Responsabilità della banca per negligente verifica della clientela: risarcimento alla vittima se il conto dei truffatori è stato aperto senza adeguati controlli

La decisione n. 9702/2025 del Collegio di Bologna dell’Arbitro Bancario Finanziario conferma un principio di particolare rilievo per le vittime di truffe bancarie: la banca presso cui viene aperto il conto corrente utilizzato dai truffatori per ricevere le somme sottratte può essere chiamata a rispondere del danno, qualora non abbia correttamente adempiuto agli obblighi di adeguata verifica della clientela.

Il caso esaminato riguardava un rapporto di conto corrente aperto a distanza e successivamente utilizzato per far confluire il denaro proveniente da una frode. Secondo il Collegio, la procedura adottata dall’intermediario non era idonea a verificare adeguatamente l’identità del soggetto che richiedeva l’apertura del conto.

Il dato è particolarmente importante perché sposta l’attenzione su un profilo spesso trascurato nelle truffe bancarie e informatiche. Non deve essere esaminata soltanto la condotta della banca della vittima, ma anche quella dell’intermediario presso cui i truffatori hanno aperto il conto di destinazione delle somme.

L’adeguata verifica della clientela

Quando un cliente instaura un rapporto continuativo con una banca, ad esempio mediante l’apertura di un conto corrente, l’istituto è tenuto a effettuare l’adeguata verifica della clientela ai sensi dell’art. 17 del d.lgs. 21 novembre 2007, n. 231.

Tale obbligo non si esaurisce nella mera acquisizione di un documento di identità. L’art. 18 del d.lgs. n. 231/2007 impone infatti all’intermediario di identificare il cliente e verificarne l’identità sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente.

La banca deve inoltre acquisire e valutare informazioni sullo scopo e sulla natura del rapporto continuativo, potendo richiedere, in funzione del rischio, ulteriori dati, anche relativi alla situazione economico-patrimoniale del cliente.

Nei casi di apertura del rapporto a distanza, come accade per i conti correnti online, l’obbligo di identificazione non viene meno. Al contrario, proprio l’assenza della presenza fisica del cliente impone all’intermediario di adottare presidi idonei a garantire che la persona che richiede l’apertura del conto sia effettivamente il soggetto indicato nei documenti trasmessi.

L’art. 19, comma 1, lett. a), n. 5, del d.lgs. n. 231/2007 prevede che, in assenza della presenza fisica del cliente, l’identificazione possa avvenire mediante forme e modalità individuate dalle Autorità di vigilanza di settore, tenendo conto dell’evoluzione delle tecniche di identificazione a distanza.

In attuazione di tale disciplina, la Banca d’Italia ha emanato le Disposizioni in materia di adeguata verifica della clientela del 30 luglio 2019. In particolare, la Sezione VIII, lett. b), stabilisce che, in caso di apertura di un rapporto a distanza, l’intermediario debba acquisire copia dei documenti del richiedente, verificarne l’autenticità ed effettuare riscontri ulteriori secondo le modalità più opportune in relazione al rischio specifico.

La procedura seguita dalla banca

Nel caso deciso dal Collegio di Bologna, il conto corrente utilizzato per ricevere le somme provenienti dalla truffa era stato aperto a distanza, tramite smartphone.

La banca aveva acquisito il documento di identità della persona formalmente intestataria del conto e un autoscatto, il cosiddetto selfie. Tuttavia, secondo l’Arbitro, tale procedura non era sufficiente a integrare una corretta adeguata verifica della clientela.

Il punto decisivo è che il selfie non ritraeva l’intestataria del conto mentre reggeva il documento di identità allegato. In questo modo, la procedura non consentiva di collegare con sufficiente affidabilità il documento trasmesso alla persona fisica che stava effettivamente richiedendo l’apertura del rapporto.

La banca, dunque, non poteva ritenersi adempiente per il solo fatto di avere raccolto un documento di identità e un’immagine del richiedente. Nell’apertura di un conto corrente online, l’acquisizione formale della documentazione non basta: occorre che la procedura sia concretamente idonea a verificare l’identità del cliente ed evitare l’apertura di rapporti intestati a soggetti inconsapevoli o vittime di furto d’identità.

Il Collegio ha quindi ravvisato la violazione degli obblighi di adeguata verifica della clientela previsti dal d.lgs. n. 231/2007.

La violazione della normativa antiriciclaggio rileva anche nei rapporti privatistici

Uno degli aspetti più rilevanti della pronuncia è il riconoscimento della portata privatistica della disciplina antiriciclaggio.

La normativa in materia di adeguata verifica della clientela non ha soltanto una funzione pubblicistica, diretta alla prevenzione del riciclaggio e del finanziamento del terrorismo. Essa assume rilievo anche nei rapporti tra intermediario e utenti del sistema bancario, perché concorre a definire lo standard di diligenza professionale richiesto alla banca.

La banca, infatti, non è un soggetto qualsiasi, ma un operatore professionale qualificato. La sua condotta deve essere valutata secondo il parametro della diligenza tecnica di cui all’art. 1176, comma 2, c.c., ossia secondo la diligenza richiesta dalla natura dell’attività esercitata.

In tale prospettiva, gli obblighi di adeguata verifica della clientela contribuiscono a individuare la condotta esigibile dal cosiddetto bonus argentarius, vale a dire dall’intermediario bancario prudente, accorto e professionalmente organizzato.

La violazione di tali obblighi, pertanto, non resta confinata al piano amministrativo o regolamentare, ma può produrre conseguenze risarcitorie nei confronti del soggetto danneggiato dalla frode.

Il contatto sociale qualificato con l’operatore bancario

Il Collegio di Bologna valorizza anche il concetto di contatto sociale qualificato.

Chi utilizza un servizio bancario o di pagamento può legittimamente confidare nel fatto che gli intermediari coinvolti nel circuito operino secondo standard professionali adeguati. Ciò vale non soltanto per la banca del pagatore, ma anche per la banca presso cui è acceso il conto di accredito.

Quando un soggetto dispone un bonifico verso un conto corrente bancario, egli confida nel fatto che quel conto sia stato aperto in favore di un soggetto realmente identificato e non in favore di un truffatore che abbia utilizzato documenti altrui o un’identità fittizia.

Se la banca consente l’apertura del conto senza effettuare controlli adeguati, essa contribuisce a creare lo strumento attraverso cui la frode può essere realizzata e il denaro sottratto può essere rapidamente disperso.

In questo senso, la negligente verifica dell’identità del cliente non costituisce un’irregolarità meramente interna, ma può incidere direttamente sulla posizione della vittima della truffa.

La responsabilità risarcitoria della banca

Alla luce di tali principi, il Collegio ha ritenuto che la condotta negligente dell’intermediario in relazione agli obblighi di adeguata verifica della clientela lo esponga alle relative conseguenze risarcitorie.

La banca non è stata ritenuta responsabile perché autrice della truffa, ma perché ha permesso l’apertura del conto corrente utilizzato per far confluire le somme sottratte, senza adottare una procedura di identificazione a distanza conforme agli standard richiesti dalla normativa antiriciclaggio.

La fittizia intestazione del conto di accredito rappresenta infatti un elemento idoneo ad aggravare il danno subito dalla vittima. Senza la possibilità di utilizzare un conto formalmente intestato a un soggetto diverso dai reali autori della frode, i truffatori avrebbero incontrato maggiori difficoltà nel ricevere il denaro e nel sottrarsi alle conseguenze della propria condotta illecita.

Nel caso concreto, l’Arbitro ha riconosciuto in favore della parte ricorrente un importo risarcitorio determinato in via equitativa, proprio in ragione del contributo causale dell’inadempimento della banca rispetto al danno lamentato.

Un profilo autonomo rispetto alla banca della vittima

La pronuncia è rilevante perché consente di impostare la tutela della vittima secondo una prospettiva più completa.

Nelle truffe bancarie, infatti, il momento decisivo non è soltanto quello in cui il cliente viene indotto a disporre l’operazione, a comunicare credenziali, a confermare un pagamento o a seguire le istruzioni del falso operatore. È altrettanto importante verificare dove siano confluite le somme, chi fosse formalmente intestatario del conto di accredito e, soprattutto, con quali modalità quel conto sia stato aperto.

La responsabilità della banca del beneficiario non deriva dalla mera ricezione del bonifico, né dalla sola circostanza che il conto sia stato successivamente utilizzato per finalità illecite. Il punto è diverso: se il rapporto è stato acceso mediante una procedura di identificazione a distanza carente, l’intermediario ha messo a disposizione dei truffatori lo strumento bancario necessario per ricevere e occultare i proventi della frode.

In questo senso, la verifica sull’apertura del conto di destinazione diventa un passaggio essenziale. Occorre accertare se la banca abbia realmente identificato il cliente, se abbia verificato l’autenticità dei documenti, se abbia svolto riscontri ulteriori proporzionati al rischio e se la procedura utilizzata fosse idonea a escludere il furto d’identità.

Questa prospettiva amplia in modo significativo le possibilità di tutela. Alla responsabilità eventualmente imputabile alla banca della vittima, per carenze nei sistemi di sicurezza, autenticazione, monitoraggio o blocco delle operazioni sospette, può aggiungersi un autonomo profilo di responsabilità della banca presso cui i truffatori hanno aperto il conto destinato a ricevere le somme sottratte.

Considerazioni conclusive

La pronuncia n.  9702/2025 del Collegio di Bologna rafforza la tutela della vittime di phishing bancario, evidenziando che, oltre all’eventuale responsabilità della Banca presso cui le vittime sono correntiste, può sussistere un’ulteriore ed autonoma responsabilità della Banca presso cui i truffatori hanno aperto il conto corrente necessario per far confluire i proventi delle truffe eseguite.

Tale prospettiva moltiplica le possibilità di recupero delle somme sottratte alle vittime di phishing bancario.

Nondimeno, la Decisione conferma l’orientamento secondo cui la cd. disciplina antiriciclaggio prevista dal D. Lgs. n. 231/2007 non ha soltanto una funzione meramente pubblicistica volta alla prevenzione del riciclaggio e del finanziamento del terrorismo, ma assume al contempo anche una dimensione privatistica di protezione del singolo utente dei servizi bancari, esposto a “possibili invasioni lesive” proprio in ragione del contatto sociale qualificato che si instaura con la Banca.

Concludendo, è importante che le vittime di phishing bancario si rivolgano ad avvocati specializzati in diritto bancario come gli avvocati Alessandro Ripoldi ed Edoardo Gloria, al fine di verificare approfonditamente non soltanto gli eventuali profili di responsabilità della propria Banca, bensì, inoltre, anche le modalità con cui i truffatori hanno aperto il conto corrente ove confluiscono i proventi delle truffe eseguite.

In caso di violazione delle norme poste a presidio dell’adeguata verifica della clientela a distanza, sussiste un ulteriore e autonomo titolo di responsabilità azionabile dal soggetto truffato in grado di ampliare concretamente le possibilità di recupero delle somme sottratte.

Sei rimasto vittima di una truffa?

Non esitare a contattarci

Contattaci ora

Compila il form per ricevere maggiori informazioni.