Truffe bancarie: cosa dice il rapporto Bankitalia a imprese, professionisti e investitori

Truffe bancarie 2025: il nuovo rapporto della Banca d’Italia mostra come spoofing, phishing, deepfake e ingegneria sociale stiano modificando il panorama delle frodi finanziarie. Un’analisi dei dati più rilevanti e delle implicazioni per imprese, professionisti e investitori.

Il “Rapporto sugli esposti dei clienti delle banche e delle finanziarie” pubblicato dalla Banca d’Italia il 24 giugno 2026 fotografa un sistema dei pagamenti dove il rischio di frode non cresce in modo drammatico nei numeri assoluti, ma cambia forma abbastanza velocemente da rendere obsolete le difese costruite solo un anno prima. Per chi gestisce una tesoreria aziendale, autorizza bonifici fornitori o consiglia clienti su collocamenti di capitale, i dati contenuti nel rapporto non sono una notizia di cronaca: sono un indicatore operativo.

Truffe bancarie: cosa dice il rapporto Bankitalia a imprese, professionisti e investitori. Truffe bancarie 2025: il nuovo rapporto della Banca d’Italia mostra come spoofing, phishing, deepfake e ingegneria sociale stiano modificando il panorama delle frodi finanziarie. Un’analisi dei dati più rilevanti e delle implicazioni per imprese, professionisti e investitori.
Truffe bancarie: cosa dice il rapporto Bankitalia a imprese, professionisti e investitori. 1

Il quadro numerico

Nel 2025 la Banca d’Italia ha ricevuto oltre 12.800 esposti dai clienti di banche e finanziarie, l’8% in più rispetto al 2024. L’aumento è trainato soprattutto da blocchi dell’operatività dei conti correnti, spesso collegati a verifiche antiriciclaggio, e da controversie legate a vicende successorie. Le segnalazioni su rinegoziazione di mutui sono invece calate del 30%, mentre gli esposti su credito al consumo sono saliti di circa l’11%.

Le segnalazioni per presunte truffe si attestano a 750, il 2% in più rispetto all’anno precedente, e rappresentano circa il 6% del totale degli esposti ricevuti. È un incremento contenuto, ma la composizione interna del dato è quella che merita attenzione: poco meno della metà delle segnalazioni di truffa riguarda furti di credenziali di accesso al conto, di codici di autenticazione dei pagamenti o di dati identificativi usati per aprire conti o sottoscrivere finanziamenti a insaputa della vittima. Di questi furti di credenziali, il 57% è avvenuto tramite tecniche di ingegneria sociale (smishing, vishing, phishing), e nel 60% dei casi l’ingegneria sociale si è accompagnata allo spoofing, cioè alla falsificazione del numero di telefono o dell’indirizzo email del mittente per impersonare un soggetto affidabile.

Accanto al furto di credenziali, il rapporto censisce le cosiddette frodi esterne al pagamento, nelle quali la vittima viene indotta con l’inganno a disporre essa stessa il trasferimento di fondi: false offerte di investimento (in prevalenza legate a criptoattività), bonifici verso IBAN contraffatti, frodi commerciali per mancata consegna di beni acquistati online, false offerte di credito.

Il caso dell’uso improprio del brand istituzionale

Un dato specifico riguarda l’utilizzo indebito del nome e del logo della Banca d’Italia: le segnalazioni in questa categoria sono raddoppiate rispetto al 2024, attestandosi a circa 60 casi. Una parte di questi esposti denunciava la diffusione online di foto e video realizzati con tecniche di intelligenza artificiale che utilizzavano indebitamente l’immagine del Governatore, spesso in relazione alla promozione di piattaforme di investimento. Il fenomeno non è isolato al rapporto annuale: già a febbraio 2026 la Banca d’Italia aveva diffuso un avviso pubblico su contenuti deepfake che ritraevano il Governatore Fabio Panetta come ospite di trasmissioni televisive mai avvenute, presentandolo a sostegno di opportunità di investimento inesistenti, arrivando a presentare denuncia all’autorità giudiziaria.

Per un investitore o un consulente che valuta piattaforme o proposte ricevute online, il punto operativo è semplice: l’autorevolezza percepita di un contenuto, anche quando sembra provenire da una fonte istituzionale riconoscibile, non è più un indicatore affidabile. La tecnologia che genera il falso ha raggiunto un livello di realismo che rende la verifica indipendente della fonte, e non l’apparenza del contenuto, l’unico criterio residuo.

Perché il rischio pesa in modo asimmetrico sulle imprese

Il rapporto è scritto con un taglio consumer, e la maggior parte della copertura giornalistica lo ha trattato come tale. Ma la meccanica descritta espone in modo particolare le imprese e i professionisti, per una ragione strutturale: un conto aziendale movimenta un numero di bonifici, in particolare verso fornitori, ordini di grandezza superiore a quello di un conto privato, e questo amplia sia la superficie di attacco sia il danno potenziale di un singolo evento fraudolento.

Il vettore più rilevante in questo senso è il bonifico istantaneo. La sua caratteristica tecnica, l’esecuzione in pochi secondi, è un vantaggio per l’operatività ordinaria e un moltiplicatore di danno quando l’ordine di pagamento è stato ottenuto con l’inganno: una volta eseguito, il trasferimento istantaneo è nella pratica irrevocabile, a differenza del bonifico ordinario dove esiste una finestra temporale di intervento. Per un’impresa, questo si traduce in un rischio ben noto nella letteratura anglosassone come business email compromise, ma che nel contesto italiano assume più spesso la forma dello spoofing telefonico o della falsa comunicazione bancaria: un dipendente della tesoreria riceve una comunicazione apparentemente legittima (SMS, email, telefonata) che lo induce a modificare le coordinate di pagamento di un fornitore o ad autorizzare un trasferimento urgente verso un conto diverso da quello atteso.

A questo si aggiungono le false offerte di investimento in criptoattività, che il rapporto individua come la modalità prevalente tra le frodi esterne al pagamento, un dato rilevante per chi opera nella consulenza finanziaria o gestisce patrimoni, dato che il target di queste campagne non è più solo il piccolo risparmiatore ma sempre più spesso un pubblico con disponibilità di capitale superiore alla media, attratto da rendimenti promessi e legittimato, nella percezione della vittima, dall’uso improprio di nomi istituzionali o di volti noti generati con l’intelligenza artificiale.

Truffe bancarie: cosa dice il rapporto Bankitalia a imprese, professionisti e investitori. Truffe bancarie 2025: il nuovo rapporto della Banca d’Italia mostra come spoofing, phishing, deepfake e ingegneria sociale stiano modificando il panorama delle frodi finanziarie. Un’analisi dei dati più rilevanti e delle implicazioni per imprese, professionisti e investitori.
Truffe bancarie: cosa dice il rapporto Bankitalia a imprese, professionisti e investitori. 2

Il nodo del rimborso: cosa dice davvero l’ABF

Un punto che il rapporto chiarisce, e che nella pratica professionale genera spesso aspettative sbagliate, è che disconoscere un’operazione non equivale automaticamente a ottenere il rimborso. Dalla Relazione sull’attività dell’Arbitro Bancario Finanziario, pubblicata in parallelo il 24 giugno 2026, emerge che nel 2025 sono pervenuti circa 13.500 ricorsi, in lieve calo rispetto all’anno precedente ma con una ripresa nella seconda parte dell’anno. Le controversie legate a utilizzi fraudolenti degli strumenti di pagamento sono cresciute del 21% e rappresentano ormai il 37% del contenzioso complessivo gestito dall’ABF. Dei circa 12.500 ricorsi decisi nell’anno, il 56% si è concluso con un esito sostanzialmente favorevole al cliente, tra accoglimenti totali o parziali e accordi raggiunti prima della decisione, per un totale di rimborsi vicino agli 8 milioni di euro.

Il criterio che l’ABF applica per negare il rimborso è coerente e prevedibile: la richiesta viene respinta quando l’operazione risulta eseguita nel rispetto degli standard di sicurezza previsti dalla normativa sui servizi di pagamento, e quando alla vittima viene contestato dolo o colpa grave, tipicamente la comunicazione volontaria delle proprie credenziali o la mancata verifica di anomalie evidenti nella comunicazione ricevuta. Per un’impresa, questo significa che la responsabilità della verifica non si esaurisce con l’adozione di strumenti di autenticazione forte da parte della banca: la condotta interna, e la capacità di riconoscere un tentativo di ingegneria sociale prima di autorizzare un pagamento, restano un fattore determinante nell’esito di un’eventuale controversia.

Implicazioni operative

Il rapporto Bankitalia non è un documento di allarme generico, è una mappa aggiornata dei vettori di attacco più utilizzati in Italia nel 2025, con un livello di dettaglio sufficiente a orientare scelte organizzative concrete. Tre elementi meritano una lettura attenta da parte di chi gestisce pagamenti aziendali o patrimoni: primo, la verifica delle coordinate di pagamento dei fornitori attraverso un canale diverso da quello su cui è arrivata la richiesta di modifica, prima di qualsiasi bonifico, tanto più se istantaneo; secondo, la consapevolezza che lo spoofing rende inaffidabile l’identificazione del chiamante o del mittente come criterio di verifica autonomo; terzo, la crescente sofisticazione dei contenuti generati con intelligenza artificiale a supporto di false proposte di investimento, che richiede oggi una verifica della fonte indipendente dalla plausibilità apparente del contenuto.

Nessuno di questi elementi rappresenta una novità assoluta. La novità, semmai, è che la Banca d’Italia li ha messi nero su bianco in un documento ufficiale, con numeri, rendendo la questione un tema di governance verificabile e non più solo di prudenza generica.

Fonte: Banca d’Italia, Rapporto esposti clienti, 24 giugno 2026.

Domande frequenti

Truffe bancarie, frodi digitali e responsabilità operative

Le truffe bancarie 2025 segnalate nel rapporto riguardano soprattutto furti di credenziali, phishing, smishing, vishing, spoofing e frodi esterne al pagamento. Il dato non mostra un’esplosione quantitativa, ma una trasformazione qualitativa dei metodi usati per ingannare clienti, imprese e investitori.

Le imprese gestiscono flussi di pagamento più frequenti e importi spesso superiori rispetto ai privati. Una falsa comunicazione bancaria, una modifica fraudolenta di IBAN o un bonifico istantaneo autorizzato con l’inganno possono produrre danni rilevanti in tempi molto rapidi.

Lo spoofing consiste nella falsificazione del numero di telefono, dell’indirizzo email o dell’identità apparente del mittente. È pericoloso perché induce la vittima a fidarsi di una comunicazione che sembra provenire da una banca, da un fornitore o da un soggetto istituzionale.

No. Il rimborso può essere negato quando l’operazione risulta autorizzata secondo gli standard di sicurezza e alla vittima viene contestata colpa grave, per esempio per aver comunicato volontariamente credenziali o codici di autenticazione.

I deepfake possono usare volti, voci e loghi riconoscibili per dare credibilità a piattaforme o proposte inesistenti. Per questo l’apparenza istituzionale di un contenuto non basta più: la fonte deve essere verificata attraverso canali ufficiali e indipendenti.

Il rischio si riduce verificando ogni modifica delle coordinate di pagamento tramite un canale diverso da quello usato per la richiesta. La procedura è particolarmente importante prima di bonifici istantanei, perché l’esecuzione in pochi secondi rende molto più difficile intervenire dopo l’errore.

Total
0
Shares
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Articoli collegati
Total
0
Share