Una recente sentenza del Tribunale di Perugia, la n. 836/2026 pubblicata il 7 maggio 2026, offre uno spunto molto utile per capire cosa può accadere quando un cliente subisce una truffa bancaria online e si vede sottrarre denaro dal conto corrente.

Il caso riguarda una frode di phishing particolarmente insidiosa: SMS apparentemente provenienti dalla banca, una pagina web che sembrava quella dell’istituto di credito e una successiva telefonata da un numero riconducibile al servizio clienti. Alla fine, dal conto dei clienti veniva disposto un bonifico non autorizzato per oltre 49 mila euro.

Che cosa è successo nel caso di phishing bancario deciso dal Tribunale di Perugia

I correntisti ricevevano alcuni SMS che li avvisavano di un presunto blocco della carta o del conto per ragioni di sicurezza. Il messaggio invitava a cliccare su un link per riattivare il servizio.

Il link conduceva a una pagina apparentemente riferibile alla banca. Dopo l’inserimento delle credenziali, il cliente riceveva una telefonata da un numero che appariva corrispondere al servizio di assistenza della banca. L’interlocutore lo guidava in una serie di operazioni, facendo credere che fossero necessarie per ripristinare l’accesso in sicurezza.

Il giorno successivo, contattata la banca, i clienti scoprivano che era stato eseguito un bonifico non autorizzato, con causale “acconto acquisto casa”, per una somma superiore a 49 mila euro. La banca negava il rimborso e i correntisti agivano in giudizio.

Perché questa truffa è così pericolosa

Non si trattava del classico messaggio scritto male, facilmente riconoscibile come sospetto. Secondo la ricostruzione della sentenza, la frode era stata realizzata con tecniche più sofisticate, tra cui lo spoofing, cioè la possibilità per il truffatore di presentarsi con un’identità apparentemente riconducibile a un soggetto affidabile.

In pratica, il cliente non vedeva un numero qualunque, ma un numero o un canale che sembrava collegato alla banca. È proprio questo elemento che rende tali frodi molto pericolose anche per persone normalmente attente.

La regola di base: se il pagamento non è autorizzato, la banca deve rimborsare

La sentenza richiama il principio previsto dalla normativa sui servizi di pagamento: quando un’operazione non è stata autorizzata dal cliente, la banca deve rimborsare l’importo, salvo che riesca a provare il dolo o la colpa grave dell’utente.

Questo passaggio è centrale. Non basta che la banca dica: “sono state usate le credenziali corrette” oppure “il sistema ha registrato l’operazione”. L’istituto deve dimostrare che il cliente abbia agito con un livello di negligenza particolarmente elevato.

Che cosa significa colpa grave del cliente

La colpa grave non coincide con una semplice disattenzione. È qualcosa di più: una condotta macroscopicamente imprudente, tale da violare le più elementari regole di cautela.

Nel contesto del phishing bancario, la banca può tentare di sostenere che il cliente abbia comunicato codici, PIN o OTP e che quindi la responsabilità sia sua. Tuttavia, secondo l’impostazione seguita dal Tribunale, occorre valutare concretamente come si è svolta la frode: se il cliente è stato tratto in inganno da una messinscena molto sofisticata, non è automatico parlare di colpa grave.

La decisione del Tribunale di Perugia

Il Tribunale di Perugia ha accolto la domanda dei correntisti e ha condannato la banca al pagamento in loro favore della somma sottratta, oltre rivalutazione monetaria, interessi legali e spese di lite.

La decisione valorizza un principio molto importante: nelle controversie sulle operazioni bancarie non autorizzate, il cliente deve provare il rapporto con la banca e l’esistenza dell’operazione contestata, mentre la banca deve dimostrare il fatto che esclude la propria responsabilità, cioè il dolo o la colpa grave del cliente.

Perché la sentenza è utile per i consumatori

Questa pronuncia è importante perché ricorda che il cliente vittima di phishing non deve rassegnarsi automaticamente alla perdita del denaro. Ogni caso deve essere esaminato in concreto, verificando il funzionamento dei sistemi di sicurezza, le modalità della truffa, i tempi della contestazione e la prova effettivamente fornita dalla banca.

In particolare, il fatto che i truffatori siano riusciti a utilizzare credenziali o codici non significa, da solo, che il cliente abbia perso ogni diritto al rimborso.

Cosa fare se si subisce una truffa bancaria online

Chi si accorge di un’operazione sospetta deve agire subito. È consigliabile bloccare immediatamente carte, conto e credenziali, contattare il servizio clienti ufficiale della banca, presentare denuncia alle autorità e inviare una contestazione scritta all’istituto di credito.

È utile conservare ogni elemento di prova: SMS ricevuti, schermate, registro chiamate, email, ricevute delle operazioni, comunicazioni con la banca e copia della denuncia. Nei casi più rilevanti può essere opportuno anche far eseguire una copia forense del dispositivo utilizzato.

Domande frequenti

La banca deve sempre rimborsare in caso di phishing?

Non sempre in modo automatico. Tuttavia, se l’operazione non è stata autorizzata, la regola generale è il rimborso, salvo che la banca provi dolo o colpa grave del cliente.

Se ho cliccato su un link falso perdo il diritto al rimborso?

Non necessariamente. Bisogna valutare se il comportamento del cliente sia stato gravemente imprudente oppure se la frode fosse costruita in modo tale da trarre in inganno anche una persona normalmente attenta.

Se ho comunicato un codice OTP la banca può rifiutare il rimborso?

La comunicazione di un codice può essere un elemento rilevante, ma non basta da sola a chiudere la questione. Occorre esaminare l’intera dinamica della frode e la prova fornita dalla banca.

Quanto tempo ho per contestare l’operazione?

È essenziale muoversi immediatamente. Prima si contesta l’operazione, più è agevole dimostrare la propria tempestività e limitare le contestazioni della banca.

Conclusione

La sentenza del Tribunale di Perugia n. 836/2026 conferma che, in materia di phishing bancario, la responsabilità non può essere scaricata automaticamente sul cliente. Quando la frode è sofisticata e l’operazione non è stata realmente autorizzata, la banca deve provare in modo rigoroso l’eventuale colpa grave del correntista.

Per chi ha subito una truffa online, il messaggio è chiaro: è importante agire subito, raccogliere le prove e far valutare il caso, perché il rimborso può essere possibile.

Lo Studio Legale Giovannoni & Betella assiste e difende chi è stato truffato a causa del fenomeno del pishing.