Quanto può essere facile cadere nella rete di un messaggio sul telefono? Un logo familiare, un numero che sembra autentico e la voce di un operatore possono bastare per spegnere ogni sospetto. Quando la tecnologia diventa lo strumento dell’inganno, il confine tra sicurezza e vulnerabilità si fa sottilissimo.
Non si parla solo di soldi, ma di fiducia tradita, di quella sensazione che resta anche dopo aver bloccato il conto e denunciato. I truffatori non agiscono mai per caso: pianificano, osservano, affinano le loro tecniche per colpire chiunque, senza distinzione. E allora, in questi casi, che ruolo hanno le banche e la legge?
Il copione è sempre lo stesso, ma ogni volta con dettagli nuovi. Arriva un messaggio urgente, con tanto di logo e numero riconoscibili. Si parla di un problema con il conto, di un’operazione da confermare per “mettere al sicuro” il denaro. In un attimo si passa dal dubbio all’azione: cliccare un link, inserire codici, seguire istruzioni.
Poi il crollo: il denaro sparisce verso un conto lontano. Dietro queste truffe, note come smishing, non c’è improvvisazione ma una strategia precisa. Sono inganni che sfruttano l’urgenza, la paura e la fiducia che si ripone negli istituti finanziari o negli enti pubblici. Ed è qui che nasce la vera domanda: è davvero solo responsabilità di chi si è fidato?
Quando un SMS diventa un inganno: il ruolo della banca e le tutele per chi subisce una frode
La reazione naturale di chi subisce una truffa è rivolgersi alla propria banca, ma la risposta non è sempre quella attesa. Spesso gli istituti sostengono che l’operazione sia stata autorizzata perché completata con i dati corretti. Tuttavia, la direttiva europea PSD2 e il Decreto Legislativo 11/2010 non lasciano spazio a interpretazioni semplicistiche: se il cliente denuncia tempestivamente l’operazione, spetta alla banca dimostrare non solo che l’operazione sia stata autenticata con strumenti sicuri, come il codice OTP o altri sistemi di doppia verifica, ma anche che il cliente abbia agito con dolo o colpa grave.
Questo cambia tutto: l’onere della prova è in capo all’istituto, non al correntista. E non basta dire che il sistema ha funzionato “normalmente”. È qui che entra in gioco l’Arbitro Bancario Finanziario, che in numerose decisioni, tra cui la n. 3616 del 9 aprile 2025, ha riconosciuto il diritto al rimborso integrale quando manca la prova dell’utilizzo di un secondo fattore di autenticazione. In questo caso, il cliente ha ottenuto la restituzione di 1.680 euro, oltre alle spese di procedura. Non si tratta solo di soldi, ma di affermare un principio: il sistema deve proteggere chi cade vittima di raggiri sofisticati.
Sentenze, prevenzione e il futuro della sicurezza digitale: cosa insegna un SMS truffa
La decisione dell’Arbitro è un segnale forte: le banche non possono scaricare tutta la responsabilità sui correntisti, soprattutto quando i truffatori usano tecniche sempre più sofisticate. E non riguarda solo gli istituti di credito. Enti come INPS, Agenzia delle Entrate e Poste Italiane hanno più volte denunciato l’invio di falsi SMS con link pericolosi, ribadendo che non chiedono mai di inserire dati personali tramite messaggi.
Accanto alla tutela legale, c’è il tema della prevenzione. Bloccare subito il conto, sporgere denuncia e presentare reclamo scritto sono azioni indispensabili. Ma serve di più: una cultura digitale che renda chiaro a tutti che nessuna banca o ente pubblico chiederà mai credenziali tramite link ricevuti. Il futuro della sicurezza passa da qui: collaborazione tra utenti, istituzioni e tecnologie più robuste.