Le più recenti frodi bancarie realizzate mediante tecniche di phishing, vishing e caller ID spoofing hanno progressivamente posto al centro del dibattito giuridico una questione fondamentale: quando il correntista viene indotto con l’inganno a collaborare con il truffatore, può davvero parlarsi di “colpa grave” tale da escludere la responsabilità della banca?
La Corte d’Appello di Venezia, con la sentenza n. 498/2026, affronta in maniera estremamente lucida proprio questo tema, affermando un principio di notevole importanza pratica e sistematica: il fatto che il cliente abbia materialmente inserito codici OTP o token dispositivi non basta, di per sé, a integrare colpa grave quando tale comportamento costituisca l’effetto diretto della manipolazione fraudolenta posta in essere dal truffatore.
Si tratta di una pronuncia particolarmente rilevante perché colpisce uno degli argomenti difensivi più frequentemente utilizzati dagli istituti di credito nelle controversie relative alle frodi informatiche: sostenere che il cliente, avendo “autorizzato” l’operazione mediante inserimento del codice OTP o del token, debba automaticamente sopportarne integralmente le conseguenze.
Il caso: la telefonata proveniente dal vero numero della banca
La vicenda trae origine da una sofisticata truffa di spoofing/vishing subita da una correntista, contattata telefonicamente da un soggetto qualificatosi come operatore antifrode della banca.
L’elemento decisivo del caso è rappresentato dal fatto che la telefonata proveniva proprio dal numero ufficiale del servizio clienti dell’istituto, numero effettivamente utilizzato dalla banca e memorizzato dalla cliente nella rubrica del proprio telefono cellulare.
Il sedicente operatore comunicava alla correntista l’esistenza di un bonifico sospetto verso un conto estero e la guidava nelle operazioni che, apparentemente, sarebbero servite a bloccare il trasferimento di denaro. In realtà, la cliente stava inconsapevolmente collaborando al perfezionamento della frode.
Il Tribunale di Venezia, in primo grado, aveva rigettato la domanda della correntista ritenendo sussistente una condotta gravemente colposa, valorizzando soprattutto il fatto che la cliente avesse inserito il codice OTP/token necessario all’autorizzazione dell’operazione.
La Corte d’Appello di Venezia, però, ha ribaltato integralmente questa impostazione.
Il principio centrale della sentenza: la “collaborazione” del cliente è l’effetto tipico della frode
Il cuore della decisione si trova in uno dei passaggi più importanti degli ultimi anni in materia di truffe bancarie.
La Corte afferma infatti che l’essere stata contattata proprio dal numero ufficiale della banca costituiva “un indubbio elemento decettivo” per la correntista, la quale aveva del tutto verosimilmente agito nella convinzione di stare collaborando con il reale servizio antifrode dell’istituto.
Da qui il principio decisivo:
«anche ammesso che la stessa abbia involontariamente ‘assecondato’ il truffatore inserendo nel sistema il token (…) appare del tutto evidente come ciò costituisca l’effetto tipico della condotta ingannatoria»
La Corte coglie perfettamente il meccanismo delle moderne frodi di social engineering: il truffatore non aggira la volontà del cliente mediante strumenti informatici invisibili, ma manipola psicologicamente la vittima inducendola a collaborare nella falsa convinzione di stare mettendo in sicurezza il proprio conto.
Ed è proprio questo il punto che la pronuncia valorizza in modo estremamente netto: se ogni comportamento inconsapevolmente collaborativo del cliente dovesse automaticamente integrare colpa grave, allora il prestatore di servizi di pagamento sarebbe sostanzialmente sempre esente da responsabilità.
La Corte lo dice chiaramente:
“Diversamente opinando (…) dovrebbe inevitabilmente ritenersi che l’utente versi sostanzialmente sempre in colpa grave e che, per contro, il prestatore dei servizi di pagamento vada corrispondentemente sempre esente da responsabilità”
Si tratta di un’affermazione di enorme rilievo, perché demolisce l’automatismo difensivo spesso invocato dagli intermediari per cui il solo fatto che il correntista abbia inserito i codici di sicurezza o abbia seguito le istruzioni dei truffatori comporterebbe automanicamente colpa grave a suo carico.
Il rischio d’impresa delle frodi informatiche grava sulla banca
La sentenza richiama in modo molto rigoroso il quadro normativo del D.Lgs. n. 11/2010, attuativo della PSD2, ribadendo che il rischio derivante dall’utilizzo fraudolento degli strumenti di pagamento ricade, in linea generale, sul prestatore di servizi di pagamento.
Il cliente che disconosce l’operazione non deve dimostrare la frode informatica nei dettagli tecnici, ma è tenuto soltanto a contestare l’operazione. Spetta invece alla banca provare:
- che l’operazione sia stata correttamente autenticata;
- che non vi siano stati malfunzionamenti del sistema;
- soprattutto, che il cliente abbia agito con dolo o colpa grave.
Secondo la Corte veneziana, tale prova nel caso concreto non è stata raggiunta.
Anzi, il Collegio sottolinea che la stessa banca non aveva dimostrato l’integrità complessiva del proprio sistema operativo e del sistema di gestione delle comunicazioni telefoniche, elemento particolarmente delicato in presenza di una frode realizzata proprio mediante spoofing del numero ufficiale dell’istituto.
Il caller ID spoofing non può essere scaricato sul cliente
Di particolare interesse è anche il passaggio con cui la Corte respinge la difesa della banca secondo cui lo spoofing telefonico costituirebbe un fenomeno esterno e inevitabile.
La decisione afferma infatti che, avendo la banca scelto di fondare il proprio sistema di sicurezza anche sull’operatività del canale telefonico, le eventuali criticità o vulnerabilità di tale sistema non possono essere trasferite sul cliente.
È un principio molto importante perché supera una linea difensiva estremamente frequente nelle cause di phishing: sostenere che lo spoofing telefonico sia un fenomeno “terzo”, non imputabile all’intermediario.
La Corte, invece, ragiona in termini di allocazione del rischio: se il sistema di autenticazione e relazione con il cliente si basa anche sulla fiducia nel numero telefonico ufficiale della banca, il rischio derivante dalla compromissione di tale affidamento non può gravare integralmente sull’utente finale.
Nessun automatismo tra OTP inserito e colpa grave
Uno dei passaggi più rilevanti della pronuncia è probabilmente quello in cui la Corte rifiuta di equiparare automaticamente l’inserimento del codice OTP alla prova della colpa grave.
La decisione osserva infatti che la stessa ricostruzione tecnica proposta dalla banca presentava significative incertezze, sia sotto il profilo dei log informatici sia sotto quello della concreta dinamica di autorizzazione dell’operazione.
Ma soprattutto il Collegio chiarisce che il mero utilizzo corretto delle credenziali non basta, ai sensi dell’art. 10 del D.Lgs. n. 11/2010, a dimostrare che il cliente abbia autorizzato consapevolmente l’operazione o abbia agito con grave negligenza.
È un principio che assume un’importanza enorme nel contenzioso relativo alle frodi phishing, perché impedisce di trasformare il sistema OTP in una sorta di presunzione assoluta di responsabilità del correntista.
Le conseguenze pratiche della decisione
La sentenza della Corte d’Appello di Venezia n. 498/2026 rappresenta una delle pronunce più importanti degli ultimi anni in materia di truffe bancarie da spoofing e vishing.
Il principio affermato è molto chiaro: nelle frodi di social engineering la collaborazione inconsapevole del cliente costituisce spesso l’effetto fisiologico della manipolazione fraudolenta e non può automaticamente tradursi in colpa grave.
Diversamente, l’intero impianto normativo della PSD2 e del D.Lgs. n. 11/2010 verrebbe svuotato di significato, trasferendo sistematicamente sul correntista il rischio dell’utilizzo indebito degli strumenti di pagamento.
La decisione riafferma invece un principio fondamentale: il rischio tecnologico e operativo delle moderne frodi informatiche grava primariamente sul prestatore di servizi di pagamento, salvo che la banca riesca a dimostrare un comportamento realmente gravemente negligente del cliente.
Ed è proprio su questo terreno che si giocheranno sempre più frequentemente le future controversie in materia di phishing bancario, vishing e caller ID spoofing.
