Se il crimine online paga, è anche perché mancano normative internazionali adatte a contrastarlo con efficacia.
L’Europol ha lanciato un appello per una risposta comune europea alla minaccia dello spoofing, cioè la tecnica con cui criminali e truffatori riescono a contattare le loro vittime fingendosi una banca, una utility o un altro soggetto degno di fiducia.
In particolare, sul telefono della vittima compaiono un numero di telefono e un nominativo che sembrano legittimi e affidabili.
I casi di cronaca sono pieni di storie di persone che hanno risposto a una telefonata, o a un messaggio testuale, proveniente dal numero della loro filiale, oppure del call center della banca. A volte, sfruttando l’intelligenza artificiale, scelgono addirittura di impersonificare un parente o un amico del bersaglio.
Una volta tratte in inganno da questa maschera di affidabilità, le vittime dei criminali vengono messe sotto pressione, in genere con il pretesto di un movimento sospetto o di una qualche irregolarità, e spinte a fornire spontaneamente password temporanee e codici di accesso ai propri conti.
Con questa modalità, stima Europol nel suo “Position Paper on Caller ID Spoofing”, vengono sottratti almeno 850 milioni di euro ogni anno, a livello globale. E il bottino portato a casa dai criminali continua a crescere.
Telefonate e messaggi testuali restano lo strumento principale di questo tipo di truffa, coprendo circa il 64% dei casi denunciati (non dimentichiamo che moltissime vittime non si rivolgono alle autorità, perché provano un senso di vergogna).
La complessità nel risalire ai criminali
Questo genere di crimine sfrutta la complessità delle indagini internazionali. Nascondono non solo la loro vera identità, ma anche il luogo da cui parte la chiamata (o il messaggio). E muovono il denaro prelevato su più conti bancari di paesi diversi.
Gli investigatori, nel ricostruire le modalità della frode e i movimenti dei fondi, si imbattono così in giurisdizioni differenti. E questo rende estremamente complesso individuare i criminali e perseguirli.
Non solo, Europol segnala l’esistenza di una offerta di “spoofing as a Service” nel dark web: un kit di strumenti pronti all’uso per impersonare istituzioni finanziarie o qualunque altro soggetto capace di ispirare fiducia nelle potenziali vittime.
Veri e propri network criminali che operano in paesi esteri, frequentemente non europei, e fanno leva sulla complessità della collaborazione giudiziaria internazionale per restare sostanzialmente impuniti.
Le autorità locali hanno segnalato a Europol una serie di ostacoli importanti, tra cui la frammentazione delle normative nazionali, ma anche la cooperazione a volte limitata degli operatori telefonici e la mancanza di strumenti tecnologici per identificare e bloccare questo genere di chiamate più fraudolente.
Agire ora
Da qui la richiesta di un “salto di qualità” da parte di Europol: servono misure che rendano lo spoofing più complesso e costoso per i criminali. E strumenti per consentire alle forze dell’ordine di agire rapidamente anche in un contesto internazionale.
Meccanismi standard ed europei per identificare le telefonate fraudolente e verificare l’identità del chiamante, bloccando gli attacchi. E servono regole comuni, che definiscano anche le modalità di collaborazione tra forze dell’ordine e investigatori, con la giusta flessibilità per rispondere all’inevitabile evoluzione delle strategie di attacco.
E ING verifica oltre 230mila chiamate
Ad agosto 2024, ING ha lanciato la funzione in-app “È davvero ING?”, che permette ai clienti di capire se sono effettivamente al telefono con un operatore della banca. Da luglio 2025, il servizio di verifica è esteso anche agli SMS.
Dal lancio a metà novembre 2025, quasi 230mila clienti hanno verificato che era in corso una chiamata con qualcuno che non era realmente la loro banca. Anche calcolando un certo margine di errore, magari per clienti che volevano solo provare il servizio, si tratta di un numero molto rilevante, soprattutto considerando che le telefonate “confermate” come provenienti dalla Banca, nello stesso periodo, sono state appena 7.900.
Negli ultimi due anni, ING ha anche lanciato 15 campagne informative sui rischi delle frodi digitali, con un totale di 10 milioni di comunicazioni che hanno approfondito phishing, spoofing, arruolamento dei money mule, truffe sentimentali e così via.
Una campagna social ha sfruttato la musica per raccontare la cybersecurity, mentre a febbraio 2026 è stata realizzata un’indagine sul fenomeno delle truffe romantiche, che avrebbe raggiunto in qualche modo addirittura un italiano online su due.
Possiamo blindare le comunicazioni B2B. Ma cultura e formazione sono l’unica soluzione nel B2C
La tecnologia da sola non sconfiggerà lo spoofing. Ne è certo Luca Pavan, Managing Director Western and Central Europe di Getronics. Che sottolinea come questa minaccia assuma connotati molto diversi in base ai potenziali target, cioè le imprese da un lato e le famiglie dall’altro, ma in entrambi i casi la soluzione passa dall’educazione e dalla formazione delle persone.
«La cronaca recente ci ha raccontato di attacchi molto sofisticati, in cui i criminali hanno contattato i dipendenti di aziende, anche di grandi dimensioni, clonando la voce e persino l’immagine in video dell’amministratore delegato. E riuscendo così a farsi inviare grandi somme di denaro, ovviamente subito trasferire in altri conti di ignari prestanome. Il primo livello di difesa è sempre l’umano: non siamo addestrati a dubitare dell’autenticità di ciò che sentiamo e vediamo. Dobbiamo insegnare alle persone, dipendenti o clienti che siano, a farlo. Così da essere preparati in caso di attacco».
Questo modello centrato sull’umano è la premessa a qualunque soluzione tecnologica.
«In ambito B2B, abbiamo diverse possibilità – prosegue Pavan. Ad esempio, sistemi di certificazione end-to-end tra i fornitori di tecnologia di telecomunicazione e la banca, che permettano di stabilire che il chiamante è davvero chi dice di essere. Poi soluzioni di behavioural intelligence, rafforzate dall’intelligenza artificiale, per analizzare in tempo reale il comportamento vocale e individuare eventuali anomalie rispetto alla comunicazione “tipica” con un cliente. Infine, piattaforme di fraud detection potenziate da AI che possono bloccare eventuali comportamenti anomali, ad esempio in base a dati di rete o cronologia del cliente».
Quando si passa al cliente finale del mondo finanziario, specie del segmento retail, questo genere di soluzioni è difficilmente sostenibile dal punto di vista economico.
«Proteggere milioni di clienti con la codificazione tra soggetti non è una strada percorribile – conclude Pavan. Le banche devono puntare sulla comunicazione e sull’educazione dei clienti finali. Non dimentichiamoci che ogni attacco e ogni frode informatica che vanno a segno causano un danno non solo economico, ma anche sociale. Le vittime subiscono conseguenze psicologiche importanti e spesso si sentono talmente umiliate da non denunciare neppure l’accaduto. Inoltre, i soggetti deboli finiscono per sentirsi non all’altezza dell’innovazione e si distanziano dalla tecnologia. Ci troviamo di fronte a temi molti importanti per il nostro futuro digitale, che forse richiederebbero forme di incentivazione fiscale per le imprese private che scelgono di investire nella sicurezza dei loro clienti, a vantaggio di tutto l’ecosistema».
Questo articolo è stato pubblicato sul numero di dicembre 2025 di AziendaBanca ed è eccezionalmente disponibile gratuitamente anche sul sito web. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop.
