La banca è obbligata a risarcire chi è stato vittima di una truffa. Ecco la nuova sentenza della Cassazione

La sentenza della Cassazione

La vicenda che ha dato origine a questa importante pronuncia riguarda un caso di SIM swapping, una delle tecniche fraudolente più pericolose realizzata attraverso un indebito utilizzo della linea telefonica e dell’home banking della vittima. Un cliente aveva visto sparire oltre 62 mila euro dal proprio conto dopo che un truffatore era riuscito a ottenere il controllo del suo numero telefonico, ricevendo così i codici di autorizzazione delle operazioni bancarie. L’home banking era stato violato, i bonifici erano stati eseguiti, e il danno economico era enorme.

La banca aveva inizialmente negato ogni responsabilità, sostenendo che le operazioni erano avvenute attraverso i canali autorizzati e quindi legittime. Ma la Cassazione, con una sentenza depositata nel maggio 2025, ha ribaltato completamente questa visione. Ha stabilito un principio chiaro: è l’istituto bancario a dover dimostrare di aver adottato tutte le misure di sicurezza necessarie per prevenire frodi, non il cliente a dover provare di essere stato truffato. In assenza di questa dimostrazione, il risarcimento è dovuto per intero.

Si tratta di una sentenza, questa, che si inserisce in un quadro giuridico già in evoluzione. Negli ultimi anni, infatti, la giurisprudenza ha cominciato a riconoscere che le operazioni di pagamento non autorizzate – come quelle causate da phishing, SIM swap, malware o furto di credenziali – non possono gravare esclusivamente sul consumatore, a meno che non vi sia una sua colpa grave. E cosa si intende con “colpa grave”? Non certo il semplice essere caduti in inganno, magari dopo aver ricevuto un sms apparentemente ufficiale. Perché oggi i truffatori riescono a replicare in modo incredibile i messaggi delle banche, usando numeri identici a quelli reali, loghi ufficiali e testi ben studiati.

Sicurezza informatica e onere della prova

Nella pratica, questo significa che se un utente subisce una frode bancaria e agisce prontamente per bloccare il conto e segnalare la truffa, la banca non può semplicemente lavarsi le mani. Deve dimostrare di avere implementato sistemi di sicurezza efficaci, come ad esempio l’autenticazione a due fattori tramite app e non tramite sms, l’invio di avvisi in tempo reale per operazioni sospette, o l’utilizzo di algoritmi di monitoraggio attivo delle transazioni.

Il messaggio della Cassazione è chiaro: la sicurezza non può essere scaricata sul cliente finale, ma è un dovere strutturale della banca. Se questo dovere non viene rispettato, l’istituto deve risarcire i danni.

È interessante notare, tra l’altro, come anche altre sentenze recenti si siano allineate su questo fronte. Una, ad esempio, ha condannato le Poste Italiane a rimborsare 2.900 euro sottratti con una truffa di phishing, proprio perché non erano state adottate adeguate misure di sicurezza preventiva. Un’altra ha riguardato un caso di prelievi fraudolenti da 5.725 euro, per i quali la banca è stata ritenuta responsabile in quanto non aveva dimostrato né la correttezza delle operazioni né un comportamento colposo da parte del cliente.

Il principio di fondo è sempre lo stesso: le banche, in quanto soggetti professionali, hanno l’onere della prova, devono, cioè, dimostrare di aver fatto tutto il possibile per evitare il danno. Se non riescono a provarlo, devono rimborsare. E questo vale non solo per il SIM swapping, ma anche per le truffe via e-mail, sms, telefonate e siti fasulli. In altre parole, per tutto quel panorama variegato e insidioso che rientra nel fenomeno più ampio del cybercrime finanziario.

Cosa fare se si è vittima di frode

Dal punto di vista pratico, per il consumatore questa sentenza rappresenta una vera e propria arma di difesa. Chi subisce una truffa può oggi contare su uno strumento legale molto più efficace per ottenere giustizia. Ma è fondamentale muoversi nel modo giusto: innanzitutto bisogna bloccare immediatamente gli strumenti di pagamento e contattare subito la banca per bloccare carta, PIN, token, home banking. Poi va presentata denuncia alle forze dell’ordine (la copia della denuncia va conservata), raccogliere tutta la documentazione utile (estratti conto, messaggi sospetti, e-mail) e presentare reclamo formale alla banca (tramite modulo online, PEC o raccomandata, allegando la denuncia e segnalando tutte le operazioni non autorizzate), e in caso di rifiuto da parte dell’istituto bancario, rivolgersi all’Arbitro Bancario Finanziario oppure a un legale esperto in diritto bancario.

È importante sottolineare che la maggior parte delle banche non ha interesse ad arrivare a un contenzioso se sa di non avere elementi concreti per difendersi. Spesso, infatti, in presenza di una contestazione ben documentata, accettano di rimborsare il cliente anche prima di una sentenza. Tuttavia, non tutti sanno come muoversi, e molti rinunciano per paura di tempi lunghi o per la sensazione di essere in torto. Questa nuova pronuncia può, dunque, contribuire a riequilibrare il rapporto di forza tra istituti finanziari e correntisti.

Ma anche per le banche è arrivato il momento di cambiare approccio. Il sistema di sicurezza basato sugli sms, ad esempio, è ormai considerato superato. Troppo vulnerabile al SIM swapping e a tecniche di intercettazione. Oggi è necessario puntare su strumenti più avanzati: autenticazione tramite app, codici temporanei generati offline, notifiche push in tempo reale, riconoscimento biometrico, e perfino l’intelligenza artificiale applicata all’analisi comportamentale delle operazioni.

Nel mondo digitale, infatti, non basta innovare: bisogna farlo in modo sicuro.