La nuova Relazione dell’Arbitro Bancario Finanziario conferma un dato ormai evidente: le frodi informatiche nei pagamenti non sono più episodi marginali. Phishing, smishing, vishing, spoofing, truffe dell’emergenza familiare e falsi operatori bancari sono oggi uno dei principali fronti di contenzioso tra clienti e intermediari.
Se ti interessa approfondire il rapporto, leggi questo articolo: https://www.bebankers.it/abf-quasi-dimezzati-nel-2025-i-contenziosi-generati-dalla-cessione-del-quinto/.
Il dato non sorprende se osservato dalla prospettiva della cybersicurezza. Le frodi bancarie digitali non sono quasi mai iniziative artigianali o improvvisate: dall’altra parte operano spesso soggetti organizzati e professionalizzati, capaci di costruire scenari credibili, manipolare numeri telefonici, replicare grafiche bancarie, simulare urgenze e sfruttare informazioni personali già disponibili online o provenienti da precedenti data breach.
Il punto debole non è sempre il sistema informatico. Molto spesso è la persona. Per questo le organizzazioni devono investire anche sulla formazione, interna e rivolta ai clienti.
Nel linguaggio della cybersecurity si parla di social engineering: una tecnica che non punta anzitutto a violare una macchina, ma a indurre una persona a compiere un’azione. Cliccare un link. Comunicare un codice. Autorizzare una notifica push. Inquadrare un QR code. Eseguire un bonifico. Fidarsi di una voce al telefono. Agire in fretta.
L’attaccante non forza la porta: convince la vittima ad aprirla.
Il fattore umano: il bersaglio principale
Nel mondo della cybersicurezza è noto da tempo che il fattore umano è uno degli anelli più vulnerabili della catena di sicurezza. Le organizzazioni criminali lo sanno e costruiscono le frodi intorno alle fragilità ordinarie delle persone: impreparazione, stanchezza, fretta, paura, distrazione, fiducia nell’autorità apparente, timore di perdere denaro o di vedersi bloccare il conto.
Il messaggio tipico non dice: “dammi i tuoi codici”. Dice: “c’è un problema urgente”. “Il tuo conto è stato bloccato”. “Abbiamo rilevato un accesso sospetto”. “Devi annullare un pagamento”. “Serve un’operazione di storno”. “Tuo figlio ha cambiato numero e ha bisogno di aiuto”. “Il tuo dispositivo non è più sicuro”.
La leva psicologica è quasi sempre la stessa: comprimere il tempo della decisione. La vittima deve agire subito, senza riflettere e senza verificare.
Le fonti istituzionali confermano la centralità del fenomeno. ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, nel Threat Landscape 2025 ha analizzato 4.875 incidenti e indicato il phishing come vettore dominante di intrusione, pari a circa il 60% dei casi osservati, includendo anche vishing, malspam e malvertising. Anche l’Agenzia per la cybersicurezza nazionale italiana ha segnalato una crescita rilevante della minaccia: nel primo semestre 2025 sono stati censiti 1.549 eventi cyber, in aumento del 53% rispetto allo stesso periodo del 2024, e 346 incidenti con impatto confermato, quasi il doppio rispetto all’anno precedente.
Questi numeri chiariscono il contesto: il cliente non si confronta con un singolo truffatore, ma con un ecosistema criminale organizzato, che conosce le tecniche di persuasione, usa strumenti tecnologici avanzati e sa dove colpire.
Il fattore umano: il bersaglio principale
Quando il cliente disconosce un’operazione di pagamento non autorizzata, la banca è di regola tenuta a rimborsare l’importo. L’intermediario può però opporsi se dimostra che il cliente ha agito fraudolentemente oppure con dolo o colpa grave.
È qui che si gioca gran parte del contenzioso.
Le frodi bancarie digitali non colpiscono solo la tecnologia, ma soprattutto il fattore umano: l’attaccante non forza la porta, costruisce un contesto credibile e convince la vittima ad aprirla.
La colpa grave non coincide con un semplice errore. Non basta dire che il cliente “avrebbe potuto fare più attenzione”: occorre una condotta particolarmente imprudente, macroscopica, incompatibile con il minimo livello di cautela richiesto nell’uso degli strumenti di pagamento.
La valutazione, però, è concreta. Conta la dinamica della truffa. Conta il livello di sofisticazione. Conta il comportamento della banca. Conta la tempestività del cliente. Conta la prova. E può contare anche il profilo soggettivo della vittima.
Prima regola: non comunicare mai codici, password, OTP o dati della carta
Nessuna banca chiede al cliente di comunicare telefonicamente, via SMS, via e-mail o tramite chat password, PIN, codici OTP, codici dispositivi, dati completi della carta o credenziali di accesso all’home banking.
Chi fornisce questi dati a un presunto operatore si espone a un rischio elevato. Nei casi meno sofisticati, l’ABF tende a valutare negativamente la condotta della vittima, soprattutto quando il cliente segue istruzioni anomale, autorizza notifiche push, inquadra QR code inviati da terzi o approva operazioni senza verificarne la reale finalità.
Il comportamento prudente è semplice: interrompere la conversazione, non cliccare link, non aprire allegati, non inquadrare QR code ricevuti via messaggio e non autorizzare operazioni suggerite da chi chiama.
Seconda regola: non fidarsi del numero che appare sul telefono
Una delle frodi più insidiose è lo spoofing: il truffatore fa comparire sul telefono della vittima un numero apparentemente riconducibile alla banca, inducendola a credere di parlare davvero con il servizio clienti.
La Relazione ABF 2025 segnala casi in cui l’Arbitro ha riconosciuto la particolare sofisticazione della frode. Quando il numero sembra quello ufficiale della banca e il cliente viene tratto in inganno da un contesto comunicativo credibile, la responsabilità può non ricadere integralmente sulla vittima. In alcune decisioni l’ABF ha riconosciuto un concorso di responsabilità tra cliente e intermediario, disponendo un rimborso parziale.
La cautela operativa è netta: se si riceve una chiamata “dalla banca”, soprattutto se l’interlocutore segnala urgenze, blocchi, storni, tentativi di pagamento o bonifici sospetti, bisogna chiudere e richiamare autonomamente la banca usando il numero ufficiale indicato sul sito, sull’app o sui documenti contrattuali. Mai usare il numero ricevuto via SMS o suggerito dall’interlocutore.
Terza regola: attenzione alle notifiche push
Molte frodi si consumano perché il cliente approva notifiche push pensando di bloccare un’operazione, mentre in realtà la sta autorizzando.
Prima di confermare una notifica bisogna leggere attentamente importo, beneficiario e finalità dell’operazione, se disponibili. Se la notifica riguarda un’operazione che non si sta eseguendo personalmente, non va approvata.
Il fatto che il cliente abbia materialmente autorizzato l’operazione può pesare molto nella successiva valutazione della sua condotta. L’autorizzazione non è sempre decisiva, soprattutto se la frode è sofisticata, ma rende più delicata la posizione del cliente.
Quarta regola: diffidare delle “operazioni di storno”
Una banca non chiede al cliente di effettuare pagamenti, bonifici, ricariche o prelievi per annullare operazioni sospette.
La richiesta di fare un “pagamento di storno”, un “bonifico di sicurezza”, un trasferimento verso un “conto tecnico” o una movimentazione temporanea per “mettere al sicuro le somme” è un segnale tipico di truffa.
Nei casi esaminati dall’ABF, la richiesta di eseguire operazioni per bloccarne altre è ricorrente. Il cliente deve considerarla un campanello d’allarme immediato.
Quinta regola: guardare i dettagli, anche quelli apparentemente minori
Nelle frodi informatiche il dettaglio conta.
Un testo scritto male, con errori ortografici, formule linguistiche innaturali, traduzioni approssimative, loghi sgranati, indirizzi e-mail anomali o link non coerenti con il dominio ufficiale della banca è spesso un segnale forte di truffa.
Il cliente deve abituarsi a valutare non solo il contenuto del messaggio, ma anche la sua forma. Un SMS o una e-mail che comunica un blocco del conto, una presunta operazione sospetta o la necessità di aggiornare urgentemente le credenziali va letto con particolare attenzione.
Errori grammaticali, punteggiatura insolita, toni allarmistici, richieste immediate e formule come “agisci subito”, “conto sospeso”, “verifica urgente” sono indizi da non sottovalutare.
Sul piano pratico, quando il messaggio presenta anomalie formali o linguistiche, non bisogna cliccare, rispondere o chiamare i numeri indicati nella comunicazione. Occorre invece accedere all’app digitando autonomamente l’indirizzo del sito o aprendo direttamente l’app ufficiale, oppure contattare la banca attraverso i canali già noti.
Sesta regola: verificare sempre i bonifici, soprattutto se cambia l’IBAN
Un’altra area delicata riguarda i bonifici verso IBAN errati o alterati. Se il cliente dispone personalmente un bonifico verso un IBAN indicato in una fattura manipolata o in una falsa comunicazione, l’operazione può essere considerata autorizzata.
Dal 9 ottobre 2025 sono entrate in vigore nuove regole sulla verifica della corrispondenza tra nome del beneficiario e IBAN per i bonifici in euro in ambito europeo. Questa tutela, però, non elimina la necessità di controllare con attenzione i dati del pagamento.
Quando arriva una fattura con nuove coordinate bancarie, soprattutto se l’importo è rilevante, è prudente verificare l’IBAN tramite un canale diverso: ad esempio telefonando al professionista, al fornitore o all’azienda usando un numero già noto, non quello indicato nella comunicazione sospetta.
Settima regola: bloccare subito carta, home banking e operatività
Appena ci si accorge della frode, bisogna agire immediatamente: bloccare carta o credenziali, contattare la banca, disconoscere formalmente le operazioni e sporgere denuncia.
La tempestività è essenziale. Un ritardo ingiustificato può aggravare la posizione del cliente, soprattutto se consente ai truffatori di completare ulteriori operazioni.
La segnalazione deve essere chiara, documentata e tracciabile. Meglio utilizzare canali che lascino prova: reclamo scritto, PEC, e-mail, form ufficiale della banca, numero di pratica, ricevuta della denuncia.
Ottava regola: conservare tutte le prove
Per contestare efficacemente la responsabilità della banca e difendersi dall’accusa di colpa grave, è fondamentale conservare ogni elemento utile: SMS ricevuti, screenshot, numeri chiamanti, e-mail, notifiche push, ricevute dei bonifici, orari delle chiamate, denuncia, reclamo inviato all’intermediario e risposta della banca.
In un eventuale ricorso all’ABF, la ricostruzione dei fatti è decisiva. Più il cliente documenta la sofisticazione della truffa e la propria diligenza, più è difficile sostenere che abbia agito con colpa grave.
Il confine pratico della colpa grave
Per ridurre il rischio che la propria condotta venga considerata gravemente colposa, il cliente deve seguire alcune regole essenziali: non comunicare mai credenziali, PIN, OTP o dati della carta; non fidarsi del numero visualizzato sul telefono; non cliccare link ricevuti via SMS o e-mail; controllare errori ortografici, anomalie linguistiche e indirizzi sospetti; non autorizzare notifiche push se non si è certi dell’operazione; non eseguire bonifici o pagamenti “di sicurezza”; verificare autonomamente IBAN e beneficiari; bloccare subito gli strumenti di pagamento; denunciare tempestivamente; conservare ogni prova.
La lezione che emerge dalla più recente attività dell’ABF è chiara: la frode non basta, da sola, a determinare l’esito della controversia. Conta il comportamento complessivo delle parti. Il cliente deve dimostrare di avere agito con attenzione; la banca deve dimostrare di avere adottato presidi adeguati e, se intende negare il rimborso, deve provare la colpa grave del cliente.
In un contesto in cui le frodi diventano sempre più sofisticate, la prevenzione non è solo una buona prassi: è la prima linea di difesa.
Iscriviti alla newsletter: https://www.bebankers.it/newsletter/
