Le truffe on line crescono a ritmi vertiginosi. In Italia circa 2,9 milioni di persone hanno subito una truffa o un tentativo di frode, con danni economici stimati in oltre 880 milioni di euro, secondo le rilevazioni di Codici Lombardia del 15 marzo 2026. Stando ai dati della Polizia Postale, nel 2024 il bottino ha superato i 47 milioni di euro (30% in più rispetto al 2023).
Niente di che stupirsi. Quanto più il denaro si sposta sui canali telematici, tanto più il crimine segue il denaro e si “digitalizza” a sua volta. Malgrado le ripetute, battenti campagne di informazione e prevenzione condotte dagli intermediari bancari e finanziari (ma anche dalle stesse autorità di settore e dalle associazioni di utenti), i casi di sottrazione di denaro da conti o carte di debito o credito attraverso le multiformi tecniche di social engineering (phishing, smishing, vishing, spoofing) continuano a ripetersi.
È altamente probabile, per non dire certo, che in un futuro molto prossimo l’impiego dell’AI per fini illeciti produrrà tecniche ancora più sofisticate, anche mediante il cosiddetto morphing (non più equivoche e sgrammaticate mail, sms, telefonate ma videochiamate dove il frodatore potrebbe assumere voce, sembianze e linguaggio tecnico del consulente bancario o finanziario abituale della vittima).
L’evoluzione ulteriore del fenomeno va sotto il nome di investment scam, frode che sta malauguratamente conoscendo un sempre più rapido sviluppo. Logica, metodo e conseguenze sono qui sensibilmente diverse. Mentre il truffatore “tradizionale” si camuffa da operatore bancario per sviare la vittima e sottrarle denaro attingendolo da conti e carte, la frode di investimento vede protagonista un soggetto dichiaratamente terzo rispetto all’intermediario, che propone soluzioni di impiego altamente allettanti inducendo il cliente a trasferire denaro altrove (denaro che poi sparisce in vario modo, spesso transitando mediante tortuosi giri su conti intestati allo stesso cliente, non di rado all’estero, per poi raggiungere le tasche dei malfattori). Detto in altri termini, mentre il cliente, pur inconsapevolmente, nei phishing e affini compie un’operazione non voluta, nell’investment scam vuole compiere l’operazione.
La diversità strutturale non è, non dovrebbe essere, priva di conseguenze. Al phishing e alle sue varianti si applica la disciplina per le c.d. operazioni non autorizzate prevista dal d.lgs. 11/2010 per come modificato dal d.lgs. 218/2017 (attuativi delle direttive Ue sui servizi di pagamento: Psd1 e Psd2).
Noto il meccanismo: avvedutosi dell’inganno, il cliente disconosce l’operazione e, a quel punto, l’onere della prova si sposta a carico dell’intermediario. Starà a quest’ultimo dimostrare che l’operazione è stata regolarmente registrata e contabilizzata, non ha risentito di un malfunzionamento del sistema e, soprattutto, è stata correttamente autenticata. L’autenticazione deve aver luogo in maniera ”forte” (strong customer authentication) mediante utilizzo almeno di due di tre fattori, cioè di elementi di conoscenza (pin, password), di possesso (token, telefono) o di inerenza (dati biometrici, riconoscimento facciale) che riconducano l’operazione inequivocabilmente al cliente. Superato questo ostacolo, per andare esente da responsabilità l’intermediario deve provare l’elemento soggettivo, vale a dire il dolo o colpa grave del cliente. In altre parole: se tutto ha regolarmente funzionato sotto i profili autorizzativi, va dimostrato che la frode è andata a segno grazie alla collaborazione, inconsapevole ma indubbiamente imprudente, da parte del cliente.
Morale provvisoria: sbaglia il cliente, la banca non paga (o paga di meno).
E nell' investment scam?
La prospettiva è completamente rovesciata, in quanto l’operazione è stata voluta e regolarmente autenticata né il cliente la disconosce. La protezione del cliente con tanto di inversione degli oneri probatori prevista dal regime Psd non può, per definizione, essere invocata.
Capitolo chiuso? Per niente.
La vittima di frodi d’investimento tenta una via secondaria. Ritiene cioè che l’intermediario avrebbe potuto e dovuto non dar corso all’operazione contestata in quanto affetta da anomalia, o quantomeno segnalare al cliente tale anomalia prima di darvi esecuzione. Le argomentazioni addotte nei primi giudizi (il fenomeno è relativamente recente) variano dal richiamo a norme generali del diritto civile in materia di correttezza comportamentale, diligenza e buona fede esecutiva (artt. 1175, 1176 e 1375 c.c.) ad un tentativo di “rientro” nel regime Psd in ragione del potere dell’intermediario (art. 6 d.lgs. 11/2010) di bloccare l’esecuzione di operazioni per sospetto di frode, sino ad affermazioni “di sistema”, per le quali sussisterebbe un generale e non meglio precisato dovere di protezione da parte dell’intermediario, quale operatore qualificato del mercato.
Nessuna di queste ragioni persuade. Non il richiamo alle norme civilistiche, perché la banca non incorre in alcuna scorrettezza o malafede nel momento in cui dà corso ad un’operazione regolarmente autenticata. Neppure la facoltà dell’intermediario di bloccare l’uso di un mezzo di pagamento in caso di sospetto di frode, dato che tale diritto può (ma non deve) essere inserito nel contratto quadro di servizi e che, trattandosi di facoltà, può esercitarsi a discrezione dell’intermediario. Neppure convince quel generale obbligo di tutela che deriverebbe dalle particolari qualità professionali dell’intermediario che, in modo eguale e contrario, potrebbero dirsi disattese nel caso in cui lo stesso esercitasse un’invasiva ingerenza sull’operato del cliente.
Nondimeno, un qualche dovere protettivo va affermandosi in ambito di phishing e affini, dove ABF e giurisprudenza, pur riconoscendo l’inesistenza nell’ordinamento di un generale dovere della banca di monitorare preventivamente le operazioni, tendono a individuare un dovere di attivazione precauzionale ogni qual volta l’intermediario possa riscontrare indizi di anomalia nell’operatività del cliente (numero, tipologia, importo, tempo di esecuzione, riconducibilità delle operazioni al medesimo beneficiario). Per quanto l’addentellato normativo sia piuttosto discutibile (d.m. 112/2007, recante indici di anomalia ai fini di prevenzione di frodi sulle carte di pagamento), il generico dovere di protezione sembra prender piede nelle truffe “tradizionali”, per lo più con l’esito di individuare un concorso di colpa della banca.
Morale effettiva: sbaglia il cliente, la banca paga una parte.
Si tenta ora di affermare lo stesso principio anche per le fattispecie di investment scam. Tentativo che si scontra però contro alcune evidenze normative e fattuali.
Sul piano normativo, oltre alla già richiamata inapplicabilità dello schema Psd (disconoscimento e inversione della prova), l’impiego (improprio) del d.m. 112/2007 potrebbe rivelarsi inconcludente, perché la norma ministeriale - costruita sulla tipica operatività delle carte di pagamento - considera sequenze operative in spazi temporali ravvicinati (dai 60 minuti alle 24 ore), mentre la truffa di investimento di solito si protrae lungo archi temporali più ampi (settimane quando non mesi).
Per altro verso, può forse dirsi negligente, scorretta o contraria a buona fede l’esecuzione di un’operazione richiesta dal cliente e correttamente autenticata?
Sul piano fattuale, l’investment scam spesso ricorre ad un subdolo “diversivo”. Catturata la vittima, la stessa viene invitata ad aprire un conto con altro intermediario, per poi attivare le varie operazioni di falso investimento. In questo modo, il “nuovo” intermediario non ha alcun riferimento storico-comportamentale del cliente che gli permetta di rilevare eventuali anomalie nell’operatività del cliente. Una volta ultimato il processo di identificazione e adeguata verifica del nuovo cliente, per la banca è più difficile, almeno nella prima fase del rapporto, verificare se gli investimenti del cliente siano destinati ad operatori esistenti o fasulli né è ragionevolmente esigibile che essa si trasformi in una sorta di “investigatrice privata” al servizio del cliente.
Più in generale, non è ipotizzabile che un intermediario, nelle migliaia di operazioni on line quotidianamente effettuate, possa, a fronte di un’autenticazione forte, sottoporre a vaglio critico ciascun trasferimento di fondi: vaglio che non può essere svolto manualmente se non a patto (costi a parte) di paralizzare l’operatività generale della banca e dei singoli clienti ma neppure allenando un algoritmo in maniera da prevenire qualsivoglia anomalia, che produrrebbe identica se non peggior paralisi. Non casualmente, del resto, secondo il consolidato orientamento della Cassazione, il rilievo di un’anomalia è richiesto solo in casi di patente abnormità e contraddizione con gli interessi del cliente (antiriciclaggio a parte, che è tutt’altra faccenda).
Del resto, l’investment scam non è che la riedizione di tecniche fraudolente che fanno leva sull’avidità umana. Solfa antica che va dallo schema Ponzi a Madoff, passando per innumerevoli emulazioni ed evolvendo in molteplici varianti di più o meno ampia portata e natura, fino alle false piattaforme in criptovalute. Dovrebbe l’intermediario farsi tutore del cliente accecato dall’oro falso, pronto a credere a rendimenti fulminei e strabilianti che nessun reale intermediario potrebbe mai garantire? Un simile, impraticabile ruolo non solo dilaterebbe a dismisura e in termini irragionevoli gli oneri della banca ma la obbligherebbe ad un sindacato di merito che potrebbe pregiudicare il cliente e consegnare all’intermediario dati che, per mole e qualità, potrebbero sopravanzare i limiti imposti dalle regole privacy e antiriciclaggio.
Negli storici casi sopramenzionati la responsabilità della banca non venne mai invocata (altro fu la corresponsabilità di banche d’appoggio dei truffatori rivelatesi distratte o “tolleranti”). Il fatto che il bonifico sia compiuto in digitale invece che allo sportello fisico non inverte i termini del discorso. Ciò non toglie che l’investment scam sia destinato al ruolo di protagonista nei futuri teatri giudiziari e che gli intermediari debbano comunque innalzare l’asticella di sorveglianza ma, nel contempo, resistere strenuamente fino a quando non si affermi la vera morale: se sbaglia il cliente, la banca non paga.
inFinance S.r.l. | via Domenichino 27 – 20149 Milano – Italy | tel. +39 02 86.89.17.63 – fax +39 02 86.89.17.64 | info@infinance.it
P.IVA 09220050968 – REA MI–2076529 | Capitale sociale € 50.000 i.v. | Informativa Privacy | Cookie policy
