Il phishing e le truffe online rappresentano una minaccia crescente per la sicurezza digitale dei cittadini italiani. Nel 2024, secondo i dati della Polizia Postale, gli attacchi di phishing sono aumentati del 34% rispetto all'anno precedente, con danni economici stimati in oltre 250 milioni di euro. Dal furto di credenziali bancarie alle false comunicazioni istituzionali, i metodi utilizzati dai cybercriminali si fanno sempre più sofisticati e difficili da riconoscere. Questo articolo ti fornirà gli strumenti legali per difenderti dal phishing e dalle truffe online, le procedure per denunciare correttamente questi reati e le strategie per ottenere un risarcimento dei danni subiti, con un'attenzione particolare alle novità normative del 2025.
Come riconoscere il phishing e le truffe online: aspetti legali e normativi
Il phishing e le truffe online configurano specifiche fattispecie di reato nel nostro ordinamento giuridico. Conoscere il quadro normativo è il primo passo per proteggersi adeguatamente:
Il Codice Penale italiano punisce severamente queste condotte attraverso diversi articoli:
- Art. 640-ter c.p. (Frode informatica): punisce chiunque, alterando il funzionamento di sistemi informatici o telematici o intervenendo senza diritto su dati, informazioni o programmi, procura a sé o ad altri un ingiusto profitto con altrui danno. Le pene vanno da 1 a 5 anni di reclusione e multa da 309 a 1.549 euro, con aggravanti se il fatto è commesso con furto o indebito utilizzo dell'identità digitale.
- Art. 615-ter c.p. (Accesso abusivo a sistema informatico): si applica quando i criminali accedono illegalmente ai sistemi informatici per sottrarre credenziali o dati personali. La pena prevista è la reclusione fino a 3 anni.
- Art. 494 c.p. (Sostituzione di persona): spesso utilizzato nei casi di phishing, punisce chi si spaccia per altra persona o ne attribuisce falsamente qualità o atti, con reclusione fino a un anno.
Normativa europea e aggiornamenti recenti
Con l'entrata in vigore del Regolamento UE 2022/2554 (Digital Operational Resilience Act - DORA), implementato in Italia con il D.Lgs. 45/2024, sono stati introdotti nuovi obblighi per le istituzioni finanziarie e le banche, che devono:
- Implementare sistemi di protezione contro il phishing e le truffe online
- Notificare tempestivamente agli utenti potenziali violazioni
- Risarcire i clienti vittime di frodi quando non hanno adottato misure di sicurezza adeguate
Di particolare rilevanza è la recente sentenza della Cassazione n. 10462/2025 che ha stabilito un principio fondamentale: in caso di operazioni fraudolente, l'onere della prova sulla diligenza dell'istituto bancario ricade sulla banca stessa e non sul cliente.
Tipologie di phishing rilevanti giuridicamente
Dal punto di vista legale, è importante distinguere le diverse tipologie di phishing e truffe online poiché a ciascuna possono applicarsi norme differenti:
- Spear phishing: attacchi mirati a specifici individui o organizzazioni
- Vishing: phishing vocale tramite telefonate fraudolente
- Smishing: phishing tramite SMS
- Pharming: reindirizzamento a siti web fraudolenti tramite manipolazione DNS
- Business Email Compromise (BEC): impersonificazione di dirigenti aziendali
La Legge 48/2008 (Convenzione di Budapest) ha ampliato il ventaglio di strumenti investigativi contro questi crimini, permettendo intercettazioni preventive e operazioni sotto copertura per identificare i responsabili di phishing e truffe online.
Come ottenere un risarcimento: diritti e strategie legali
Le vittime di phishing e truffe online hanno diritto a diversi tipi di risarcimento.
Secondo l'art. 12 del D.Lgs. 11/2010 (aggiornato dal D.Lgs. 218/2017), le banche devono rimborsare immediatamente le operazioni non autorizzate, tranne nei casi di dolo o colpa grave del cliente. La giurisprudenza recente ha però ristretto notevolmente i casi di "colpa grave":
La Corte di Cassazione (sentenza n. 23396/2023) ha stabilito che non costituisce colpa grave la risposta a email di phishing particolarmente sofisticate
Il Tribunale di Roma (sentenza n. 7854/2024) ha condannato una banca a rimborsare 28.000 euro sottratti tramite phishing, ritenendo insufficienti le misure di sicurezza adottate dall'istituto
La recente introduzione dell'obbligo di autenticazione forte (SCA - Strong Customer Authentication) ha ulteriormente aumentato la responsabilità delle banche che non implementano adeguati sistemi di verifica.
Oltre al rimborso delle somme sottratte, è possibile richiedere:
- Danno patrimoniale indiretto: spese per ripristino dell'identità digitale, consulenze informatiche, etc.
- Danno non patrimoniale: stress emotivo, ansia, perdita di tempo
- Danno all'immagine: soprattutto per professionisti e aziende la cui reputazione è stata danneggiata
La quantificazione di questi danni segue i criteri della recente ordinanza della Cassazione n. 7635/2025, che ha riconosciuto il diritto al risarcimento del "danno da stress digitale" derivante dalle procedure necessarie per ripristinare la propria sicurezza online.
Per truffe su larga scala, la Legge 31/2019 (in vigore dal maggio 2021) ha introdotto una nuova disciplina delle azioni di classe che consente di unirsi ad altri soggetti danneggiati dalla stessa truffa. condividere le spese legali e aumentare la pressione sull'azienda responsabile.
La prima class action contro un istituto bancario per inadeguate misure anti-phishing si è conclusa nel marzo 2025 con un accordo transattivo di 15 milioni di euro a favore dei clienti danneggiati.
Prevenzione legale: diritti e strumenti per proteggersi in anticipo
La prevenzione rappresenta la migliore strategia contro il phishing e le truffe online, non solo dal punto di vista tecnico ma anche legale.
Le aziende hanno precisi obblighi legali di informarti sui rischi di phishing:
Gli istituti bancari devono fornire informazioni chiare sui rischi (art. 126-bis del TUB)
I fornitori di servizi digitali devono implementare il principio di "security by design" (art. 32 GDPR)
Le pubbliche amministrazioni devono avvisare tempestivamente di eventuali campagne di phishing che le riguardano (Direttiva PCM 1/2019)
La violazione di questi obblighi può essere utilizzata come elemento a favore della vittima nelle cause di risarcimento.
Il phishing e le truffe online non sono solo problemi tecnologici ma vere e proprie violazioni dei tuoi diritti che meritano una risposta legale adeguata. La legislazione italiana ed europea ti offre strumenti concreti per difenderti e ottenere giustizia, ma è fondamentale agire tempestivamente e con la giusta consulenza.
Se sei stato vittima di phishing o temi di esserlo un avvocato specializzato in diritto dell'informatica può assisterti nella denuncia, nel recupero delle somme sottratte e nella richiesta di risarcimento danni. Non affrontare da solo le truffe digitali: con il supporto legale adeguato, puoi trasformarti da vittima a parte attiva nella lotta contro il cybercrimine.
