Responsabilità banca phishing: la guida completa

La Corte di Cassazione, con la sentenza 3780/2024, ha chiarito la responsabilità della banca in caso di phishing. Un cliente, vittima di una frode da 2.900 euro dopo aver inserito i dati su un sito clone, ha ottenuto il risarcimento. La Corte ha stabilito che prevenire tali frodi è un rischio d’impresa della banca, che deve dimostrare di aver adottato tutte le misure di sicurezza idonee (es. alert SMS), altrimenti è tenuta al rimborso. La colpa del cliente non è sufficiente a escludere la responsabilità dell’istituto se questo non prova la propria diligenza tecnica.

A cura di Carmine Paul Alexander TEDESCO - Avvocato

Prenota un appuntamento

Per una consulenza legale o per valutare una possibile strategia difensiva prenota un appuntamento.

La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza.

PRENOTA

02.37901052

8:00 – 20:00
(Lun - Sab)

Pubblicato il 31 ottobre 2025 in Diritto Bancario, Diritto Civile, Giurisprudenza Civile

Responsabilità banca phishing: la Cassazione sta con i clienti

La crescente diffusione dei servizi di home banking ha reso le truffe online, come il phishing, un fenomeno sempre più comune. Ma chi paga quando un correntista viene frodato? Una recente sentenza della Corte di Cassazione fa luce sulla responsabilità della banca in caso di phishing, stabilendo principi chiari a tutela dei consumatori. Vediamo nel dettaglio cosa è successo e quali sono le implicazioni di questa importante decisione.

I fatti di causa: una frode da 2.900 euro

Un correntista riceve una mail apparentemente inviata dal proprio fornitore di servizi di pagamento. Il messaggio lo invita a cliccare su un link per modificare la password del suo account. L’utente, in buona fede, segue le istruzioni, inserendo le proprie credenziali su un sito che si rivelerà essere un clone di quello ufficiale. Poco dopo, si accorge di un addebito non autorizzato di 2.900 euro sulla sua carta prepagata, a favore di un beneficiario sconosciuto.

Dopo il rifiuto del rimborso da parte dell’istituto, il cliente avvia un’azione legale. Mentre il Giudice di Pace inizialmente respinge la sua richiesta, il Tribunale in appello ribalta la decisione, condannando il fornitore di servizi al risarcimento. Il caso approda così in Corte di Cassazione.

L’onere della prova e la responsabilità della banca per phishing

Il fornitore di servizi finanziari, nel suo ricorso, sosteneva che la colpa fosse esclusivamente del cliente, il quale avrebbe agito con negligenza comunicando i propri dati a terzi. La Corte di Cassazione, tuttavia, ha rigettato questa tesi, basando la sua decisione su principi consolidati in materia di responsabilità contrattuale e sicurezza informatica.

La Corte ha ribadito che la responsabilità per le operazioni effettuate con strumenti elettronici è, in linea di principio, a carico della banca o del prestatore di servizi di pagamento. Questo perché la loro responsabilità ha natura contrattuale e richiede una diligenza di tipo tecnico, da valutarsi con il parametro del “banchiere accorto”.

Il rischio d’impresa

Secondo i giudici, la possibilità che i codici di accesso di un cliente vengano sottratti con tecniche fraudolente (come il phishing) è un’eventualità prevedibile e rientra nel rischio d’impresa tipico di chi offre servizi di pagamento digitali. Di conseguenza, non è il cliente a dover provare la propria assenza di colpa, ma è la banca a dover dimostrare di aver fatto tutto il possibile per prevenire la frode.

Le motivazioni della decisione

La Suprema Corte ha affermato che, per essere esonerata da responsabilità, la banca deve fornire una prova rigorosa su due fronti:

1. Adozione di misure di sicurezza adeguate: L’istituto deve dimostrare di aver implementato sistemi tecnologici idonei a prevenire o ridurre l’uso fraudolento degli strumenti di pagamento. Un esempio citato è l’invio di notifiche SMS di allerta per ogni operazione effettuata, un sistema che consente al titolare della carta di accorgersi immediatamente di eventuali anomalie e di bloccare l’operazione o la carta stessa.
2. Colpa grave del cliente: Non è sufficiente una semplice disattenzione. La banca deve provare che il comportamento del cliente sia stato di una gravità tale da configurarsi come “colpa grave”, ovvero una condotta talmente imprudente da interrompere il nesso di causalità tra la falla nel sistema di sicurezza e il danno subito.

Nel caso specifico, il fornitore di servizi non ha fornito la prova di aver adottato tutte le cautele necessarie. L’assenza di questa prova ha reso corretta la decisione dei giudici di merito di imputare alla banca il rischio professionale legato a questo tipo di frodi.

Conclusioni: cosa cambia per i consumatori

Questa sentenza rafforza significativamente la posizione dei consumatori vittime di phishing. Il principio chiave è che l’onere della prova grava interamente sulla banca. Non basta sostenere che il cliente sia stato ingenuo; l’istituto finanziario deve dimostrare attivamente di aver protetto il proprio sistema con le migliori tecnologie disponibili e che il cliente abbia agito con una negligenza eccezionale. In assenza di tale prova, la banca è tenuta a rimborsare integralmente il cliente frodato. Si tratta di una vittoria importante per la trasparenza e la sicurezza nei servizi finanziari digitali.

In caso di frode tramite phishing, chi è tenuto a risarcire il danno?
In linea di principio, la responsabilità ricade sul prestatore di servizi di pagamento (la banca), a meno che non dimostri di aver adottato tutte le misure di sicurezza tecnicamente idonee a prevenire la frode e che il cliente abbia agito con colpa grave.

Cosa deve dimostrare la banca per non essere considerata responsabile?
La banca deve fornire la prova positiva di due elementi: primo, di aver implementato sistemi di sicurezza efficaci (come gli alert SMS per ogni transazione) per proteggere il cliente; secondo, che il comportamento del cliente sia stato talmente negligente da costituire una “colpa grave”.

Il fatto che un cliente inserisca i propri dati su un sito falso è considerato colpa grave?
Non automaticamente. La sentenza chiarisce che il phishing è un rischio professionale prevedibile per la banca. La semplice caduta nella trappola non costituisce di per sé colpa grave, specialmente se la banca non ha adottato adeguate contromisure per rilevare e bloccare l’operazione fraudolenta.

Testo del provvedimento

Sentenza di Cassazione Civile Sez. 3 Num. 3780 Anno 2024

SENTENZA

sul ricorso 11492/2022 proposto da:

RAGIONE_SOCIALE, in persona del Legale Rappresentante pro tempore, rappresentata e difesa dagli avvocati NOME COGNOME e NOME COGNOME e domiciliata presso la seconda nell’Area Legale Territoriale Centro RAGIONE_SOCIALE in Roma, INDIRIZZO

Pec:

-ricorrente –

contro

COGNOME NOME;

– intimato –

Civile Sent. Sez. 3 Num. 3780 Anno 2024

Presidente: COGNOME NOME

Relatore: COGNOME NOME

Data pubblicazione: 12/02/2024

avverso la sentenza n. 729/2021 del TRIBUNALE di PAOLA, depositata il 26/10/2021;

udita la relazione della causa svolta nella pubblica udienza del 12/10/2023 dal Cons. NOME COGNOME;

udito l’AVV_NOTAIO;

udito il P.M. in persona del Sostituto Procuratore Generale COGNOME che si riporta alle conclusioni scritte e chiede l’accoglimento del ricorso;

FATTI DI CAUSA

NOME COGNOME, in qualità di procuratrice di NOME COGNOME, convenne in giudizio, davanti al Giudice di Pace di Paola, RAGIONE_SOCIALE chiedendo accertarsi la responsabilità contrattuale o extracontrattuale della società convenuta per la perdita patrimoniale subìta dal COGNOME ammontante ad € 2900 a seguito di un’operazione posta in essere da ignoti sulla propria carta RAGIONE_SOCIALEpay Evolution.

A sostegno della domanda rappresentò che il COGNOME aveva ricevuto una mail in apparenza proveniente da RAGIONE_SOCIALE, con la quale era stato invitato ad accedere al proprio conto mediante un link contenuto nella mail inserendo le proprie credenziali per effettuare il cambio della password; che l’utente aveva effettuato la richiesta operazione ed aveva successivamente riscontrato un addebito di € 2900 per un’operazione a favore di RAGIONE_SOCIALE Paris Fra, da lui mai compiuta.
Formulata invano richiesta di rimborso, il COGNOME adì il Giudice di Pace di Paola.

RAGIONE_SOCIALE, nel costituirsi in giudizio, affermò che la responsabilità dell’accaduto era attribuibile unicamente all’attore per aver quest’ultimo comunicato incautamente a terzi la propria password ed il proprio codice segreto pin per l’accesso on line alla propria carta, rendendo in tal modo possibile ad un soggetto terzo di effettuare l’operazione con cui gli era stata sottratta la somma di € 2900 .

Il Giudice di Pace adito rigettò la domanda compensando le spese.

A seguito di appello del COGNOME, il Tribunale di Paola, con sentenza pubblicata in data 26/10/2021, ha accolto il gravame ritenendo che il prestatore di servizi dovesse rispondere, ai sensi del Dlgs. n. 196 del 2003, degli effetti dannosi conseguenti all’esercizio di un’attività pericolosa implicante il trattamento di dati personali non avendo l’ente dimostrato la riconducibilità dell’operazione al cliente; rientrando infatti l’eventuale uso dei codici di accesso al sistema da parte di terzi nel rischio professionale del prestatore di servizi di pagamento, ed essendo la condotta prevedibile ed evitabile con appropriate misure tecniche, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi.
Il Tribunale pertanto, richiamando la giurisprudenza di questa Corte secondo cui la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazio ne al cliente (Cass., 1 n. 2950 del 3/2/2017), ha accolto il gravame e condannato RAGIONE_SOCIALE al risarcimento del danno pari alla somma attualizzata sottratta dall’operazione illecita .

Avverso la sentenza RAGIONE_SOCIALE ha proposto ricorso per cassazione sulla base di due motivi.

L ‘intimato non ha svolto attività difensiva in questa sede .

La causa è stata assegnata per la trattazione in adunanza camerale ricorrendo i presupposti di cui all’art. 380 -bis , 1 co. c.p.c. e successivamente rinviata per la trattazione in pubblica udienza.

Il P.G. ha formulato conclusioni scritte nel senso dell’accoglimento del ricorso.

RAGIONI DELLA DECISIONE

Con il primo motivo di ricorso – violazione e falsa applicazione dell’art. 7 co. 2 dell’art. 10 co. 2 e 12 co. 4 D.lgs. 27/1/2010 n. 11 in riferimento all’art. 360, co. 1 n. 3 c.p.c. -la ricorrente assume che la sentenza impugnata ha violato le specifiche disposizioni che in materia configurano a carico dell’utente dei servizi telematici oneri di particolare cautela e diligenza nell’uso dei propri codici ed ha disatteso le regole disciplinanti la responsabilità di RAGIONE_SOCIALE.

Con il secondo motivo di ricorso – omesso esame circa un fatto decisivo per il giudizio in riferimento all’art. 360 co. 1 n. 5 c.p.c. -lamenta che la sentenza impugnata ha omesso di attribuire rilevanza al fatto decisivo costituito dall’avere l’utente consegnato spontaneamente a terzi dati identificativi del proprio conto, operando su un sito che non era di RAGIONE_SOCIALE; ove tale fatto fosse stato considerato, il giudice del gravame non avrebbe potuto concludere per la sussistenza della responsabilità di RAGIONE_SOCIALE.
I motivi sono infondati.

La giurisprudenza di questa Corte, qualificata in termini contrattuali la responsabilità della banca, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo com e parametro quello dell’accorto banchiere (Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta,
per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.

La giurisprudenza di questa Corte è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicch é non può omettere la verifica dell’adozione del le misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi d alla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020).
Era pertanto onere di RAGIONE_SOCIALE, come correttamente ritenuto dalla impugnata sentenza, a dover provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un princ ipio di buona fede nell’esecuzione del contrat to. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio

professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente.

Da quanto esposto consegue il rigetto del ricorso.

Non occorre provvedere sulla spese perché l’intimata non ha svolto attività difensiva in questa sede.

P.Q.M.

La Corte rigetta il ricorso.

Nulla per le spese.

ai sensi dell’art. 13, co. 1 -quater del d.P.R. n. 115 del 2002, si dà atto della sussistenza dei presupposti per il versamento, da parte della ricorrente , dell’ulteriore importo a titolo di contributo unificato pari a quello per il ricorso, a norma del comma 1 bis del citato art. 13, se dovuto;

così deciso in Roma, nella Camera di Consiglio della Terza

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conference call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Il costo della consulenza legale è di € 150,00.