Vishing e OTP: cosa succede quando rispondi alla “banca”, chi deve rimborsare e quali prove servono per ottenere indietro i soldi secondo l’art. 11 d.lgs. 11/2010 e gli orientamenti ABF.
Dalle ultime settimane arrivano nuovi casi di truffe telefoniche con numero “della banca” clonato e richieste di OTP o accessi in app. La tecnica si affianca a schemi di takeover su WhatsApp (ad esempio con il recente codice a 8 cifre dei “Dispositivi collegati”), segno che i criminali perfezionano l’inganno sfruttando l’urgenza emotiva. La buona notizia è che, in Italia, il quadro normativo tutela i consumatori con un obbligo di rimborso molto rapido per le operazioni non autorizzate; in parallelo, l’Arbitro Bancario Finanziario (ABF) sta consolidando decisioni che riconoscono responsabilità anche degli intermediari nei casi di vishing e spoofing.
Cosa succede
Il “vishing” è una truffa che avviene per telefono. L’elemento che spiazza la vittima è lo spoofing del numero: sul display compare il contatto della propria banca, ma la chiamata è manipolata. L’operatore, credibile e preparato, riferisce di anomalie o bonifici sospetti e induce a leggere OTP, approvare notifiche push, condividere lo schermo o installare software di “assistenza”. Anche quando il cliente digita volontariamente credenziali o codici, il consenso non è valido se è frutto di induzione fraudolenta: si parla comunque di operazioni non autorizzate ai sensi del d.lgs. 11/2010, con onere della prova che grava sull’intermediario. Gli orientamenti dell’ABF del 2025 hanno rimarcato la corresponsabilità della banca nelle truffe di caller ID spoofing, arrivando a riconoscere ristori significativi quando l’intermediario non ha dimostrato adeguati presidi e comunicazioni.
Chi rimborsa e quando
La regola cardine è nell’art. 11 del d.lgs. 11/2010: se un’operazione è non autorizzata, il prestatore di servizi di pagamento deve rimborsare “immediatamente e, in ogni caso, entro la fine della giornata operativa successiva” da quando viene a conoscenza del disconoscimento. La Banca d’Italia ha ribadito più volte che la sospensione del rimborso è possibile solo se esiste un motivato sospetto di frode del cliente, fondato su ragioni obiettive e comunicato all’Autorità secondo le modalità prescritte. In mancanza di tali presupposti, il rimborso va eseguito riportando il conto allo stato in cui si sarebbe trovato senza l’operazione, comprensivo di interessi e spese.
Il diritto al rimborso convive con un obbligo di diligenza in capo all’utente: deve contestare “senza indugio” e, comunque, entro 13 mesi dalla data di addebito (termine di decadenza fissato dall’art. 9). L’ABF lo ha chiarito in più decisioni di coordinamento, precisando che oltre quel limite la domanda non può essere accolta. Per questo è cruciale agire subito, al primo sospetto.
Prove e onere della prova
Spetta alla banca dimostrare che l’operazione era autenticata, registrata e contabilizzata correttamente e che non vi sono stati malfunzionamenti. L’autenticazione forte (SCA) o la presenza di OTP non bastano, da sole, a provare il consenso del cliente, se il contesto è quello di un raggiro telefonico ben orchestrato. Proprio nelle frodi con numero clonato, l’ABF ha valorizzato indicatori di inganno sofisticato (spoofing del caller ID, SMS “di sicurezza” falsi inseriti in thread legittimi, pressioni a leggere OTP) per escludere la colpa grave del cliente o per affermare un concorso di responsabilità dell’intermediario.
Cosa fare ora
Se ricevi una telefonata “della banca” che ti chiede codici o approvazioni, chiudi e richiama tu dal numero ufficiale presente sul retro della carta o nell’app. Se ti accorgi che un bonifico o un pagamento è partito dopo un contatto sospetto, disconoscilo subito all’intermediario con canale tracciabile (PEC, modulo in filiale, area riservata) e segnala l’evento alla Polizia Postale, allegando screenshot delle chiamate, SMS e notifiche ricevute. La segnalazione è utile anche quando l’importo è stato già rimborsato, poiché la banca può sospendere il rimborso solo in presenza di concreti motivi di sospetta frode a tuo carico, da comunicare alla Banca d’Italia; diversamente, deve ripristinare il conto entro la giornata lavorativa successiva. Non attendere: il termine massimo per la contestazione è di 13 mesi, ma ogni giorno perso rende più complesso il recupero e la ricostruzione forense dei fatti.
Se l’intermediario nega il rimborso invocando la “colpa grave”, verifica se la banca ha provato elementi specifici a tuo carico (condotte anomale, violazioni palesi delle cautele) e se i suoi sistemi antitruffa erano adeguati al rischio di spoofing nel periodo in cui è avvenuto il raggiro. In molte decisioni del 2025 l’ABF ha riconosciuto ristori proprio perché le misure adottate dall’intermediario non erano proporzionate alla sofisticazione della truffa o perché la comunicazione di sospensione non rispettava i requisiti formali. In caso di diniego, puoi valutare un ricorso ABF o l’azione giudiziaria ordinaria, scegliendo la via più efficiente in base a importo, tempi e profili probatori.
Uno sguardo al rischio emergente
In parallelo, stanno circolando schemi su WhatsApp che sfruttano funzioni legittime come “Dispositivi collegati” e un codice a 8 cifre, con l’obiettivo di impossessarsi degli account e poi contattare in rubrica “a nome tuo” per chiedere denaro o codici. È un ulteriore esempio di social engineering che può fare da apripista a successive frodi bancarie. Aggiorna prevenzione e procedure interne: autenticazioni fuori banda, blocco immediato del profilo compromesso, verifica identità del chiamante solo tramite richiami a numeri ufficiali.
Come possiamo aiutarti
Assistiamo quotidianamente vittime di vishing e spoofing nel disconoscimento tempestivo, nella raccolta delle prove e nella negoziazione con gli intermediari; quando serve, predisponiamo ricorsi ABF o azioni in giudizio, anche in urgenza, per ottenere il ripristino del conto e il ristoro di spese e interessi. Se hai dubbi su chiamate o messaggi “della banca”, è preferibile un check preventivo: spesso basta un confronto rapido per evitare danni maggiori.
