frodi bancarie in italia l'analisi completa del fenomeno

Frodi bancarie in Italia: analisi del fenomeno nel 2024

A cura di:Redazione Ore

Le frodi bancarie in Italia rappresentano una minaccia in costante evoluzione, con perdite stimate superiori a 180 milioni di euro nel 2024. I bonifici istantanei registrano tassi di frode 48 volte superiori rispetto a quelli ordinari, mentre le tecniche di manipolazione psicologica rappresentano oltre il 67% del valore totale delle frodi.

Secondo i dati più recenti di Banca d’Italia e Polizia Postale, il panorama delle truffe bancarie sta attraversando una trasformazione radicale: mentre le rapine fisiche agli sportelli sono crollate di oltre il 90% nell’ultimo decennio, le frodi digitali evolvono con sofisticazione crescente, sfruttando tecnologie sempre più avanzate e la vulnerabilità psicologica delle vittime. L’Italia si posiziona al terzo posto mondiale per credenziali di accesso rubate, con oltre 54.554 fascicoli di indagine aperti dalla Polizia Postale nel solo 2024.

Gli skimmer invisibili che clonano le carte alle pompe di benzina

L’ATM skimming presso le stazioni di servizio rappresenta una delle minacce più insidiose per gli automobilisti italiani. I criminali installano dispositivi praticamente invisibili sui terminali POS delle colonnine self-service, sfruttando la distrazione dei clienti durante il rifornimento. Nel 2024, l’operazione “Scacco al Cash” della Polizia Postale ha portato a 9 arresti e 48 denunce, smantellando una rete criminale romeno-italiana responsabile di centinaia di migliaia di euro di danni attraverso tecniche di cash trapping e skimming.

I dispositivi utilizzati hanno raggiunto livelli di sofisticazione allarmanti. Gli overlay skimmers, posizionati sopra i terminali esistenti, replicano perfettamente l’aspetto del lettore originale e trasmettono i dati rubati via Bluetooth fino a 30 metri di distanza. Gli insert skimmers, ancora più subdoli, sono sottili dispositivi inseriti nell’alloggiamento del lettore che intercettano i dati durante l’inserimento della carta. La tecnologia shimmer, inizialmente diffusa in Messico e Canada, può leggere dati anche dalle carte chip più moderne, inserendosi tra il chip e il lettore EMV.

Le catene di stazioni di servizio sul territorio nazionale includono oltre 4.000 punti vendita ENI, circa 2.900 stazioni Q8 e circa 5.000 distributori IP, tutti potenzialmente vulnerabili a questi attacchi. In Piemonte, una recente operazione ha scoperto un’organizzazione specializzata nella clonazione di carte presso distributori di carburante, con oltre 100 sottrazioni illecite documentate.

Card stuffing: quando milioni di credenziali vengono testate automaticamente

Il card stuffing rappresenta una minaccia crescente che sfrutta l’enorme quantità di credenziali rubate circolanti nel dark web. Oltre 15 miliardi di credenziali rubate sono attualmente disponibili online, secondo Digital Shadows, con l’Italia al terzo posto mondiale per account compromessi (12% del totale globale). I criminali utilizzano software specializzati come Sentry MBA, SNIPR e OpenBullet per testare automaticamente queste credenziali su centinaia di siti bancari e piattaforme di pagamento.

La tecnica sfrutta la tendenza degli utenti a riutilizzare le stesse password su più servizi. Con un tasso di successo statistico dell’0,1-2%, i volumi massicci di tentativi rendono l’attacco estremamente redditizio. Nel 2024, UniCredit ha subito una multa di 2,8 milioni di euro dal Garante Privacy per un cyberattacco che ha colpito 778.000 clienti, evidenziando l’inadeguatezza delle misure di sicurezza di fronte a questi attacchi sistematici.

I marketplace del dark web come Abacus Market e STYX Market offrono strumenti di cybercrime e dati di carte rubate con prezzi a partire da soli 2 euro. Il malware Lumma (LummaC2) ha dominato l’ultimo trimestre del 2024 con il 92% degli alert per log di credenziali, mentre strumenti come Raccoon, Vidar e RedLine raccolgono sistematicamente credenziali da browser e applicazioni locali.

Frodi bancarie in tempo reale: come i criminali svuotano conti mentre le vittime dormono

Le frodi in tempo reale sfruttano strategicamente i fusi orari e la natura istantanea dei moderni sistemi di pagamento. I bonifici istantanei SEPA mostrano un tasso di frode dello 0,048%, ben 48 volte superiore ai bonifici ordinari dello 0,001%, secondo i dati di Banca d’Italia del febbraio 2025. I criminali colpiscono durante le ore notturne, quando le vittime dormono e il monitoraggio dei sistemi di sicurezza è ridotto.

L’European Banking Authority ha rilevato che il rischio di trasferimenti fraudolenti è fino a 10 volte superiore nei bonifici istantanei rispetto a quelli convenzionali. La natura irrevocabile di questi pagamenti rende quasi impossibile il recupero dei fondi una volta completata la transazione. Le perdite complessive da bonifici fraudolenti hanno raggiunto 65,5 milioni di euro nel secondo semestre 2024, con un aumento significativo su base annua.

Le frodi da “manipolazione del pagatore” rappresentano il 74% del valore totale delle frodi sui bonifici e il 65% del volume delle transazioni. Queste tecniche di ingegneria sociale, che includono phishing, vishing e spoofing, sono particolarmente insidiose perché non attivano i meccanismi automatici di rimborso previsti dalla normativa PSD2, lasciando spesso le vittime senza protezione legale.

Quando le banche non rimborsano: la zona grigia della responsabilità

La normativa europea PSD2, recepita in Italia con il D.lgs. 218/2017, stabilisce che le banche devono rimborsare immediatamente le operazioni non autorizzate entro 24 ore. Tuttavia, esiste una significativa zona grigia quando entra in gioco la “colpa grave” del cliente. L’articolo 12 del D.lgs. 11/2010 esime le banche dal rimborso quando dimostrano dolo o colpa grave dell’utente.

La Banca d’Italia, nella comunicazione del 30 ottobre 2023, ha chiarito che il “motivato sospetto di frode” deve riguardare un comportamento fraudolento dell’utente stesso, non di terzi. L’Arbitro Bancario Finanziario ha gestito circa 14.000 ricorsi nel 2024, mantenendo sostanzialmente stabile il numero di controversie per operazioni fraudolente non autorizzate. La giurisprudenza distingue tra phishing tradizionale, dove spesso viene riconosciuta la colpa grave del cliente, e tecniche sofisticate come lo spoofing SMS, che generalmente escludono la responsabilità dell’utente.

La giurisprudenza di merito si è orientata verso una valutazione caso per caso della condotta del cliente, considerando fattori come l’evidenza del tentativo di frode, il livello di istruzione della vittima e la sofisticatezza dell’attacco. La franchigia per operazioni non autorizzate è stata ridotta da 150 a 50 euro, mentre i tempi di risposta ai reclami sono scesi da 30 a 15 giorni lavorativi.

Le nuove tecniche di skimming che sfidano la sicurezza bancaria

L’evoluzione tecnologica dello skimming ha raggiunto livelli di sofisticazione preoccupanti nel 2024-2025. I dispositivi moderni incorporano componenti cannibalizzati da smartphone Samsung, con batterie che garantiscono autonomia fino a 14 giorni e memorie capaci di immagazzinare 32.000 numeri di carta. La Polizia Postale ha monitorato 290.000 siti web nel 2024, con un aumento del 63% rispetto all’anno precedente, oscurandone 2.364 per attività fraudolente.

Giorgio Cusmà Lorenzo, responsabile Cybersecurity di Intesa Sanpaolo, sottolinea che “conoscenza, collaborazione e condivisione sono fondamentali per combattere gli attacchi e le frodi informatiche”. Le banche italiane hanno investito 461 milioni di euro in sicurezza nel 2024, implementando sistemi di intelligenza artificiale, analisi comportamentale e autenticazione biometrica. L’83% delle banche italiane utilizza già forme di autenticazione biometrica, mentre il 41% dei consumatori ritiene che l’AI migliori significativamente la sicurezza bancaria.

Il CERTFin, l’iniziativa congiunta di Banca d’Italia e ABI attiva dal 2017, coordina la risposta del settore finanziario alle minacce cyber. La piattaforma MISP permette la condivisione automatizzata di indicatori di frode tra banche, mentre algoritmi predittivi sviluppati dall’UIF identificano rischi di infiltrazione criminale. Nonostante questi sforzi, le tecniche di social engineering continuano a evolversi, con criminali che utilizzano deepfake vocali e video per impersonare operatori bancari o forze dell’ordine.

Come proteggersi: i consigli degli esperti della Polizia Postale

La Polizia Postale enfatizza che “gli istituti di credito non chiedono mai la conferma di dati personali tramite e-mail, SMS o telefonate”. Nessun appartenente alle forze di polizia o dipendente bancario chiederà mai credenziali o codici di accesso all’home banking. Il Commissariato Online ha gestito 82.000 segnalazioni e 23.000 richieste di assistenza nel 2024, con 20 compartimenti distribuiti sul territorio nazionale (ora denominati C.O.S.C. – Centri Operativi Sicurezza Cibernetica).

Per verificare la presenza di skimmer, gli esperti consigliano di ispezionare visivamente i terminali cercando parti allentate o componenti di colore diverso, testare fisicamente tirando delicatamente i bordi del lettore di carte, e coprire sempre la tastiera durante la digitazione del PIN. È preferibile utilizzare ATM ben illuminati all’interno delle filiali bancarie e optare per pagamenti contactless quando possibile.

Misure di protezione raccomandate:

Prevenzione quotidiana:

  • Verificare regolarmente gli estratti conto e impostare notifiche push per ogni transazione
  • Non cliccare mai su link sospetti ricevuti via SMS o email, anche se sembrano provenire dalla propria banca
  • Utilizzare password uniche per ogni servizio e attivare l’autenticazione a due fattori
  • Coprire sempre il PIN durante la digitazione e verificare l’integrità dei terminali POS

In caso di frode, le azioni immediate includono:

  • Bloccare immediatamente carte e conti contattando la banca
  • Presentare denuncia online o presso gli uffici della Polizia Postale
  • Documentare tutte le comunicazioni e transazioni sospette
  • Contattare l’Arbitro Bancario Finanziario se la risposta della banca risulta insoddisfacente

Associazioni come Adiconsum e Codacons offrono assistenza legale specializzata, con Altroconsumo che ha attivato azioni collettive per le vittime di truffe telematiche.

Conclusioni e prospettive future

Il fenomeno delle frodi bancarie in Italia mostra una preoccupante evoluzione verso tecniche sempre più sofisticate e difficili da rilevare. La crescita esponenziale dei pagamenti istantanei, pur offrendo vantaggi indiscutibili in termini di velocità e convenienza, ha aperto nuove vulnerabilità che i criminali sfruttano con crescente abilità.

L’approccio sistemico adottato dalle autorità italiane, con la collaborazione tra Banca d’Italia, Polizia Postale, ABI e il CERTFin, rappresenta un modello di eccellenza nella lotta alle frodi finanziarie. Tuttavia, la sfida più grande rimane l’educazione degli utenti e lo sviluppo di sistemi di sicurezza che bilancino protezione e usabilità.

L’investimento record di 461 milioni di euro in cybersecurity da parte del sistema bancario italiano nel 2024 dimostra l’impegno del settore, ma la battaglia contro i criminali informatici richiede un approccio olistico che coinvolga tecnologia, normative, formazione e consapevolezza dei consumatori.

Fonti:

Banca d’Italia (2025). Rapporto sulle operazioni di pagamento fraudolente in Italia – Secondo semestre 2024. Roma: Banca d’Italia.

Polizia di Stato – Polizia Postale e delle Comunicazioni (2025). Report 2024 delle attività di cyber security. Roma: Ministero dell’Interno.

Ministero dell’Interno (2024). Fermata la banda del Cash Trapping che svuotava i bancomat. Comunicato stampa ufficiale.

Repubblica Italiana (2017). Decreto Legislativo n. 218 del 15 dicembre 2017. Attuazione della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (PSD2).

Arbitro Bancario Finanziario – Banca d’Italia (2024). Relazione Annuale sull’attività dell’Arbitro Bancario Finanziario. Roma: Banca d’Italia.

European Banking Authority (2024). Payment Fraud Report 2024. Parigi: EBA Publications.

OSSIF-ABI (2024). Investimenti in sicurezza del sistema bancario italiano. Milano: ABI.

Digital Shadows/Recorded Future (2020). The Economy of Credential Stuffing Attacks. Report di intelligence cyber.

CERTFin – Computer Emergency Response Team Finanziario (2024). Rapporto annuale sulle minacce cyber al settore finanziario italiano. Milano: CERTFin.

ReliaQuest (2024). Quarterly Threat Landscape Report Q4 2024. Analisi malware infostealers.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi