Truffa del “finto operatore di banca”: come ottenere il rimborso (davvero)

Phishing, vishing e bonifici istantanei: cosa dice la legge italiana, quando la banca deve restituire i soldi e come muoversi nelle prime 24 ore.

Sono telefonate o chat che sembrano provenire dalla tua banca: il “consulente” ti segnala movimenti sospetti e ti guida a “mettere in sicurezza” il conto. In realtà, ti sta carpendo credenziali e codici one-time (OTP). Pochi minuti dopo, partono bonifici istantanei o ricariche verso conti terzi. È successo ieri anche a Cesena: i Carabinieri hanno denunciato un 26enne per una truffa con il solito copione del “finto operatore”, segno che il fenomeno resta diffusissimo.

Cosa dice (sul serio) la legge

Il riferimento è il D.Lgs. 11/2010 (servizi di pagamento, attuazione PSD/PSD2). Se un’operazione è non autorizzata, la banca (tecnicamente: il prestatore di servizi di pagamento) deve rimborsare immediatamente l’importo e riportare il conto nello stato in cui si sarebbe trovato senza quella operazione. La regola è chiara e contiene un’obbligazione a rimborso entro la giornata operativa successiva a quando la banca viene a conoscenza del disconoscimento.

La Banca d’Italia ha ribadito questo punto con una comunicazione ufficiale: il rimborso è la regola; la banca può sospenderlo solo se ha un motivato sospetto di frode a carico del cliente (es. il cliente stesso che tenta di rientrare indebitamente delle somme), e deve anche segnalare formalmente la sospensione secondo uno schema prestabilito.

“Ma ho dato l’OTP al telefono: è colpa mia?”

Qui entra in gioco la giurisprudenza recente, che ha smesso di dare per scontato che l’errore dell’utente sia sempre “colpa grave”. La Corte di Cassazione (sentenza n. 3780/2024) ha affermato che, in caso di phishing, tocca alla banca provare sia la corretta autenticazione dell’operazione sia che l’utente abbia agito con dolo o colpa grave; la mera circostanza che l’operazione risulti “autenticata” nei sistemi non basta a scaricare il rischio sul cliente. In quella vicenda, la banca è stata condannata a rimborsare.

Nel 2025 varie decisioni di merito hanno continuato su questa linea, applicando l’inversione dell’onere della prova prevista dal decreto: se la banca non dimostra misure di sicurezza adeguate e la grave negligenza del cliente, il rimborso spetta. In parallelo, si è chiarito che le esenzioni alla Strong Customer Authentication (SCA) non giocano quando l’accesso è funzionale a un pagamento: dunque, i presìdi devono essere effettivi e coerenti col rischio.

Cosa fare nelle prime 24 ore (che contano tantissimo)

Blocca: usa subito l’app o chiama il numero ufficiale (non quello comparso in chat) per bloccare carte, bonifici istantanei e credenziali.
Disconosci: invia alla banca un disconoscimento scritto delle operazioni con data/ora/importi e chiedi il rimborso immediato ex art. 11 D.Lgs. 11/2010 (cita la norma). Pretendi un protocollo.
Denuncia: deposita una querela alle Forze dell’Ordine allegando screenshot delle chat, SMS, registro chiamate e conti di destinazione. L’azione penale non è condizione del rimborso, ma aiuta e mette pressione.
PEC o raccomandata: se la banca non rimborsa entro la giornata operativa successiva, diffida formale richiamando la comunicazione di Banca d’Italia sulla sospensione motivata (se invocata) e chiedendo gli atti interni che la giustificano.
Reclamo/ABF/giudice: in caso di diniego, apri un reclamo e poi vai all’Arbitro Bancario Finanziario (ABF) o in Tribunale. La prassi ABF e molte sentenze sono favorevoli al correntista quando la banca non prova colpa grave o dolo del cliente.

Domande frequenti (in due righe)

“Ho cliccato su un link in un SMS della ‘banca’…”
Non è automaticamente colpa grave. Il banco di prova è se la banca dimostra SCA adeguata e tua condotta gravemente negligente.
“È partito un bonifico istantaneo: è perso per sempre?”
Il recupero è difficile, ma il tema rimborso riguarda il rapporto con la tua banca: la legge impone il riaccredito salvo dolo/colpa grave tua, con onere della prova in capo all’intermediario.
“Mi hanno chiamato da un numero identico a quello della banca”
Il “spoofing” del chiamante/popup chat è tecnicamente possibile; Banca d’Italia chiede presìdi e rimborsi rapidi, non scarico di responsabilità sul cliente.

Serve assistenza immediata?

Predisponiamo per i clienti: modello di disconoscimento, diffida ex art. 11 D.Lgs. 11/2010, reclamo/ABF e azione giudiziaria.

Phishing, vishing e bonifici istantanei: cosa dice la legge italiana, quando la banca deve restituire i soldi e come muoversi nelle prime 24 ore.

Cosa dice (sul serio) la legge

“Ma ho dato l’OTP al telefono: è colpa mia?”

Cosa fare nelle prime 24 ore (che contano tantissimo)

Domande frequenti (in due righe)

Condividi anche tu!

Post correlati

Sfratto per morosità: procedura rapida in 2 mesi? Cosa prevede il DDL 1610 e cosa vale oggi

Registro AGCOM degli influencer: chi deve iscriversi, quando scatta l’obbligo e come mettersi in regola

Blackout e sbalzi di tensione: indennizzi automatici ARERA e risarcimento danni (2024–2025)

Truffe di Black Friday e smishing: difendersi subito e ottenere il rimborso PSD2

Bollette luce e gas troppo alte come contestarle e ottenere il ricalcolo