LEGALAUDIT
Phishing

Phishing: come recuperare i soldi dopo aver subito una truffa

Hai cliccato un link in un'email/SMS che sembrava della tua banca/Poste/INPS/agenzia entrate, inserito le credenziali, e poi visto operazioni non autorizzate sul tuo conto? Sei vittima di phishing — è una delle truffe più frequenti e la legge PSD2 ti dà strumenti importanti per il rimborso.
Genera la denuncia adessoVerifica il dominio sospetto

Cambia password IMMEDIATAMENTE

Prima ancora di chiamare la banca: cambia la password del servizio compromesso (banca, email, social) usando un dispositivo diverso da quello dove hai cliccato il link. Disattiva le sessioni attive ovunque puoi. Solo dopo chiama il numero anti-frode.

I 6 passi per recuperare

  1. 1

    Cambia tutte le password compromesse

    Da un dispositivo diverso (es. PC se il phishing era sul telefono): cambia password home banking, email, e qualsiasi servizio dove usavi la stessa password. Abilita 2FA con app authenticator (Google Authenticator, Authy) — NON solo SMS, che è bypassabile via SIM swap.

  2. 2

    Chiama il numero anti-frode della banca

    Chiedi: blocco totale dell'home banking, blocco di tutte le card collegate, disconoscimento immediato delle operazioni non autorizzate. La banca farà partire la procedura PSD2. Tempistiche: blocco card in pochi minuti, contestazione operazioni entro 13 mesi.

  3. 3

    Documenta il phishing originale

    Salva l'email/SMS originale con header completi. NON cliccare di nuovo il link. Screenshot del finto sito di banca/Poste, URL completo, eventuali file scaricati. Verifica il dominio su LegalAudit per ottenere un report on-page sulla truffaldità del sito.

    Verifica il dominio phishing
  4. 4

    Genera denuncia con articoli specifici phishing

    Articoli applicabili: Art. 615-ter c.p. (Accesso abusivo a sistema informatico — il principale, perché hanno avuto accesso al tuo home banking), Art. 615-quater c.p. (Detenzione e diffusione di codici di accesso), Art. 640-ter c.p. (Frode informatica), Art. 494 c.p. (Sostituzione di persona — fingendosi banca). LegalAudit li include tutti.

    Genera denuncia phishing
  5. 5

    Deposita denuncia + invia alla banca

    Polizia Postale di persona o online via SPID. Una volta ottenuto il numero di protocollo, invialo subito via PEC alla banca insieme al reclamo formale di disconoscimento. Questo attiva la procedura di rimborso PSD2 obbligatoria.

  6. 6

    Attiva il rimborso PSD2

    Per il phishing 'tecnico' (sito clonato perfetto, niente warning browser, autenticazione con OTP ottenuto via SIM swap): il D.Lgs. 11/2010 obbliga la banca a rimborsare il 100% (meno €50 franchigia). Se la banca rifiuta sostenendo 'colpa grave': ricorso all'Arbitro Bancario Finanziario (ABF) entro 60 giorni.

Hai ricevuto un'email/SMS phishing?

Mythos analizza header, dominio, URL embedded. Output in 30 secondi. Gratis.

Inizia ora

Domande frequenti

Posso davvero recuperare i soldi rubati con phishing?

Sì in molti casi. Il D.Lgs. 11/2010 (recepimento PSD2) impone alla banca emittente di rimborsare le operazioni non autorizzate, salvo prova della colpa grave del titolare. Se il phishing era 'tecnico' (sito perfettamente clonato, autenticazione MFA aggirata via SIM swap/social engineering professionale): banca rimborsa il 100% meno €50 franchigia.

Cosa si intende per 'colpa grave' nelle frodi PSD2?

La banca tenta spesso di sostenere che hai avuto colpa grave per evitare il rimborso. Esempi che la giurisprudenza considera colpa grave: (a) hai dato il PIN al telefono a chi diceva di essere la banca; (b) hai inserito credenziali ignorando warning browser su sito non sicuro; (c) hai dato seed phrase wallet a sconosciuti. Esempi NON considerati colpa grave: cadere in un sito clonato perfettamente, autorizzare un'operazione che pensavi normale, essere vittima di SIM swap.

Quanto tempo ho per contestare le operazioni?

13 mesi dalla data di addebito (D.Lgs. 11/2010 art. 9). Tecnicamente puoi anche oltre, ma la banca tenderà a rifiutare. La regola pratica: agisci entro 48h dalla scoperta per massimizzare il rimborso.

Cosa fare se la banca rifiuta il rimborso PSD2?

(1) Reclamo formale via PEC con riferimento esplicito al D.Lgs. 11/2010 — banca ha 15 giorni per rispondere. (2) Se silenzio o respinta: ricorso all'Arbitro Bancario Finanziario (ABF) entro 60 giorni — gratuito, decide nel 75% dei casi a favore del consumatore. (3) Se ABF respinge: causa civile (Giudice di Pace fino a €5k, Tribunale oltre).

Il phishing fa parte dei reati penali?

Sì. Gli articoli del Codice Penale applicabili al phishing in Italia: Art. 615-ter c.p. (Accesso abusivo a sistema informatico) — pena 1-5 anni; Art. 615-quater c.p. (Detenzione/diffusione codici di accesso) — pena fino a 2 anni; Art. 640-ter c.p. (Frode informatica) — pena 6 mesi-3 anni; Art. 494 c.p. (Sostituzione di persona) — pena fino a 1 anno; eventualmente Art. 416 c.p. (Associazione per delinquere, per le campagne organizzate).

Cos'è il SIM swap e come si difende?

Il SIM swap è un attacco dove i truffatori convincono il tuo operatore mobile a trasferire il tuo numero su una nuova SIM in loro possesso. Conseguenza: ricevono i tuoi SMS/OTP e possono accedere ai conti bancari con 2FA SMS. Difesa: passa a 2FA con app authenticator (NON SMS), abilita 'protezione SIM' sul tuo profilo operatore, usa hardware security key per accessi critici.

Come riconoscere phishing — segnali tipici?

Segnali: (1) URL non corrisponde esattamente al sito reale (es. 'poste-italiane.com' invece di 'poste.it'); (2) richiesta urgente di azione 'entro 24h o conto bloccato'; (3) errori grammaticali/ortografici; (4) link diretto a inserimento credenziali (banche legittime NON chiedono mai così); (5) mittente che non corrisponde all'azienda dichiarata. Quando in dubbio: NON cliccare. Visita direttamente il sito digitando manualmente l'URL.

Anche utile

Pronto a partire?

Apri Mythos, descrivi cosa è successo. Ti accompagna passo passo.

Apri Mythos · gratis