Truffe bancarie telefoniche: quando paga anche la banca (ma non sempre). La lezione dell’ABF sulla responsabilità condivisa

Nelle ultime settimane, uno degli argomenti più trattati da questo blog ha riguardato le truffe digitali, un odioso fenomeno in grave ascesa e che sta colpendo molti consumatori italiani, con diverse e sempre innovative modalità (vedi la "truffa della ballerina" - clicca qui).

Una delle versioni più classiche della truffa digitale riguarda il vishing, ossia il furto dei dati bancari attraverso una telefonata e che può comportare gravi danni al consumatore raggirato, come accaduto nella vicenda oggetto della decisione n. 1880/2025 dell'Arbitro Bancario Finanziario - Collegio di Roma.

Il provvedimento che trovate di seguito è particolare perché determina, da una parte, la responsabilità della banca, ma dall'altra anche quella del correntista "distratto", stabilendo che anche il consumatore deve stare accorto e tenere comportamenti che evitino il il furto dei suoi denari (per chi è rimasto vittima di phishing/vishing o comunque vuole assistenza in materia bancaria, può scrivere a sos@consumatoreinformato.it).

1. La vicenda: una truffa telefonica sempre più sofisticata

Un correntista subisce una truffa di tipo “vishing”, ossia phishing telefonico, venendo contattato contattato da un numero apparentemente riconducibile alla banca: l’interlocutore conosce dati personali del cliente e si presenta come operatore incaricato di completare il questionario antiriciclaggio tramite una presunta applicazione di sicurezza.

Seguendo le istruzioni ricevute telefonicamente, il cliente installa sul proprio smartphone un’applicazione che consente il controllo remoto del dispositivo.

Nei giorni successivi viene disposto un bonifico di 49.500,00 euro verso un beneficiario sconosciuto con causale “acconto immobile” e viene tentato un secondo bonifico di 28.500,00 euro, poi bloccato dal sistema.

Il cliente denuncia immediatamente i fatti e disconosce l’operazione, sostenendo di non aver mai autorizzato il pagamento né comunicato credenziali o codici.

La banca, invece, produce i log informatici attestanti:

• accesso con PIN;
• autenticazione tramite mobile token;
• autorizzazione mediante OTP.

Secondo l’intermediario, dunque, l’operazione risulta formalmente corretta.

2. PSD2 e autenticazione forte: perché non basta dire “i codici erano giusti”

Il Collegio richiama il quadro normativo della PSD2, recepita nel nostro ordinamento mediante modifica del d.lgs. 11/2010.

Nel caso concreto l’operazione era protetta dalla cosiddetta strong customer authentication (SCA):

1. PIN come fattore di conoscenza;
2. OTP generato tramite mobile token come fattore di possesso.
3. Sistema ritenuto conforme anche agli orientamenti dell’Autorità bancaria europea.

Ma il punto centrale — e ormai consolidato nella giurisprudenza ABF — è un altro.

La corretta autenticazione tecnica non equivale automaticamente ad autorizzazione consapevole del cliente.

La banca non può limitarsi a dimostrare che i codici sono stati inseriti: deve anche dimostrare di aver adottato presidi idonei a prevenire frodi prevedibili nel contesto attuale.

3. Il numero telefonico “riconducibile” alla banca: un problema anche dell’intermediario

Elemento rilevante della decisione è il cosiddetto caller ID spoofing.

Ma cos'è il caller ID spoofing? l'ABF l'ha definito come una sofisticata truffa informatica  basata sulla falsificazione del numero del mittente (chiamata o SMS) per simulare un'entità affidabile,la banca inducendo la vittima a rivelare credenziali o spostare fondi.

Il numero utilizzato dal truffatore non coincideva formalmente con quello ufficiale del call center, ma risultava comunque riconducibile all’intermediario.

Secondo l’orientamento ormai prevalente dei Collegi territoriali, ciò può integrare un concorso di responsabilità della banca, perché l’intermediario deve adottare presidi tecnici adeguati per evitare l’uso fraudolento dei propri riferimenti telefonici.

Per il consumatore medio, infatti, vedere comparire un numero associabile alla banca genera un affidamento comprensibile e spesso determinante.

4. L’errore decisivo del cliente: installare l’app di controllo remoto

Il Collegio dell'Arbitro, dando seguito a precedenti analoghe vicende, individua anche una responsabilità grave del correntista.

Seguendo le indicazioni del falso operatore, il cliente installa un’applicazione che consente l’accesso remoto allo smartphone.

Secondo una linea ormai costante dell’ABF, questa condotta integra colpa grave.

⇒ Chi consente ad uno sconosciuto di controllare il proprio dispositivo:

⇒ permette al truffatore di visualizzare notifiche;

⇒ inserire credenziali;

⇒ autorizzare operazioni.

In sostanza, il frodatore può operare indisturbato simulando l’operatività del cliente.

Il Collegio sottolinea inoltre che non è stato prodotto alcun “messaggio esca”, elemento spesso utilizzato per dimostrare un affidamento ragionevole nei casi di spoofing o smishing.

5. Operazione anomala: quando la banca avrebbe dovuto fermarsi

Nonostante la colpa grave del cliente, la banca non viene esonerata completamente, in quanto il bonifico presentava infatti diversi indici di anomalia tali da indurre l'intermediario bancario a bloccare/non dare esecuzione all'ordine di bonifico, previo ulteriore controllo. 

Elementi di anomalia che possono essere rilevati dalla banca, utilizzando il criterio della diligenza professionale (c.d. "accorto banchiere") ex art. 1176 c.c., comma 2, sono l'importo estremamente elevato; operazione non coerente con la storia del conto; tentativo successivo di ulteriore bonifico poi bloccato.

E tale attività di controllo può essere rispettata, attraverso sistemi capaci di intercettare trasferimenti manifestamente fuori linea rispetto al comportamento abituale del cliente.

Se un’operazione appare abnorme già prima facie, il controllo automatizzato non basta.

6. La decisione: responsabilità condivisa e rimborso solo parziale

In conclusione, il Collegio individua quindi un concorso di colpa tra banca e cliente:

a.- del cliente, per aver installato l’app di controllo remoto;

b.- della banca, per non aver adeguatamente intercettato l’operazione anomala.

Il ricorso viene parzialmente accolto e la banca viene condannata a pagare15.000 euro a titolo equitativo, su 49.500 richiesti.

La pronuncia conferma una tendenza ormai consolidata in questa materia, in quanto nelle frodi digitali più evolute la responsabilità non è quasi mai totalmente unilaterale, come ci ha detto l'ABF con questa decisione.

Quando il cliente agevola la truffa con comportamenti gravemente imprudenti, il rimborso integrale diventa difficile, o comunque parziale, avendo partecipato attivamente alla creazione del danno lamentato.

Ma allo stesso tempo l’intermediario non può rifugiarsi dietro la correttezza tecnica dei log informatici se l’operazione presenta segnali evidenti di anomalia.

In un contesto di truffe sempre più sofisticate, la sicurezza dei pagamenti resta una responsabilità condivisa — e la prevenzione, oggi più che mai, è il vero strumento di tutela del consumatore.

Arbitro Bancario Finanziario - Collegio di Roma - decisione n. 1880/2025.

Contratti finanziari online: cosa cambia dal 19 giugno 2026

Negli ultimi anni sempre più consumatori aprono conti correnti, richiedono carte, prestiti, polizze assicurative o investono online, direttamente tramite siti web e app. È una modalità comoda e veloce, ma spesso comporta la sottoscrizione di contratti complessi in pochi clic, con informazioni difficili da leggere, pulsanti che spingono ad accettare in fretta e percorsi di uscita poco chiari. Proprio per questi motivi, l’Unione europea ha approvato una nuova direttiva sui servizi finanziari conclusi a distanza, che l’Italia ha recepito modificando il Codice del consumo. Le nuove regole si applicano ai contratti conclusi dal 19 giugno 2026 in poi e rafforzano in modo significativo la tutela dei consumatori (per assistenza e maggiori informazioni, scrivi a sos@consumatoreinformato.it).

(1) informazioni pre contrattuali più chiare e trasparenti

Il primo cambiamento riguarda le informazioni che devono essere fornite prima della conclusione del contratto. Chi propone un servizio finanziario online dovrà mettere il consumatore nelle condizioni di capire davvero con chi sta contrattando, che tipo di prodotto sta sottoscrivendo, quali sono i costi complessivi, i rischi, la durata del rapporto e soprattutto se e come è possibile recedere. 

In altri termini, viene richiesto al professionista un obbligo più preciso nell'indicazione delle informazioni relative al prodotto oggetto di offerta e al ruolo dell'intermediario nell'offerta digitale.

Vengono bandite le informazioni generiche, mentre viene considerato assolto il dovere informativo da parte dell'intermediario nel momento in cui comunica tutti dati in modo chiaro, comprensibile e utilizzabile, così che il consumatore possa leggerle, salvarle e, se vuole, stamparle prima di cliccare su “accetto”.

(2) Grafica più trasparente su sito web e applicazione

Un ulteriore aspetto importante delle nuove norme riguarda l'aspetto grafico del sito web o dell'applicazione attraverso i quali viene offerto il prodotto finanziario.

Occorre premettere che le operazioni finanziarie avvengono, nella quasi totalità, attraverso strumenti elettronici, e tale ragione a giustificato la nuova normativa volta a salvaguardare i diritti dei contraenti deboli: gli investitori privati.

Ecco perché anche l'interfaccia di siti e app è oggetto di una nuova disciplina, ove il legislatore mira ad introdurre  tecniche di design che servono ad evitare che l'investitore sia spinto verso scelte affrettate o poco consapevoli, come pulsanti sbilanciati, finestre che si ripresentano in continuazione o percorsi di recesso più complicati di quelli di adesione. 

Dal 2026, per i servizi finanziari online, queste pratiche saranno vietate: le piattaforme dovranno essere progettate in modo da non ingannare né manipolare il consumatore e da non condizionare in modo scorretto le sue decisioni.

(3) Il nuovo diritto di recesso

La novità più concreta ed attuale, dal punto di vista pratico, è però quella che riguarda il diritto di recesso concesso all'investitore che acquista uno strumento finanziario attraverso una piattaforma digitale.

Per i contratti conclusi tramite interfaccia online dovrà essere disponibile anche una funzione digitale di recesso, chiaramente visibile, con una dicitura del tipo “recedi dal contratto qui”.

Attraverso questa funzione il consumatore potrà inserire o confermare i propri dati, indicare il contratto da cui intende uscire e inviare la dichiarazione con un passaggio di conferma. 

Una volta fatto questo, l’intermediario dovrà trasmettere senza ritardo una ricevuta su supporto durevole, come un’e-mail o un documento scaricabile, che riporti il testo del recesso e la data e l’ora di invio. In questo modo il recesso diventa semplice, tracciabile e facilmente dimostrabile in caso di contestazioni.

(4) 19 giugno 2026 - entrata in vigore delle nuove regole

È importante però fare attenzione alla data di applicazione delle nuove regole. I contratti conclusi prima del 19 giugno 2026 continuano a essere regolati dalla disciplina precedente del Codice del consumo. I contratti conclusi dopo quella data, invece, beneficeranno della nuova normativa, con obblighi informativi più stringenti, il divieto di interfacce ingannevoli e la possibilità di recedere anche tramite un pulsante o una funzione online dedicata.

In concreto, per chi utilizza servizi finanziari digitali, questa riforma significa avere più trasparenza prima di firmare, meno pressioni “nascoste” nelle interfacce e soprattutto uno strumento in più per uscire facilmente da un contratto che si riveli sbagliato o troppo costoso.

Quando la banca promette “più sicurezza”, deve mantenerla davvero

Torniamo a parlare del Consorzio "Patti Chiari" che molti di voi ricorderanno come una delle più controverse iniziative avviate dalle banche negli ultimi decenni e che  ha fatto discutere anche su questo blog (un approfondimento qui).

La questione affrontata dalla Suprema Corte di Cassazione con l'ordinanza n. 32225/2025 che commentiamo, e che trovate in calce al nostro intervento, ragioniamo di un tema molto attuale tra banche e assicurazioni, ossia la trasparenza delle promesse commerciali.

In tema di investimenti finanziari, il dovere dell'intermediario di informare il cliente in modo trasparente è diventato sempre più caldo ed attuale, stante la necessità che il nostro sistema di regole (comunitarie e nazionali) prevede un obbligo di riequilibrio della distanza tra operatore professionale e consumatore. 

E sotto questo profilo, risulta attuale un quesito che coinvolge tutti gli operatori professionali, da una parte, ed i consumatori dall'altra: se una banca promette più sicurezza o standard più elevati, è davvero obbligata a mantenerli?

La Corte di Cassazione, con il provvedimento n. 32225/2025, risponde in senso affermativo, chiarendo che le maggiori promesse introdotte dalle banche, attraverso messaggi pubblicitari, non possono essere ridotte a sole operazioni di marketing, ma introducono veri e propri obblighi giuridici di natura contrattuale che vincolano l'operatore professionale verso il cliente.

➜ Esempio di pubblicità con maggiori obblighi verso l'intermediario (l'autovincolo)

Facciamo un esempio pratico attraverso uno slogan inventato: "Banca....garanzia zero rischio: investi solo in assets AAA", come reinventato qui di seguito, ove la banca pubblicizza un prodotto/servizio indicando una serie di vantaggi/garanzie.

Nel nostro esempio, l'ipotetica banca pubblicizza alcune caratteristiche, quali:

- il prodotto finanziario è a garanzia "zero rischio";

- il prodotto finanziario investe in "asset AAA";

- il prodotto finanziario con monitoraggio 24/7;

- assenza di costi e servizio personalizzato.

Tutti questi elementi indicati nel messaggio pubblicitario, ma diventano anche obblighi contrattuali indiretti assunti dalla banca nei confronti del cliente e che, come chiarito dalla Cassazione che vedremo di seguito, creando un vincolo ulteriore da parte della banca verso il cliente (o meglio autovincolo).

Il professionista, attraverso la pubblicità, garantisce degli standard e delle caratteristiche del prodotto finanziario o del servizio garantito che devono essere rispettate dalla banca. 

➜ L'adesione al Consorzio come messaggio marketing per la vendita di prodotti finanziari apparentemente più sicuri

E secondo la Suprema Corte anche l'adesione al Consorzio Patti Chiari, era un mezzo per pubblicizzare dei prodotti finanziari, considerati a basso rischio, in quanto rientranti tra quelli indicati dal Consorzio in una apposita sezione del sito web.

Anche in questo caso il Consorzio è stato utilizzato come pubblicità per consentire alle banche di vendere gli strumenti finanziari, garantendo basso rischio e resa certa.

L'utilizzo del Consorzio è stato usato in modo strumentale dalle banche per attribuirsi una maggiore trasparenza e sicurezza dei prodotti venduti, in quanto selezionati all'interno di Patti Chiari.

Il Consorzio diviene, per le banche, il marchio di qualità e di sicurezza che serve a far svanire il senso di insicurezza e timore degli investitori retail che vogliono acquistare strumenti finanziari sicuri.

➜ La Cassazione: lo slogan pubblicitario della banca può diventare un obbligo contrattuale ulteriore a carico della banca verso il cliente

La Cassazione mette un punto fermo su questo aspetto, stabilendo che se la banca si propone al cliente veicolando determinate garanzie (come ad esempio, l'adesione a Patti Chiari), tali promesse incidono nel rapporto con il cliente, diventando parte del contratto.

Se la banca dice di seguire uno standard più elevato di tutela, se tu scegli quella banca fidandoti proprio di quello standard, la banca si autovincola a rispettarlo, essendo parte degli obblighi contrattualmente assunti, anche se non indicati nel contratto quadro ex art. 23 TUF.

E se la banca non rispetta tali impegni, si rende contrattualmente inadempiente nei confronti del cliente.

➜ Il caso deciso dalla Cassazione: “Patti Chiari” e bond poi rivelatisi rischiosi

La vicenda nasce da investimenti in obbligazioni Lehman Brothers proposti da una banca che aderiva al consorzio “Patti Chiari”, già oggetto di provvedimenti resi da vari tribunali italiani (approfondisci qui).

La Banca presentava il Consorzio “Patti Chiari” come un sistema di:

1. selezione dei prodotti,
2. semplicità e trasparenza,
3. bassa rischiosità per il risparmiatore.

A causa del noto default dichiarato da Lehman Brothers, i clienti hanno fatto causa all'istituto di credito sostenendo che l'intermediario non aveva rispettato gli impegni di informazione e controllo che derivavano proprio da quella adesione.

La vicenda è terminata davanti alla Cassazione, la quale ha chiarito tre principi fondamentali:

(A)

L’adesione a “Patti Chiari” non è neutra: entra nel contratto con il cliente

(B)

La banca deve contrattualmente garantire un livello di caratteristiche, sicurezza e rischi più complesso 

(C)

Le garanzie, le informazioni e i doveri della banca sono ulteriori e più gravosi rispetto a quelli minimi previsti dalla legge (art. 21 TUF).

In altri termini, se la banca promette uno standard più alto al cliente, attraverso l'adesione a Patti Chiari, deve impegnarsi a rispettarlo, non perché lo stabilisce la legge (art. 21 TUF), ma la sua comunicazione pubblicitaria che induce il consumatore ad avere un livello di affidamento più elevato.

Qui si crea l'autovincolo contrattuale verso il cliente a cui la banca si impegna, in quanto quest'ultima sceglie volontariamente di:

• aderire a uno standard (consorzio, codice, protocollo);
• lo pubblicizza per apparire più affidabile e prudente;
• il cliente fa affidamento su quella promessa per decidere se investire;
• quello standard diventa contenuto del contratto.

Di conseguenza, la proposta marketing assume un nuovo e più intenso obbligo contrattuale che il giudice può usare per valutare se la banca ha davvero fatto ciò che aveva promesso.

In termini più semplici, la promessa commerciale entra nel contratto ed introduce una nuova tutela in favore del cliente.

➜ Legge minima (art. 21 TUF) vs standard promessi: lo “scatto in avanti” di responsabilità

Come è noto l'art. 21 TUF prevede una serie di obblighi verso le banche che negoziano valori mobiliari verso i clienti, imponendo loro di:

• essere diligenti, corrette e trasparenti,
• informare il cliente sui rischi,
• proporre prodotti adeguati al profilo dell’investitore.

La Cassazione sostiene che se la banca propone uno standard di servizi ed obblighi più elevato di quelli previsti dalla legge, il consumatore ha diritto ad ottenerli e la loro fonte non è la legge, ma la promessa pubblicitaria che ha indotto il consumatore ad aderire alla proposta contrattuale.

Ne consegue che il livello della responsabilità dell'intermediario deve essere superiore, in quanto la se la banca promette standard superiori, non può fermarsi al minimo di legge. 

Assume obblighi contrattuali più alti a cui segue una responsabilità maggiore verso il cliente.

Cosa vuol dire sotto il profilo pratico?

Se l’investimento è stato presentato come “a bassa rischiosità” o “selezionato”, la banca deve seguire nel tempo la situazione dell’emittente e controllare segnali di crisi, downgrade, peggioramenti.

E quindi se emergono notizie negative rilevanti, la banca deve avvisare avvisare il cliente in tempi ragionevoli; non aspettare che la situazione diventi irreversibile ed avere un rapporto più intenso con il cliente.

Nel caso di violazione di tali obblighi, non più di origine legale ma contrattuale, la responsabilità della banca è maggiore e gli oneri probatori del consumatore sono inferiori

Il giudice, infatti, non guarda solo se la banca ha rispettato le regole minime stabilite dal Testo Unico della Finanza, ma anche se ha rispettato gli impegni extra che aveva promesso (vedasi Patti Chiari) al cliente.

Se mancano le informazioni dovute, la giurisprudenza riconosce una presunzione del legame tra omissione e danno: è la banca che deve dimostrare che il cliente avrebbe comunque investito o mantenuto il titolo anche se correttamente informato.

Corte di Cassazione - sentenza n. 32225/2025