Negli ultimi mesi, le cronache italiane e internazionali hanno riportato con forza una realtà che molti preferivano ignorare: gli anziani sono nel mirino di organizzazioni criminali globali.
Si tratta di una minaccia che non si manifesta con sofisticati attacchi informatici o malware invisibili, ma attraverso una combinazione di tecnologia, psicologia e manipolazione emotiva, attraverso il social engineering.
Indice degli argomenti
Lo schema di frode anti anziani
A marzo 2025, negli Stati Uniti, le autorità federali hanno smantellato una rete criminale con base a Montreal che, utilizzando uno schema di frode noto come “grandparent scam”, aveva sottratto oltre 21 milioni di dollari a centinaia di famiglie americane.
Il metodo, sempre lo stesso: telefonate drammatiche da parte di finti nipoti o parenti che raccontavano storie di arresti, incidenti e urgenze mediche, chiedendo alle vittime di trasferire somme elevate di denaro in tempi rapidissimi.
L’inchiesta, raccontata dal Washington Post, ha mostrato come questi schemi siano ormai organizzati su scala industriale, con call center criminali in grado di orchestrare migliaia di truffe simultaneamente.
In Italia, poche settimane dopo, la Procura di Genova ha portato a termine una maxi-operazione che ha smantellato una banda responsabile di 103 truffe ad anziani con modalità identiche a quelle nordamericane: telefonate studiate nei dettagli, storie drammatiche, finti funzionari di polizia o avvocati, prelievi e bonifici lampo per impedire ripensamenti.
Recentemente, un’inchiesta di Reuters in collaborazione con un ricercatore dell’Università di Harvard (sett. 2025) ha messo in luce come i principali chatbot basati su AI possano agevolmente essere utilizzati per progettare truffe via phishing indirizzate agli anziani.
I ricercatori hanno chiesto a sei chatbot (tra cui Grok, ChatGPT, Meta AI, Claude, Gemini e DeepSeek) di generare e-mail fraudolente simulate per ingannare persone anziane, suggerendo anche il momento migliore della giornata per inviarle: circa l’11 % dei volontari senior ha cliccato sui link contenuti nei messaggi generati quando quelli scelti sono stati presentati come particolarmente persuasivi.
Nonostante i chatbot abbiano filtri e linee guida progettate per rifiutare richieste illegittime, essi risultano vulnerabili a semplici stratagemmi (“mild cajoling”) che ne aggirano le difese.
Le tecnologie combinate con modalità fraudolente sfuggono ormai troppo facilmente ai controlli e chi ha minor dimestichezza coi rischi digitali e si trova in isolamento informativo, diventa particolarmente esposto.
Queste vicende ci costringono a riflettere su un punto cruciale: la privacy, così come è stata concepita e regolamentata negli ultimi decenni, è ancora uno strumento efficace per proteggere le persone?
Oggi i criminali non cercano solo di rubare dati: sfruttano quei dati per attaccare l’essere umano, non il sistema informatico.
Ed è in questo contesto che l’idea della privacy come barriera assoluta mostra crepe profonde.
La privacy come barriera è una protezione che non basta più
Queste vicende ci costringono a riflettere su un punto cruciale: la privacy, così come è stata concepita e regolamentata negli ultimi decenni, è ancora uno strumento efficace per proteggere le persone?
Oggi i criminali non cercano solo di rubare dati: sfruttano quei dati per attaccare l’essere umano, non il sistema informatico. Ed è in questo contesto che l’idea della privacy come barriera assoluta mostra crepe profonde.
La privacy come trincea
Storicamente, la privacy è stata vista come una trincea: un diritto fondamentale volto a difendere il cittadino dall’invadenza dello Stato, delle aziende, dei colossi tecnologici. Il GDPR ha rafforzato questo approccio, ponendo il consenso informato e la
minimizzazione nel trattamento dei dati al centro di un sistema di tutela articolato.
In Europa, la protezione dei dati intesa come “riservatezza” è stata considerata per anni quasi sacra, con deroghe previste solo in casi eccezionali.
Tuttavia, oggi i criminali hanno affinato tecniche di manipolazione che bypassano sistemi di sicurezza sofisticati e colpiscono la vittima nel suo punto più vulnerabile: la fiducia.
Conoscendo pochi dettagli personali (spesso ottenuti sui social network) riescono a creare scenari credibili e a manipolare emozioni come paura e senso di colpa.
L’anello debole della catena di sicurezza non è più il computer, ma la persona.
Se, da un lato, la rigidità delle norme sulla privacy è essenziale per proteggere i cittadini da abusi istituzionali e commerciali, dall’altro rende complesso intervenire in tempo per prevenire le truffe.
In Italia, per esempio, una banca che sospendesse un bonifico autorizzato da un cliente senza una base normativa solida rischierebbe di incorrere in responsabilità legali. Così, mentre il sistema tutela formalmente i dati, nella pratica le persone più fragili restano sole.
Il Canada e la svolta del Digital Privacy Act
Il Canada è stato tra i primi Paesi a riconoscere questa contraddizione. Nel 2015 ha approvato il Digital Privacy Act (DPA), che ha modificato la Personal Information Protection and Electronic Documents Act (PIPEDA). L’emendamento ha introdotto un principio rivoluzionario: le banche e le organizzazioni finanziarie possono divulgare dati personali senza consenso in casi specifici, quando esiste un sospetto fondato di abuso finanziario ai danni di una persona vulnerabile.
I tre criteri della deroga apportata dal DPA
Sono tre i criteri che regolano la deroga apportata dal DPA del 2015:
- l’organizzazione deve avere motivi ragionevoli per credere che l’individuo sia stato, sia o possa essere vittima di abuso finanziario;
- la divulgazione deve avere finalità esclusiva di prevenzione o indagine;
- è ragionevole ritenere che informare la persona interessata possa compromettere l’efficacia dell’intervento.
Questo approccio ha trasformato il ruolo delle banche: da semplici esecutori di ordini a custodi fiduciari, con una responsabilità attiva nella protezione dei clienti più fragili.
Il Canada ha così scelto di superare il dogma della privacy intangibile, per farne una leva di sicurezza.
Anche se potrebbe pensarsi ad una “resa” dei diritti fondamentali, si tratta piuttosto di evoluzione: la privacy diventa strumento positivo di protezione, non più solo barriera contro intrusioni.
L’Italia e la necessità di una riforma
L’operazione “103 truffe” dimostra che l’Italia è vulnerabile quanto il Canada. Le tecniche criminali sono identiche: storie drammatiche, informazioni personali
accurate, richieste di denaro immediate.
Il problema non è solo tecnologico, ma normativo e culturale. Il GDPR protegge in modo straordinario i diritti dei cittadini, ma limita fortemente le possibilità di intervento preventivo.
In Italia, le banche non hanno margini per bloccare operazioni sospette senza rischiare accuse di violazione della privacy o di abuso di potere. Questo crea un paradosso: i dati sono protetti, ma le persone restano esposte.
Cosa fanno gli altri Paesi
- Stati Uniti: pragmatismo e tutela degli anziani. Il Gramm-Leach-Bliley Act (GLBA) le normative antiriciclaggio permettono, tramite specifiche guidance, alle istituzioni finanziarie di segnalare casi sospetti di abuso su anziani alle autorità competenti e contattare persone di fiducia indicate dal cliente (trusted contacts).
- Australia: tecnologia e possibilità di deroga per proteggere. Il Privacy Act 1988 consente deroghe specifiche per prevenire minacce gravi e il Consumer Data Right favorisce la condivisione sicura dei dati finanziari. L’uso dell’IA per rilevare anomalie è ormai diffuso per rilevare comportamenti anomali, sotto controllo pubblico.
- Regno Unito: Consumer Duty e inclusione dei vulnerabili. La Financial Conduct Authority (FCA) ha introdotto il Consumer Duty (2023), impattando il modo in cui le banche trattano i clienti in condizioni di vulnerabilità, con linee guida e obblighi chiari; le banche devono identificare i clienti vulnerabili e intervenire proattivamente per proteggerli.
- Unione europea: privacy garantista con eccezioni marginali. Il GDPR fa della privacy un diritto fondamentale, ma contempla eccezioni solo per la protezione di interessi vitali: ad esempio, art. 6(1)(d) e 9(2)(c) consentono il trattamento senza consenso in caso di rischio grave per la persona. Tuttavia, le autorità applicano queste deroghe con rigore e solo se il rischio è concreto ed individuato. Questo approccio tutela la privacy, ma rallenta inevitabilmente l’intervento in situazioni d’emergenza.
Il paradosso privacy: quell’equilibrio critico
Il confronto mostra due modelli:
- Garantista (UE): privacy quasi sacra, ma meno adattabile.
- Proattivo (Canada, UK, USA, Australia): privacy dinamica, derogabile per proteggere i più fragili, purché regolamentata.
A ben guardare, il Canada ha scelto una strada intermedia: deroghe possibili, ma documentate e tracciate, con responsabilità precise per gli operatori e può essere paradigma dell’idea che la privacy serve a proteggere e non solo a difendere.
Cosa si potrebbe fare in Italia
Sarebbe auspicabile l’adozione di normative settoriali per definire meglio l’interesse pubblico rilevante (per esempio nel settore bancario e finanziario), introducendo obblighi specifici di monitoraggio e protezione per soggetti vulnerabili; si potrebbero, inoltre, promuovere linee guida dell’Autorità Garante per la protezione dei dati personali per chiarire come applicare le deroghe esistenti in casi di frodi o truffe.
Di seguito alcune misure (realisticamente) realizzabili:
- Duty of care finanziario con obblighi per le banche di identificare clienti fragili e monitorare le loro operazioni: può essere introdotto a livello nazionale, definendo obblighi di monitoraggio e protezione per banche e operatori, purché il trattamento sia giustificato da interesse pubblico rilevante e proporzionato.
- Banca d’Italia, Consob e ABI potrebbero emanare linee guida operative.
- Sistema di trusted contact, come negli Stati Uniti, per allertare familiari o referenti autorizzati dall’interessato in caso di comportamenti anomali: Attuabile subito, con il consenso dell’interessato. Non viola il GDPR, perché la persona autorizza preventivamente la banca a contattare una terza parte.
- Investimenti in IA antifrode trasparente, che analizzi i comportamenti dei clienti per rilevare transazioni sospette, ma con sistemi di auditing pubblico. Già possibile: sistemi di monitoraggio comportamentale possono essere implementati se rispettano principi di privacy by design, minimizzazione e auditing.
- Deroghe settoriali al GDPR per consentire blocchi temporanei e notifiche immediate, senza compromettere i diritti fondamentali. Richiedono un percorso politico e giuridico più complesso, con un ruolo attivo dell’Italia nel promuovere un cambiamento europeo.
Cosa si può chiedere alla tua banca per proteggersi
Perché la banca diventi un alleato attivo nella lotta contro le frodi, ecco alcune richieste e verifiche concrete che ogni cliente, soprattutto in una situazione di vulnerabilità, può (e dovrebbe) fare:
- Politiche antifrode avanzate e sistemi di blocco automatico delle transazioni: verifica che la tua banca disponga di strumenti in grado di analizzare in tempo reale le operazioni, individuare transazioni anomale e bloccarle prima che sia troppo tardi. Non si tratta solo di notifiche via SMS, ma di veri e propri algoritmi antifrode e procedure di sicurezza che possano fermare un bonifico sospetto per consentire verifiche aggiuntive.
- Possibilità di indicare un “trusted contact” per le emergenze: Chiedi alla tua banca di poter designare una persona di fiducia (un familiare, un tutore o un amico) da contattare in caso di attività sospette. Questa funzione, già diffusa negli Stati Uniti, è una misura di buon senso che permette interventi rapidi senza violare la privacy.
- Alert personalizzati su operazioni inconsuete: Non accontentarti delle notifiche standard: richiedi avvisi su misura per il tuo profilo, ad esempio per importi sopra una certa soglia o per trasferimenti internazionali. Gli strumenti esistono e possono prevenire truffe mirate.
- Procure limitate per soggetti fragili: In caso di situazioni di fragilità (età avanzata, difficoltà cognitive, problemi di salute), è utile predisporre procure bancarie limitate, che diano accesso solo a determinate operazioni o conti. Questo riduce il rischio di abusi e semplifica la gestione patrimoniale.
- Programmi di educazione alla sicurezza digitale e al riconoscimento delle truffe: Chiedi alla tua banca se offre corsi, webinar o materiali informativi per imparare a riconoscere tentativi di phishing e truffe telefoniche. Molti istituti già promuovono iniziative di educazione finanziaria: sfruttale come strumenti di prevenzione.
Il dibattito su privacy e sicurezza non può più essere ideologico
La privacy è un diritto fondamentale e non una prigione che impedisce di proteggere chi è più fragile.
Serve una nuova cultura della protezione dei dati: la privacy, oltre che difesa dalla sorveglianza, deve essere garanzia di sicurezza personale.
Il modello canadese dimostra che è possibile trovare un equilibrio: deroghe mirate, interventi documentati, responsabilità chiare.
Per l’Italia, adottare questo approccio significherebbe trasformare la privacy in uno scudo dinamico, capace di difendere non solo informazioni, ma vite e patrimoni.
Le truffe ai più fragili sono una tragedia sociale che va oltre il furto economico: spezzano la fiducia nelle istituzioni, isolano le vittime, minano il senso di sicurezza.
Ripensare la privacy come infrastruttura di protezione è il primo passo per costruire una società digitale più sicura, dove proteggere significa intervenire con mezzi appropriati al momento giusto, non a posteriori.
I dati, se usati in modo responsabile e regolato, possono salvare patrimoni e dignità. Serve una visione in cui intervenire nella privacy diventa un atto di tutela, non di arbitrio.
L’evoluzione normativa (con alla base trasparenza, auditing e accountability) potrebbe guidarci verso una privacy funzionale a proteggere chi è più esposto.
