In corso c’è una vera escalation di attività criminali digitali. Che ha come obiettivo principale quello di sottrarre denaro ai malcapitati. Nel triennio 2022-2024 l’ammontare di soldi rubati attraverso truffe online e frodi informatiche ha raggiunto complessivamente i 559,4 milioni di euro, oltre mezzo miliardo (Fonte: FABI, Attenti al lupo, marzo 2025). I casi online rappresentano la voce più rilevante, con un aumento da 114 a 181 milioni (+58%). Per le frodi informatiche si è invece passati da 38,5 a 48 milioni nel 2024 (+25%). «Il crimine informatico sta diventando un fenomeno pervasivo, le organizzazioni sono sempre più sofisticate nello sfruttare le vulnerabilità digitali, approfittando della digitalizzazione dei servizi finanziari e della maggiore esposizione degli utenti», ha dettoi Lando Maria Sileoni, Segretario generale Fabi.
Non tutte le truffe sono uguali
Non sempre si tratta dello stesso tipo di reato. Nella truffa l’attività fraudolenta riguarda la persona: si inganna al fine di ottenere un vantaggio ed è tipico nel caso del phishing in cui la vittima fornisce i propri dati accedendo al link malevolo inviato. Nella frode invece il reato è commesso da chi altera il funzionamento di un dispositivo. Può accadere ad esempio nel prelievo da parte dei criminali di somme di denaro dal conto corrente o dalla carta di credito. Ma al di là delle distinzioni giuridiche, l’attenzione va spostata sulle modalità di azione dei malintenzionati. Perché spesso, ancora prima della sottrazione indebita del denaro, si passa per il furto delle identità digitali.
Tante finalità diverse
Credenziali che vengono poi sfruttate per una grande varietà di scopi: accesso abusivo agli account delle vittime, utilizzo illecito di servizi, invio di richieste di denaro o link di phishing, diffusione di malware o ransomware. L’obiettivo può essere anche estorcere e non solo rubare denaro. Non da ultimo ci sono anche le truffe sentimentali.
«Nel 2024 abbiamo calcolato più di 7 milioni di euro sottratti, però sono numeri, sia quello delle denunce sia quello conseguente delle somme sottratte, assolutamente indicativi», ha detto la dirigente di Polizia Barbara Strappato. «Perché questo è uno dei reati che rimane molto sommerso per il senso di vergogna, la paura di essere giudicati per quello che è accaduto vince molto spesso».
Gli alert
Nel primo semestre del 2025 sono stati inviati circa 1,2 milioni di alert relativi all’esposizione di dati personali sul web (dati Osservatorio Cyber di CRIF). La maggior parte degli avvisi riguarda il dark web, principale canale di esposizione dei dati, con 1,15 milioni di segnalazioni.
Ma a preoccupare è anche la crescita relativa al web pubblico, che ha raggiunto le 33.700 segnalazioni, segnando un aumento del 43% rispetto al secondo semestre 2024. C’è anche un identikit dell’utente medio più a rischio. Le fasce d’età maggiormente coinvolte sono quelle dei 51-60 anni (26,7%), seguite dai 41-50 anni (25,6%) a parimerito con gli over 60 (25,6%). Gli uomini costituiscono la maggioranza degli utenti allertati (64,8%). Quanto alle Regioni, la provenienza è soprattutto da Lazio (17%), Lombardia (14,7%), Sicilia (9%) e Campania (8%).
Boom di transazioni digitali
Di mezzo c’è pure il fattore dei pagamenti digitali sempre più diffusi. I dati confermano una trasformazione strutturale nelle abitudini di pagamento degli italiani, con bonifici e transazioni con carte in crescita costante. Tra il 2020 e il 2024 l’importo complessivo dei bonifici è salito del 55%, da 11mila e 300 miliardi di euro a 17mila e 600 miliardi (FABI). Ma anche il numero totale di operazioni è aumentato da 2,3 a 3,52 milioni. Vale anche per i bonifici automatizzati, cresciuti del 69% in valore e del 62% in numero di transazioni. Le operazioni con bancomat e carte di debito invece sono quasi raddoppiate: l’importo complessivo è passato da 139 miliardi di euro nel 2020 a 259 miliardi nel 2024 (+85,7%), mentre il numero di transazioni è salito da 2,6 milioni a oltre 6 milioni (+132%).
Le tipologie di attacco
Le nuove truffe sfruttano le abitudini digitali degli utenti per colpire in modo più accurato. Tra le più insidiose c’è quella dei QR Code contraffatti, spesso collocati su parcometri o luoghi pubblici: una volta scansionati rimandano a siti malevoli che imitano quelli ufficiali per carpire dati o effettuare pagamenti fraudolenti.
Diffusa anche la truffa dei Like tramite social e app di messaggistica, con cui si promettono guadagni in cambio di interazioni online. Tra le più insidiose ci sono gli attacchi BEC (Business E-mail Compromise), o la cosiddetta “truffa del CEO”, in cui i criminali si spacciano per figure apicali dell’azienda per indurre i dipendenti a trasferire fondi o condividere informazioni riservate.
Dietro si nascondono tecniche di deepfake, voice phishing e malware generati dall’Intelligenza artificiale che consentono di creare contenuti iperrealistici, difficili da contrastare. Il messaggio appare credibile proprio perché costruito su informazioni reali, inducendolo a cliccare sul Link. Le informazioni personali poi, se combinate tra loro, potenziano l’efficacia degli attacchi hacker.
Tra le principali combinazioni ce ne sono alcune che risultano più esposte. Nel primo semestre 2025, e-mail e password risultano le più frequenti, presenti nel 91% dei casi, mentre l’85% delle volte la password è associata allo username. Un altro dato appetibile per i cyber criminali è il numero di telefono, associato alla e-mail nel 41% dei casi, e al nome e cognome nel 38% dei casi. Particolarmente allettante anche il numero di carta di credito, rilevata nel 42% dei casi con i dati di sicurezza e la data di scadenza, in crescita del 12%. Un elemento che desta particolare preoccupazione per il rischio di frodi finanziarie, e che sottolinea l’esigenza di protezioni più forti come l’autenticazione a due fattori.
Come difendersi
Essenziale per difendersi è la verifica dell’autenticità dei siti, evitando QR Code sospetti e controllando regolarmente i movimenti bancari.
Le frodi digitali presentano caratteristiche ricorrenti. Ad esempio l’urgenza: i contatti fraudolenti, in qualsiasi forma, sollecitano azioni immediate, creando uno stato di impellenza per indurre l’utente a prendere decisioni avventate. O l’apparenza legittima: i frodatori utilizzano loghi, indirizzi, numeri di telefono, e-mail che imitano quelli di istituzioni affidabili per risultare credibili. E ancora, la richiesta di informazioni sensibili come dati personali, credenziali di accesso o dettagli finanziari. Nel caso delle truffe sentimentali la strategia principale è la costruzione graduale di un rapporto di fiducia con la vittima.
FABI ha elaborato una guida con una serie di consigli per evitare di finire nella trappola. Tra questi utilizzare password complesse e modificarle regolarmente, monitorare i conti bancari in caso di richieste dubbie, utilizzare l’autenticazione a due fattori, sms, impronta digitale, app di autenticazione. E ancora, modificare regolarmente il Pin di accesso alla banca online, scaricare applicazioni solo dagli store ufficiali, accedere ai servizi online solo da Link già testati, aggiornare sempre i propri dispositivi e installare sul Pc antivirus e firewall. Mai invece cliccare su Link sospetti, effettuare trasferimenti di denaro e fornire informazioni personali. Non cedere di fronte a offerte economiche troppo vantaggiose, non lasciare incustoditi Pc, tablet, cellulare, non condividere lo schermo del Pc o WhatsApp con soggetti sconosciuti.
Le norme a tutela
Dall’Europa qualcosa si muove al fine di contrastare il fenomeno delle truffe digitali. Il 28 giugno 2023 la Commissione europea ha presentato due proposte: la direttiva sui servizi di pagamento (PSD3) e il regolamento sui servizi di pagamento (PSR). Entrambi gli atti sono stati approvati in prima lettura dal Parlamento europeo il 23 aprile 2024. L’obiettivo è creare un Mercato dei pagamenti europeo più sicuro e trasparente con interventi che riguardano tra gli altri l’utilizzo della Strong customer authentication (Sca) o in caso di bonifico, l’obbligo di verifica della corrispondenza tra il codice IBAN e l’intestazione del conto del beneficiario. E ancora, consentire ai prestatori di servizi di pagamento di condividere tra loro le informazioni sulle frodi; oppure lanciare programmi di sensibilizzazione per aumentare la consapevolezza degli utenti sui rischi di frode. Proposte che però sono ancora in fase di discussione.
L’Agcom
Da agosto 2025 in Italia sono invece in vigore anche nuove regole anti-spoofing che puntano a ridurre le fastidiose chiamate di telemarketing aggressivo. Al centro del mirino per ora sono finiti solo i numeri italiani falsi. L’AGCOM (Autorità per le Garanzie nelle Comunicazioni) ha introdotto per questi il cosiddetto filtro anti-spoofing, un sistema che dovranno attivare i server e che blocca le chiamate che, pur arrivando dall’estero, mostrano un numero con prefisso italiano, ingannando l’utente. D’ora in poi in caso di telefonata dall’estero, questa dovrà riportare il prefisso reale del Paese di provenienza. Qualora dovesse arrivare da un server straniero ma con il prefisso dell’Italia (+39), sarà fermata in automatico. A partire dal 19 novembre, la misura sarà estesa anche ai numeri che simulano le cifre di cellulari italiani che chiamano dall’estero. A quel punto gli operatori dovranno verificare se il numero appartenga davvero a un utente in roaming e, solo in caso positivo, consentire la chiamata verso l’utente. ©️
📸 Credits: Canva
Articolo tratto dal numero del 15 ottobre de il Bollettino. Abbonati!