La crescita delle frodi nei pagamenti digitali e i limiti della PSD2

di Davide De Nittis, Partner di Excellence Edge, e Davide Olivieri, Manager di Excellence Payments

I pagamenti digitali sono oggi parte integrante della vita quotidiana di famiglie e imprese. Carte, bonifici e wallet digitali consentono transazioni sempre più rapide, semplici e accessibili, contribuendo alla costituzione di un ecosistema dei pagamenti digitali europeo solido e affidabile. 

I dati del Rapporto Banca d’Italia sulle operazioni di pagamento fraudolente – I semestre 2025 mostrano come il fenomeno delle frodi resti complessivamente sotto controllo: 12 operazioni fraudolente ogni centomila transazioni (0,012%) e 3 euro ogni centomila euro transati (0,003%). 

Questi numeri, tuttavia, non devono far pensare che il rischio sia diminuito. Al contrario, le frodi stanno cambiando natura e diventando progressivamente più sofisticate, sfruttando la crescente digitalizzazione dei pagamenti e tecniche di manipolazione del cliente sempre più evolute. 

Infatti, nel primo semestre del 2025 i bonifici hanno concentrato oltre 81 milioni di euro di frodi, mentre i bonifici istantanei presentano livelli di rischio sensibilmente più elevati rispetto a quelli ordinari (0,043% contro 0,002%). Anche gli altri strumenti di pagamento mostrano dinamiche analoghe: i pagamenti con moneta elettronica, in particolare le carte prepagate, registrano tassi di frode più elevati rispetto alle altre carte e in crescita rispetto allo stesso semestre dell’anno precedente (0,031% in valore). 

Le operazioni a distanza (e-commerce) restano inoltre più esposte rispetto ai pagamenti effettuati presso POS fisico: per le carte il tasso di frode raggiunge lo 0,065%, contro lo 0,006% delle operazioni in presenza. 

Queste dinamiche emergono chiaramente anche dall’analisi dei dati per strumento di pagamento: mentre i bonifici concentrano il maggior valore economico delle frodi, le carte di pagamento e la moneta elettronica registrano un’incidenza più elevata in termini di numero di operazioni fraudolente, come mostrato nelle Figure 1 e 2. 

Il cambiamento più rilevante riguarda però la natura delle frodi: nei bonifici il 74% del valore deriva da pagamenti autorizzati dal cliente ma indotti da manipolazione, attraverso tecniche di ingegneria sociale come phishing, spoofing o falsi investimenti. 

Questa evoluzione evidenzia il limite della PSD2 (Payment Services Directive 2). La Strong Customer Authentication (SCA) ha rafforzato la sicurezza dell’accesso ai conti, ma non sempre riesce a bloccare pagamenti autorizzati in buona fede dal cliente. 

È anche per rispondere a questa mutata natura del rischio frodi che l’Unione Europea ha introdotto il nuovo pacchetto normativo composto da PSD3 (Payment Services Directive 3) e PSR (Payment Services Regulation), con l’obiettivo di rafforzare la prevenzione delle frodi e adattare il quadro regolamentare alla nuova realtà dei pagamenti digitali. In questo senso, la PSD3 non rappresenta una rivoluzione, ma piuttosto una naturale maturazione del quadro regolatorio, pensata per rispondere alla crescente sofisticazione delle minacce digitali e rafforzare la fiducia dei consumatori nell’ecosistema dei pagamenti digitali. 

Perché l’Unione Europea ha introdotto PSD3 e PSR 

Nel giugno 2023 la Commissione Europea ha presentato un nuovo pacchetto normativo composto dalla Direttiva PSD3 (COM(2023) 366 final) e dal Payment Services Regulation – PSR (COM(2023) 367 final), con l’obiettivo di aggiornare il quadro regolamentare dei pagamenti. 

L’adozione definitiva del pacchetto è attesa tra fine 2027 e inizio 2028. Dopo la pubblicazione in Gazzetta Ufficiale, il PSR, essendo un regolamento direttamente applicabile, entrerà in vigore entro circa 18 mesi, mentre la PSD3 dovrà essere recepita dagli Stati membri entro un termine compreso tra 18 e 24 mesi. 

La PSD3 aggiorna la disciplina su governance, sicurezza, autorizzazione e responsabilità dei prestatori di servizi di pagamento, rafforzando la tutela dei clienti e la cooperazione tra operatori. Il PSR introduce invece regole uniformi a livello europeo in materia di trasparenza, prevenzione delle frodi, gestione dei reclami e ripartizione delle responsabilità. 

Nel loro insieme, PSD3 e PSR segnano un’evoluzione significativa nell’approccio alla sicurezza dei pagamenti digitali. Il nuovo quadro normativo interviene in particolare su quattro direttrici principali: 

1.     Dall’autenticazione forte alla prevenzione sistemica delle frodi 

2.     Maggiore cooperazione e condivisione delle informazioni tra prestatori di servizi di pagamento 

3.     L’evoluzione della Strong Customer Authentication dalla PSD2 alla PSD3 

4.     Responsabilità più chiare e ripartizione delle perdite in caso di frode 

1.     Dall’autenticazione forte alla prevenzione sistemica delle frodi 

Una delle principali innovazioni introdotte dalla PSD3 riguarda il trattamento delle APP fraud (Authorized Push Payment fraud), ovvero frodi in cui il cliente autorizza un pagamento dopo essere stato manipolato da un truffatore. 

Queste frodi, che sotto la PSD2 rappresentavano in larga parte un vuoto normativo, vengono ora affrontate con strumenti più chiari che spostano l’attenzione non più solo sulla correttezza formale dell’autenticazione, ma sulla capacità complessiva dei PSP (Payment Service Provider) di prevenire e intercettare le frodi prima che il pagamento venga eseguito. 

Il PSR introduce l’obbligo di rimborso per le vittime, salvo casi di grave negligenza da parte del cliente, e ridefinisce la responsabilità dei prestatori di servizi di pagamento, spingendoli a dimostrare di aver adottato misure preventive adeguate. 

Gli esempi di APP fraud che hanno spinto l’intervento normativo sono numerosi: dalle frodi da “finto fornitore”, in cui un’azienda paga su coordinate bancarie comunicate fraudolentemente; alle finte opportunità di investimento con promesse di rendimenti elevati; fino allo spoofing telefonico, dove appare il numero della banca e il cliente viene indotto a trasferire i fondi su conti dei criminali. In tutti i casi, il tratto comune è l’assenza di un controllo preventivo capace di bloccare il pagamento prima che la frode si perfezioni. 

Un ulteriore elemento riguarda l’obbligo di verifica del beneficiario. Il meccanismo, già previsto per i bonifici istantanei con l’introduzione del VOP (Verification of Payee) nell’ottobre 2025, viene rafforzato dal PSR e integrato tra i controlli antifrode sui bonifici. Prima dell’esecuzione di un pagamento, il PSP dell’ordinante dovrà verificare la corrispondenza tra IBAN e nome del beneficiario e, in caso di discrepanza, informare chiaramente il cliente. 

La prevenzione delle frodi diventa quindi un obiettivo sistemico, che coinvolge tecnologia, processi, cooperazione tra operatori e tutela dell’utente finale. 

2.     Maggiore cooperazione e condivisione delle informazioni tra prestatori di servizi di pagamento 

Accanto al rafforzamento dei controlli preventivi, la PSD3 introduce un deciso potenziamento della cooperazione tra i prestatori di servizi di pagamento (PSP), riconoscendo che il contrasto alle frodi non può più essere efficace se gestito in modo isolato dai singoli operatori. In un contesto sempre più digitale e interconnesso, infatti, gli schemi fraudolenti tendono a replicarsi rapidamente tra diversi intermediari e Paesi, sfruttando le asimmetrie informative e i tempi di reazione non coordinati. Per questo motivo, il nuovo quadro normativo promuove una logica di “ecosistema”, in cui le informazioni rilevanti sui tentativi di frode, sugli incidenti operativi e sui comportamenti sospetti possano essere condivise in modo strutturato e tempestivo tra gli operatori. 

In questo scenario, il PSR fornisce una base giuridica chiara per lo scambio di informazioni antifrode, garantendo al contempo il rispetto delle normative in materia di protezione dei dati personali, come il GDPR. L’obiettivo è duplice: da un lato, prevenire la diffusione degli stessi schemi fraudolenti su più PSP, aumentando la capacità di intercettazione precoce; dall’altro, creare un sistema più resiliente e coordinato a livello europeo, in cui la sicurezza non dipenda solo dalle singole contromisure adottate, ma dalla qualità della collaborazione tra gli attori coinvolti. Questa evoluzione segna il passaggio da un approccio reattivo e frammentato a un modello proattivo e condiviso di gestione del rischio frodi. 

3.     L’evoluzione della Strong Customer Authentication dalla PSD2 alla PSD3 

La Strong Customer Authentication, pur restando centrale, viene ripensata in chiave più flessibile e contestuale. Le nuove disposizioni della PSD3 aggiornano l’articolo 97 della PSD2, introducendo strumenti di autenticazione basati sul rischio e integrando sistemi di monitoraggio del comportamento dell’utente, del dispositivo utilizzato, del contesto della transazione e della sua coerenza con le abitudini precedenti. Questo approccio consente di ridurre l’attrito per l’utente nelle operazioni a basso rischio, rafforzando al contempo i controlli sulle transazioni sospette. La combinazione di SCA avanzata e monitoraggio in tempo reale rappresenta una delle innovazioni più importanti per il contrasto alle frodi e per l’ottimizzazione della user experience. 

Dal punto di vista tecnologico, il pacchetto PSD3-PSR spinge verso l’adozione di soluzioni avanzate di prevenzione delle frodi. Sistemi di IA e machine learning permettono di individuare pattern anomali in tempo reale, analizzando grandi volumi di dati transazionali e comportamentali. Tecniche come il device fingerprinting, la biometria comportamentale e il monitoraggio continuo delle sessioni consentono di rilevare segnali deboli che, presi singolarmente, potrebbero sembrare innocui, ma che nel loro insieme indicano un rischio elevato di frode. L’obiettivo non è solo bloccare le operazioni fraudolente, ma intervenire prima che il cliente le completi. 

4.     Responsabilità più chiare e ripartizione delle perdite in caso di frode 

La ridefinizione delle responsabilità in caso di frode costituisce un ulteriore punto di svolta. La PSD3 chiarisce il ruolo del PSP dell’ordinante, di quello del beneficiario e dell’utente finale, evitando che le perdite ricadano automaticamente sul cliente quando i segnali di rischio erano intercettabili o i controlli inadeguati. Questo principio di responsabilità condivisa rafforza l’importanza della prevenzione e stimola investimenti in sistemi di sicurezza più avanzati. 

Gli impatti non si limitano alle banche tradizionali. La PSD3 influenza anche fintech, TPP (Third Party Provider), AIS (Account Information Service) e PIS (Payment Initiation Service), imponendo requisiti di governance, controlli interni e sicurezza più stringenti. Se da un lato questi obblighi comportano nuovi costi operativi, dall’altro contribuiscono a rafforzare la fiducia nell’ecosistema dell’open banking e a creare basi più solide per lo sviluppo di nuovi servizi digitali. I PSP saranno chiamati a integrare in modo sistematico dati, tecnologia e processi, utilizzando strumenti di IA e machine learning per identificare pattern sospetti e prevenire frodi in tempo reale. 

La normativa non si limita a prescrivere obblighi tecnici, ma richiede anche una maggiore educazione e consapevolezza del cliente. Gli utenti devono ricevere informazioni chiare sui rischi di frode, essere avvisati in caso di transazioni anomale e comprendere i propri diritti in caso di pagamento fraudolento. Questi aspetti sono richiamati sia nella PSD3 sia nel PSR, evidenziando come la tutela del consumatore sia parte integrante della strategia europea contro le frodi. 

Conclusioni: dalla compliance alla fiducia nel mercato dei pagamenti 

Nel complesso, il quadro normativo PSD3–PSR segna una trasformazione significativa nel mercato europeo dei pagamenti. La lotta alle frodi non è più affidata a misure isolate, ma diventa un processo sistemico basato sulla prevenzione, sulla cooperazione tra operatori e sulla responsabilità condivisa. Per banche, fintech e prestatori di servizi di pagamento, il nuovo quadro normativo rappresenta un’opportunità, che il settore non può permettersi di lasciarsi sfuggire, per rafforzare la sicurezza, aumentare la fiducia dei clienti e consolidare la competitività sul mercato digitale europeo. L’adeguamento al pacchetto regolamentare richiederà, da parte dei PSP e delle banche, investimenti in innovazione tecnologica e nella revisione dei processi, ma costituirà anche un elemento distintivo per chi saprà coniugare sicurezza e user experience in modo efficace.