrate dal principio di buona fede, potendosi dunque fondare la decisione sugli artt. 1375, 1176, comma 2, e 1218 c.c.“.

Nel merito, l’Arbitro rileva che “l’intrusione non autorizzata nel sistema – lungi dall’essere causata da un insufficiente grado di protezione informatica del servizio offerto dall’intermediario – appare pienamente ascrivibile a colpa grave della cliente“, la quale aveva consentito l’accesso remoto e autorizzato le operazioni, mentre il sistema di autenticazione della banca “appare in grado di garantire un elevato livello di sicurezza“.

Tuttavia, il Collegio osserva che la frode è stata “accompagnata – durante i contatti telefonici con i truffatori – dalla trasmissione a parte attrice di SMS di tipo spoofing” e ricorda che “nell’ambito della classica distinzione tra metodi tradizionali di frode e subdoli meccanismi di aggressione, questo Collegio – richiamando un punto della motivazione della pronuncia del Collegio di Coordinamento n. 22745/2019 – ha ricondotto alla categoria delle frodi sofisticate le intrusioni truffaldine tramite “sms spoofed”. Si precisa che in queste ipotesi “non sia generalmente ravvisabile la colpa grave del ricorrente […] a meno che non si rinvengano – come nel caso in esame – indici di inattendibilità o anomalia dei messaggi, che consentono di configurare un concorso di colpa tra le parti“.

Con riferimento agli obblighi antifrode, il Collegio rileva che “secondo l’art. 2 del Regolamento (UE) n. 2018/389 gli intermediari devono predisporre meccanismi di monitoraggio in grado di rilevare le operazioni di pagamento non autorizzate o fraudolente. Peraltro, in base all’interpretazione fornita dall’EBA (cfr. EBA Q&A 4090/2018), non è necessario che questi meccanismi operino in tempo reale – vagliando le operazioni prima della loro esecuzione –, potendo limitarsi a un monitoraggio delle frodi ex post. Non può ritenersi, dunque, che la resistente avesse l’obbligo di negare l’autorizzazione delle operazioni contestate“.

Infine, nell’applicare l’art. 1227 c.c., “questo Arbitro, in ipotesi caratterizzate dalla presenza di artifizi e raggiri della medesima tipologia di quelli di cui è rimasta vittima la ricorrente, ravvisa un concorso di colpa tra le parti e […] ritiene dovuta alla parte attrice la somma di euro 17.000,00, determinata in via equitativa“.

Perché la decisione è significativa

La pronuncia conferma che, anche quando il cliente viene manipolato dai truffatori e compie in prima persona le operazioni, la banca può essere ritenuta parzialmente responsabile se non dimostra di aver implementato misure di sicurezza adeguate contro tecniche avanzate di social engineering. Nel caso di specie, il Collegio ha valorizzato l’uso di SMS falsificati, riconoscendo che si tratta di un meccanismo di aggressione particolarmente subdolo e capace di trarre in inganno anche utenti prudenti.

Per i consumatori, la decisione segnala che non bisogna arrendersi di fronte a una risposta negativa della banca: attraverso un ricorso all’Arbitro Bancario Finanziario è possibile ottenere un risarcimento, anche parziale, per somme sottratte con una truffa bancaria online. Per gli intermediari, la pronuncia ribadisce l’importanza di investire in sistemi antifrode proattivi e in comunicazioni chiare per proteggere i correntisti.

Chi subisce un attacco di phishing bancario o si vede sottrarre soldi dal conto tramite bonifici istantanei non voluti dovrebbe agire rapidamente: sporgere denuncia alla Polizia Postale, inviare alla banca un atto di disconoscimento delle operazioni fraudolente, e – se necessario – presentare un ricorso all’ABF o avviare un’azione giudiziaria.

Uno studio legale esperto in truffe bancarie online può assistere nella ricostruzione dei fatti, nell’invio della diffida e nel procedimento arbitrale, aumentando le possibilità di ottenere un rimborso anche quando l’istituto di credito si dichiara inizialmente estraneo.