Riassunto
L’uso dell’intelligenza artificiale ha reso il phishing bancario più difficile da riconoscere. In questo articolo analizziamo, con taglio forense e giuridico, quando scatta l’obbligo di rimborso da parte della banca, alla luce della normativa vigente e della recente giurisprudenza. Vedremo anche cosa si intende per colpa grave del correntista e in quali casi invece prevale la responsabilità dell’istituto di credito.
Phishing, Intelligenza Artificiale e responsabilità bancaria: quando scatta il rimborso al cliente?
Nel contesto attuale, segnato da una crescente digitalizzazione dei servizi finanziari, il fenomeno delle frodi informatiche assume forme sempre più complesse e insidiose. Tra queste, il phishing si conferma uno degli strumenti più pervasivi ed efficaci utilizzati dai truffatori, soprattutto grazie all’impiego di tecnologie evolute come l’intelligenza artificiale.
La questione giuridica centrale riguarda l’individuazione della responsabilità nei casi in cui un cliente subisca una sottrazione di denaro tramite operazioni non autorizzate. A chi spetta il risarcimento? E quali sono i criteri per stabilire se la banca è tenuta a rimborsare le somme sottratte?
🔍 Frodi digitali sempre più sofisticate: l’effetto dell’IA
La nuova generazione di attacchi fraudolenti è in grado di replicare in modo quasi perfetto interfacce bancarie, messaggi automatici, chiamate vocali e notifiche. Le tecniche di manipolazione psicologica, unite alla capacità dell’intelligenza artificiale di generare contenuti credibili e personalizzati, rendono difficile per l’utente medio distinguere una comunicazione autentica da una manipolata.
In questo scenario, la giurisprudenza italiana si trova a dover bilanciare due esigenze contrapposte: la protezione del consumatore e la responsabilizzazione dell’utente.
⚖️ Il quadro normativo: onere della prova e colpa grave
La disciplina applicabile è contenuta nel D.Lgs. 11/2010, che recepisce la Direttiva UE 2007/64/CE sui servizi di pagamento.
In particolare:
-
l’art. 10 stabilisce che, in caso di pagamento non autorizzato, il prestatore del servizio è obbligato a rimborsare immediatamente l’importo, a meno che non dimostri che l’operazione è stata autorizzata o che vi sia colpa grave o dolo da parte del cliente;
-
l’art. 11 pone in capo al prestatore l’onere di dimostrare l’autenticazione, la corretta registrazione e l’assenza di malfunzionamenti del sistema.
Il fulcro del contenzioso è dunque la valutazione della condotta dell’utente e l’accertamento di eventuali profili di imprudenza, negligenza o inosservanza delle istruzioni di sicurezza.
Vuoi rimanere aggiornato sulle ultime tendenze e tecnologie nel campo della digital forensics ?
Iscriviti alla nostra newsletter e ricevi informazioni esclusive, aggiornamenti sui nostri servizi e contenuti utili per il tuo lavoro.
Non perdere l’opportunità di essere sempre al passo con le ultime novità nel settore. Iscriviti ora e non perdere neanche una notizia!
✅ Quando la banca è tenuta a rimborsare
Le pronunce recenti hanno confermato che l’istituto di credito non può esimersi dalla responsabilità nei casi in cui:
-
non siano stati inviati avvisi tempestivi (come SMS o notifiche push) per segnalare operazioni sospette;
-
vi sia stato un mancato aggiornamento dei sistemi di sicurezza, soprattutto in presenza di transazioni anomale;
-
l’interfaccia fraudolenta utilizzata dal truffatore risulti identica o estremamente simile a quella originale, inducendo in errore anche un utente attento;
-
vi sia stato un accesso indebito all’home banking, reso possibile da vulnerabilità del sistema o da modifiche non adeguatamente comunicate al cliente (es. cambio del numero associato all’autenticazione);
-
la banca non abbia predisposto meccanismi di controllo in grado di rilevare bonifici ripetuti e ingenti in pochissimo tempo, potenzialmente sintomatici di un attacco.
In tutte queste ipotesi, le condotte fraudolente si collocano all’interno del rischio d’impresa dell’intermediario, il quale è tenuto ad adottare misure tecniche e organizzative proporzionate all’evoluzione del rischio informatico.
❌ Quando il rimborso non è dovuto
Diversa è la situazione in cui l’utente tenga un comportamento manifestamente imprudente. Alcuni esempi di condotte considerate gravemente negligenti:
-
digitare codici personali o password su link ricevuti via e-mail o SMS, privi di qualsiasi verifica;
-
comunicare telefonicamente le proprie credenziali a soggetti che si spacciano per operatori bancari, senza riscontri oggettivi;
-
ignorare messaggi che presentano errori grammaticali o indirizzi web palesemente falsi, come domini non riconducibili all’istituto bancario.
In questi casi, la giurisprudenza ha ribadito che l’utente viola il dovere minimo di cautela, interrompendo così il nesso causale tra l’eventuale inefficienza del sistema bancario e il danno subito. La responsabilità, dunque, ricade interamente sul correntista.
👩⚖️ La giurisprudenza più recente: un approccio casistico
I tribunali italiani stanno adottando un approccio caso per caso, valutando:
-
la chiarezza della truffa (palese o sofisticata);
-
l’età e il livello culturale della vittima;
-
la qualità dei messaggi fraudolenti (grafica, linguaggio, modalità di invio);
-
l’eventuale attività di formazione/informazione svolta dalla banca;
-
l’efficienza delle misure di sicurezza previste.
Il concetto di “colpa grave” viene così modulato in base al contesto, alla prevedibilità dell’attacco e alla qualità delle misure preventive adottate.
🧠 Intelligenza artificiale e nuove frontiere della tutela
L’impiego di strumenti generativi da parte dei criminali informatici sta rendendo i tradizionali modelli di sicurezza obsoleti. Non bastano più i sistemi a doppia autenticazione o l’invio di SMS: servono algoritmi predittivi, sistemi di intelligenza comportamentale e meccanismi di identificazione avanzata, capaci di cogliere le anomalie in tempo reale.
Parallelamente, diventa indispensabile una formazione continua del cliente, anche attraverso campagne di sensibilizzazione realizzate con linguaggi semplici, esempi concreti e simulazioni pratiche.
📌 Conclusioni
La responsabilità nei casi di sottrazione fraudolenta di denaro online è il risultato di una valutazione complessa e multilivello, che coinvolge elementi tecnici, normativi e comportamentali.
La banca non è automaticamente tenuta al rimborso, ma deve dimostrare:
-
di aver adottato tutte le misure ragionevoli di sicurezza;
-
che il comportamento dell’utente si configuri come grave negligenza.
Nel dubbio, il consiglio per gli utenti è semplice: non cliccare, non fornire dati sensibili, e segnalare subito ogni anomalia. Ma il dovere di vigilanza non è unidirezionale: anche gli operatori bancari devono farsi carico della crescente complessità delle minacce digitali e predisporre sistemi proporzionati al rischio.
✒️ Nota sull’autore
Domenico Moretta è criminalista forense, consulente tecnico specializzato in digital forensics, audio forense e trascrizioni giuridiche. Autore di volumi divulgativi e professionali, affianca all’attività peritale un percorso di formazione universitaria in diritto della società digitale.
Con il progetto www.acquisizioneprovedigitali.it, promuove una cultura integrata tra scienze forensi e tutela dei diritti nell’ambiente digitale.
*Nota di trasparenza*: parte di questo contenuto è stato redatto con il supporto di strumenti di Intelligenza Artificiale, secondo quanto previsto dal Regolamento UE 2022/2065 (AI Act). Il contenuto è stato supervisionato e approvato da un professionista forense.
