Abstract
Nel 2025, le truffe stanno cambiando anche grazie all’AI, diventano più sofisticate e, spesso, più difficili da riconoscere. Dal phishing e dalle sue varianti – smishing e vishing – ai finti investimenti finanziari promossi da siti clonati o testimonial digitali generati con l’intelligenza artificiale, fino alle truffe sentimentali e ai raggiri telefonici agli anziani, il panorama delle frodi è sempre più ampio e insidioso. L’articolo analizza le principali tipologie di truffa e le relative conseguenze legali, richiamando le sentenze più recenti e alcuni interventi di Consob e AGCM contro le pratiche abusive online.
Phishing, smishing e vishing: come funzionano le nuove truffe
Il phishing è una delle truffe informatiche più insidiose e diffuse. Si presenta sotto forma di email o SMS apparentemente legittimi – provenienti da banche, enti pubblici o servizi noti – che, con toni allarmistici e richieste urgenti, spingono l’utente a fornire dati sensibili o credenziali di accesso.
- Se il messaggio arriva via SMS, si parla di smishing;
- se la truffa avviene per telefono, si parla invece di vishing.
Dietro queste comunicazioni si nascondono veri e propri attacchi fraudolenti, mascherati da comunicazioni ufficiali, con loghi e linguaggio credibili.
Un solo clic può bastare per svuotare un conto online o per utilizzare un profilo violato in attività illecite.
Ad esempio, una recente campagna segnalata dall’ACN ha diffuso email in inglese che imitavano un avviso di scadenza password per account aziendali Microsoft, con tanto di link a un sito clone di Outlook. Inserendo username e password nel form fittizio, i dati venivano direttamente acquisiti dai truffatori (fonte: Phishing – CSIRT Toscana – 28 luglio 2025).
Da un punto di vista legale, il phishing e le sue varianti configurano più reati. In primis, si applica il reato di truffa (art. 640 c.p.), che punisce chi ottiene un profitto con l’inganno. Ma quando la frode avviene tramite sistemi digitali, subentra la frode informatica (art. 640-ter c.p.), che sanziona chi, “alterando il funzionamento di un sistema informatico o intervenendo senza diritto su dati, informazioni o programmi”, ottiene un ingiusto profitto con altrui danno.
Se viene utilizzata l’identità digitale di un’altra persona, si configura anche un’aggravante, mentre nel caso di impersonificazione – ad esempio di un impiegato bancario, come accade spesso nel vishing – si integra il reato di sostituzione di persona (art. 494 c.p.), punito anche con la reclusione.
Inoltre, la Corte di Cassazione ha chiarito che, nel caso di truffe online, può essere applicata l’aggravante della minorata difesa della vittima (art. 61 n.5 c.p.) per via della difficoltà di verificare l’identità dell’interlocutore nei contesti digitali (Cfr. Corte di Cassazione – Sez. II Pen. – Sent. n. 16375 data ud. 20/03/2024 con commento su diritto.it). In questi casi, i reati diventano procedibili d’ufficio, cioè perseguiti automaticamente dalle autorità, anche in assenza di querela.
Anche le banche e gli operatori finanziari possono essere ritenuti responsabili per i danni causati dal phishing, se non adottano sistemi di sicurezza adeguati. In tal senso è significativa la sentenza del Tribunale di Roma, Sez. XVI, 1 febbraio 2025, n. 1656, che ha condannato un istituto di credito per non aver impedito una truffa da oltre 115.000 euro ai danni di una correntista vittima di smishing, vishing e spoofing.
Secondo il Tribunale, la banca non aveva attivato misure di protezione “attive”, limitandosi a semplici raccomandazioni via email. Inoltre, non aveva reagito a segnali di allarme evidenti, come bonifici sospetti e tentativi ripetuti di accesso. In base al D.lgs. 11/2010, gli istituti di credito devono dimostrare di aver adottato sistemi di autenticazione forti e che il cliente abbia agito con dolo o colpa grave. In mancanza di tale prova, scatta l’obbligo di risarcire integralmente il danno subito.
La sentenza ribadisce che non è colpa della vittima se si fida di un numero telefonico apparentemente riconducibile alla propria banca: ciò eccede la normale diligenza richiesta a un utente medio, soprattutto se il raggiro è supportato da tecniche sofisticate.
Ma le conseguenze non finiscono qui: il phishing può comportare anche violazioni in materia di privacy con intervento diretto del Garante (vedi anche: Phishing – Garante Privacy).
Investimenti, “guadagni facili” e testimonial artificiali
Non tutte le frodi online puntano a rubare dati bancari o credenziali. Una categoria sempre più diffusa riguarda gli investimenti fasulli, offerti attraverso siti di trading non autorizzati, schemi Ponzi o sistemi multilevel che promettono guadagni straordinari senza rischio.
Tra i settori più colpiti figurano il forex, le criptovalute e le opzioni binarie, ambiti in cui i truffatori riescono spesso a clonare l’identità visiva di società legittime, o persino a sfruttare l’immagine di personaggi pubblici per dare credibilità alle proprie offerte. Si era parlato molto del caso, riportato da Federprivacy (11 febbraio 2025), in cui la foto del Ministro dell’Economia era stata utilizzata per promuovere falsi investimenti online: un episodio che ha concretizzato “tutte le preoccupazioni sull’uso criminale dell’intelligenza artificiale”.
Nel comunicato stampa del 6 novembre 2025, la Consob ha annunciato un “nuovo intervento per oscurare i siti-clone che diffondevano video contraffatti, apparentemente riferibili alla Presidente del Consiglio Giorgia Meloni e al Ministro dell’Economia Giancarlo Giorgetti”, utilizzati per pubblicizzare abusivamente piattaforme di trading come Avenixio e Tegsub. Secondo l’Autorità, il clone del Ministro “faceva pubblicità, attraverso finte interviste apparentemente rilasciate a primarie trasmissioni televisive, a servizi di investimento prestati tramite piattaforme abusive di trading”.
L’oscuramento, disposto con le delibere n. 23738 e 23739 del 5 novembre 2025, è stato adottato “a tutela dei risparmiatori e delle figure istituzionali indebitamente coinvolte, del tutto estranee alla vicenda”, nell’esercizio dei poteri conferiti dal Decreto Crescita (L. 58/2019) e dalla Legge Capitali (L. 21/2024).
Con questo intervento, il numero totale dei siti oscurati dal 2019 ha raggiunto 1.478, a conferma della dimensione sistemica del fenomeno e della centralità del potere di blocco nel contrasto all’abusivismo finanziario.
Nel medesimo comunicato, la Consob ha richiamato “l’attenzione dei risparmiatori sull’importanza di usare la massima diligenza al fine di effettuare in piena consapevolezza le scelte di investimento”, adottando “comportamenti di comune buon senso, imprescindibili per salvaguardare il proprio risparmio”.
Tra questi, l’Autorità raccomanda la verifica preventiva che “l’operatore tramite cui si investe sia autorizzato” e che, per i prodotti finanziari o cripto-attività, “sia stato pubblicato il prospetto informativo o il white paper”.
A tal fine, ricorda che sul proprio sito è disponibile la sezione “Occhio alle truffe!”, con informazioni e avvisi aggiornati per evitare le iniziative finanziarie abusive.
Promuovere investimenti senza autorizzazione è vietato dalla legge. Oltre alle sanzioni amministrative previste dal TUF (D.lgs. 58/1998), se la condotta inganna sistematicamente gli investitori, si configura il reato di truffa (art. 640 c.p.), punibile fino a 5 anni di reclusione. Se il raggiro coinvolge più persone o utilizza mezzi di comunicazione di massa, può essere contestata la truffa aggravata; nei casi più complessi, anche l’associazione per delinquere.
Le vittime, spesso, non riescono a recuperare i fondi trasferiti su conti esteri o in criptovalute non tracciabili, motivo per cui la prevenzione resta l’unico vero scudo. Ma quando il danno è già avvenuto, la legge offre strumenti concreti di tutela, anche collettiva.
Truffe sentimentali e furto di identità online
Tra le frodi digitali, le truffe sentimentali – o romance scam – occupano un posto a sé. In questi casi, il truffatore sfrutta i sentimenti e la fiducia della vittima, costruendo un legame affettivo fittizio a fini di lucro.
Il meccanismo è tanto semplice quanto devastante: viene creato un profilo falso su un social network o su un sito di incontri, spesso rubando foto e identità di persone ignare, per apparire credibile e avviare una relazione virtuale con la vittima.
Dopo settimane o mesi di attenzioni, il finto partner formula una richiesta di denaro, giustificandola con pretesti drammatici – malattie improvvise, incidenti, viaggi bloccati o investimenti urgenti.
Naturalmente, è tutto falso: una volta ricevuto il bonifico, l’“innamorato” scompare, lasciando la vittima non solo con un danno economico, ma anche con un profondo trauma emotivo.
Sul piano legale, le truffe sentimentali integrano il reato di truffa (art. 640 c.p.), con aggravante se la vittima si trova in una condizione di vulnerabilità psicologica o affettiva. La creazione di profili falsi con immagini o dati altrui, invece, rientra nel furto d’identità digitale: in assenza di una norma dedicata, tali condotte vengono punite attraverso il combinato disposto tra sostituzione di persona (art. 494 c.p.) e frode informatica (art. 640-ter c.p.), a seconda delle modalità e dello scopo perseguito.
La giurisprudenza ha chiarito che non è necessario utilizzare il nome reale di un’altra persona per configurare il reato: è sufficiente appropriarsi della sua immagine – ad esempio, impiegando una foto su un profilo “fake” – perché scatti la tutela penale.
Chi pratica il cosiddetto catfishing, dunque, commette un illecito anche se non trae un profitto immediato. Oltre alla via penale, le vittime dispongono di strumenti di tutela civile e amministrativa.
È possibile, ad esempio, presentare reclamo al Garante per la Protezione dei Dati Personali per chiedere la rimozione dei propri dati o immagini dai social network, invocando le norme del GDPR in materia di cancellazione dei dati personali. L’uso non consensuale dei dati o delle foto di una persona integra, infatti, un illecito trattamento di dati personali, sanzionabile anche in via amministrativa.
In sintesi, le truffe sentimentali rappresentano un pericoloso intreccio tra criminalità informatica e violazione della privacy.
Dietro una foto perfetta o un messaggio troppo romantico potrebbe celarsi un criminale esperto di manipolazione psicologica e tecniche digitali avanzate.
Il “finto nipote”, raggiri telefonici e altri inganni
Non tutte le truffe sfruttano Internet: alcune delle più insidiose viaggiano ancora sulla linea telefonica. In Italia fanno regolarmente cronaca i casi di truffe agli anziani, considerate tra i reati più odiosi perché colpiscono persone spesso fragili e sole (Cfr. Truffe agli anziani – Il Giorno – 14 ottobre 2025).
Lo schema classico è quello del “finto nipote”: il truffatore telefona fingendosi un parente o un familiare in difficoltà. Con voce concitata racconta di un incidente o di un’urgenza e chiede denaro immediato per risolvere il problema, promettendo che passerà un amico o, addirittura, un avvocato a ritirare la somma.
In altre varianti, il copione è quello del “pacco da ritirare”: il finto nipote chiama sostenendo che sta per arrivare un pacco e chiede di anticipare il pagamento al corriere, inviando poi un complice a casa dell’anziano.
Da un punto di vista giuridico, ogni episodio costituisce truffa (art. 640 c.p.), quasi sempre aggravata dall’approfittamento dell’età avanzata e della minorata difesa della vittima – circostanza che rende il reato procedibile d’ufficio. Se il truffatore si spaccia per pubblico ufficiale, può inoltre rispondere del reato di usurpazione di titoli o funzioni (art. 498 c.p.).
Questi episodi mostrano che non servono tecnologie sofisticate per delinquere: basta una storia ben congegnata e la fragilità della vittima.
Le truffe online, però, sfruttano anche desideri più diffusi dei cittadini. Negli ultimi anni si sono moltiplicati i casi di e-commerce fasulli, piattaforme che vendono beni o servizi inesistenti a prezzi irresistibili.
L’Autorità Garante della Concorrenza e del Mercato (AGCM), in collaborazione con la Polizia Postale e la Guardia di Finanza, può disporre il sequestro dei domini web e l’oscuramento DNS dei siti truffaldini, per evitare ulteriori raggiri.
Quando un sito vende prodotti o servizi inesistenti, si configura una pratica commerciale scorretta ai sensi del Codice del Consumo (D.lgs. 206/2005) – di competenza dell’AGCM – e, allo stesso tempo, una truffa penalmente rilevante.
L’AGCM può imporre sanzioni amministrative molto elevate per violazione degli artt. 20–27 del Codice del Consumo (pratiche ingannevoli) e disporre l’oscuramento del sito per tutelare i consumatori.
Spesso però, dietro questi portali si celano società di comodo estere, rendendo complesso identificare i responsabili e recuperare le somme perdute.
In caso di individuazione dei colpevoli, si procede per truffa aggravata, con possibili reati accessori come falsi documentali o riciclaggio dei proventi illeciti.
Per difendersi, i consumatori devono imparare a riconoscere i segnali d’allarme più evidenti:
- prezzi troppo bassi rispetto al mercato;
- assenza di indirizzo fisico o Partita IVA sul sito;
- richiesta di pagamento anticipato solo con bonifico estero;
- mancanza di recensioni verificabili o condizioni contrattuali poco chiare.
L’AGCM ha pubblicato un decalogo per gli acquisti sicuri online, che consiglia – tra l’altro – di controllare sempre i dati del venditore, diffidare degli sconti eccessivi e preferire metodi di pagamento tracciabili e garantiti.
Capita a chiunque di essere truffato, di fidarsi troppo o di abbassare la guardia per un attimo. Non è segno di ingenuità, ma di umanità.
Ciò che conta è non restare soli: parlarne con familiari, con le autorità o con un legale di fiducia è il primo passo per reagire, interrompere la spirale della vergogna e del silenzio, e – quando possibile – ottenere giustizia e tutela.
© Canella Camaiora S.t.A. S.r.l. - Tutti i diritti riservati.
Data di pubblicazione: 14 Novembre 2025
È consentita la riproduzione testuale dell’articolo, anche a fini commerciali, nei limiti del 15% della sua totalità a condizione che venga indicata chiaramente la fonte. In caso di riproduzione online, deve essere inserito un link all’articolo originale. La riproduzione o la parafrasi non autorizzata e senza indicazione della fonte sarà perseguita legalmente.
Arlo Canella
Managing & founding partner, avvocato del Foro di Milano e cassazionista, responsabile formazione e ricerca indipendente dello Studio CC®.