Può capitare a tutti. «Le persone che denunciano un furto dal conto corrente online sono di tutti i tipi. Al solito, poi, non sono certo a digiuno di tecnologia: hanno un’app bancaria sullo smartphone». Ivano Gabrielli è il superpoliziotto italiano dei crimini informatici. È nella polizia postale e delle Comunicazioni dal 2006 e dal 2017 ne è il direttore.
«La Postale italiana è un raro caso, al mondo, di forza di polizia dedicata al contrasto del cybercrime e radicata sul territorio», spiega Gabrielli. La Postale se ne occupa da 27 anni, ora con 1.800 persone, per reati online di vario tipo: accessi abusivi a sistemi, pedopornografia, fino al cyber-terrorismo. A crescere però è soprattutto la minaccia informatica finanziaria, come appunto le frodi bancarie. Tanto che un anno esatto fa la Postale ha dovuto creare una divisione dedicata. La conferma è nei dati, aggiornati al primo trimestre 2025, che L’Espresso ha potuto leggere.
Nel 2024 la Postale ha riscontrato 18.967 casi di truffe online e 8.602 frodi informatiche, per un danno economico complessivo di 232 milioni di euro. Nel primo trimestre del 2025, «si osserva un incremento significativo delle somme sottratte: 81,6 milioni di euro contro 57,5 milioni, indicativo di una maggiore capacità offensiva da parte dei criminali», si legge nel report della Postale, che porta la data 14 maggio 2025. Le attività investigative hanno riguardato 4.550 soggetti nel 2024 e 1.225 nel primo trimestre 2025. Numeri che fanno paura. Soprattutto se li traduciamo nelle vite e nelle sofferenze delle vittime. «Questo crimine vive di stagioni. Ora è quella del vishing», spiega Gabrielli. Ossia telefonate truffa.
L’insidia più frequente in questi mesi è quindi una chiamata dove «qualcuno si spaccia per la tua banca o per un poliziotto, un carabiniere». Grazie a semplici strumenti informatici, i truffatori riescono ad alterare il numero chiamante e quindi sul cellulare della vittima può apparire davvero quello della banca o della polizia. Gli operatori telefonici italiani solo ad aprile, dopo anni di tira e molla, hanno acconsentito a fare un filtro contro le chiamate con numero fasullo. Ma, l’autorità di settore (Agcom) ha dato tempo loro fino all’autunno 2025 per adottarlo nelle loro reti.
Così, è facile farsi ingannare. «Il truffatore s’inventa un pericolo urgente: stanno svuotando il conto, ci sono movimenti sospetti. E chiede all’utente di agire subito per risolvere», spiega Gabrielli. Ed è questo il momento in cui si consegnano le chiavi di casa al criminale, ossia l’accesso totale al conto. Ad esempio, all’utente viene chiesto il codice che serve per fare bonifici (una password temporanea al solito generata con l’app bancaria). Oppure «i criminali gli chiedono di disinstallare l’app, che poi installano loro sul cellulare (con i dati dell’utente), per avere libero e totale accesso al conto», dice Gabrielli.
A volte invece lo guidano al telefono per fare alcune operazioni online a loro favore. «Sempre più spesso i truffatori riescono a fare installare, alla vittima, app malevole sullo smartphone, per prenderne il possesso e fare operazioni bancarie», aggiunge Paolo Dal Checco, uno dei più noti ingegneri forensi italiani. Il risultato è lo stesso: soldi sottratti dal conto. Di solito ora tramite bonifico istantaneo o bollettino postale. Due nuovi metodi che (a differenza del bonifico classico) rendono impossibile il blocco successivo del trasferimento. La modalità può fare però una differenza sul piano legale: «Se siamo stati noi a fare l’operazione, è quasi certo che la banca non rimborserà», spiega l’avvocato Fulvio Sarzana, ex arbitro bancario a Roma (nelle controversie tra correntisti e banche). «La normativa di settore, infatti – la direttiva europea Psd2 – tutela l’utente solo se sono terzi a fare i movimenti fraudolenti», aggiunge Sarzana.
Alcune truffe in effetti comportano una collaborazione totale della vittima. «Sono riusciti a convincere persone ad andare in banca per trasferire i propri soldi su un conto controllato dai criminali, con la scusa che fosse un modo per proteggerli», dice Gabrielli. Altre truffe bancarie colpiscono le carte di credito. Ad esempio ora «ti chiamano sempre spacciandosi per la banca, dicono che la carta è stata clonata. Ti mandano un link che porta a una pagina dove risultano finti movimenti sospetti sul conto», aggiunge Gabrielli. Mandano poi alla vittima una finta carta di credito sostitutiva e ritirano quella valida, chiedendo all’utente anche il pin.
I trucchetti sono tanti, racconta Gabrielli: «Possono rubare la corrispondenza dove c’è una nuova carta di credito e poi telefonare al cliente per ottenere il pin, facendo finta di essere la banca». I numeri delle carte possono ottenerli anche spingendo gli utenti a comprare su finti siti e-commerce (di cui mettono la pubblicità sui social). «I casi più seri comportano sempre un’importante collaborazione da parte della vittima», dice Gabrielli. Sì, «chi ci casca al solito mostra scarsa consapevolezza del rischio cyber, ma a fare davvero la differenza è la bravura dei criminali nell’inventarsi storie, nel carpire la fiducia. Una bravura che, peraltro, vediamo crescere continuamente». Il sospetto è che le organizzazioni criminali siano arrivate a fare formazione ai truffatori finali, con manuali e script, «un po’ come quelli del telemarketing classico: cosa dire alla vittima, a seconda delle circostanze e delle sue risposte», dice Gabrielli.
Ma se loro sono ormai geni del crimine, noi come ci difendiamo? Ed è di difesa preventiva che dobbiamo parlare. Perché una volta che il danno è fatto, ottenere il rimborso dalla banca è una strada impervia. Sarzana e Dal Checco consigliano di fare ricorso all’arbitro bancario finanziario, per via dei costi bassi (20 euro); «fare causa alla banca invece è così dispendioso che conviene solo per grandi importi trafugati», dice Dal Checco. Da molte decine di migliaia di euro in su. L’arbitro chiede alla banca di rimborsare se riscontra che quella non ha fatto tutto il possibile per proteggere il cliente. Ma le richieste dell’arbitro non sono cogenti. A volte la banca sceglie di non adempiere e al cliente non resta, appunto, che fare causa, per la quale al solito serve pagare non solo l’avvocato ma anche per avere una perizia forense sui propri dispositivi.
Prevenzione, quindi. Un esperto come Dal Checco consiglia prudenza a tutti i livelli. Installiamo solo software o app da fonte fidata. Potrebbero altrimenti contenere virus, usati per rubare password e dati primari di accesso al conto. Che vengono carpiti anche con «classiche mail truffa, nelle quali si spacciano per la tua banca e ti chiedono di inserire i dati dell’ebanking su un sito, con una qualche scusa», puntualizza Gabrielli. I criminali però per prendere soldi da un conto online hanno bisogno anche di password temporanee ed ecco che si arriva alla telefonata che finalizza la truffa.
Gli esperti insegnano la regola d’oro: se una presunta banca ci chiama o scrive chiedendoci un dato, diffidiamo. Quelle vere evitano di farlo. Basterebbe seguire questo principio per non cascarci. Ma anche utenti avveduti possono dimenticarsene, colti in momenti di distrazione o stress, così frequenti nella nostra società digitale. I truffatori lo sanno e stanno in agguato. Con i messaggi terroristici, che generano ansia e urgenza, abbattono poi le ultime difese razionali. «Fermarsi qualche secondo a pensare prima di consegnare i nostri soldi a sconosciuti: così ci possiamo salvare», avvisa Gabrielli.
