Una nuova normativa europea sui pagamenti (PSD3/PSR) vuole spostare la responsabilità delle frodi online dalle vittime alle piattaforme e alle banche. Ma tra resistenze delle Big Tech e limiti normativi, dubbi e critiche restano aperti
La crescente diffusione delle truffe online non è più un fenomeno marginale ma un problema strutturale che impatta profondamente sulla fiducia dei consumatori e sull’economia digitale. Nel 2024 oltre l’80% degli utenti Internet ha incontrato almeno un tentativo di truffa nel corso delle proprie attività online, mentre si stimano perdite globali da frodi digitali vicine per un valore di circa 44 miliardi di dollari, con una proiezione che potrebbe superare i 100 miliardi entro il 2029, secondo lo studio “eCommerce Fraud to Exceed $107 Billion in 2029” di Juniper Research.
Le tecniche di inganno sono molteplici: phishing via e-mail o messaggi falsi, annunci pubblicitari ingannevoli con volti di celebrità, offerte di investimento “troppo belle per essere vere”, e link a pagine fraudolente che imitano siti legittimi. Queste trappole sfruttano spesso la sorpresa o la distrazione dell’utente, riuscendo a convincere anche persone con una discreta familiarità con il Web. I criminali digitali restano, poi, in gran parte irreperibili, mentre chi subisce la perdita economica si trova spesso solo ad affrontare le conseguenze.
Fino ad oggi, in base alla normativa europea PSD2 (Second Payment Services Directive), la responsabilità delle frodi nei pagamenti è ricaduta perlopiù sui consumatori, specie nei casi di manipolazione psicologica che inducono l’utente a autorizzare bonifici o transazioni fraudolente. In tali situazioni, infatti, le banche e i prestatori di servizi di pagamento (PSP) hanno potuto rifiutare il rimborso sostenendo che l’intestatario del conto ha agito volontariamente.
Un cambiamento significativo però è all’orizzonte con l’accordo raggiunto il 27 novembre 2025 tra Parlamento europeo e Consiglio dell’Unione sul pacchetto composto dalla Terza Direttiva sui Servizi di Pagamento (PSD3) e dal nuovo Payment Services Regulation (PSR). Questa nuova disciplina, ancora da recepire formalmente nei testi legislativi e con un periodo di transizione previsto, introduce per la prima volta un meccanismo volto a spostare la responsabilità economica delle frodi verso le banche e le piattaforme digitali, riducendo così l’onere sui consumatori vittime di raggiri online.
Nello specifico, secondo l’accordo politico, le banche dovranno rimborsare i clienti vittime di determinate frodi, in particolare nei casi in cui un truffatore si spaccia per l’istituto di credito stesso o induce il consumatore a effettuare un pagamento fraudolento. Solo dopo aver rimborsato il cliente, il PSP potrà rivalersi sulle piattaforme online (social network, marketplace, motori di ricerca, ecc.) che avrebbero ospitato o non rimosso tempestivamente contenuti fraudolenti noti. In altri termini, la responsabilità economica viene trasferita a chi gestisce gli spazi digitali dove le frodi prendono forma e diffusione.
L’idea alla base di questa nuova architettura è duplice: da una parte, responsabilizzare gli operatori finanziari ad adottare maggiori controlli antifrode; dall’altra, sottoporre le grandi piattaforme digitali a obblighi più stringenti di moderazione dei contenuti e rimozione delle inserzioni ingannevoli o fraudolente. Il quadro normativo mira a creare una sorta di “catena di responsabilità” che coinvolge banche, PSP e big tech nel processo di tutela dei consumatori digitali.
Questa trasformazione normativa è spesso descritta come un’estensione sostanziale del Digital Services Act (DSA), che imponeva già alle grandi piattaforme obblighi di trasparenza e moderazione dei contenuti illegali. PSD3 e PSR aggiungono a questo quadro una responsabilità economica, non soltanto formale, nei confronti delle frodi che proliferano sulle piattaforme digitali.
Tuttavia, non tutti gli osservatori ritengono che la riforma sia risolutiva. Alcune analisi critiche sottolineano che, nella pratica, la nuova responsabilità potrebbe risultare limitata: infatti, se una banca non rimborsa il cliente in primo luogo, la piattaforma digitale potrebbe non essere mai chiamata a rispondere. Inoltre, poiché la norma si concentra tematicamente sulla frode legata all’impersonificazione bancaria, altre forme di truffe – come quelle legate a investimenti fasulli o a promesse di guadagni irrealistici – restano potenzialmente fuori dall’ambito di applicazione diretto della responsabilità delle piattaforme.
Dal lato delle Big Tech, è stata espressa forte preoccupazione per il rischio che una simile responsabilità possa creare un onere eccessivo per chi gestisce servizi digitali su larga scala. Il rischio è quello di scoraggiare l’innovazione o portare a un aumento dei costi operativi per le piattaforme stesse.
I difensori dei consumatori, invece, accolgono con favore questa evoluzione, auspicando che spostare la responsabilità economica verso le istituzioni finanziarie e le piattaforme possa finalmente correggere lo squilibrio attuale, dove la stragrande maggioranza delle perdite deriva da frodi di social engineering e viene sostenuta quasi interamente dagli utenti.
