Quando la truffa informatica è troppo complicata, il cliente può essere risarcito in parte dalla Banca, nonostante sia stato lui stesso a inserire i dati nel sistema, come chiesto dai truffatori. È quanto emerge dalla decisione dell’Arbitro Bancario Finanziario (Collegio di Milano) n. 10672 del 5 dicembre 2025, relativa a un sofisticato caso di frode informatica. La vicenda configura un caso emblematico di truffa realizzata tramite “vishing” e “ID caller spoofing”, una tecnica che permette ai criminali di falsificare il numero di telefono chiamante per farlo apparire identico a quello ufficiale dell’intermediario, inducendo così in errore la vittima. Il caso ha coinvolto il legale rappresentante di una società che, allarmato da un falso Sms relativo a un presunto accesso anomalo, è rimasto al telefono per ben quattro ore con un sedicente operatore bancario che lo ha spinto a disporre sei bonifici istantanei.
L’avvocato Letizia Vescovini evidenzia come la decisione dell’Abf si articoli su due livelli di analisi. In primo luogo, va considerato che avendo il cliente inserito personalmente i codici, seppur viziato dal raggiro, il consenso tecnico lo aveva prestato. Assodato questo punto, l’analisi si è però spostata sui principi generali della responsabilità contrattuale e della diligenza professionale, portando l’Abf a ravvisare un concorso di colpa tra le parti. Secondo l’avvocato, l’Arbitro individua la colpa della banca nella «mancata adozione di misure di sicurezza adeguate a rilevare e prevenire operazioni anomale». Il sistema bancario avrebbe dovuto in pratica intercettare i palesi scostamenti dal normale profilo del cliente, come l’assenza di precedenti bonifici istantanei, i destinatari inediti e l’elevato importo mosso in rapida successione, elementi che l’avvocato inquadra nell’ambito del rischio d’impresa che un “accorto banchiere” deve prevenire. Tuttavia, la pronuncia riconosce anche la negligenza del cliente: aver collaborato per quattro ore fornendo codici in una situazione anomala integra una “colpevole credulità”, motivo per cui la banca è stata condannata a risarcire solo un terzo del danno.
Ampliando l’orizzonte verso gli orientamenti della giurisprudenza di merito e di legittimità, l’avvocato Vescovini osserva: «Il rischio di frode informatica rientra pienamente nel rischio professionale dell’intermediario, il quale è tenuto a garantire standard di sicurezza elevatissimi e a rimborsare i danni salvo prova del dolo o della colpa grave dell’utente». Se in presenza di frodi grossolane (con errori grammaticali o link sospetti) la disattenzione del cliente costituisce colpa grave sufficiente a esonerare la banca, lo scenario muta davanti a truffe altamente sofisticate. Quindi di fronte a tecniche come lo spoofing o gli attacchi man-in-the-middle, la condotta della vittima, seppur concausa dell’evento, non integra gli estremi della colpa grave.
