Un conto apparentemente al sicuro, una mattina qualunque e poi il gelo: oltre 50.000 euro spariti nel nulla. Non un errore, non un equivoco, ma una serie di movimenti che nessuno aveva autorizzato. Eppure, quando è stato chiesto il rimborso, la banca ha detto no. Com’è possibile che un istituto rifiuti di coprire una perdita così enorme? Cosa succede davvero in questi casi e quali diritti spettano a chi si trova in una situazione simile? La risposta non è scontata, e può cambiare tutto. Una vicenda vera, con più sfumature di quante se ne immaginino. E sì, c’entra anche la legge. Ma non solo.
Era una mattina tranquilla, identica a tante altre. Poi, l’inquietudine. Aprendo l’app bancaria, cinque movimenti sconosciuti saltano subito all’occhio: quattro prelievi consecutivi da 9.900 euro e un altro da oltre 1.000. Il totale supera i 50.000 euro. Tutto eseguito in poche ore. Un incubo.
Il primo pensiero è che ci sia un errore. Si contatta la banca, si fa il reclamo, si allegano i documenti. Ci si aggrappa all’idea che la legge protegga da episodi così gravi. E in effetti l’articolo 11 del D.lgs. 11/2010 è molto chiaro: se il pagamento non è autorizzato, l’istituto deve restituire tutto entro un giorno lavorativo.
Ma la risposta ricevuta non è quella sperata. La banca dice no. Per loro, quelle operazioni risultano “autorizzate”, perché effettuate con autenticazione forte: codici OTP, dispositivo personale, tutto in regola. Ma se tutto è stato eseguito da sistemi automatici, dov’è finito il controllo umano?
Quando la banca rifiuta il rimborso nonostante la frode
Il paradosso è che, anche quando si è vittime di una truffa, si rischia di sentirsi colpevoli. Secondo alcune banche, basta che sia stato usato un codice corretto per rendere l’operazione legittima. Ma la normativa PSD2, recepita in Italia con il D.lgs. 11/2010, racconta una realtà diversa.
La legge stabilisce che è l’istituto a dover dimostrare che l’operazione sia stata eseguita correttamente. Solo così può evitare di rimborsare. E deve farlo in modo documentato, concreto, non con affermazioni generiche. Anche la presenza di codici OTP non basta se il cliente è stato ingannato, ad esempio attraverso un attacco phishing.
Ci sono già precedenti che confermano questo orientamento. L’Arbitro Bancario Finanziario ha più volte condannato le banche per non aver rilevato anomalie evidenti. Come accaduto a Palermo nel 2025, dove un’impresa si è vista sottrarre quasi 48.000 euro in operazioni ravvicinate. Anche lì la banca aveva invocato l’autenticazione forte, ma l’ABF ha dato torto all’istituto: non era stato fatto nulla per prevenire le frodi.
La responsabilità tra legge e buon senso: quando il cliente non è colpevole
L’articolo 12 del decreto introduce un’eccezione importante: se il cliente ha agito con dolo o colpa grave, la banca può rifiutarsi di rimborsare. Ma non basta ipotizzarlo. L’onere della prova ricade interamente sull’istituto. Deve dimostrare che il cliente ha, ad esempio, scritto i codici su un foglio o li ha comunicati a qualcuno. E non è facile.
Molte banche cercano di far passare per “negligenza” anche un semplice errore in buona fede. Ma il rischio non può essere scaricato tutto sul cliente, soprattutto se mancano sistemi di controllo interni. Un flusso di prelievi elevati, in pochi minuti e fuori dal profilo abituale, dovrebbe attivare un blocco o almeno un allarme. Se non succede, è una mancanza.
Le tecnologie di sicurezza non bastano se non sono accompagnate da un’attenta analisi comportamentale. Perché oggi le truffe si evolvono, diventano sofisticate. E se le banche non riescono a distinguere tra uso legittimo e uso fraudolento, non stanno davvero proteggendo i loro clienti.
