Prevenzione delle frodi nei pagamenti: cosa funziona e cosa è solo una messinscena.
Due app di pagamento, la stessa minaccia, risultati opposti. Da una parte, Cash App, la cui società madre è stata condannata a pagare 175 milioni di dollari all'inizio del 2025 per la gestione delle denunce di frode da parte dei clienti. Dall'altra, PayPal , che quell'anno ha movimentato oltre mille miliardi di dollari mantenendo un tasso di perdite vicino allo 0,08% del volume. Entrambe si trovano ad affrontare gli stessi truffatori, le stesse carte rubate, le stesse tecniche di ingegneria sociale. Perché, dunque, una è finita in un comunicato stampa di un'autorità di regolamentazione e l'altra in una nota a piè di pagina di una conference call sugli utili?
Il problema non è il budget, ma i controlli su cui ogni azienda punta. Gran parte di ciò che viene spacciato per prevenzione delle frodi nei pagamenti è solo apparenza: sembra rassicurante, riempie una diapositiva, ma non impedisce quasi nulla. Solo una manciata di controlli svolge il lavoro effettivo. PayPal e Cash App rappresentano un chiaro esempio per distinguere le due tipologie di controlli, perché nel loro caso è stato un ente regolatore a valutarle. Questo è un manuale pratico che mostra cosa funziona e cosa, silenziosamente, fallisce.
Quanto costa oggi all'economia la frode nei pagamenti?
Le cifre principali sono talmente elevate da lasciare senza parole. Secondo il Consumer Sentinel Network della FTC , nel 2024 gli americani hanno perso 12,5 miliardi di dollari a causa di frodi, con un aumento del 25% in un solo anno. A livello mondiale, le frodi con carte di credito hanno raggiunto i 33,41 miliardi di dollari e gli Stati Uniti hanno subito circa il 42% di tali perdite, rappresentando circa un quarto del volume globale delle transazioni con carta.
Il dato più utile si cela dietro le cifre totali: dove il denaro effettivamente si disperde. I due metodi di pagamento con le maggiori perdite segnalate sono stati i bonifici bancari (2,09 miliardi di dollari) e le criptovalute (1,42 miliardi di dollari), non le carte di credito. Non è una coincidenza. Questi sistemi sono stati progettati per trasferire denaro rapidamente e senza intoppi, senza alcun meccanismo integrato per recuperarlo. I circuiti delle carte di credito si avvalgono da decenni di sistemi di gestione delle contestazioni. I trasferimenti da conto a conto, di solito, non ne hanno. La frode segue il percorso di minore reversibilità.
| Sistema metrico (ultimo aggiornamento) | Figura | Fonte |
|---|---|---|
| Perdite dovute a frodi segnalate negli Stati Uniti, 2024 | 12,5 miliardi di dollari (+25% su base annua) | Sentinella dei consumatori della FTC |
| Metodo di perdita principale: bonifici bancari | 2,09 miliardi di dollari | FTC, 2024 |
| Perdite di criptovalute | 1,42 miliardi di dollari | FTC, 2024 |
| Perdite globali dovute a frodi con carte di credito, 2024 | 33,41 miliardi di dollari | Rapporto Nilson |
| Quota statunitense delle frodi globali con carte di credito | ~42% (su circa il 26% del volume) | Rapporto Nilson |
Le tipologie più comuni di frode sui pagamenti, classificate in base a chi paga
Ogni guida alle frodi ti offre lo stesso elenco generico di una dozzina di tipologie di attacco. Molto più utile è classificarle in base a chi effettivamente subisce la perdita, perché è questo che determina se dovresti preoccuparti. Le tipologie più comuni di frode sui pagamenti non distribuiscono il danno in modo equo.
Le frodi tramite email aziendali e i pagamenti autorizzati sono in cima alla lista, perché inducono la vittima a inviare denaro autonomamente, e di solito la vittima non riesce a recuperarlo. UK Finance ha registrato 257,5 milioni di sterline in frodi tramite pagamenti autorizzati solo nella prima metà del 2025, con un aumento del 12% rispetto all'anno precedente. Al secondo posto si colloca il furto di identità: un truffatore accede a un conto corrente reale e lo svuota, costringendo il legittimo proprietario a dimostrare la propria innocenza. Le frodi con carta di credito sono diffuse ma, per i consumatori, vengono perlopiù assorbite dall'emittente tramite i chargeback. Esiste poi la frode amichevole, in cui un cliente reale contesta un acquisto reale: si stima che rappresenti il 75-79% dei chargeback nell'e-commerce e il commerciante si fa carico delle spese. Le frodi deepfake e quelle con clonazione vocale sono le nuove arrivate, attualmente di modesta entità ma in rapida crescita. Lo schema è semplice: meno reversibile è il metodo di pagamento, più la frode colpisce la persona meno in grado di subirne le conseguenze.
Cash App: un caso di studio sulla prevenzione delle frodi
Se volete vedere come si presenta una vera e propria messinscena per la prevenzione delle frodi su larga scala, guardate Cash App. Quando le autorità di controllo sono intervenute, l'app contava circa 56 milioni di account attivi e un'applicazione elegante e intuitiva. Ciò che le mancava era la struttura, tutt'altro che appariscente, che si cela dietro le quinte: indagini reali, una linea telefonica funzionante e la consapevolezza che un trasferimento non autorizzato fosse un problema di competenza dell'azienda.
Cosa hanno effettivamente scoperto le autorità di regolamentazione
Nel gennaio 2025, il Consumer Financial Protection Bureau (CFPB) ha ordinato a Block, la società madre di Cash App, di pagare 175 milioni di dollari: 120 milioni a favore degli utenti danneggiati e 55 milioni di dollari di sanzione . Vale la pena leggere attentamente il testo. Il CFPB ha affermato che l'azienda ha utilizzato "pratiche investigative intenzionalmente superficiali" per chiudere le denunce di frode a proprio vantaggio. I clienti che chiamavano la linea antifrode si ritrovavano di fronte a un messaggio preregistrato e inattivo; per anni non è stato possibile parlare con un operatore in carne e ossa. Nello stesso mese, una coalizione di 48 autorità di regolamentazione statali ha aggiunto un'ulteriore sanzione di 80 milioni di dollari per violazioni delle norme antiriciclaggio. L'esposizione complessiva: circa 255 milioni di dollari. Tutto ciò non riguardava hacker esperti. Riguardava un'azienda che aveva deciso che rispondere al telefono fosse facoltativo.
Perché i trasferimenti P2P irreversibili rappresentano un difetto strutturale
Dietro la questione dell'applicazione della legge si cela una scelta progettuale. Cash App trasferisce denaro da un conto all'altro, come se fosse contanti. Una volta che il denaro è stato trasferito, non esiste un circuito di carte di credito per annullare la transazione. Questo va bene finché qualcuno non viene truffato o hackerato, e a quel punto il modello "è proprio come contante" si trasforma in "sei da solo". La legge federale (Regolamento E) impone alle banche e alle app di pagamento di indagare sui trasferimenti elettronici non autorizzati e di risarcire gli utenti. Ciò che continuo a notare è quanto fosse banale questo errore: non una violazione, ma semplicemente la decisione di considerare i trasferimenti non autorizzati come un problema del cliente. Il CFPB ha definito questa decisione una violazione.
Come funziona concretamente il sistema di rilevamento delle frodi di PayPal
PayPal è l'esempio perfetto di "cosa funziona", ma la versione di marketing è errata. PayPal non è immune alle frodi e fingere il contrario nasconde la vera lezione. I suoi stessi documenti mostrano perdite su transazioni e crediti per 1,72 miliardi di dollari nel 2025, in aumento del 19% rispetto all'anno precedente. Le frodi sono una realtà consolidata all'interno di PayPal. La differenza sta in ciò che accade dopo.
Protezione dell'acquirente e del venditore come livello di reversibilità
PayPal ha integrato la reversibilità nel prodotto per tutelare entrambe le parti di una transazione. Gli acquisti idonei includono la Protezione acquirenti e i venditori hanno la propria copertura, con una procedura di contestazione e reclamo a supporto. In caso di frode, il sistema può spesso rimborsare l'acquirente o annullare la transazione anziché lasciarlo in difficoltà. Questo è esattamente il livello di protezione che mancava a Cash App. Quest'ultima è anche costosa, lenta e piena di casi limite, e PayPal riceve molte lamentele al riguardo. Ma "una procedura di contestazione frustrante" e "una linea telefonica non funzionante" non sono la stessa cosa.
Valutazione del rischio tramite apprendimento automatico al momento della transazione.
Il secondo livello è il rilevamento. PayPal valuta le transazioni in tempo reale confrontandole con centinaia di segnali (dispositivo, posizione, cronologia, velocità, comportamento) per individuare quelle sospette prima che il denaro venga effettivamente trasferito. Il risultato principale è un tasso di perdite che si è attestato intorno allo 0,08% del volume totale dei pagamenti, vicino al minimo storico, anche se le perdite assolute aumentano con la scalabilità. Considerando insieme questi due dati, si ottiene la versione onesta: un volume maggiore significa un maggior numero di transazioni fraudolente, ma il sistema di punteggio adattivo mantiene basso il tasso. Il sistema non è magico. Viene semplicemente mantenuto efficiente.
Cosa funziona: le migliori pratiche per ridurre le frodi
Cosa fa concretamente la differenza? Eliminando le presentazioni dei fornitori, i controlli che prevengono realmente le frodi si rivelano brevi e semplici. Hanno una caratteristica in comune: si adattano o aggiungono un secondo controllo indipendente, anziché affidarsi a un singolo punto di controllo statico.
L'autenticazione a più fattori è il controllo più economico ed efficace disponibile. Microsoft ha riferito che l'MFA blocca oltre il 99,9% dei tentativi automatizzati di compromissione degli account e che quasi tutti gli account compromessi non l'avevano mai attivata. L'analisi delle transazioni tramite machine learning, il fingerprinting dei dispositivi e la biometria comportamentale individuano schemi che le regole fisse non riescono a rilevare; una banca ha riferito di aver ridotto le perdite dovute a frodi di circa il 35% dopo aver implementato l'analisi comportamentale, sebbene questa cifra sia fornita dal fornitore e debba essere considerata indicativa, non definitiva. La forte autenticazione del cliente tramite 3-D Secure 2 aggiunge un passaggio di verifica ai pagamenti con carta; comporta un costo aggiuntivo (circa un tentativo di autenticazione su cinque fallisce), ma trasferisce la responsabilità e impedisce una quota significativa dell'utilizzo di carte rubate. I controlli "Know Your Customer" in fase di onboarding e i limiti di velocità completano l'elenco.
| Controllare | Ciò che ferma | Prova | Verdetto |
|---|---|---|---|
| Autenticazione a più fattori | Acquisizione dell'account | Blocca oltre il 99,9% degli attacchi automatizzati (Microsoft) | Opere |
| Punteggio ML/comportamentale | Transazioni anomale | Tassi di perdita simili a quelli di PayPal, prossimi allo 0,08%. | Opere |
| 3-D Secure 2 / SCA | Utilizzo di carte rubate | Trasferimento di responsabilità; circa 1 abbandono su 5 | Funziona, con attrito |
| Impronta digitale del dispositivo | Truffatori recidivi | Segnale standard del settore | Opere |
| Verifica dell'identità (KYC) in fase di onboarding | Identità sintetiche | Linea di base normativa | Opere |
Teatro della sicurezza: una protezione antifrode che fallisce
Ora passiamo agli sprechi di budget, ai controlli che sembrano proteggere dalle frodi ma che in realtà non offrono quasi nessuna protezione. Le domande di sicurezza sono le peggiori in questo senso. Le risposte (il cognome da nubile di tua madre, il tuo primo animale domestico) sono facilmente indovinabili, reperite o violate, e l'ente di standardizzazione statunitense NIST ora vieta formalmente l'autenticazione basata sulla conoscenza come fattore di accesso valido. Non "aggiunge un livello", ma un livello fittizio.
I codici monouso via SMS sono la prossima trappola. Sembrano un'autenticazione a più fattori (MFA), ma si basano su un numero di telefono che un malintenzionato può rubare tramite uno scambio di SIM , che secondo le ricerche di settore ha successo al primo tentativo nell'80% dei casi; l'FBI ha registrato circa 26 milioni di dollari di perdite dovute a scambi di SIM solo nel 2024. Poi ci sono i motori statici, basati solo su regole, che non imparano mai, e le lente code di revisione manuale che permettono alle frodi di passare inosservate prima che un essere umano le esamini. La messinscena più costosa di tutte è quella che ci ha insegnato Cash App: rendere i trasferimenti irreversibili per impostazione predefinita e spacciarla per velocità. Gli ingegneri tendono a considerare la reversibilità come un ostacolo da eliminare in fase di progettazione. Per la vittima, invece, è proprio questo il punto.
Frode di acquisizione account: dove i modelli si dividono
La frode di acquisizione di account è il test più chiaro dell'intera argomentazione, perché entrambe le aziende si trovano ad affrontare lo stesso attacco: un criminale ottiene le credenziali di un utente reale e tenta di trasferire denaro. Stesso input, risultato molto diverso.
Sul fronte della prevenzione, la contromisura è ben consolidata: imporre un'autenticazione a più fattori (MFA) robusta (non codici SMS), monitorare i segnali comportamentali per individuare accessi non corrispondenti al proprietario e limitare la velocità delle transazioni sospette. Ma la prevenzione presenta sempre qualche falla, e la seconda domanda è cosa succede quando ciò accade. La reversibilità e la procedura di contestazione di PayPal offrono all'utente vittima di un furto un modo per tornare indietro. La posizione storica di Cash App, secondo cui un trasferimento non autorizzato era un problema dell'utente, li ha lasciati in balia degli eventi, ed è proprio questo che ha trasformato un incidente di sicurezza in una causa per responsabilità da 175 milioni di dollari. Stessa frode, esito opposto, deciso da una scelta politica anziché da una riga di codice.
| Fronte | PayPal | Cash App (prima del 2025) |
|---|---|---|
| Modello monetario | Con retro in cartoncino, reversibile | Da conto a conto, irreversibile |
| Quando la frode colpisce | Tutela acquirente/venditore, procedura di risoluzione delle controversie | Trattato come problema dell'utente |
| Rilevamento | Valutazione del rischio di apprendimento automatico in tempo reale | Limitato, prioritario per la crescita |
| Supporto antifrode | Procedura di richiesta di risarcimento (lenta ma reale) | Linea telefonica morta da anni |
| Documentazione normativa | Tasso di perdita pari a circa lo 0,08%, come riportato nei documenti depositati. | Ordine del CFPB da 175 milioni di dollari, sanzione statale da 80 milioni di dollari |
Come reagire a una frode dopo che si è verificata
L'individuazione è solo metà del lavoro; la risposta è l'altra metà che le autorità di regolamentazione valutano effettivamente. Quando un trasferimento non autorizzato sfugge ai controlli, il requisito legale per le app di pagamento statunitensi è il Regolamento E: indagare tempestivamente e risarcire l'utente se il trasferimento non era autorizzato. Ciò significa un'indagine seria, una persona reperibile e tempi stretti. La multa di 175 milioni di dollari inflitta a Cash App non aveva nulla a che fare con l'attacco hacker. Riguardava il modo in cui l'azienda ha risposto in seguito, o si è rifiutata di farlo. Bisogna costruire una risposta, non solo erigere un muro.
Tendenze in materia di frodi: verso dove si sta muovendo la prevenzione
La fase successiva è una corsa agli armamenti combattuta con la stessa arma da entrambe le parti. L'intelligenza artificiale generativa sta alimentando il vettore di attacco in più rapida crescita: Deloitte prevede che le perdite dovute a frodi abilitate dall'IA negli Stati Uniti aumenteranno da 12,3 miliardi di dollari nel 2023 a circa 40 miliardi di dollari entro il 2027, e le truffe basate sui deepfake raggiungeranno i miliardi di dollari nel 2025, secondo le stime del settore. La stessa tecnologia è anche alla base della migliore difesa. Il Nilson Report attribuisce all'IA la creazione dei modelli antifrode più efficaci che il settore delle carte di credito abbia mai avuto. Chi itera più velocemente vince la sfida, ed è proprio per questo che le difese statiche sono destinate al fallimento, mentre quelle adattive no.
Cosa significa questo per la prevenzione delle frodi nei pagamenti
La lezione che si può trarre da PayPal e Cash App non è "investire di più nella tecnologia". Entrambe hanno investito parecchio. La strategia vincente è mirata e poco appariscente: reversibilità, responsabilità e pochi controlli che si adattano invece di fingere. Fare scenografie costa meno, almeno finché un ente regolatore non impone una sanzione di 175 milioni di dollari. Quindi, confrontate i vostri sistemi con quelli sopra descritti e ponetevi l'unica domanda che conta. Se non siete in grado di annullare un trasferimento fraudolento o di rispondere al telefono quando un cliente viene derubato, non avete un sistema di prevenzione delle frodi nei pagamenti. Avete solo un logo.
