C’è un momento in cui l’equilibrio tra fiducia e sicurezza vacilla, e spesso succede quando un messaggio o una telefonata arriva a sembrare più autentica della realtà. È ciò che accade nelle frodi via SMS e chiamate contraffatte, ormai capaci di superare anche la prudenza di chi crede di aver preso ogni precauzione.
Il confine tra ingenuità e inganno si fa sottile e, in quel terreno grigio, entrano in gioco nuovi strumenti di tutela. Tra questi, l’Arbitro Bancario Finanziario si conferma un punto di riferimento, con la sua capacità di dirimere le controversie tra banche e clienti in tempi rapidi e a costi contenuti.
Le storie che arrivano a questo organismo raccontano di conti prosciugati con un semplice clic, di SMS che appaiono identici a quelli inviati dalla banca, di numeri di telefono che sembrano ufficiali. Vicende che non restano solo fatti isolati, ma che finiscono per definire il nuovo equilibrio delle responsabilità tra chi gestisce il denaro e chi ne è titolare.
Il caso del 2025 e il cambio di passo dell’ABF
La decisione n. 3052 del 21 marzo 2025 rappresenta una svolta. Riguarda un cliente vittima di una truffa con vishing e SMS spoofing, due tecniche combinate che hanno portato a un prelievo fraudolento dal conto. Il messaggio, apparentemente autentico, si era inserito nella conversazione ufficiale della banca e la successiva chiamata proveniva da un numero contraffatto che imitava quello istituzionale.
Per l’Arbitro Bancario Finanziario, il livello di sofisticazione dell’inganno era tale da escludere la colpa grave del cliente. Allo stesso tempo, è stata riconosciuta una corresponsabilità della banca: difetti nei sistemi di sicurezza e nella capacità di rilevare anomalie operative hanno reso possibile l’attacco. Ne è derivato un rimborso parziale, una soluzione che riflette un approccio equilibrato. Non una vittoria totale per il cliente, ma nemmeno una deresponsabilizzazione dell’intermediario. È un orientamento che l’Arbitro ribadisce in altre decisioni: laddove le frodi sfruttano vulnerabilità dei sistemi bancari, l’intermediario risponde, mentre il cliente è pienamente tutelato solo se le operazioni risultano prive di autenticazione forte o se l’istituto non dimostra di aver adottato misure idonee.
Dalla teoria alla pratica: cosa cambia per clienti e banche
Il caso del 2025 non è isolato. Episodi simili hanno portato l’Arbitro Bancario Finanziario a riconoscere rimborsi anche consistenti, come i 13.700 euro restituiti a un correntista che aveva subito una frode tramite phishing, perché la banca non era stata in grado di provare l’uso di sistemi di autenticazione adeguati. Le statistiche confermano il ruolo crescente di questo organismo: nel 2024 oltre 14.000 ricorsi sono stati trattati, con una percentuale di decisioni favorevoli ai clienti pari al 63 % e più di 16 milioni di euro riconosciuti. I tempi medi di definizione? Poco più di tre mesi, ben lontani dalle lungaggini delle aule di tribunale. Ma non c’è solo il tema del rimborso. In diversi casi, l’Arbitro ha censurato anche le segnalazioni in Centrale Rischi, quando le banche non sono state in grado di provare l’invio degli avvisi obbligatori, ordinando la rettifica e riconoscendo un danno al cliente.
Il punto centrale rimane la necessità di alzare il livello di sicurezza. Le frodi si evolvono e costringono gli intermediari a rivedere le proprie difese, pena non solo il danno economico ma anche quello reputazionale, visto che le decisioni di inadempimento dell’Arbitro vengono rese pubbliche. Resta da chiedersi se le banche stiano investendo abbastanza in prevenzione e se il cliente possa davvero sentirsi al sicuro di fronte a tecniche di inganno che non fanno più distinzione tra il reale e il simulato.