La truffa del finto operatore bancario è una forma di vishing, ovvero un attacco di ingegneria sociale telefonica in cui il truffatore finge di essere il servizio antifrode della banca e convince il cliente ad autorizzare di persona un bonifico verso un conto controllato dai criminali. La regola difensiva è una sola: nessuna banca italiana chiede mai di spostare i soldi su un conto “protetto” per metterli al sicuro. Se ricevi quella richiesta al telefono, riattacca e richiama tu il numero verde stampato sul retro del bancomat. Il rimborso è possibile, ma non automatico: dipende dalla rapidità delle ore successive e da quanto la banca avrebbe potuto accorgersi dell’operazione anomala.
Capita così. Un pensionato romano riceve una chiamata. «Buongiorno, sono Marco del servizio antifrode della sua banca, abbiamo rilevato un tentativo di accesso al suo conto da Praga, dobbiamo mettere in sicurezza i suoi soldi». Il numero in display è quello vero della banca — può essere stato falsificato con la tecnica del caller ID spoofing, descritta nella scheda Vishing della Polizia Postale. Il tono è calmo, professionale, l’operatore conosce nome, cognome, ultime quattro cifre della carta. Sa dare i numeri giusti per sembrare credibile. In sette minuti la vittima ha autorizzato dall’app un bonifico istantaneo da 18.000 euro verso un conto a Napoli che non ha mai sentito nominare.
Questa non è una variante del messaggio WhatsApp che finge la banca né dello smishing via SMS, dove la trappola sta nel link da cliccare. Nel vishing non c’è alcun link: il truffatore guida la vittima passo dopo passo dentro l’app ufficiale della banca, perché è la vittima stessa a dover firmare digitalmente l’operazione. Il sistema di sicurezza dell’istituto non viene mai violato. Viene aggirato attraverso la persona.
Come funziona la truffa, passo dopo passo
Il vishing bancario è un voice phishing, ovvero un tentativo di carpire l’autorizzazione del titolare del conto sfruttando la voce al telefono al posto di una mail o di un SMS. Il copione è quasi sempre lo stesso e la scheda Social Engineering della Polizia Postale lo riassume in quattro mosse:
- Innesco con allarme. Il truffatore segnala movimenti anomali, accessi sospetti, un bonifico fraudolento in partenza. Spesso cita un importo preciso e una città credibile, costruita su dati raccolti dai social o da precedenti violazioni di dati personali.
- Sostituzione del numero. Il display dello smartphone mostra il numero ufficiale della banca grazie al caller ID spoofing. Per la vittima, è come ricevere una telefonata dall’app verificata.
- Trasferimento sul “conto sicuro”. L’operatore convince a spostare i soldi su un IBAN che dichiara intestato alla banca stessa. In alcuni casi guida a inserire codici OTP appena ricevuti, in altri spinge a confermare un bonifico già pre-impostato nell’app.
- Dispersione rapida. Una volta che il bonifico è partito, i soldi vengono frazionati su più conti, prelevati allo sportello o convertiti in criptovaluta nel giro di una o due ore. Da quel momento, il recupero diventa molto difficile.
I dati della Banca d’Italia confermano la diffusione del fenomeno: gli avvisi al pubblico su frodi e tentativi di truffa elencano numerosi episodi documentati di vishing e spoofing a partire dal 2023 e segnalano che la tecnica colpisce in modo trasversale, dai correntisti giovani ai pensionati. Il caso classico della finta chiamata dell’INPS al pensionato gira sulla stessa leva — un ente conosciuto che parla con tono di urgenza per spingere a un’azione immediata.
Cinque segnali che devono far riattaccare
I cinque segnali che, presi insieme, identificano la chiamata-trappola sono questi.
- Ti chiedono di trasferire i soldi. Nessuna banca chiama mai per chiedere di spostare denaro su un altro conto, neanche “temporaneamente” o “per protezione”. È il segnale numero uno e dovrebbe bastare da solo.
- Ti mettono fretta. Frasi come “se non agiamo entro cinque minuti il bonifico parte” o “il suo conto verrà bloccato definitivamente” servono a spegnere il pensiero critico. L’urgenza è l’arma principale del social engineering.
- Ti chiedono codici OTP o password. La banca non chiede mai codici via telefono. Se l’operatore ti detta cosa fare sull’app o ti chiede di leggere un codice arrivato via SMS, è truffa.
- Restano in linea. Un operatore vero ti dice di richiamarlo o di passare in filiale. Un truffatore non vuole mollarti, perché ogni secondo in cui chiudi la chiamata è un secondo in cui potresti chiamare la banca vera.
- Non c’è traccia scritta. Nessun riferimento di pratica, nessun numero interno verificabile, nessuna conferma via email dal dominio ufficiale. Il truffatore parla solo a voce.
Se anche uno solo di questi segnali compare, riattacca. Poi richiama tu, dal numero stampato sul retro del bancomat o pubblicato sul sito ufficiale dell’istituto. Lo dice anche la Polizia Postale: il modo più sicuro di verificare una chiamata sospetta è non risponderle.
Cosa fare nelle prime due ore se hai già fatto il bonifico
La velocità è tutto. Sotto le due ore dal bonifico, parte del denaro è ancora aggredibile; oltre, la probabilità di recupero crolla.
- Chiama subito la banca dal numero ufficiale. Mai dal numero del truffatore, mai da un numero copiato dalla chiamata. Chiedi tre cose: blocco di carte e home banking, tentativo di richiamo del bonifico se ancora pendente, apertura di una pratica di frode con numero di protocollo.
- Fai screenshot di tutto. L’app con il bonifico, il registro chiamate con orario e numero, eventuali SMS con codici OTP ricevuti, la mail della banca con la conferma dell’operazione. Sono la base di ogni reclamo e di ogni eventuale ricorso ABF.
- Presenta denuncia formale. Per gli importi che hanno comportato un trasferimento, la segnalazione online sul portale del Commissariato di P.S. non basta: serve una denuncia in un Commissariato fisico o presso una stazione dei Carabinieri. Senza denuncia, l’iter di indagine non parte e la banca difficilmente procede al rimborso.
- Cambia le password e attiva la verifica in due passaggi. Su app bancaria, email collegata e identità digitale (SPID, CIE). Se usi PosteID, la guida ai pagamenti dal secondo anno e ai rischi di phishing è descritta nella scheda SPID Poste per caregiver.
- Conserva ogni documento per almeno cinque anni. L’ABF accetta ricorsi entro dodici mesi dal reclamo, ma una causa civile può arrivare anche più tardi. Tieni cartella fisica e cartella digitale.
Come scrivere il reclamo formale alla banca
Il reclamo è il passaggio che fa partire l’orologio. Senza un reclamo scritto e protocollato non c’è ABF, non c’è arbitrato, non c’è prova in giudizio.
Il reclamo va inviato in forma scritta, tipicamente via PEC o raccomandata con ricevuta di ritorno. Deve contenere: data, ora e importo del bonifico contestato; IBAN del beneficiario sospetto; descrizione cronologica della chiamata; richiesta esplicita di rimborso e di apertura della pratica di frode; allegati con denuncia, screenshot e tabulati. La banca ha 60 giorni per rispondere in modo motivato. Se non risponde o respinge, hai dodici mesi dalla data del reclamo per rivolgerti all’Arbitro Bancario Finanziario.
ABF: cos’è e quando il rimborso è probabile
L’Arbitro Bancario Finanziario è un organismo di risoluzione stragiudiziale delle controversie tra clienti e intermediari bancari, istituito dalla Banca d’Italia. Ovvero un giudice tecnico, indipendente dalle banche, che decide su carta sulla base della documentazione e delle norme vigenti. Costo del ricorso: 20 euro, restituiti se il ricorso è accolto. Durata media: 6-9 mesi.
La direttiva europea sui servizi di pagamento (PSD2, recepita in Italia con il decreto legislativo 27 gennaio 2010, n. 11) prevede che il cliente sia rimborsato per le operazioni di pagamento non autorizzate, salvo il caso di dolo o colpa grave. La partita del vishing si gioca proprio sulla definizione di “colpa grave” quando il cliente ha autorizzato lui stesso il bonifico, ingannato dal truffatore.
Sul punto si confrontano due linee di decisioni.
La linea della corresponsabilità della banca. La decisione ABF n. 6024 del 20 giugno 2025, commentata dallo studio BG-Lex, ha riconosciuto la corresponsabilità della banca quando l’operazione presentava elementi anomali rispetto al normale operato del cliente — importo fuori scala, beneficiario sconosciuto, esecuzione in orari insoliti — e la banca non ha attivato i sistemi di rilevazione delle anomalie che lo standard EBA richiede. In quei casi il rimborso è stato concesso almeno parzialmente, anche quando il cliente aveva comunicato i propri codici. Sulla stessa linea, Confconsumatori Roma ha ottenuto il rimborso di 7.000 euro per un risparmiatore romano attraverso l’ABF nell’ottobre 2025, in un caso in cui l’IBAN destinatario era già stato segnalato come fraudolento in archivi interbancari.
La linea del consenso viziato. Altre pronunce, raccolte dallo studio GIM Legal nella rassegna del 30 settembre 2025, hanno escluso il rimborso quando l’operazione appariva ordinaria — importo coerente con la storia del conto, orari abituali, nessuna anomalia tecnica — e il cliente aveva volontariamente comunicato OTP e codici di firma. Il ragionamento: il consenso, anche se viziato dall’inganno, resta un consenso espresso dal titolare, e la banca non avrebbe avuto strumenti tecnici per accorgersi del raggiro.
In pratica, il rimborso è più probabile quando il bonifico ha caratteristiche oggettivamente fuori dal solito (importo, destinatario, orario, modalità). Il rimborso è più difficile quando l’operazione appare in linea con il normale uso del conto. La documentazione cronologica della chiamata, la prova dello spoofing del numero e l’eventuale presenza dell’IBAN destinatario in archivi di frodi sono i tre elementi che spostano l’ago della bilancia.
Quando rivolgersi a un’associazione di consumatori
Le associazioni di tutela dei consumatori — Confconsumatori, Adiconsum, Federconsumatori, Codacons, Altroconsumo — assistono gratuitamente o a tariffa simbolica i soci nella stesura del reclamo e nel ricorso ABF. Sono particolarmente utili quando l’importo è alto, quando la banca ha già respinto il reclamo o quando si valuta la causa civile in parallelo. Lo Studio Legale Di Giacinto, in una nota del 27 settembre 2025, segnala che la qualità del primo reclamo incide moltissimo sull’esito ABF: un reclamo generico, scritto senza riferimenti normativi e senza ricostruzione cronologica, parte già in salita.
Cosa resta da chiarire
- Se e quando l’EBA aggiornerà gli standard tecnici sull’autenticazione forte del cliente per includere obblighi espliciti di rilevamento dello spoofing telefonico — al momento gli standard parlano di transazioni sospette, non di chiamate sospette.
- Quale orientamento adotterà il Collegio di Coordinamento dell’ABF nei prossimi mesi, dopo le pronunce di segno opposto del 2025 — una decisione di coordinamento allineerebbe i tre Collegi territoriali e darebbe ai clienti uno strumento più prevedibile.
- Se il legislatore italiano interverrà con norme specifiche sul vishing bancario, sull’esempio della Authorised Push Payment legislation introdotta nel Regno Unito a ottobre 2024, che impone alle banche un meccanismo di rimborso obbligatorio a carico congiunto della banca pagante e della banca ricevente.