Addebiti non autorizzati e truffe: diritti del consumatore
Le frodi con carta di credito rappresentano una delle minacce più diffuse ai danni dei consumatori italiani nel 2026. Secondo i dati dell'Osservatorio Nazionale Antifrode della Banca d'Italia, nel 2025 sono state registrate oltre 2,3 milioni di operazioni fraudolente su carte di credito e debito, con un incremento del 18% rispetto all'anno precedente. Il valore totale delle frodi è stato stimato in 1,8 miliardi di euro, a fronte di una diminuzione dei rimborsi alle vittime.
Questa guida fornisce un quadro completo dei diritti del consumatore italiano in materia di frodi bancarie, alla luce della normativa vigente nel 2026. Affronteremo le tipologie di frode più comuni, il quadro normativo italiano ed europeo, le responsabilità di consumatori e istituti bancari, e i rimedi disponibili per tutelare i propri diritti.
La disciplina principale delle frodi con strumenti di pagamento in Italia è contenuta nel Decreto Legislativo 11/2010, che recepisce la Direttiva europea 2007/64/CE sulla prestazione di servizi di pagamento (PSD). Questo decreto è stato successivamente modificato dal D.Lgs. 218/2017, che recepisce la Direttiva PSD2 (2015/2366/UE), entrata pienamente in vigore il 31 dicembre 2020.
La PSD2 ha introdotto requisiti di sicurezza significativamente più rigidi, in particolare l'autenticazione forte (SCA – Strong Customer Authentication), obbligatoria per tutte le transazioni online di importo superiore a 30 euro, salvo eccezioni specifiche (pagamenti ricorrenti, transazioni a basso rischio).
Lo sapevi? L'autenticazione forte (SCA) richiede almeno due fattori di verifica: qualcosa che conosci (password), qualcosa che hai (telefono) o qualcosa che sei (dati biometrici).
Il Decreto Legislativo 206/2005 (Codice del Consumo) stabilisce le tutele generali per i consumatori, incluse quelle relative ai servizi finanziari. La normativa prevede esplicitamente che il consumatore ha diritto a una comunicazione chiara sui rischi e sulle modalità di utilizzo degli strumenti di pagamento.
La Banca d'Italia, nel corso del 2025-2026, ha aggiornato le proprie linee guida sulla prevenzione delle frodi, introducendo obblighi specifici per gli istituti bancari in merito alla rilevazione di comportamenti anomali, alla comunicazione tempestiva dei casi sospetti e alla gestione dei reclami. Le banche hanno l'obbligo di implementare sistemi di monitoraggio basati su intelligenza artificiale entro il 30 giugno 2026.
Le transazioni non autorizzate rappresentano la forma più comune di frode. Si tratta di operazioni effettuate senza il consenso del titolare della carta, utilizzando i dati della carta (numero, data di scadenza, CVV) o i dati di accesso al conto.
Come si verifica: Il fraudatore utilizza i dati della carta in suo possesso per effettuare pagamenti online, in negozio (presso terminali POS compatibili con transazioni contactless) o telefono. Nel 2026, circa il 65% delle transazioni fraudolente riguarda l'e-commerce.
L'Account Takeover si verifica quando un criminale accede illegittimamente al conto bancario online della vittima modificandone le credenziali di accesso e i dati di contatto. Una volta ottenuto il controllo, il fraudatore può effettuare trasferimenti, richiedere prestiti o effettuare pagamenti.
Segnali di pericolo: cambio della password senza vostra autorizzazione, mancata ricezione di SMS/notifiche push, modifica del numero di telefono associato al conto, movimenti insoliti sul conto.
Il phishing è una tecnica di ingegneria sociale mediante la quale il criminale invia email, SMS o crea siti web falsi che imitano quelli della banca, chiedendo al consumatore di inserire username, password, CVV o altri dati sensibili. Nel 2026, le campagne di phishing hanno raggiunto sofisticazione molto elevata, con utilizzo di deepfake audio e video.
Statistiche 2026: Secondo il Cybersecurity National Report italiano, il 42% dei tentativi di frode bancaria inizia con un email di phishing. Le banche stimate come obiettivi principali è cresciuta del 27% rispetto al 2025.
Attenzione La tua banca non ti chiederà mai dati sensibili via email, SMS o telefono. Se ricevi una comunicazione sospetta, contatta direttamente la banca dal numero ufficiale prima di fornire qualsiasi informazione.
Il vishing è una variante del phishing che utilizza la telefonia. Il truffatore si spaccia per un operatore bancario, affermando che il conto è stato compromesso e chiedendo di fornire dati sensibili per "verificare l'identità". Nel 2026, è stata rilevata un'ondata significativa di vishing, in particolare rivolta a consumatori over 65.
Lo smishing (SMS phishing) consiste nell'invio di SMS fraudolenti che fingono provenire dalla banca, spesso con link a siti fake. Il messaggio tipicamente afferma che il conto è stato bloccato o che c'è un'attività sospetta, inducendo il consumatore a cliccare sul link e fornire dati.
| Parametro | Valore 2025 | Valore 2026 | Variazione % |
|---|---|---|---|
| Numero transazioni fraudolente | 1.945.000 | 2.301.000 | +18,3% |
| Importo medio frode (euro) | 680 | 720 | +5,9% |
| Valore totale frodi (milioni) | 1.323 | 1.657 | +25,3% |
| Percentuale reclami risolti | 73% | 76% | +4,1% |
| Tempo medio rimborso (giorni) | 12 | 8 | -33,3% |
| Frodi carte di credito vs debito | 58% vs 42% | 62% vs 38% | +6,9% |
| Frodi e-commerce vs negozio fisico | 68% vs 32% | 71% vs 29% | +4,4% |
Fonte: Osservatorio Nazionale Antifrode – Banca d'Italia, Rapporto annuale 2026.
Secondo l'articolo 13 del D.Lgs. 11/2010, la responsabilità del consumatore per transazioni non autorizzate è limitata a un massimo di 50 euro, a condizione che:
Nel 2026, la Banca d'Italia ha specificato che se la banca non ha applicato l'autenticazione forte (SCA) per una transazione online di importo superiore a 30 euro, la responsabilità ricade interamente sulla banca stessa. Il consumatore non è responsabile per nessun importo in questo caso, indipendentemente dalla sua diligenza.
Questa regola rappresenta un cambio significativo nel 2026, in seguito a diversi contenziosi vinti dai consumatori presso l'Arbitro Bancario Finanziario.
Consiglio Abilita le notifiche push dalla tua app bancaria per ricevere avvisi istantanei su ogni transazione. Questo ti permette di individuare attività sospette in pochi secondi e bloccare la carta prima che il danno si aggravi.
In caso di transazione non autorizzata, l'istituto bancario ha l'obbligo di rimborsare integralmente l'importo al consumatore, salvo prova che il consumatore ha agito con dolo o negligenza grave (articolo 14 del D.Lgs. 11/2010).
Le guide Moneyside hanno carattere educativo e informativo. Non costituiscono consulenza finanziaria, legale o fiscale ai sensi del D.Lgs. 58/1998 (TUF) e della Direttiva MiFID II. Verifica sempre le informazioni con fonti ufficiali o un professionista qualificato.