La decisione n. 0008198/2025, emessa il 12 settembre 2025, riguarda un episodio di sms spoofing combinato con accesso remoto al dispositivo della vittima, che ha portato all’esecuzione di due bonifici istantanei verso conti di soggetti sconosciuti. Nonostante le operazioni siano state tecnicamente autorizzate dall’utente, il Collegio ha riconosciuto un rimborso di 17.000 euro alla correntista truffata, valutando gli obblighi contrattuali di sicurezza a carico della banca e applicando l’art. 1227 del Codice Civile sul concorso di colpa.
La decisione del Collegio ABF tra sicurezza e responsabilità dell’utente
Il Collegio ha chiarito che non si trattava di operazioni di pagamento “non autorizzate” in senso tecnico: “Le operazioni per cui è causa sono state, di fatto, compiute ed autorizzate dalla stessa ricorrente”, escludendo quindi l’applicazione del D.Lgs. 11/2010, che prevede il rimborso automatico per pagamenti non autorizzati.
Tuttavia, i giudici hanno sottolineato che la condotta della banca resta scrutinabile sul piano contrattuale e della buona fede: la condotta dell’intermediario può essere comunque esaminata, sotto il profilo del corretto adempimento delle obbligazioni contrattuali, eventualmente integrate dal principio di buona fede, potendosi dunque fondare la decisione sugli artt. 1375, 1176, comma 2, e 1218 c.c.
Un passaggio centrale riguarda la natura della truffa: il Collegio della Banca d’Italia che ha preso in carico il ricorso presentato dall’Avv. Domenico Bianculli, ha ricondotto alla categoria delle frodi sofisticate le intrusioni truffaldine tramite “sms spoofed”.
Normalmente, nei casi di spoofing non si ritiene sussistente la colpa grave del cliente, ma qui il Collegio ha individuato “indici di inattendibilità o anomalia dei messaggi, che consentono di configurare un concorso di colpa tra le parti”.
Sui meccanismi antifrode, la decisione specifica che: “secondo l’art. 2 del Regolamento (UE) n. 2018/389 gli intermediari devono predisporre meccanismi di monitoraggio in grado di rilevare le operazioni di pagamento non autorizzate o fraudolente; tuttavia, non è necessario che questi meccanismi operino in tempo reale – potendo limitarsi a un monitoraggio ex post – e non può ritenersi che la resistente avesse l’obbligo di negare l’autorizzazione delle operazioni contestate”.
Alla luce di tali considerazioni, l’ABF ha applicato l’art. 1227 c.c., stabilendo un concorso di colpa e condannando la banca a rimborsare 17.000 € in via equitativa.
Analisi tecnica della frode: sms spoofing e controllo remoto
Dal punto di vista informatico, la truffa sfrutta due tecniche spesso combinate:
Sms spoofing: consiste nell’invio di messaggi SMS che sembrano provenire dal numero ufficiale della banca. I criminali manipolano il campo “sender ID” affinché i messaggi si aggancino alla cronologia reale sullo smartphone della vittima. Ciò induce un falso senso di sicurezza, perché i messaggi fraudolenti compaiono accanto a quelli autentici dell’istituto di credito.
Accesso remoto al dispositivo: dopo avere instaurato un contatto telefonico, i truffatori convincono la vittima a installare un software di “remote desktop” (ad esempio applicazioni legittime come AnyDesk o TeamViewer). In questo modo possono osservare e interagire con lo schermo dell’utente, inserendo dati bancari o autorizzando operazioni senza destare sospetti immediati.
Il mix di questi strumenti crea un attacco sofisticato: l’utente riceve SMS apparentemente genuini e viene assistito da un “operatore” che sembra avere già informazioni riservate (saldo, IBAN, dati anagrafici). Il risultato è che la vittima partecipa inconsapevolmente all’operazione fraudolenta, autorizzando transazioni che, tecnicamente, risultano regolari per i sistemi bancari.
Prevenzione: accorgimenti per utenti comuni ed esperti
Per chiunque utilizzi servizi bancari online, la prima regola di sicurezza è diffidare di qualsiasi richiesta telefonica di installare software di controllo remoto sul proprio computer o smartphone: nessuna banca legittima chiederà mai un’operazione di questo tipo. È altrettanto importante verificare sempre con attenzione l’indirizzo web e i certificati di sicurezza prima di inserire credenziali, assicurandosi che il sito sia realmente quello ufficiale dell’istituto di credito. Se si riceve un SMS sospetto, magari con avvisi di operazioni non autorizzate o richieste di sicurezza, la cosa più prudente è non rispondere al messaggio e contattare subito la banca attraverso i canali ufficiali, come il numero presente sul sito istituzionale o nell’app.
Gli utenti più esperti possono adottare ulteriori precauzioni: ad esempio, abilitare l’autenticazione a più fattori (MFA) scegliendo di ricevere i codici tramite app dedicate piuttosto che via SMS, molto più vulnerabili alle tecniche di spoofing. È utile anche controllare periodicamente i log di accesso e le notifiche push dell’app bancaria, che spesso segnalano operazioni sospette in tempo reale. Infine, è essenziale mantenere aggiornati sia il sistema operativo sia i software di sicurezza, così da ridurre al minimo le falle che possono essere sfruttate dai malware e dai trojan utilizzati dai criminali per il controllo remoto dei dispositivi.
Avv. Domenico Bianculli: “decisione importante, istituti di credito vadano oltre i semplici sistemi di sicurezza”
Secondo l’Avv. Domenico Bianculli, che ha assistito la vittima nel ricorso all’ABF contro la banca, la decisione “segna un punto di equilibrio importante: se da un lato i clienti devono prestare la massima attenzione e non cadere in comportamenti imprudenti, dall’altro gli istituti di credito non possono limitarsi a dimostrare che l’operazione è stata autorizzata. Devono provare di aver implementato sistemi di sicurezza realmente idonei a ridurre i rischi di frodi sofisticate come lo spoofing”.
Questa pronuncia dell’ABF di Roma è rilevante non solo per il settore legale ma anche per quello informatico. Chiarisce infatti che le banche non hanno l’obbligo di bloccare in tempo reale ogni operazione sospetta, ma devono comunque adottare strumenti di sicurezza avanzati e dimostrarne l’efficacia. Per gli utenti, il messaggio è altrettanto chiaro, la tecnologia offre grandi comodità, ma ogni distrazione può trasformarsi in una perdita economica, solo parzialmente recuperabile.
In collaborazione con Cyberlex
