Con la Comunicazione dell’8 giugno 2026, l’Unità di Informazione Finanziaria per l’Italia ha aggiornato gli elementi di attenzione relativi alle operatività connesse a truffe, frodi agevolate dalla tecnologia, money muling e altri reati informatici.
Il documento non è rivolto direttamente ai consumatori, ma assume un rilievo pratico significativo anche per chi si occupa di truffe bancarie e phishing. La UIF, infatti, fotografa un fenomeno ormai strutturale: le frodi digitali non sono più episodi isolati, ma schemi organizzati, spesso transnazionali, che sfruttano piattaforme online, sistemi di pagamento istantaneo, IBAN virtuali, cripto-attività e tecniche di ingegneria sociale sempre più raffinate.
Il dato evidenziato dalla UIF è particolarmente rilevante: dal 2021 al 2025 l’Unità ha ricondotto più di 80.000 segnalazioni di operazioni sospette a schemi o fenomenologie fraudolente, con una crescita progressiva anno dopo anno. Le segnalazioni sono passate da poco più di 9.000 nel 2021 a oltre 30.000 nel 2025, con un trend ulteriore di crescita anche per il 2026.
Il punto centrale è chiaro: il confine tra frode informatica e riciclaggio diventa sempre più sottile. Il denaro sottratto alla vittima deve essere movimentato rapidamente, frazionato, trasferito su altri rapporti, talvolta all’estero, e spesso fatto transitare attraverso soggetti terzi. È proprio in questa fase che i presidi degli intermediari finanziari possono assumere un ruolo decisivo.
Cosa sono le SOS e perché contano nelle frodi digitali
Le SOS sono le segnalazioni di operazioni sospette previste dall’art. 35 del d.lgs. 21 novembre 2007, n. 231. Devono essere effettuate dai soggetti obbligati dalla normativa antiriciclaggio, tra cui banche, intermediari finanziari, istituti di pagamento e altri operatori professionali, quando sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso, siano state compiute o tentate operazioni di riciclaggio o di finanziamento del terrorismo.
La segnalazione non richiede la prova del reato. Non è necessario che l’intermediario sappia con certezza che una determinata operazione derivi da una truffa. È sufficiente che emergano anomalie concrete, incoerenze operative o elementi tali da imporre un approfondimento qualificato.
Questo aspetto è molto importante nei casi di phishing, vishing, spoofing, truffe del falso operatore bancario e frodi da investimento online. In tali vicende, infatti, la vittima viene spesso indotta a collaborare inconsapevolmente con i truffatori, comunicando codici, autorizzando operazioni o eseguendo bonifici verso conti indicati dai criminali. La questione, però, non può essere ridotta alla sola apparente autorizzazione dell’operazione da parte del cliente: occorre verificare se l’operatività presentasse segnali anomali che l’intermediario avrebbe potuto intercettare con adeguati presidi antifrode.
Gli indici di anomalia: profilo del cliente e caratteristiche delle operazioni
La UIF distingue tra elementi soggettivi ed elementi oggettivi. Sul piano soggettivo assumono rilievo, ad esempio, il rifiuto o la riluttanza a fornire informazioni, l’incoerenza dei dati comunicati, comportamenti illogici, variazioni frequenti e non giustificate di residenza, domicilio, indirizzi e-mail, numeri di telefono, dispositivi utilizzati e indirizzi IP.
Sul piano oggettivo, invece, rilevano operazioni ripetute e prive di giustificazione, trasferimenti verso controparti ricorrenti o estere, utilizzo di rapporti appena aperti, accrediti seguiti da rapidi prelievi o riversamenti, operazioni concentrate in archi temporali molto brevi, nonché incongruenze tra il beneficiario indicato dal disponente e l’effettiva intestazione del rapporto di accredito.
Questi elementi, presi singolarmente, non dimostrano necessariamente una frode. Tuttavia, se valutati nel loro insieme, possono delineare un quadro operativo incompatibile con il profilo ordinario del cliente o con la normale gestione del rapporto. La Comunicazione UIF valorizza proprio questa lettura complessiva, evitando approcci meramente formali o standardizzati.
Phishing, impersonation scam e frodi da investimento
Tra le frodi agevolate dalla tecnologia la UIF richiama, tra le altre, il phishing, le truffe basate su false offerte di lavoro, le impersonation scam, le business e-mail compromise, le romance scam, le purchase scam, le rental scam, le fake charity scam e le investment scam, anche in cripto-attività.
Nel phishing e nelle truffe del falso operatore bancario, il truffatore acquisisce credenziali, codici dispositivi o informazioni riservate della vittima, spesso attraverso SMS, e-mail, telefonate o pagine web contraffatte. Nelle impersonation scam, invece, il criminale si presenta come soggetto affidabile, ad esempio un dipendente della banca, un ente pubblico, un consulente o un operatore di sicurezza, inducendo la vittima a trasferire fondi o ad autorizzare operazioni.
La UIF evidenzia anche l’utilizzo di strumenti tecnici idonei a mascherare l’identità reale degli autori, come VPN, proxy, sistemi di emulazione o virtualizzazione dei dispositivi, nonché software di accesso e controllo remoto installati sui dispositivi delle vittime. In questo contesto diventano rilevanti anomalie quali accessi da aree geografiche distanti, indirizzi IP condivisi da più rapporti, modifiche frequenti del fingerprint del dispositivo e connessioni incompatibili con la localizzazione abituale del cliente.
Per gli intermediari, quindi, la prevenzione non può limitarsi alla verifica dell’inserimento delle credenziali. La valutazione deve riguardare anche il contesto complessivo dell’operazione, la sua coerenza con il profilo del cliente, la ricorrenza di anomalie tecniche e la presenza di eventuali operazioni rifiutate, stornate, disconosciute o richiamate.
Pagamenti istantanei e limiti operativi: il nodo della tempestività
Un passaggio particolarmente significativo della Comunicazione riguarda i pagamenti istantanei. La UIF osserva che tali strumenti possono essere utilizzati per ridurre drasticamente i tempi di reazione, rendendo più difficile intercettare l’anomalia e recuperare le somme una volta eseguito il trasferimento.
Proprio per questo, la Comunicazione valorizza i riflessi positivi derivanti dalla definizione di limiti quantitativi o da richieste di autorizzazione preventiva all’esecuzione di operazioni, concordate dal soggetto obbligato con il cliente in relazione al suo profilo, soprattutto quando il cliente detiene rapporti con elevata capienza.
È un punto di rilievo anche nella prospettiva delle controversie tra cliente e intermediario. Nei casi di frode digitale, infatti, assumono spesso importanza la tempestività dei blocchi, l’effettività dei sistemi di alert, la coerenza dei limiti dispositivi, la reazione dell’intermediario di fronte a operazioni anomale e la capacità di attivare tempestivamente procedure di recall o altri presidi di contenimento del danno.
Money muling: il passaggio del denaro attraverso conti di terzi
La Comunicazione dedica specifica attenzione al money muling, ossia al coinvolgimento di soggetti che mettono a disposizione conti, carte o wallet per far transitare denaro di provenienza illecita. Il coinvolgimento può essere consapevole, ma anche inconsapevole, soprattutto quando vengono reclutati giovani, disoccupati, pensionati o soggetti vulnerabili.
Gli indici richiamati dalla UIF sono piuttosto concreti: rapporti di recente apertura, dati di contatto comuni a più soggetti, modifiche non giustificate dei recapiti, operazioni rapide in accredito e in addebito, trasferimenti frazionati, causali generiche o incoerenti, rapporti con l’estero e difficoltà nel soddisfare richieste di recall.
La UIF precisa, correttamente, che il semplice azzeramento del saldo non costituisce di per sé money muling. Anche qui, però, ciò che conta è la valutazione complessiva: rapidità dei flussi, assenza di una giustificazione economica, ricorrenza delle controparti, profilo del titolare del rapporto e collegamento con ulteriori anomalie operative.
Cybercrime e nuove tecniche di compromissione digitale
La terza area individuata dalla UIF riguarda il cybercrime, inteso come insieme di condotte illecite realizzate digitalmente e agevolate da strumenti informatici evoluti, idonei a compromettere dati, credenziali, risorse o sistemi. Rientrano in questo ambito, a titolo esemplificativo, malware, ransomware, attacchi man-in-the-middle, DDoS, accessi abusivi e manipolazioni informatiche finalizzate a ottenere vantaggi economici illeciti.
La progressiva diffusione dell’intelligenza artificiale generativa e dei deepfake rende il quadro ancora più complesso. Le tecniche di impersonificazione possono diventare più credibili, i contenuti falsi più realistici e le campagne fraudolente più mirate. Per questo la prevenzione richiede una lettura integrata dei dati disponibili: informazioni finanziarie, elementi tecnici, comportamento del cliente, geolocalizzazione, dispositivi utilizzati e flussi successivi delle somme.
Il ruolo degli intermediari: prevenzione, qualità delle segnalazioni e cooperazione
La UIF insiste su un punto essenziale: le segnalazioni devono essere tempestive, selettive e concretamente motivate. Occorre evitare automatismi, testi standardizzati e approcci meramente difensivi. La descrizione dell’operatività sospetta deve essere calibrata sul caso concreto, rappresentando in modo chiaro i flussi finanziari, i collegamenti tra i soggetti e gli eventuali elementi tecnici rilevanti, come IP, VPN, fingerprint, device e geolocalizzazione.
La tempestività è decisiva. La segnalazione, ove ne ricorrano i presupposti, dovrebbe intervenire il prima possibile e, quando possibile, prima dell’esecuzione delle operazioni, così da consentire interventi immediati a tutela delle vittime e agevolare l’analisi finanziaria a supporto delle indagini.
La Comunicazione richiama inoltre l’importanza della condivisione delle informazioni tra soggetti obbligati, nei limiti consentiti dall’art. 39 del d.lgs. 231/2007. La prevenzione delle frodi digitali, infatti, non può essere affidata a compartimenti stagni: la collaborazione tra presidi antifrode e presidi antiriciclaggio consente di ricostruire schemi più ampi e di cogliere la dimensione spesso transnazionale dei fenomeni.
Conclusioni
La Comunicazione UIF dell’8 giugno 2026 conferma che le frodi informatiche sono ormai un fenomeno strutturato, dinamico e in costante evoluzione. Phishing, spoofing, truffe da investimento, pagamenti istantanei, money muling, cripto-attività e cybercrime non sono comparti separati, ma spesso fasi diverse di un’unica catena fraudolenta.
Per le vittime, il documento è rilevante perché conferma l’esistenza di molteplici segnali tecnici e operativi che possono emergere prima, durante o subito dopo l’esecuzione delle operazioni. Per banche e intermediari, invece, il messaggio è altrettanto chiaro: la prevenzione deve essere concreta, tempestiva, integrata e fondata sull’analisi complessiva del caso, non su controlli meramente formali.
Naturalmente, la Comunicazione UIF non stabilisce automaticamente la responsabilità dell’intermediario nel singolo caso. Essa offre però una mappa aggiornata degli indici di anomalia e dei fenomeni fraudolenti che gli operatori del sistema finanziario sono chiamati a considerare. Nei casi di phishing e frodi digitali, tale mappa può diventare un riferimento importante per ricostruire se l’operatività contestata fosse realmente ordinaria oppure se presentasse segnali che avrebbero imposto un intervento tempestivo.
