Home Imprese&Lavoro La favola del rimborso immediato: quello che il Rapporto europeo sulle frodi...

La favola del rimborso immediato: quello che il Rapporto europeo sulle frodi non dice

51
0
Screenshot

C’è una favola che le banche, le autorità europee e certa stampa specializzata continuano a raccontare: hai subito una frode sul conto o sulla carta, la banca verifica e ti rimborsa entro un giorno, come da regole UE. Fine della storia, tutti tutelati, dormite tranquilli.

È una favola. E come tutte le favole, serve a far addormentare, non a spiegare come stanno davvero le cose.

I NUMERI CHE NESSUNO VUOLE LEGGERE FINO IN FONDO

Il Rapporto 2025 sulle frodi nei pagamenti, pubblicato a dicembre dall’Autorità Bancaria Europea insieme alla Banca Centrale Europea, dice una cosa che passa quasi inosservata sotto una montagna di grafici: oltre il 70% del valore delle frodi sui bonifici in Europa nel 2024 nasce non da un furto tecnico di dati, ma dalla manipolazione diretta della vittima — phishing, finte telefonate della banca, messaggi truffa. Ed è una componente in crescita rapida, proprio mentre l’Europa spinge sui bonifici istantanei come nuovo standard: i volumi di questi bonifici sono cresciuti del 98% in tre anni, ma le frodi corrispondenti sono cresciute del 175%. Quasi il doppio.

Tradotto: più veloce diventa il sistema dei pagamenti, più veloce diventa anche il modo in cui ti derubano e l’autenticazione forte — quella che ti chiede il codice sull’app o l’impronta digitale — non serve a niente contro questo tipo di truffa, perché sei tu stesso, ingannato, a digitare il codice giusto. Il sistema certifica solo che hai autenticato correttamente la tua stessa rovina.

IL VERO PROBLEMA: QUANDO LA VITTIMA SEI TU, LA BANCA NON TI CREDE

La legge dice che è la banca a dover dimostrare che sei stato tu ad autorizzare l’operazione, non il contrario. In teoria l’onere della prova sta in capo all’istituto. In pratica, la prima risposta che riceve chi denuncia una frode è quasi sempre la stessa: “il sistema di sicurezza ha funzionato, quindi l’operazione è stata autenticata correttamente, quindi l’hai autorizzata tu.”

È un cortocircuito logico bello e buono. Autenticazione e autorizzazione sono due cose diverse: la prima dice solo che qualcuno ha usato le tue credenziali nel modo previsto, non dice chi ha voluto davvero la transazione. Ma questo distinguo, che pure la giurisprudenza ha più volte ribadito — anche la Cassazione, con una sentenza del 2024, ha chiarito che spetta alla banca provare che il sistema di autenticazione abbia funzionato correttamente e che non vi sia stato malfunzionamento, non basta che ci sia stato un log tecnico regolare — nella pratica quotidiana degli sportelli e dei call center viene sistematicamente ignorato. La banca chiude il caso, dice che il sistema ha risposto correttamente, e scarica tutto sul cliente.

IL CASO CONCRETO: QUANDO LA TEORIA SI SCONTRA CON LO SPORTELLO

Ho seguito personalmente un caso di utilizzo fraudolento della carta con transazioni non riconosciute. La banca ha negato il rimborso richiamando l’autenticazione tramite protocollo di sicurezza 3D Secure come se fosse una prova automatica di consenso: il sistema ha risposto correttamente, quindi — secondo la banca — l’operazione era autorizzata. Punto.

Solo che quella logica ribalta esattamente quello che la norma impone: non è la regolarità tecnica del protocollo a dover dimostrare la volontà del cliente, è la banca a dover dimostrare, con elementi concreti, che non ci sia stata frode di terzi né malfunzionamento. Abbiamo dovuto costruire un ricorso formale all’Arbitro Bancario Finanziario — l’organismo di risoluzione delle controversie della Banca d’Italia — richiamando proprio quella sentenza della Cassazione sull’onere della prova, oltre a principi di correttezza che la stessa banca dichiara nei propri codici etici interni ma che poi, nella prassi, applica molto meno di quanto proclami.

Non è un caso isolato. È la regola. E i numeri lo confermano: nel 2025 in Italia oltre un terzo di tutti i ricorsi presentati all’Arbitro Bancario Finanziario riguarda proprio utilizzi fraudolenti di carte, conti e bonifici. Il 56% di questi ricorsi si chiude a favore del cliente. Il che significa, letto al contrario, che quasi la metà no — e soprattutto che per ottenere quel 56% ci vogliono in media quattro mesi di procedura, dopo che la banca ha già detto di no la prima volta allo sportello.

UN’EUROPA A PIÙ VELOCITÀ: DOVE TI VA BENE E DOVE NO

Qui il Rapporto europeo, per una volta, è onesto fino in fondo — e i numeri fanno male. La quota di perdita che il cliente si trova a sopportare, a parità di frode subita, cambia radicalmente a seconda del paese in cui tieni il conto. Sulle carte, in Slovacchia, Slovenia, Ungheria e Lituania il cliente sopporta oltre il 70% delle perdite, e in molti casi il 100%. In Irlanda e Norvegia, al contrario, è la banca a coprire più dell’80% delle perdite. Stesso identico tipo di frode, stessa dinamica tecnica, esito economico completamente ribaltato solo perché cambia il codice del paese sull’IBAN.

Ancora più interessante: in alcuni paesi — Cipro, Croazia, Paesi Bassi — una quota rilevante delle perdite viene attribuita a una generica categoria “altri soggetti”, che nel linguaggio del rapporto include le controparti bancarie coinvolte nell’operazione, ma di cui non si spiega mai la composizione reale. È qui che si apre il vero buco nero.

E IN ITALIA? IL CONTO LO PAGA SOPRATTUTTO IL CLIENTE

Se si guarda al dato italiano specifico — pubblicato dalla Banca d’Italia nel proprio rapporto semestrale sulle frodi nei pagamenti, più granulare di quello europeo — la percentuale di recupero per chi subisce una truffa è tutt’altro che rassicurante. Nel secondo semestre del 2024, la quota di perdita che resta a carico del cliente ha raggiunto il 71% sui bonifici e il 68% sui prelievi da ATM. Significa, detto senza giri di parole, che su un bonifico truffa il cliente recupera in media meno di 30 centesimi per ogni euro rubato: il resto se lo tiene, di fatto, chi lo ha derubato.

Sulle carte di pagamento e sulla moneta elettronica la situazione si ribalta parzialmente: qui è la banca a sopportare la quota maggiore delle perdite, circa il 60% sulle carte e il 58% sulla moneta elettronica. Ma non perché le banche siano improvvisamente più generose: è perché su questi strumenti la frode più diffusa è il furto tecnico di credenziali (carta clonata, dati rubati), dove diventa più difficile per la banca sostenere che sia stato il cliente ad autorizzare consapevolmente l’operazione. Sui bonifici, invece, dove prevale la manipolazione psicologica della vittima, la banca può quasi sempre dire: “il cliente ha cliccato, ha confermato, ha autorizzato” — e la percentuale di recupero crolla di conseguenza.

Il paradosso è servito: più la truffa è sofisticata e gioca sull’inganno psicologico invece che sul furto tecnico, meno probabilità hai di essere rimborsato — proprio perché quel tipo di frode, essendo “autorizzata” nella forma anche se ottenuta con l’inganno nella sostanza, non fa scattare in automatico nessuna delle tutele di legge. Il sistema, insomma, protegge meglio chi subisce la truffa più rozza e protegge peggio chi subisce quella più elaborata: un incentivo perverso di cui nessuno, a quanto pare, si preoccupa abbastanza.

IL MACIGNO: NESSUNO SA CHI PAGA DAVVERO, E LE ASSICURAZIONI SONO LA PARTE PIÙ OPACA DI TUTTE

C’è un dettaglio che il Rapporto europeo confessa in una nota a piè di pagina, quasi passando in fretta, e che a mio parere vale più di tutti i grafici messi insieme: i dati sulle perdite pubblicati nel rapporto non includono gli eventuali rimborsi che le banche ricevono dalle proprie compagnie assicurative, perché considerati estranei alle finalità della rilevazione sulle frodi.

Fermiamoci un attimo su questa frase, perché è la chiave di tutto. Significa che quando il rapporto dice “la banca ha sopportato il 38% delle perdite sulle carte”, quella percentuale fotografa solo quello che la banca ha versato al cliente o tenuto sui propri libri contabili — non quello che la banca ha eventualmente recuperato dopo, dalla propria polizza assicurativa contro le frodi informatiche. Se una banca ha una copertura che le rimborsa, poniamo, l’80% di quanto versa ai clienti frodati, quella quota sparisce semplicemente dalle statistiche ufficiali. Nessuno la vede, nessuno la conta, nessuno la confronta tra paesi o tra istituti.

E qui arriva il punto che nessuno vuole affrontare fino in fondo: nel mondo bancario non esiste alcun obbligo di trasparenza pubblica su queste polizze. Non sappiamo, come clienti, se il nostro istituto è assicurato contro le frodi informatiche. Non sappiamo per quale massimale, con quale franchigia, con quali esclusioni, e soprattutto non sappiamo se — quando la banca nega il rimborso al cliente invocando la colpa grave — lo fa perché ha davvero valutato il caso, oppure perché in quel modo evita di dover attivare la propria polizza (magari con una franchigia che rende comunque più conveniente scaricare il costo sul cliente piuttosto che sull’assicuratore). Sono le stesse identiche compagnie assicurative, del resto, a comparire in modo anonimo dietro quella voce “altri soggetti” che in alcuni paesi assorbe quote enormi di perdite, senza che nessuno chiarisca mai chi siano davvero questi “altri”. Spesso le compagnie sono parte del gruppo bancario e sfruttano le corrispondenti sinergie, ma a favore di chi?

È un classico manuale di asimmetria informativa: chi ha l’informazione — la banca, che sa se è assicurata e a quali condizioni — non ha alcun incentivo a rivelarla, perché la sua convenienza sta esattamente nel restare nella zona grigia dove decide caso per caso a chi scaricare il costo. E alla fine, in un modo o nell’altro, paga sempre il cliente: se non viene rimborsato, paga direttamente; se viene rimborsato e la banca si rivale sull’assicurazione, paga comunque indirettamente, perché il premio di quella polizza è un costo che rientra prima o poi nelle commissioni e nei costi di gestione del conto pagati da tutti i correntisti. Il rischio di frode, insomma, non sparisce mai: si sposta soltanto, e si sposta sempre nella stessa direzione.

SU QUESTO STESSO TERRENO CRESCE L’EURO DIGITALE

Tutto questo non è un problema confinato al passato o a uno strumento in via di superamento. È, al contrario, esattamente il terreno su cui si sta costruendo l’euro digitale, il progetto con cui la Banca Centrale Europea vuole offrire a ogni cittadino un mezzo di pagamento elettronico emesso direttamente dalla banca centrale. E i dati che abbiamo appena visto dovrebbero essere un campanello d’allarme, non un dettaglio tecnico da archiviare in una nota a piè di pagina.

Il bonifico istantaneo — lo strumento che l’Europa sta rendendo obbligatorio e che rappresenta l’anticamera tecnologica dell’euro digitale — cresce in volume del 98% in tre anni, ma le frodi che lo accompagnano crescono del 175%: quasi il doppio. È la prova che la sola velocità, senza un ripensamento serio di chi debba dimostrare cosa in caso di truffa, non riduce il rischio: lo trasferisce più in fretta, dal conto della vittima a quello del truffatore, prima ancora che qualcuno se ne accorga. Se l’euro digitale erediterà la stessa impostazione — autenticazione forte come scudo tecnico, ma nessuna soluzione reale per la manipolazione psicologica della vittima, e lo stesso schema per cui l’onere della prova sulla carta sta alla banca ma nella prassi ricade sul cliente — allora staremo semplicemente costruendo un’autostrada più veloce sullo stesso terreno franoso. Prima di spingere su un’infrastruttura di pagamento pensata per la massa dei cittadini europei, servirebbe chiedersi con onestà perché lo strumento più veloce che abbiamo oggi sia anche, in proporzione, quello che sta generando più danno — e rispondere prima di scalare il modello, non dopo.

IN SOSTANZA E UNA PROPOSTA CONCRETA

Il Rapporto europeo sulle frodi racconta bene i grandi numeri aggregati, ma tace su due cose che contano più di tutto il resto: cosa succede davvero quando bussi allo sportello con un estratto conto sotto il braccio, e chi paga per davvero una volta tolto il velo delle statistiche ufficiali — che per esplicita ammissione del rapporto stesso non tengono conto delle assicurazioni. La favola del “ti rimborsiamo entro un giorno, tranquillo” resta vera solo per i casi più semplici e meno contestati. Per tutto il resto vale una regola molto più antica e molto meno raccontata: nel sistema bancario non si sa mai davvero chi paga, finché non si scopre che, in un modo o nell’altro, paga sempre il cliente.

C’è però una cosa concreta che si potrebbe fare subito, senza attendere alcuna riforma europea, ed è qui che vorrei chiudere. L’Arbitro Bancario Finanziario è, sulla carta, uno strumento pensato per essere semplice e accessibile: costa venti euro, restituiti se il ricorso viene accolto, e non richiede un avvocato. Ma chiunque abbia provato a costruirne uno sul serio — individuare la norma giusta, ricostruire la cronologia dei fatti, contestare punto per punto le argomentazioni tecniche della banca, citare la giurisprudenza pertinente — sa che nella pratica è tutt’altro che alla portata di chiunque. Chi non ha un familiare, un legale o un consulente che lo affianchi si trova solo davanti a un intermediario che dispone di uffici legali interi dedicati a respingere proprio quel tipo di ricorso. Il costo vero non è l’importo dei venti euro: è il tempo, la competenza tecnica e la determinazione che servono per arrivare fino in fondo — una barriera che, di fatto, seleziona chi riesce a farsi rimborsare e chi rinuncia prima.

Le filiali territoriali della Banca d’Italia, che pure raccolgono ogni anno migliaia di esposti dei clienti delle banche, potrebbero e dovrebbero avere un ruolo più attivo in questa fase: non limitarsi a incassare la segnalazione, ma offrire un vero sportello di orientamento e assistenza tecnica per chi ha subito una frode e vuole presentare un reclamo formale o un ricorso all’Arbitro, aiutandolo a mettere nero su bianco i fatti e i riferimenti normativi nel modo in cui li mette un professionista. Non sarebbe un aggravio di costi enorme per un’istituzione pubblica che già raccoglie e processa questi dati; sarebbe, semmai, la differenza tra una tutela che esiste solo sulla carta e una che esiste davvero per chi non può permettersi di pagare qualcun altro perché gliela faccia valere. Perché la verità, spogliata di ogni favola, resta questa: nessuno ti rimborsa mai da solo. Te lo devi andare a prendere, e oggi puoi farlo solo se sai come, o se conosci qualcuno che lo sa.

Fonti: Autorità Bancaria Europea e Banca Centrale Europea, Rapporto 2025 sulle frodi nei pagamenti (dicembre 2025), incluse le tabelle sulla ripartizione delle perdite per paese e la nota metodologica sull’esclusione dei rimborsi assicurativi; Banca d’Italia, Relazione sull’attività dell’Arbitro Bancario Finanziario 2025; Corte di Cassazione, sentenza n. 3780/2024.

LEAVE A REPLY

Please enter your comment!
Please enter your name here