Truffe online: cosa fare, cosa dice la legge e quali sono i consigli pratici per gli utenti

Tutti i giorni sentiamo parlare di truffe online: dalle chiamate in anonimo con messaggi registrati, a mail-spam che invitano a registrarci compilando con i nostri dati (spesso legati alla banca), ai form sui social network che talvolta risultano ambigui, fino ad arrivare ai famosi Bitcoin o al trade marketing che garantisce guadagno stando seduti sulla propria poltrona di casa.

È normale sentirne parlare, perché nel 2025 quasi tutto passa da internet, o quanto meno sempre più servizi e/o acquisti.

Ma le truffe online ci devono far paura? Quali sono i rischi concreti di incappare in una di esse? In questo articolo cerchiamo di rispondere a queste domande: truffe online cosa fare, cosa dice la legge e quali sono i consigli che possiamo dare agli utenti per proteggersi.

Quali sono le truffe online più diffuse?

Tra le truffe online più diffuse troviamo il phishing, che coinvolge l’invio di mail fraudolente per ottenere credenziali personali. Il malfattore diffonde messaggi digitali (prevalentemente mail) attraverso i quali viene chiesto al destinatario di accedere a un link o scaricare contenuti malevoli. Queste mail spesso imitano la formattazione di quelle di una banca (ma se si guarda bene l’indirizzo mail da cui arrivano è totalmente differente da quello della banca) per ottenere le credenziali di accesso dell’utente.

Esistono però ulteriori varianti del phishing, che includono:

• Lo spoofing, che consiste nella manipolazione dei dati relativi al mittente di una mail o di un SMS per far sì che appaia provenire da un soggetto affidabile.
• Lo smishing, che è una forma di phishing tramite SMS.
• Il vishing, che è il phishing tramite chiamate vocali.

Quando si parla di truffe online più diffuse dobbiamo anche parlare delle tecniche più avanzate per metterle in atto, tra cui troviamo il Man in the Middle (MITM) e la Sim Swap Fraud.

• Gli attacchi MITM consentono ai malintenzionati di intercettare le comunicazioni tra l’utente e il server del servizio, acquisendo e rinviando i messaggi (al posto di qualcun altro) per non destare sospetti.
• La Sim Swap Fraud, invece, consiste in una sostituzione fraudolenta della SIM card di un utente (ignaro di tutto), permettendo ai malviventi di deviare i messaggi di autorizzazione delle operazioni bancarie.

Pagamento Digitali: rischi e Tutela nei Servizi

Recentemente, la pandemia ha accelerato l’uso di tecnologie informatiche, cambiando le abitudini di pagamento degli utenti e riducendo l’uso del contante a favore della digitalizzazione e dell’e-commerce. In questo frangente, la normativa sui servizi di pagamento ha subito significative modifiche, soprattutto a seguito di interventi europei, necessari per garantire una maggiore sicurezza agli utenti.

È qui che diviene fondamentale garantire agli utenti il diritto di disconoscere operazioni non autorizzate. Ma ciò è davvero possibile?

Cosa dice la giurisprudenza

La giurisprudenza ha affrontato vari casi di truffe informatiche, stabilendo principi chiave per la responsabilità degli operatori economici e degli utenti.

Il d.lgs. n. 11/2010, che ha attuato la direttiva 2007/64/CE (PSD1) e successivamente la direttiva 2015/2366/UE (PSD2), ha imposto ai prestatori di servizi di pagamento l’obbligo di predisporre e adottare una “Strong Customer Authentication” (SCA) per convalidare l’identificazione di un utente. L’autenticazione forte del cliente significa utilizzare due o più metodi diversi per verificare la sua identità. Questi metodi si basano su ciò che il cliente conosce (come una password), su ciò che possiede (come una chiave o un token) oppure su caratteristiche personali uniche (come l’impronta digitale).

La Cassazione ha inoltre chiarito che la banca (per sgravarsi dalla responsabilità) deve dimostrare di aver adottato tutte le misure di sicurezza necessarie per la protezione dei dati, e che è l’utente che ha agito con grave negligenza.

Per confermare quanto detto, possiamo prendere a esempio sentenze come Cass. Civ. 8 novembre 2023 n. 31136 e Cass. Civ. 15 maggio 2023 n. 13204, che hanno ribadito come la banca debba fornire prova della “colpa grave” del cliente per evitare responsabilità.

Quali sono gli effettivi doveri delle Banche e degli Utenti?

La normativa sui servizi di pagamento, quindi, esprime il massimo favore verso l’utente. Quest’ultimo deve limitarsi a contestare l’utilizzo abusivo dello strumento di pagamento, non essendo tenuto a provare di avere adeguatamente custodito i propri codici di accesso.

Ricade, infatti, sul prestatore di servizi di pagamento (PSP) il duplice onere di provare:

• Di aver adottato tutte le misure di sicurezza necessarie per la protezione del cliente;
• L’inadempimento doloso o gravemente colposo del cliente.

Il PSP, chiamato in giudizio dall’utilizzatore del servizio di pagamento, dovrà pertanto provare:

• In via prioritaria di aver adottato un sistema di autenticazione (almeno) a due fattori;
• Che la colpa grave è del cliente, per non avere, ad esempio, utilizzato lo strumento di pagamento modo corretto, oppure di non aver adottato accorgimenti idonei a garantire la sicurezza e la riservatezza dei propri dispositivi.

La responsabilità dell’utente dei servizi di pagamento si limita ai casi in cui egli agisca in modo fraudolento o non rispetti con grave negligenza gli obblighi previsti dalla legge.

Segnalare truffe online: cosa succede in caso di segnalazioni di operazioni non autorizzate?

Segnalare truffe online è sempre un bene.

Nel caso in cui una operazione non sia stata autorizzata, il prestatore di servizi di pagamento è tenuto a rimborsare immediatamente, al pagatore, l’importo dell’operazione; può rivalersi però di dimostrare, anche in un secondo momento, che l’operazione “non autorizzata” era stata invece autorizzata dal consumatore.

I giudici di primo e secondo grado danno ragione ai clienti vittime di vishing e riconoscono il loro diritto al risarcimento, se la banca (o l’intermediario) non riesce a dimostrare:

1. di aver utilizzato un sistema di «autenticazione forte» per proteggere il servizio di home banking, rendendo quindi irrilevante stabilire se l’uso illecito del servizio sia dipeso o meno da una grave negligenza del cliente;
2. che l’operazione abusiva di pagamento sul conto del cliente sia stata resa possibile da un comportamento incauto di quest’ultimo.

Per concludere: come evitare le truffe online

Per capire come evitare le truffe online è importante tenere conto che la protezione da esse richiede un impegno congiunto tra utenti e aziende.

Ecco alcune attenzioni che gli utenti possono mettere in pratica:

• Custodire con attenzione le proprie credenziali di accesso.
• Non condividere informazioni personali tramite mail o SMS.
• Segnalare immediatamente operazioni sospette.

Le aziende, invece, devono:

• Implementare sistemi di autenticazione forte.
• Monitorare costantemente le operazioni per rilevare anomalie.
• Educare i clienti sui rischi delle truffe informatiche.

È fondamentale che le banche adottino misure di sicurezza informatica adeguate e trattino i dati personali con la massima attenzione. La collaborazione tra utenti e aziende è essenziale per garantire la sicurezza dei servizi di pagamento digitali.