L’Autorità Bancaria Europea e la Banca Centrale Europea hanno appena emanato un report congiunto pubblicato sui dati relativi alle frodi nei pagamenti nell’Area Economica Europea, che fotografa un paradosso che merita attenzione.
Da un lato, i sistemi di pagamento europei sono tecnicamente più sicuri che mai, grazie a misure come l’autenticazione forte del cliente e gli standard EMV per le carte. Dall’altro, il valore complessivo delle operazioni fraudolente segnalate nel 2024 ha raggiunto 4,2 miliardi di euro, con un incremento del 17 per cento rispetto all’anno precedente.
Questo aumento convive però con un dato apparentemente rassicurante: il tasso di frode sul valore totale dei pagamenti resta stabile e molto basso, intorno allo 0,002 per cento.
La chiave per comprendere questo apparente paradosso non sta nel chiedersi se i pagamenti siano diventati improvvisamente meno sicuri. La vera domanda è un’altra: dove riesce ancora a passare la frode, quanto costa ogni singola frode, chi finisce per pagare il conto e quali interventi possono spostare l’equilibrio a favore dei consumatori e del sistema nel suo complesso.
Il report dell’EBA e della BCE è prezioso proprio perché separa le dinamiche per strumento di pagamento, per canale di iniziazione, per area geografica e per tipologia di frode, permettendo un’analisi granulare di un fenomeno complesso.
Indice degli argomenti
Frodi nei pagamenti in Europa: il paradosso del report EBA-ECB
Il punto non è “più frode uguale meno sicurezza”, ma più frode dove l’impatto economico è maggiore e dove la prevenzione è più difficile. I dati del 2024 mostrano che la crescita del valore totale può convivere con tassi bassi, perché contano gli importi medi, lo spostamento fra strumenti e l’evoluzione delle tecniche criminali.
In altre parole, l’ecosistema si è irrobustito sul piano tecnico, ma la frode si è adattata, scegliendo canali e dinamiche dove può restare efficace, anche senza “bucare” i sistemi.
Bonifici e carte: dove si concentrano le frodi nei pagamenti in Europa
Il primo elemento strutturale da comprendere riguarda la composizione di quei 4,2 miliardi di euro. Nel 2024, la frode in valore è stata dominata da due strumenti: i bonifici bancari e i pagamenti con carta. I bonifici fraudolenti hanno raggiunto 2,5 miliardi di euro (pari a un tasso di frode dello 0,001%), con una crescita del 24 per cento rispetto al 2023. Le frodi su carte emesse nell’Unione Europea e nell’Area Economica Europea sono arrivate a 1,3 miliardi, con un incremento più contenuto del 4 per cento, ma con un tasso di frode sul totale dei pagamenti con carta superiore e pari allo 0,033%.
Se si sommano gli addebiti diretti, i prelievi bancomat e le transazioni in moneta elettronica, si ottengono altri 349 milioni, con un aumento rilevante trainato soprattutto dagli addebiti diretti, passati da 36 a 112 milioni di euro.
Bonifici: crescita del valore e importi elevati
I bonifici pesano soprattutto perché combinano importi medi alti e truffe che spingono la vittima a trasferire somme significative. È qui che il valore totale può crescere rapidamente anche senza una crescita “esplosiva” dei tassi percentuali.
Carte: tante frodi, spesso di piccolo importo
Sulle carte il pattern è diverso: frodi numerose ma spesso di piccolo importo, perché i micropagamenti sono più adatti a eludere i controlli o a restare sotto le soglie che attivano le verifiche antifrode.
Frodi nei pagamenti in Europa: valore, volume e importo medio
La seconda chiave di lettura riguarda la differenza tra valore e volume delle operazioni fraudolente. Nel 2024, il numero totale di transazioni fraudolente è salito a 19,6 milioni, con un incremento del 10 per cento anno su anno. Tuttavia, quasi tutto questo volume è attribuibile alle carte: circa 17 milioni di transazioni fraudolente su un totale di circa 111 miliardi di operazioni con carte emesse nell’area europea.
Si tratta di un pattern ormai classico: frodi numerose ma spesso di piccolo importo, perché i micropagamenti sono più adatti a eludere i controlli o a restare sotto le soglie che attivano le verifiche antifrode.
Il terzo punto, decisivo per capire perché crescono i miliardi anche se i tassi restano bassi, è il valore medio della frode per ciascuno strumento. Nel 2024, un bonifico fraudolento medio vale ancora 2.155 euro, mentre una frode su carta si aggira mediamente sui 76 euro e una frode su moneta elettronica si attesta intorno ai 105 euro.
Basta quindi che la frode si sposti marginalmente verso strumenti ad alto importo, o che aumenti l’incidenza di truffe che inducono la vittima a trasferire somme elevate, perché il valore totale cresca sensibilmente anche con tassi complessivamente contenuti.
Dalla tecnica alla manipolazione: la frode come scienza comportamentale
La parte forse più significativa del report non riguarda tanto quanto si perde, ma come avvengono queste perdite. Per le carte, la frode resta prevalentemente operativa: nella maggior parte delle transazioni fraudolente, è il criminale a impartire direttamente l’ordine di pagamento, spesso utilizzando credenziali rubate nei pagamenti online oppure carte fisiche rubate o smarrite nei pagamenti presso terminali fisici.
Nei pagamenti da remoto che risultano fraudolenti, il furto dei dettagli della carta pesa per oltre la metà del valore totale, mentre la contraffazione fisica delle carte ha ormai un ruolo molto ridotto. Questo quadro è coerente con l’evoluzione recente: lo standard EMV ha limitato fortemente la frode da carte contraffatte nei pagamenti fisici, spingendo i criminali verso il canale online e verso l’abuso di dati sottratti con tecniche di phishing, smishing e altre forme di ingegneria sociale.
Per i bonifici, invece, la dinamica è sempre meno tecnica e sempre più relazionale. La manipolazione del pagatore pesa per oltre metà del valore totale dei bonifici fraudolenti. Siamo nel territorio delle truffe di impersonificazione, dell’ingegneria sociale, delle pressioni psicologiche e dei cosiddetti “authorised push payment”, quelle situazioni in cui non si viola tecnicamente un sistema ma si convince una persona ad autorizzare un trasferimento verso un conto controllato dal criminale.
Non si tratta di una distinzione semantica: è un vero cambio di paradigma. Molte difese progettate per fermare l’uso non autorizzato degli strumenti di pagamento, come l’autenticazione forte, i token, i codici temporanei e il legame con dispositivi specifici, funzionano benissimo quando l’attaccante non riesce a farsi riconoscere come utente legittimo.
Diventano però molto meno efficaci quando l’utente legittimo è parte dell’azione, anche se è stato ingannato. È anche per questa ragione che l’EBA, già nel 2024, ha dedicato una specifica opinione ai nuovi tipi di frode e alle possibili mitigazioni, chiedendo che il nuovo quadro normativo europeo sui pagamenti venga reso più robusto contro le truffe basate sulla manipolazione.
Autenticazione forte e frodi nei pagamenti in Europa: efficace ma non onnipotente
Il report conferma che l’autenticazione forte del cliente, introdotta dalla direttiva PSD2, è ormai molto diffusa, soprattutto per i bonifici: circa il 77 per cento del valore dei bonifici risulta autenticato con questa modalità. Per le carte e la moneta elettronica, invece, la quota di transazioni autenticate in modo forte è più bassa in termini di numero, intorno al 40 per cento.
Il messaggio che “l’autenticazione forte funziona” è sostanzialmente vero, ma va letto con attenzione. In generale, le transazioni autenticate in modo forte mostrano tassi di frode inferiori rispetto a quelle non autenticate, soprattutto per le carte. Tuttavia, per i bonifici il report osserva un apparente controsenso: tassi di frode più alti sulle transazioni con autenticazione forte rispetto a quelle senza.
La spiegazione sta in un punto cruciale di statistica applicata al rischio: l’autenticazione forte tende a essere applicata proprio dove il rischio o il valore sono maggiori; quindi, il campione delle transazioni autenticate non è paragonabile a quello delle transazioni non autenticate.
Questa è una lezione importante anche per chi si occupa di governance interna nelle istituzioni finanziarie: se si misura l’efficacia delle misure di sicurezza solo guardando le percentuali aggregate, si rischia di penalizzare i controlli laddove sono usati correttamente, cioè nei flussi più critici.
In più, lo stesso impianto normativo dell’autenticazione forte è pensato per ridurre la frode massiva e opportunistica, attraverso requisiti come il collegamento dinamico tra codice di autenticazione e dettagli della transazione. Ma proprio perché il sistema diventa più robusto sul piano tecnico, i criminali hanno un incentivo economico a spostarsi sul punto più debole: la decisione umana, spesso compressa da urgenza, paura e manipolazione emotiva.
Il confine normativo come confine di rischio: la dimensione geografica
Uno dei dati più eloquenti del report riguarda il salto di rischio nelle transazioni transfrontaliere al di fuori dell’Area Economica Europea. Per i pagamenti con carta, i tassi di frode sono circa diciassette volte più alti quando la controparte è fuori dall’area europea rispetto alle transazioni domestiche.
Una quota significativa del valore delle frodi su carta, pari al 30 per cento nel 2024, è legata proprio a transazioni transfrontaliere verso paesi extra-europei.
Il report mette indirettamente a fuoco un problema strutturale: le regole funzionano meglio dove sono uniformi e applicate in modo coerente. Appena si entra in un contesto in cui una delle parti della transazione non è soggetta agli stessi requisiti, la superficie di attacco si allarga.
È anche per questa ragione che il dibattito europeo sta tornando su temi come la cooperazione tra operatori, la condivisione di dati sui tentativi di frode e obblighi di prevenzione più incisivi. A fine novembre 2025, il Consiglio dell’Unione Europea e il Parlamento hanno annunciato un accordo politico provvisorio per rafforzare la lotta alla frode e la protezione dei consumatori nel nuovo pacchetto normativo sui pagamenti, segnalando un orientamento verso misure più robuste e responsabilità più chiare per gli intermediari.
Verifica del beneficiario e pagamenti istantanei: le contromisure in arrivo
Il report include anche un approfondimento sui bonifici istantanei SEPA, con un’indicazione importante: l’aumento dell’importo medio della frode sui bonifici tradizionali può essere connesso alla crescita delle truffe basate sulla manipolazione, che producono danni elevati per singola operazione.
In parallelo, l’ecosistema europeo si sta muovendo su due direttrici: ridurre gli errori e gli inganni a livello della singola transazione e ridurre l’attrito nel pagamento istantaneo senza alzare il rischio.
Da questo punto di vista, il Regolamento europeo 2024/886 sui pagamenti istantanei (che tra l’altro modifica il Regolamento 2012/260) rappresenta un tassello centrale. Introduce requisiti specifici per i bonifici istantanei in euro, inclusa la cosiddetta verifica del beneficiario: un controllo di coerenza tra l’identificativo del conto e il nome del beneficiario, con esiti di tipo corrispondenza, corrispondenza parziale o nessuna corrispondenza prima che il trasferimento venga eseguito.
La Banca Centrale Europea, nelle sue sintesi operative, esplicita che questa verifica mira proprio a mitigare il rischio di frode avvisando il pagatore delle discrepanze prima che il denaro parta.
Non va presentata come una soluzione magica: molte truffe riescono a convincere la vittima a fidarsi della discrepanza segnalata o a usare un beneficiario apparentemente pulito ma in realtà controllato da prestanome. Tuttavia, la verifica del beneficiario è una barriera importante contro una quota concreta di frodi, specialmente quelle basate su errori di digitazione, su IBAN sostituiti nelle fatture e sulle truffe che colpiscono le comunicazioni aziendali.
Il valore vero, spesso, sta nell’effetto combinato di più misure: verifica del beneficiario insieme ad avvisi intelligenti nelle applicazioni bancarie, limiti dinamici alle transazioni, analisi comportamentale, condivisione rapida di indicatori di compromissione tra operatori.
Frodi nei pagamenti in Europa: chi paga il conto e perché conta la responsabilità
Se c’è un punto del report che dovrebbe far riflettere tanto i regolatori quanto i consumatori, è la distribuzione delle perdite. Nel 2024, complessivamente, gli utenti dei servizi di pagamento hanno sopportato circa 2,485 miliardi di euro di perdite, più degli intermediari e delle altre parti messi insieme.
Ma soprattutto, la ripartizione cambia drasticamente a seconda dello strumento: gli utenti sostengono circa l’85 per cento delle perdite da frode sui bonifici, mentre sulle carte la quota a loro carico è molto più bassa, intorno al 38 per cento.
Questo divario non è casuale. Riflette la diversa filosofia di rimborso e contestazione tra carte e bonifici, e soprattutto il fatto che molte truffe su bonifico ricadono nella zona grigia delle transazioni formalmente autorizzate ma indotte con l’inganno.
Il report stesso nota che le discussioni legali sono evolute e che un’operazione autenticata non può essere automaticamente considerata autorizzata, segnalando implicitamente un terreno in movimento su cui i legislatori dovranno intervenire.
Qui emerge un problema economico di fondo: se il costo della frode resta in larga parte sulle vittime, gli incentivi a investire in prevenzione si frammentano. E quando la prevenzione efficace richiede interventi a monte della transazione, come l’educazione degli utenti, le interfacce che prevengono errori, gli avvisi contestuali, i controlli sul beneficiario, il monitoraggio comportamentale e la cooperazione tra intermediari, una frammentazione di incentivi tende a lasciare scoperti proprio gli anelli più importanti della catena di sicurezza.
Per capire dove potrebbe andare l’Europa, è utile guardare a un confronto esterno. Nel Regno Unito, dall’ottobre 2024 è entrato in vigore un regime di rimborso obbligatorio per molte forme di frode nei pagamenti push autorizzati, con regole fissate dal Payment Systems Regulator.
Si tratta di un modello che sposta parte del rischio sugli intermediari, forzando investimenti in prevenzione e in gestione rapida dei casi. Non è automaticamente trasferibile nel contesto europeo per differenze di mercato, infrastrutture e architettura giuridica, ma aiuta a chiarire un principio: la distribuzione della responsabilità è anche una leva di politica pubblica per modificare il comportamento degli attori.
Un dettaglio metodologico che cambierà le statistiche future
Un elemento tecnico del report merita attenzione anche per chi segue l’evoluzione delle statistiche nel tempo. Il documento segnala che la Commissione Europea, attraverso una risposta interpretativa pubblicata nel gennaio 2025, ha chiarito che i fondi sono considerati moneta elettronica solo se accettati volontariamente come strumento monetario separato da un soggetto diverso dall’emittente.
Di conseguenza, i dati sulla moneta elettronica che verranno pubblicati in futuro potrebbero includere correzioni retrospettive per alcuni paesi. Tradotto in termini pratici: quando cambiano definizioni e perimetri, cambiano anche le serie storiche, e occorrerà cautela nel confrontare trend prima e dopo queste modifiche.
Pagamenti in Europa, una frode che si adatta
Il report EBA-ECB non racconta una crisi improvvisa della sicurezza dei pagamenti. Racconta piuttosto l’evoluzione adattiva del frodatore. I controlli tecnici hanno abbassato moltissimo lo spazio per la frode opportunistica e non autorizzata all’interno dell’area europea, ma la pressione criminale si sta spostando verso i bonifici e verso le truffe basate sulla manipolazione, dove l’importo medio è alto e il rimborso per la vittima è più incerto.
Il rischio aumenta inoltre quando si esce dal perimetro normativo europeo, come mostrano i tassi di frode molto più elevati nelle transazioni con carte verso paesi extra-europei.
Se c’è un filo logico che unisce le evidenze del report alle direzioni normative in corso, è questo: la prossima generazione di difese dovrà essere meno centrata solo sull’autenticazione e più centrata sulla prevenzione dell’errore indotto, sulla verifica del beneficiario, sull’interruzione dei flussi di monetizzazione attraverso i cosiddetti conti mulo, sulla condivisione di segnali tra operatori e su regole di responsabilità che allineino gli incentivi.
La verifica del beneficiario prevista dal regolamento sui pagamenti istantanei è un esempio concreto di barriera che agisce prima che il pagamento venga eseguito. Le iniziative del nuovo pacchetto normativo e le raccomandazioni dell’EBA sui nuovi schemi di frode indicano che l’Europa sta provando a rendere strutturale questo cambio di paradigma.
I consumatori, nel frattempo, dovrebbero essere consapevoli che la frode più pericolosa oggi non è quella che viola tecnicamente i loro strumenti di pagamento, ma quella che li convince a usarli in modo contrario ai propri interessi. La migliore difesa individuale resta la diffidenza verso comunicazioni inattese, la verifica indipendente delle richieste di pagamento e la consapevolezza che nessuna banca o istituzione chiede mai di autorizzare trasferimenti urgenti per telefono o messaggio.
