Hai ricevuto una contestazione dall’Agenzia delle Entrate perché la tua attività di e-commerce internazionale è stata collegata a presunte frodi fiscali? In questi casi, l’Ufficio presume che alcune operazioni siano state simulate o non correttamente fatturate, con l’obiettivo di evadere l’IVA o occultare ricavi. Le conseguenze possono essere molto gravi: recupero delle imposte, sanzioni pesanti e, nei casi più seri, responsabilità penale. Tuttavia, non sempre la contestazione è legittima: è possibile difendersi dimostrando la regolarità delle operazioni.
Quando l’Agenzia delle Entrate contesta frodi nell’e-commerce internazionale
– Se risultano fatture emesse verso società estere inesistenti o considerate “cartiere”
– Se i flussi di merci e i pagamenti non coincidono con la documentazione fiscale
– Se emergono incongruenze tra i dati dichiarati e quelli comunicati dalle piattaforme di vendita online (Amazon, eBay, Shopify, ecc.)
– Se l’IVA non è stata correttamente gestita tramite i regimi OSS/MOSS o tramite fatturazione elettronica
– Se vengono rilevate triangolazioni con Paesi a fiscalità privilegiata
Conseguenze della contestazione
– Recupero dell’IVA e delle imposte dirette ritenute evase
– Applicazione di sanzioni per dichiarazioni infedeli o omessa dichiarazione
– Interessi di mora sulle somme accertate
– Maggiori controlli su rapporti bancari e flussi internazionali
– Responsabilità penale per dichiarazione fraudolenta o utilizzo di documenti falsi nei casi più gravi
Come difendersi dalla contestazione
– Dimostrare la reale esistenza delle operazioni con contratti, prove di spedizione e documenti doganali
– Produrre estratti dei pagamenti tracciati (bonifici, carte, PayPal) che confermino la genuinità delle vendite
– Contestare errori o presunzioni eccessive dell’Agenzia delle Entrate
– Evidenziare vizi di motivazione, carenze probatorie o decadenza dei termini dell’accertamento
– Presentare ricorso alla Corte di Giustizia Tributaria e, se necessario, predisporre difese anche in sede penale
Il ruolo dell’avvocato nella difesa
– Analizzare i flussi di vendita e la documentazione fiscale contestata
– Verificare la legittimità della contestazione rispetto alla normativa nazionale ed europea
– Redigere un ricorso fondato su prove concrete e vizi formali dell’accertamento
– Difendere l’imprenditore davanti ai giudici tributari e, se richiesto, in sede penale
– Proteggere il patrimonio aziendale e la continuità dell’attività da conseguenze fiscali sproporzionate
Cosa puoi ottenere con una difesa efficace
– L’annullamento totale o parziale della contestazione
– La riduzione o l’eliminazione delle sanzioni applicate
– L’esclusione della responsabilità penale in assenza di dolo
– La sospensione delle richieste di pagamento già avviate
– La certezza di pagare solo quanto effettivamente dovuto secondo la legge
⚠️ Attenzione: le contestazioni per frodi nel commercio online internazionale possono avere riflessi sia fiscali che penali. È fondamentale agire subito con una difesa tecnica ben strutturata.
Questa guida dello Studio Monardo – avvocati esperti in diritto tributario, fiscale internazionale e penale-tributario – spiega come difendersi in caso di contestazioni su presunte frodi nell’e-commerce internazionale e come tutelare i tuoi diritti.
👉 Hai ricevuto una contestazione per presunte frodi nel commercio online? Richiedi in fondo alla guida una consulenza riservata con l’Avvocato Monardo. Analizzeremo i flussi di vendita, confronteremo i dati con la documentazione e costruiremo la strategia difensiva più efficace per proteggere la tua impresa.
Introduzione
L’esplosione del commercio elettronico ha portato con sé un aumento esponenziale delle frodi online e delle relative contestazioni legali, tanto in ambito nazionale quanto internazionale. Negli ultimi anni il fenomeno ha raggiunto proporzioni preoccupanti: si stima che in Italia, nel solo triennio 2022-2024, i reati di truffa online e frode informatica abbiano sottratto complessivamente oltre 559 milioni di euro, con un incremento del +30% nel 2024 rispetto all’anno precedente . In particolare, le truffe online (come vendite fraudolente su siti di e-commerce) hanno rappresentato la fetta più consistente, passando da 114,4 milioni di euro nel 2022 a 181 milioni nel 2024 (+58%) . Parallelamente, le frodi informatiche in senso stretto (come phishing bancario, accessi abusivi ai conti, uso indebito di carte) sono aumentate da 38,5 a 48,1 milioni di euro nel medesimo periodo (+25%) . Questi dati confermano un’escalation delle attività criminali digitali, alimentata dall’uso sempre più massiccio degli strumenti di pagamento elettronici e dalla crescente sofisticazione delle tecniche fraudolente impiegate (si pensi all’ingegneria sociale avanzata, ai deepfake, ai falsi call center, ecc.). Il fenomeno – lungi dall’essere sotto controllo – è in costante crescita e costituisce ormai un rischio concreto sia per i consumatori privati sia per le imprese, incluse le piccole attività che operano online . Di conseguenza, è aumentata anche l’attenzione del legislatore e della giurisprudenza verso le tutele approntate dall’ordinamento e le strategie difensive a disposizione di chi rimane coinvolto in queste vicende, sia dal lato delle vittime sia – come focus di questa guida – dal punto di vista del “debitore”, ovvero della parte accusata di condotte fraudolente o comunque chiamata a rispondere di transazioni contestate.
Frodi nel commercio online internazionale: con questa espressione ci si riferisce a una vasta gamma di schemi illeciti che avvengono in contesti di compravendita a distanza, spesso transfrontalieri (coinvolgendo parti di Paesi diversi). Tra i casi tipici rientrano, ad esempio:
- Vendite di beni inesistenti o mai consegnati: il venditore offre un prodotto online (spesso a un prezzo anormalmente vantaggioso) e incassa un pagamento anticipato, per poi non spedire nulla e rendersi irreperibile. Questo configura la classica “truffa contrattuale” se sin dall’inizio vi era l’intento di ingannare l’acquirente .
- Frodi da chargeback (o “friendly fraud”): un cliente acquista e riceve regolarmente un bene/servizio, ma successivamente contesta il pagamento alla società emittente della carta di credito sostenendo falsamente di non aver autorizzato la transazione o di non aver ottenuto il prodotto, così da ottenere un rimborso integrale dallo strumento di pagamento . In questo modo il cliente disonesto trattiene sia il bene sia il denaro, a danno del venditore.
- Frodi “a triangolazione”: uno schema insidioso che coinvolge tre attori (venditore reale, acquirente inconsapevole, truffatore intermediario). Il truffatore crea un falso e-commerce offrendo merce a prezzi stracciati; un acquirente in buona fede ordina e paga sul sito fraudolento; quindi il truffatore utilizza una carta di credito rubata per acquistare davvero quell’articolo da un venditore reale e farselo spedire direttamente all’ignaro acquirente . Quando il titolare della carta vera scopre l’addebito non autorizzato, avvia un chargeback, il truffatore sparisce col ricavato, il venditore reale perde sia il bene sia il pagamento, e l’acquirente – pur avendo ricevuto il prodotto – scopre di essere stato parte (involontaria) di una frode .
- Phishing, smishing e altre truffe informatiche: il truffatore carpisce con l’inganno le credenziali di accesso a conti online o i dati di carta di credito (tramite email ingannevoli, SMS fraudolenti, finte pagine web identiche a quelle della banca, ecc.), quindi le utilizza per effettuare pagamenti o trasferimenti non autorizzati a proprio favore. In questi casi la vittima può vedersi prosciugare il conto o addebitare spese mai effettuate, con conseguenti contestazioni verso l’istituto di credito per ottenere il rimborso di tali operazioni fraudolente.
Ognuno degli schemi sopra descritti genera contestazioni e problematiche giuridiche specifiche, che spaziano dal diritto civile (inadempimento contrattuale, rimedi risarcitori, risoluzione del contratto) al diritto penale (configurabilità del reato di truffa o di altri reati informatici), fino alla normativa speciale di settore (tutela dei consumatori nei contratti a distanza, disciplina dei servizi di pagamento, regolamenti europei sul commercio elettronico). Lo scopo di questa guida avanzata è offrire un quadro completo e aggiornato (agosto 2025) delle norme applicabili, della giurisprudenza più autorevole e delle migliori strategie di difesa per chi si trovi – come parte accusata o debitore contestato – coinvolto in controversie relative a frodi nell’e-commerce internazionale.
Nota sul taglio della guida: il linguaggio adottato sarà giuridico ma divulgativo, adatto sia a professionisti legali che a imprenditori e privati esperti. Verranno richiamate le principali fonti normative italiane, europee e internazionali, con riferimento alle ultime novità legislative e alle sentenze più recenti in materia (es. decisioni della Corte di Cassazione italiana e della Corte di Giustizia UE rilevanti per le fattispecie trattate). Ogni sezione includerà, dove opportuno, tabelle riepilogative, esempi pratici e un formato domande & risposte per chiarire i dubbi più frequenti. Le simulazioni pratiche saranno focalizzate sul contesto italiano (ordinamento e prassi italiana), pur tenendo conto del più ampio contesto internazionale. L’enfasi sarà soprattutto sulle strategie difensive del “debitore”, ossia di colui che – a torto o a ragione – viene accusato di condotta fraudolenta o si vede reclamare somme nell’ambito di contestazioni su transazioni online.
Nei capitoli che seguono affronteremo dapprima il quadro normativo di riferimento, per poi analizzare le singole tipologie di frode (chargeback fraudolento, triangolazione, phishing, vendite inesistenti…) dal punto di vista pratico e legale. Infine, proporremo alcune FAQ (Frequently Asked Questions) con relative risposte sintetiche e delle simulazioni di casi pratici, al fine di consolidare la comprensione delle tutele attivabili e degli strumenti di difesa a disposizione dei soggetti coinvolti.
Quadro normativo: Italia, UE e scenari internazionali
Per poter predisporre efficacemente una difesa nelle contestazioni su frodi del commercio online, è fondamentale conoscere il complesso di norme applicabili. In questa sezione delineiamo il perimetro normativo – in particolare italiano ed europeo – rilevante nei casi di truffe legate all’e-commerce, evidenziando sia le disposizioni civilistiche e penali nazionali, sia le principali fonti sovranazionali (UE e internazionali) di riferimento.
Normativa italiana rilevante
Codice Penale – Reati di truffa e frode informatica: il fulcro della disciplina penale è l’art. 640 c.p., che punisce il reato di truffa. Esso consiste nel procurarsi un ingiusto profitto con altrui danno mediante artifizi o raggiri idonei a ingannare la vittima. La pena base è la reclusione fino a 3 anni (più multa fino a 1.032 €), elevabile da 1 a 5 anni (più multa fino a 1.549 €) in presenza di aggravanti specifiche . Tra queste aggravanti rientra la cosiddetta “minorata difesa” (art. 640 co.2 n.3 c.p.), applicabile quando il reo approfitta di circostanze tali da ostacolare la difesa della vittima: la giurisprudenza ha chiarito che ciò può ricorrere anche nelle truffe online, in quanto la distanza e l’impersonalità del mezzo telematico pongono spesso l’acquirente in condizione di minor controllo (es. vendita via web con difficoltà per l’acquirente di verificare l’identità del venditore) . Un ulteriore aggravante introdotta in anni recenti è quella della truffa informatica via Internet (art. 640 co.2 n.2-bis c.p.), originariamente pensata per rendere procedibili d’ufficio (senza querela) talune frodi telematiche; la disciplina della procedibilità è però stata oggetto di modifiche: nota bene: dopo la Riforma Cartabia (D.lgs. 150/2022) e interventi legislativi del 2023-2024, oggi la truffa è generalmente procedibile a querela di parte salvo specifiche aggravanti, e si è discusso se l’aggravante “telematica” comporti ancora la procedibilità d’ufficio . In ogni caso, quando la frode online integra un reato aggravato (ad es. per il numero di vittime o l’ingente profitto), l’azione penale può essere promossa d’ufficio, rendendo irrilevanti eventuali vizi o ritardi nella querela della persona offesa . Accanto al delitto di truffa “generico”, il Codice Penale prevede fattispecie affini utili in certi casi di frode informatica: l’art. 640-ter c.p. punisce la frode informatica (fino a 3 anni di reclusione, aumentabili a 5 se aggravata), ipotesi che ricorre tipicamente quando l’inganno è diretto non verso una persona, ma verso un sistema informatico (es. hackeraggio di un home banking per trasferire denaro). Nel phishing bancario, ad esempio, il confine tra truffa (inganno al correntista) e frode informatica (indebita alterazione di sistemi di pagamento) è labile e talora contestato in concorso di reati. Un altro reato correlato è l’accesso abusivo a sistema informatico (art. 615-ter c.p.), configurabile quando il truffatore si introduce illegalmente in account altrui (es. usando credenziali sottratte). Ancora, l’autoriciclaggio (art. 648-ter.1 c.p.) può riguardare chi impiega o trasferisce proventi derivanti da truffe online per ostacolarne la tracciabilità (ad es. il truffatore che, dopo una vendita fraudolenta, reinveste il denaro in criptovalute per nasconderlo – condotta che la Cassazione ha ricondotto all’autoriciclaggio in una sentenza del 2022 ). Dal punto di vista penale, per il debitore accusato di aver perpetrato una frode online, la linea di difesa ruota attorno alla mancanza di dolo: occorre dimostrare che non vi è stata intenzione fraudolenta iniziale né artificio ingannatorio, ma al più un inadempimento contrattuale o un uso indebito dei suoi dati da parte di terzi. Torneremo su questi aspetti a proposito della “truffa contrattuale” nel commercio elettronico.
Codice Civile – Obbligazioni contrattuali e responsabilità: sul versante civilistico, vengono in rilievo sia le norme generali sulle obbligazioni e il contratto, sia disposizioni specifiche del Codice del Consumo per i rapporti con i consumatori. In caso di mancata esecuzione della prestazione (es: merce pagata e non consegnata), il venditore inadempiente è soggetto alle ordinarie azioni contrattuali: esecuzione forzata, risoluzione del contratto per inadempimento e risarcimento del danno (artt. 1453 e 1218 c.c.). L’acquirente “creditore” potrà dunque chiedere la risoluzione del contratto e la restituzione del prezzo versato, oltre all’eventuale risarcimento di ulteriori danni patiti. D’altra parte, il venditore “debitore” potrà difendersi provando che l’inadempimento è dipeso da causa a lui non imputabile (art. 1218 c.c.) – ad esempio un caso fortuito, forza maggiore, o anche il fatto imputabile esclusivamente al compratore. In mancanza di tali prove liberatorie, la responsabilità contrattuale del debitore è presunta . Un aspetto fondamentale in sede civile è la ripartizione dell’onere della prova: secondo l’impostazione prevalente (Cass. SS.UU. 13533/2001), il creditore deve solo allegare l’inadempimento altrui, mentre spetta al debitore dimostrare di aver correttamente eseguito la prestazione dovuta . Questo principio trova applicazione anche nei casi di utilizzo fraudolento di strumenti di pagamento: ad esempio, la Corte di Cassazione ha recentemente affermato (Sent. n. 3780/2024) che, in caso di phishing bancario, «incombe sul prestatore di servizi di pagamento (banca) l’onere di provare di aver adottato tutte le misure di sicurezza necessarie e che l’evento dannoso è dipeso da una condotta colposa grave del cliente», mentre il correntista deve solo provare il contratto e l’addebito anomalo . Torneremo su questa importante pronuncia più avanti (parlando della responsabilità delle banche nei casi di phishing). Per ora basti notare che, dal punto di vista difensivo, chi è chiamato a rispondere civilmente di una frode online dovrà raccogliere elementi per provare la propria diligenza e l’assenza di colpa nell’evento (ad esempio, un venditore contestato per mancata consegna dovrà dimostrare di aver spedito la merce o di essere stato impossibilitato a farlo per ragioni a lui non imputabili). Viceversa, chi lamenta il danno (acquirente truffato, correntista derubato, ecc.) beneficerà di regole probatorie a lui favorevoli, dovendo sollevare la contestazione e offrire elementi del mancato adempimento, ma senza dover provare il dolo o la colpa altrui.
Codice del Consumo – Vendite a distanza e tutela del consumatore: nei rapporti B2C (business to consumer), trova applicazione il D.lgs. 206/2005 (Codice del Consumo), che recepisce le direttive UE a tutela dei consumatori. In particolare, la Sezione II Capo I Titolo III del Codice del Consumo disciplina i contratti a distanza (incluse le vendite online). Una norma cruciale è l’art. 61 Cod. Cons., che impone al venditore l’obbligo di consegnare i beni entro il termine pattuito nel contratto, o – se non è stabilito – entro 30 giorni dall’ordine . In caso di mancata consegna nel termine, il consumatore deve invitare il venditore ad effettuare la consegna entro un termine supplementare ragionevole. Se anche tale termine ulteriore scade senza esito, il consumatore ha diritto di risolvere il contratto e ottenere il rimborso di tutte le somme versate entro 14 giorni dalla richiesta di rimborso . (Tale procedura può non essere necessaria qualora il venditore rifiuti esplicitamente di consegnare o se il termine iniziale era essenziale, ad es. beni per una data fissa – in questi casi il consumatore può risolvere subito) . Dunque, il venditore in ritardo ha un’ultima chance per adempiere; se non la sfrutta, oltre alla responsabilità contrattuale ordinaria si attivano le tutele specifiche del consumatore, tra cui l’obbligo di rimborso rapido. Dal punto di vista del debitore-venditore, rispettare le tempistiche di consegna o fornire immediata assistenza in caso di ritardo è fondamentale per evitare l’escalation della disputa. Qualora il consumatore eserciti i propri diritti di risoluzione, il venditore dovrà restituire il prezzo nel termine di legge, potendo eventualmente opporsi solo se prova che la mancata consegna è dovuta a causa non imputabile a sé (ad esempio un errore del corriere non imputabile alla sua scelta, anche se comunque il consumatore potrebbe rivalersi). Il Codice del Consumo, inoltre, all’art. 66-quater prevede una tutela in più per i consumatori vittime di frodi con carte di pagamento: il diritto al rimborso degli addebiti non riconosciuti su carta o conto, secondo quanto disposto dalla normativa sui servizi di pagamento (si veda oltre). Infine, va ricordato che le pratiche commerciali scorrette (come siti di e-commerce che incassano e non spediscono, o pubblicità ingannevoli online) possono essere sanzionate dall’AGCM (Autorità Garante della Concorrenza e del Mercato) in base agli artt. 20-27 del Cod. Consumo. Dal lato difensivo, un’impresa accusata di pratica scorretta potrà difendersi davanti all’AGCM dimostrando di non aver posto in essere intenzionalmente le condotte contestate o di aver adottato misure riparatorie idonee; ma se la pratica è provata (es. numerosi clienti raggirati con mancata consegna), l’AGCM potrà comminare pesanti sanzioni amministrative e imporre la cessazione dell’attività fraudolenta. Importante: l’azione dell’AGCM è indipendente dalle azioni civili o penali: un venditore online potrebbe dunque trovarsi esposto su tre fronti – reclami civili dei clienti, indagini penali per truffa e procedimento AGCM – in caso di frodi sistematiche ai danni dei consumatori. In questa guida ci concentriamo sui profili civili e penali, ma vale la pena tenere presente che le autorità amministrative (AGCM, ma anche IVASS per frodi assicurative, etc.) vigilano attentamente sul commercio elettronico.
Disciplina dei servizi di pagamento (PSD2) e tutele bancarie: un capitolo essenziale per comprendere la gestione delle contestazioni su transazioni online è quello relativo ai pagamenti digitali. L’ordinamento italiano ha recepito la seconda Direttiva UE sui Servizi di Pagamento (PSD2, Dir. 2015/2366) principalmente tramite il D.lgs. 11/2010 (come modificato nel 2018), che stabilisce i diritti e obblighi delle parti nei pagamenti elettronici. Tra i punti salienti: – Se un pagamento non è stato autorizzato dall’utente (es. addebito fraudolento su carta), il prestatore di servizi di pagamento (PSP – tipicamente la banca o l’emittente della carta) deve rimborsare l’utente immediatamente e comunque entro il giorno successivo alla segnalazione . L’utente ha tempo 13 mesi dall’addebito per contestare l’operazione non autorizzata, pena la decadenza . Questa regola incentiva a controllare gli estratti conto e segnalare prontamente eventuali addebiti sospetti. Dal canto suo, la banca può rifiutare il rimborso solo se ha prove che l’operazione è stata effettivamente autorizzata dall’utente o questi ha agito fraudolentemente o con colpa grave (ad esempio, comunicando a terzi i propri codici in violazione dei doveri di custodia). Su questo aspetto la Cassazione 3780/2024 – come anticipato – ha chiarito che spetta alla banca provare la grave negligenza del cliente, mentre la mera incautela ordinaria non esclude il rimborso . In altre parole, la banca risponde contrattualmente verso il cliente delle operazioni fraudolente, a meno che dimostri un comportamento praticamente doloso o gravemente imprudente di quest’ultimo (es. aver comunicato OTP e PIN nonostante chiari avvisi di sicurezza, oppure aver tardato giorni nel bloccare l’account dopo essersi accorto di anomalie) . Questa impostazione, ormai prevalente, è molto favorevole all’utente-vittima; dal lato opposto, per la banca (debitore tenuto alla restituzione delle somme) risulta cruciale adottare e dimostrare misure di sicurezza adeguate (diligenza dell’accorto banchiere ex art. 1176 co.2 c.c.) per evitare addebiti fraudolenti – ad esempio l’uso di sistemi di allerta via SMS, notifiche push per ogni transazione, algoritmi antifrode – poiché l’assenza di tali cautele la vede quasi automaticamente soccombente nelle dispute .
– Se invece il pagamento è stato correttamente autorizzato (es. l’utente ha inserito i dati carta e confermato l’ordine) ma il problema riguarda la transazione commerciale (merce non consegnata, prodotto difettoso, servizio non reso, ecc.), la normativa sui servizi di pagamento non obbliga il PSP a stornare l’operazione. Difatti, vige il principio dell’irrevocabilità dell’ordine di pagamento (art. 17 D.lgs.11/2010) una volta che esso è stato eseguito correttamente . Ciò significa che, in assenza di diversi accordi contrattuali, la banca non può annullare un bonifico effettuato su richiesta dell’utente né una transazione a distanza da questo validamente autenticata. La tutela del consumatore, in tal caso, si sposta sul piano contrattuale (contro il venditore) o su eventuali garanzie aggiuntive come il chargeback delle carte. Ed è proprio grazie ai circuiti delle carte di credito che il consumatore dispone di un meccanismo extra rispetto alla legge: attraverso il meccanismo di chargeback – previsto dai regolamenti dei circuiti Visa/Mastercard e dai contratti tra banca e cliente – egli può ottenere dallo stesso PSP il riaccredito di quanto pagato anche quando il pagamento era autorizzato e il problema attiene all’adempimento del venditore . Il chargeback, in sostanza, è una procedura di annullamento/storno dell’addebito avviabile dall’acquirente presso la banca emittente della carta in caso di inadempimento, truffa o altra irregolarità commerciale (merce non consegnata, falsa, difettosa, doppio addebito, ecc.) . Attenzione: Il chargeback non è un diritto legale assoluto, ma una tutela contrattuale aggiuntiva: la normativa italiana riconosce sì la possibilità di contestare l’operazione, ma rimanda agli accordi tra gli attori del circuito la concreta operatività del rimborso . Tipicamente, i circuiti internazionali prevedono termini stringenti (spesso entro 120 giorni dall’addebito) e condizioni per poter effettuare la contestazione . Se tali condizioni sono rispettate, la banca emittente addebiterà la transazione alla banca dell’esercente (acquirer) e quest’ultima la rifilerà al commerciante, il quale si vedrà stornare l’importo salvo che riesca a opporsi documentando la regolarità della vendita . In pratica, il sistema è concepito per proteggere l’acquirente onesto, ma prevede anche una fase di verifica a tutela dell’esercente: ad esempio, il venditore può evitare lo storno se dimostra che il prodotto era stato consegnato come da ordine (magari esibendo la ricevuta di consegna firmata) . Dal punto di vista del venditore (debitore potenziale in caso di chargeback), è fondamentale agire tempestivamente: fornire entro le scadenze previste al proprio istituto acquirer tutte le prove del corretto adempimento, per scongiurare lo storno arbitrario da parte della banca emittente. Inoltre, laddove la propria banca non si attivi diligentemente per contestare un chargeback infondato, l’esercente ha la possibilità – se previsto dal contratto – di adire l’Arbitro Bancario Finanziario (ABF) contro la banca stessa. In una recente decisione ABF (Collegio di Napoli, decisione n.64/2023) ad esempio, l’istituto è stato condannato a rifondere l’importo al cliente perché aveva omesso di avviare il chargeback nei termini, nonostante il reclamo tempestivo del consumatore . Ciò dimostra che i prestatori di servizi di pagamento devono attenersi con scrupolo alle regole dei circuiti: la procedura di chargeback “non è imposta dalla legge”, ma se contrattualmente offerta deve essere gestita con perizia e tempestività, altrimenti il PSP ne risponde verso il cliente . Per ricapitolare, dunque, la PSD2 e la normativa italiana sui pagamenti delineano questo scenario: l’utente ha diritto al rimborso per operazioni non autorizzate (salvo suo grave dolo/colpa); per le operazioni autorizzate ma contestate per motivi commerciali, subentrano gli strumenti contrattuali (chargeback) e le tutele civilistiche contro il venditore.
È opportuno segnalare infine che, in caso di controversie relative a servizi di pagamento, è previsto un tentativo di risoluzione stragiudiziale tramite reclamo all’istituto e ricorso all’ABF. Come indicato da Banca d’Italia, il consumatore può presentare ricorso all’ABF se non ottiene soddisfazione dal reclamo, con costi minimi (20 euro) e senza bisogno di avvocato . L’ABF può decidere su controversie ad esempio relative a mancati rimborsi di operazioni non autorizzate o anche rispetto al mancato rispetto delle regole di chargeback se queste facevano parte del contratto col PSP . Le decisioni ABF non sono vincolanti come una sentenza, ma gli intermediari tendono generalmente ad adeguarvisi; inoltre, Bankitalia pubblica i casi di inadempienza degli intermediari alle pronunce ABF, con danno reputazionale per chi ignorasse sistematicamente gli arbitri. In ogni caso, resta sempre possibile per le parti adire il giudice ordinario per qualunque controversia (contro l’intermediario o contro l’altra parte contrattuale), e ovviamente l’autorità giudiziaria penale per gli aspetti di reato.
Normativa UE e riferimenti internazionali
In ambito europeo, diverse norme sovranazionali influenzano la disciplina delle frodi nel commercio online e le possibili difese. Abbiamo già menzionato la PSD2 (Direttiva UE 2015/2366) sui servizi di pagamento – cardine per la ripartizione delle responsabilità nelle frodi di pagamento – la cui osservanza è garantita in Italia anche tramite le Disposizioni di Banca d’Italia e la vigilanza sul sistema bancario . Sul fronte della vendita a distanza, la principale è la Direttiva 2011/83/UE (Diritti dei consumatori), recepita nel Codice del Consumo, che armonizza i diritti di consegna, recesso e rimborso nelle vendite online in tutta l’UE. Vi è poi la Direttiva 2000/31/CE sul commercio elettronico (E-commerce Directive), che stabilisce regole per i servizi della società dell’informazione: ad esempio, impone obblighi di informativa per i venditori online e disciplina la responsabilità degli intermediari (hosting provider, piattaforme) per i contenuti illeciti caricati da terzi. Tale direttiva, per quanto concerne la responsabilità, è stata in parte superata dal nuovo Digital Services Act (Reg. UE 2022/2065) applicabile dal 2024, che rafforza i doveri delle grandi piattaforme online nel contrastare truffe e prodotti illegali: ad esempio, i marketplace dovranno verificare l’identità dei professionisti che vendono sulle loro piattaforme (principio del Know Your Business Customer) e predisporre meccanismi per segnalare e rimuovere rapidamente annunci truffaldini o contenuti illegali. Queste norme, dal lato del “debitore” accusato, significano che se la truffa avviene tramite una piattaforma intermediaria (ad es. un annuncio su Amazon Marketplace o eBay), esistono procedure europee di notice-and-action che la vittima può attivare e che il venditore onesto può a sua volta sfruttare per segnalare eventuali usi fraudolenti del proprio nome o per difendersi da segnalazioni infondate. Ad esempio, un imprenditore accusato ingiustamente su una piattaforma di aver venduto prodotti falsi o non consegnati, potrà appellarsi alle procedure di contestazione previste dal DSA per chiedere la rimozione di feedback diffamatori o di blocchi ingiustificati del proprio account, dimostrando la propria buona fede.
Sul versante penale internazionale, l’Unione Europea ha promosso la cooperazione tra autorità per il contrasto alle frodi online. Una normativa di rilievo è la Direttiva (UE) 2019/713 sulla lotta alle frodi e falsificazioni di mezzi di pagamento diversi dai contanti, che obbliga gli Stati membri a sanzionare penalmente condotte come l’uso illecito di carte di credito e prevede misure di assistenza giudiziaria reciproca. Inoltre, convenzioni internazionali come la Convenzione di Budapest sul Cybercrime (2001, ratificata dall’Italia con L.48/2008) facilitano l’investigazione transnazionale di reati informatici, incluse le truffe perpetrate via Internet, attraverso canali di cooperazione tra le forze dell’ordine dei vari Paesi. In concreto, ciò significa che un soggetto italiano accusato di frode online in danno di stranieri potrebbe essere perseguito grazie a indagini coordinate a livello internazionale; viceversa, se si è vittime di una truffa transfrontaliera, è possibile sporgere denuncia alle autorità italiane che – tramite Interpol, Europol o rogatorie – potranno cercare di individuare i responsabili all’estero. Dal punto di vista difensivo, chi si trova coinvolto in procedimenti penali all’estero (o richieste estere) dovrà ovviamente affidarsi a legali locali e fare i conti con normative differenti: ad esempio, negli USA il chargeback fraud può comportare accuse penali di credit card fraud e sanzioni detentive , mentre in altri ordinamenti può non esistere un’azione specifica del venditore contro l’acquirente fraudolento se non sul piano civile.
In ambito civilistico internazionale, occorre menzionare alcune regole di diritto internazionale privato applicabili nelle controversie da e-commerce: il Regolamento UE 1215/2012 (Bruxelles I bis) regola la giurisdizione nelle cause civili transfrontaliere, permettendo ad esempio al consumatore europeo di citare il venditore straniero dinanzi al giudice del proprio Stato membro (se il venditore ha diretto la sua attività verso quello Stato). Inoltre, il Regolamento Roma I determina la legge applicabile ai contratti internazionali: spesso i siti di e-commerce inseriscono clausole sulla legge applicabile e il foro competente, ma per i consumatori l’art. 6 Roma I garantisce comunque le tutele inderogabili del loro Paese di residenza. Questo significa che un’azienda italiana convenuta in giudizio da consumatori esteri dovrà tener conto sia delle leggi italiane sia di quelle eventualmente inderogabili del Paese del consumatore. Analogamente, se un’impresa italiana viene truffata in una transazione B2B internazionale, potrebbe applicarsi la Convenzione di Vienna del 1980 (CISG) sui contratti di vendita internazionale di beni, la quale disciplina rimedi e obblighi delle parti (pur non contemplando direttamente il “fraud” come vizio del consenso, ma prevedendo l’annullamento per dolo secondo la legge nazionale richiamata). In generale, chi opera nel commercio internazionale deve considerare che, in caso di controversia, potrebbero sorgere problemi di giurisdizione (dove si deve agire?) e esecuzione delle sentenze (come recuperare il denaro da un truffatore all’estero?). Strumenti come il procedimento europeo per le controversie di modesta entità (Reg. 861/2007, mod. 2017/1258) offrono una via semplificata per ottenere decisioni esecutive in tutta l’UE per crediti fino a €5.000, utile ad esempio se un venditore italiano vuole agire contro un acquirente estero per il mancato pagamento o per chargeback fraud. Tuttavia, se il truffatore si trova fuori dall’UE, far valere i propri diritti diventa spesso arduo: in molti casi pratici, le vittime italiane di siti fraudolenti con sede in Paesi extra-UE possono solo presentare denuncia penale (sperando in un’indagine internazionale) oppure tentare un’azione civile nel Paese del truffatore, con costi spesso proibitivi. Dal lato di chi è accusato internazionalmente (il nostro “debitore”), è importante sapere che esistono comunque garanzie: ad esempio, per eseguire in Italia un’ingiunzione o sentenza estera occorre prima ottenere il riconoscimento secondo le norme (Reg. Bruxelles I bis per UE, o Legge 218/1995 per extra-UE), quindi eventuali difese (vizi di notificazione, violazione del diritto di difesa, ecc.) potranno essere fatte valere.
In sintesi, il quadro normativo di riferimento è stratificato: il diritto interno italiano fornisce strumenti sanzionatori e rimedi specifici per truffe e inadempimenti; il diritto europeo uniforma molte tutele (soprattutto pro-consumatore) e introduce obblighi per operatori e piattaforme; il contesto internazionale aggiunge complessità in termini di cooperazione giudiziaria e conflitti di legge. Nella sezione seguente passeremo ad esaminare, in ottica pratica, le principali tipologie di frode nel commercio online e le relative contestazioni, mettendo a fuoco – caso per caso – come difendersi efficacemente quando si è dalla parte di chi deve rispondere delle accuse (fosse anche ingiustamente). Per agevolare la comprensione, forniremo anche schemi riassuntivi e consigli operativi basati sulla normativa sopra delineata.
Tipologie di frode online e contestazioni comuni: scenari e difese possibili
In questo capitolo analizziamo nel dettaglio le principali tipologie di frodi che si verificano nel commercio elettronico (specialmente in contesto internazionale) e le relative contestazioni legali. Per ciascuna tipologia, descriveremo lo schema fraudolento, il quadro giuridico in cui si inserisce e gli strumenti di tutela attivabili sia dalla vittima (che però qui considereremo brevemente, per inquadrare il contesto) sia – soprattutto – dal punto di vista del debitore/accusato, cioè di colui che viene ritenuto responsabile della frode o comunque chiamato a pagare/risarcire. Faremo riferimento a casi pratici realmente affrontati da giurisprudenza recente, per evidenziare come i giudici abbiano qualificato certe condotte (civili o penali) e quali principi abbiano affermato. Infine, proporremo strategie difensive e buone prassi per prevenire o replicare alle contestazioni, calibrate sul ruolo di avvocati, privati e imprenditori che agiscono in queste situazioni.
Frode del “chargeback” (contestazioni fraudolente di pagamenti)
Una delle frodi più insidiose per i venditori online è quella comunemente definita “frode da chargeback”, nota anche come friendly fraud. Si tratta di casi in cui un cliente – dopo aver effettuato un acquisto online con carta di credito/debito – richiede indebitamente lo storno dell’addebito al proprio istituto emittente, malgrado abbia effettivamente ricevuto e utilizzato il bene o servizio acquistato. In pratica, il cliente dichiara falsamente che la transazione è fraudolenta o non autorizzata, oppure solleva motivi pretestuosi (merce non ricevuta o difettosa, pur non essendo vero), sfruttando la procedura di chargeback per ottenere il riaccredito dell’importo . Così facendo, egli si procura un indebito vantaggio economico – il rimborso – a danno dell’esercente, che oltre a perdere il ricavo si vede spesso anche addebitare commissioni aggiuntive dal circuito per la gestione del chargeback.
Dal punto di vista contrattuale, la contestazione di addebito innescata dal cliente attiva il processo di chargeback descritto in precedenza: l’emittente della carta addebita la transazione all’acquirer del venditore, il quale a sua volta preleva la somma dal conto del merchant, notificandogli l’operazione contestata. A quel punto il venditore ha solitamente un breve termine (spesso 7-10 giorni lavorativi) per fornire una replica documentale se intende opporsi, fase detta di representment. Egli potrà inviare prova della legittimità della transazione (ricevute di consegna firmate, tracking della spedizione, corrispondenza col cliente, foto del prodotto consegnato, copia delle condizioni di vendita accettate, ecc.) . L’acquirer inoltra questa documentazione all’emittente, che valuta se annullare il chargeback o confermarlo. In caso di disaccordo, si può arrivare a un arbitrato del circuito (Mastercard, Visa…) il cui esito sarà definitivo sulla transazione. Tuttavia, spesso gli importi in gioco non giustificano di spingersi fino all’arbitrato internazionale (che comporta costi elevati per l’esercente, con tasse che possono superare i 500€). Molti venditori subiscono dunque passivamente i chargeback fraudolenti di piccolo importo, considerandoli costi inevitabili del fare business online. Ciò è pericoloso poiché un tasso troppo elevato di chargeback può portare i circuiti a penalizzare o persino revocare la possibilità di accettare carte al merchant, considerandolo “ad alto rischio” . Ad esempio, Stripe segnala che l’accumulo di chargeback incide su commissioni maggiorate e sul mantenimento dell’account per i commercianti .
Sul piano penale, un acquirente che deliberatamente utilizza il chargeback per farsi rimborsare un acquisto reale compie un illecito assimilabile alla truffa: egli infatti adopera un raggiro nei confronti dell’emittente (mentendo sul fatto di non aver autorizzato o ricevuto la merce) al fine di ottenere un ingiusto profitto (il rimborso) a spese altrui (il venditore, e indirettamente la banca). Negli Stati Uniti e altri ordinamenti tali condotte vengono perseguite come reati di frode con carte di credito . In Italia, in teoria, il venditore leso potrebbe sporgere querela per truffa contro il cliente disonesto. Tuttavia, occorre riconoscere che nella pratica è difficile provare oltre ogni dubbio il dolo specifico del consumatore (ad esempio, questi potrebbe sostenere di aver realmente creduto che l’addebito fosse anomalo, magari perché il nome in estratto conto non riconducibile al merchant lo ha tratto in inganno). Inoltre, se le somme sono modeste, difficilmente vi sarà un’attività investigativa approfondita. Ciò non toglie che, in presenza di elementi chiari (es: cliente recidivo che effettua decine di ordini e chargeback, o messaggi dove ammette l’intento fraudolento), una denuncia possa quantomeno portare a iscriverlo nel registro degli indagati e costituire un deterrente. Va poi menzionato l’aspetto civilistico: il venditore può agire in giudizio contro il cliente per ottenere pagamento del dovuto (sulla base del contratto di vendita) o per indebito arricchimento ex art. 2041 c.c., dato che il cliente si è arricchito (ha avuto sia il bene sia il rimborso) a detrimento dell’esercente. Una sentenza a favore del merchant potrebbe poi essere eseguita coattivamente (pignoramento di conti, stipendio, etc.), ma anch’essa ha senso pratico solo se il cliente è solvibile e localizzabile. In ambito UE, come detto, vi è il procedimento per controversie di modesta entità che consente di ottenere un titolo esecutivo europeo in tempi relativamente brevi, utilizzabile ad esempio se il cliente si trova in un altro Stato membro.
Difendersi da accuse di chargeback fraud: fin qui abbiamo esaminato la prospettiva del venditore vittima. Ma cosa dire dell’ottica “opposta”, cioè dell’utilizzatore accusato di aver fatto un chargeback fraudolento? È un caso meno frequente – dato che normalmente è il merchant a lamentarsi, non il cliente a doversi difendere – ma ipotizziamo uno scenario: un consumatore chiede legittimamente un chargeback (perché davvero non ha ricevuto la merce), ma il venditore lo denuncia sostenendo trattarsi di truffa oppure gli invia una diffida minacciando azioni legali se non paga di nuovo. Oppure, in un contesto B2B, un’azienda acquirente effettua un chargeback per merce difettosa e il fornitore la cita in giudizio per inadempimento contrattuale. In situazioni simili, la migliore difesa per l’acquirente è documentare la fondatezza della contestazione iniziale: conservare copie di tutte le comunicazioni dove segnalava i problemi al venditore, le prove della mancata consegna o difformità del prodotto, ecc. Se il chargeback è stato chiesto perché la transazione era davvero non autorizzata (es. carta clonata), basterà esibire l’eventuale denuncia di frode bancaria presentata all’epoca o altri riscontri (addebiti contemporanei mai fatti dall’intestatario, ecc.). D’altro canto, va ribadito che qualora il consumatore abbia abusato dello strumento di rimborso, rischia – oltre alle vie legali del merchant – anche conseguenze sui propri rapporti bancari: la banca potrebbe segnalarlo per abuso di contestazioni e inserirlo in black list interne, rendendo difficile l’ottenimento di carte in futuro. È dunque nell’interesse di tutte le parti usare il chargeback in buona fede.
Dal lato del merchant debitore (colui che deve restituire le somme per effetto del chargeback), ricapitoliamo le mosse difensive fondamentali: (1) Prevenzione: adottare sistemi antifrode (come 3D Secure, richieste di verifica indirizzo, controllo sugli ordini con indirizzi di spedizione sospetti) per ridurre le possibilità di contestazioni fraudolente; esempio: monitorare se un cliente ha già effettuato chargeback in passato e valutare se bloccare futuri ordini da quell’account. (2) Documentazione: per ogni transazione, conservare accuratamente le prove di consegna e di conformità (tracking, foto del pacco consegnato, log di utilizzo nel caso di servizi digitali, ecc.), in modo da avere munizioni in caso di contestazione . (3) Prontezza nel rispondere: appena si riceve notifica di un chargeback, inviare immediatamente la contestazione (representment) all’acquirer con tutta la documentazione e una spiegazione chiara. Ciò spesso convince l’emittente a rigettare il chargeback se il cliente aveva mentito. (4) Calcolo economico: valutare se procedere ad arbitrato del circuito quando la somma è consistente e la ragione è dalla propria parte (i costi possono valere la pena sopra una certa soglia). (5) Assistenza legale: se l’importo è rilevante e il cliente è identificabile, far inviare dall’avvocato una diffida al cliente intimando la restituzione dell’indebito, preannunciando azioni legali civili e persino penali; a volte questo sprona il cliente disonesto a trovare un accordo (ad es. restituire il bene ricevuto, o pagare una parte). (6) Reporting: segnalare il caso all’autorità giudiziaria se vi sono chiari elementi di truffa seriale (ciò potrebbe incardinare un procedimento che, pur se lento, potrebbe in futuro porre fine alle attività del truffatore seriale). In particolare, qualora il chargeback fraudolento avvenga in contesto internazionale (es. cliente oltreoceano), è utile anche riferire l’accaduto al circuito di carta o ad associazioni di categoria antifrode, poiché i grandi circuiti monitorano i pattern di frode emergenti e potrebbero adottare contromisure (ad es. bloccare quell’utente su tutte le piattaforme se identificato).
Ricapitolando in tabella alcuni aspetti chiave del chargeback fraudolento:
| Scenario | Azioni della parte lesa (venditore) | Difese per la parte accusata (acquirente) |
|---|---|---|
| Cliente ottiene indebitamente un chargeback dopo aver ricevuto il bene. | – Opposizione al chargeback con prove di consegna e regolarità .<br>– Azione civile per pagamento del prezzo dovuto o indebito arricchimento.<br>– (Eventuale) denuncia penale per truffa contrattuale (se prove di dolo).<br>– Segnalazione al circuito/black list antifrode. | – Dimostrare che il chargeback era legittimo (merce mai arrivata o difettosa, transazione effettivamente non autorizzata).<br>– Esibire comunicazioni e prove del disservizio per giustificare la contestazione.<br>– Verificare di aver rispettato termini e condizioni del circuito per contestare (in caso di accusa di abuso, mostrare di aver agito in buona fede).<br>– Se minacciato ingiustamente dal venditore, rispondere tramite legale evidenziando la fondatezza del rimborso ottenuto. |
Truffa “a triangolazione” e schemi con carte di credito rubate
Tra le frodi più complesse in ambito e-commerce vi è la cosiddetta frode a triangolazione. L’abbiamo anticipata: coinvolge un truffatore che funge da intermediario occulto tra un acquirente ignaro e un venditore reale. Questo schema sfrutta i dati di carte di credito rubate e la buona fede di entrambi gli altri attori. Ricapitolando il meccanismo:
- Il truffatore crea un fake shop online (o anche un annuncio su marketplace) dove offre prodotti reali a prezzi estremamente bassi, per attirare gli acquirenti.
- Un acquirente ordina e paga su questo sito fraudolento (spesso pagando con metodi difficilmente tracciabili, ad es. bonifico, ricarica, o anche carta se il truffatore ha un modo per incassare su carta clonata).
- Il truffatore, incassato il denaro dall’acquirente, utilizza i dati di una carta di credito rubata (di un ignaro titolare terzo) per effettuare egli stesso un acquisto identico sul sito di un venditore legittimo, indicando come indirizzo di spedizione quello dell’acquirente. In pratica il truffatore fa da “cliente fantasma” presso il vero store, usando soldi altrui.
- Il venditore reale riceve l’ordine (apparentemente regolare, carta valida) e spedisce la merce all’indirizzo fornito (quello dell’acquirente). La merce arriva a destinazione e l’acquirente pensa di aver ricevuto quanto comprato dal fake shop.
- Dopo qualche tempo, il titolare legittimo della carta di credito, vedendo l’addebito sconosciuto, lo contesta alla propria banca. Parte quindi un chargeback verso il venditore reale (quello che ha spedito l’oggetto), il quale si ritrova a non essere pagato per quell’ordine. Il truffatore nel frattempo è sparito (ha chiuso il sito fake e magari replicato altrove), e l’acquirente si ritrova ad aver pagato qualcuno che non rintraccerà più.
Questo raggiro sfrutta quindi sia il sistema di chargeback sia l’artificio di instradare il bene dalla vittima “pagante” alla vittima “merce”. Chi subisce i danni maggiori? In primis, il titolare della carta rubata viene rimborsato dalla sua banca ma deve affrontare le seccature della frode (blocco carta, ecc.) . Il venditore reale è la vittima economica diretta: perde il prodotto spedito e, a causa del chargeback, deve restituire i fondi, subendo un doppio danno (oltre al rischio reputazionale per aver subito transazioni fraudolente a suo nome) . L’acquirente che aveva ordinato dal sito fake spesso non perde il denaro – perché ha effettivamente ricevuto il prodotto, sebbene da altra fonte – ma può subire la sottrazione dei suoi dati personali e di pagamento (che il truffatore ha raccolto quando ha pagato sul sito fake) con possibili futuri abusi di tali informazioni . Inoltre, quell’acquirente ha involontariamente ricevuto merce pagata con carta rubata, e potrebbe doverla restituire qualora il venditore reale lo rintracci. Di solito l’acquirente non viene considerato responsabile penalmente se dimostra di essere stato inconsapevole – la FAQ di Buvei conferma che l’acquirente involontario non ha responsabilità legale se era in buona fede – tuttavia potrebbe essere chiamato come testimone nelle indagini e, sul piano civile, potrebbe profilarsi una situazione di indebito arricchimento: egli ha ottenuto un bene senza pagare il legittimo venditore. Il venditore reale potrebbe teoricamente agire verso di lui per riavere il bene o il suo valore, anche se l’acquirente potrà poi rivalersi (forse inutilmente) sul truffatore che l’ha ingannato.
Profili giuridici: la frode a triangolazione integra senz’altro vari reati. Il truffatore commette frode informatica o indebito utilizzo di carte (art. 493-ter c.p.) nei confronti del sistema di pagamento e truffa nei confronti sia del venditore sia dell’acquirente. Se identificato, risponderà di una pluralità di reati (ed è passibile di pene severe, somma di quelle per i singoli reati e vittime coinvolte). Spesso però questi truffatori agiscono dall’estero, rendendo difficile perseguirli. Per il venditore reale che si trovi coinvolto, la priorità sarà bloccare il più possibile questo fenomeno: come difendersi? Dal punto di vista preventivo, un venditore può adottare misure antifrode sugli ordini: ad esempio, verificare se l’indirizzo di spedizione differisce molto dall’indirizzo di fatturazione della carta (potenziale segnale di triangolazione), se l’ordine proviene da un account nuovo o sospetto, se l’IP di acquisto è di paese diverso, ecc. Molti gateway di pagamento forniscono indicatori di rischio. Inoltre, implementare la Strong Customer Authentication (SCA) – ormai obbligatoria in Europa – aiuta: transazioni con 3D Secure riducono drasticamente le frodi con carte rubate, anche se i truffatori più evoluti tentano phishing per carpire anche i codici OTP. Un venditore può anche fissare regole interne: per ordini di elevato importo o sospetti contattare l’acquirente telefonicamente o via email per conferma (questo però non sempre smaschera la triangolazione, poiché il truffatore può fornire un proprio recapito e rispondere al telefono spacciandosi per il cliente).
Se nonostante tutto si subisce la frode, dal punto di vista legale il venditore reale – ora debitore verso la banca per via del chargeback – potrà tentare un paio di strade: contestare il chargeback stesso, se ha elementi (ma in genere qui la transazione era davvero non autorizzata dal titolare, quindi poco da fare se non era autenticata SCA); oppure, cercare di recuperare il bene presso l’acquirente. Quest’ultimo, ricordiamo, ha concluso un contratto con il sito fraudolento, non col venditore reale; tuttavia, il venditore potrebbe sostenere che il bene è giunto a destinazione per un errore o senza valido titolo e quindi rivendicarlo indietro. Non ci sono molte pronunce su questo scenario, ma si potrebbe assimilare a un caso di consegna per errore: l’acquirente inconsapevole riceve un bene per il quale non ha un contratto con il mittente, dunque questi potrebbe richiederne la restituzione (magari offrendo all’acquirente la possibilità di tenere il bene pagandone il prezzo, se ciò è fattibile). In pratica, spesso l’acquirente è difficile da contattare, oppure ha ricevuto qualcosa di valore inferiore a quanto pagato al truffatore (che quindi una parte l’ha trattenuta), per cui anche lui si sente vittima e non incline a perdere pure l’oggetto. La situazione è intricata: idealmente, tutti e tre (acquirente, venditore, titolare carta) dovrebbero collaborare con le autorità per identificare il vero colpevole. E infatti, ciò che il venditore deve fare sicuramente è sporgere denuncia appena scopre la frode: fornendo alla Polizia Postale (in Italia) i dettagli dell’ordine, l’indirizzo di spedizione, i contatti del cliente ricevente e qualunque indizio sul truffatore (ad es. l’email usata per l’ordine sul suo sito, che magari appartiene a qualche account riconducibile al malvivente). Le forze dell’ordine potranno così capire se quell’acquirente è complice o no, e magari individuare collegamenti tra vari episodi simili.
Dal punto di vista del debitore accusato nella triangolazione, quali scenari abbiamo? Principalmente due: (a) il venditore reale potrebbe essere accusato dal circuito bancario di non aver prevenuto la frode (ma qui la banca non può far molto se non applicare le policy di cui si è detto, eventualmente aumentando le sue tariffe o rescindendo il contratto se lo reputa troppo rischioso); (b) l’acquirente inconsapevole potrebbe essere chiamato a restituire il bene o essere coinvolto nelle indagini. Poniamoci dunque nei suoi panni: “Ho comprato da un sito, ho ricevuto l’oggetto da un altro venditore, ora quest’ultimo mi chiede di restituirlo perché dice che il pagamento era fraudolento – come mi difendo?”. La sua difesa consisterà nel dimostrare la buona fede: esibire la ricevuta d’ordine e pagamento al sito originario, per far vedere che lui ha pagato regolarmente (anche se a un destinatario sbagliato). Può anche spiegare che ignorava che il venditore fosse diverso, magari mostrando che i documenti di spedizione ricevuti erano fuorvianti. Dal punto di vista legale, se il venditore reale agisce per riavere la cosa, l’acquirente può eventualmente invocare l’art. 1150 c.c. (spese fatte sulla cosa in buona fede) per farsi rimborsare quanto eventualmente abbia speso per migliorie – caso improbabile – oppure più concretamente può agire contro il truffatore (se mai identificato) per recuperare il suo pagamento. Purtroppo, è probabile che l’acquirente perda sia soldi che bene in questo caso, ma almeno non avrà conseguenze penali se collabora. Nella pratica, molti venditori evitano di rivalersi sull’acquirente finale per ragioni di immagine e perché spesso sono in altri Paesi: il danno viene internalizzato o scaricato su assicurazioni.
Riassumendo per punti la difesa nella triangolazione: – Per l’e-commerce venditore: implementare controlli antifrode sulle transazioni (verifica indirizzi, SCA, strumenti di machine learning che segnalino ordini anomali) per intercettare possibili triangolazioni prima della spedizione. Se individuato un ordine sospetto, si potrebbe tentare di contattare il titolare della carta (se i sistemi lo consentono, ad es. tramite la banca, ma non sempre fattibile) o ritardare la spedizione chiedendo conferme aggiuntive. Dopo il fatto, raccogliere tutte le informazioni e denunciare alle autorità; contestare il chargeback se esistono appigli (ad esempio, se l’emittente non ha rispettato la procedura o i termini – casi rari). Valutare l’opportunità di polizze assicurative contro le frodi sulle vendite (alcune compagnie offrono prodotti specifici per coprire i chargeback fraudolenti, dietro pagamento di un premio).
– Per l’acquirente coinvolto involontariamente: mantenere tracce documentali di tutto (screenshot del sito dove ha comprato, ricevuta di pagamento al truffatore, email intercorse) perché potranno essere utili in eventuali indagini o dispute. Segnalare egli stesso la vicenda alle autorità appena ne prende coscienza (ad esempio se riceve un bene con fattura da un altro venditore, segnale chiaro di triangolazione, può sporgere querela contro ignoti per truffa indicando il sito fake). Così facendo, evita di essere visto come connivente. Se il venditore reale lo contatta chiedendo la restituzione del bene, l’acquirente può cooperare (restituendo l’oggetto, perdendo i soldi pagati al truffatore – amaramente – ma evitando guai) oppure tentare un accordo (magari acquistare legittimamente il bene dal venditore reale pagando qualcosa, se ancora interessato e se il venditore è disponibile a uno sconto dati i trascorsi). In ogni caso, l’acquirente dovrà aumentare la prudenza in futuro: la regola d’oro è diffidare da offerte troppo belle per essere vere e controllare credenziali del venditore prima di acquistare.
Tabella riepilogativa – Frode a triangolazione:
| Attore | Rischi subiti | Tutele e difese |
|---|---|---|
| Venditore reale (ignaro) | – Perdita economica (merce spedita + addebito stornato) .<br>– Aumento chargeback rate (rischio di sanzioni dal circuito).<br>– Possibile danno d’immagine (associato a frodi). | – Misure antifrode e SCA per prevenire ordini fraudolenti.<br>– Denuncia penale del fatto (collaborazione con Polizia Postale).<br>– Contestazione del chargeback se possibile (raramente efficace).<br>– Richiesta restituzione bene all’acquirente (valutando costi/benefici).<br>– Polizze assicurative anti-frode (se disponibili) per mitigare il danno. |
| Acquirente inconsapevole | – Perdita dell’importo pagato al sito fake (il truffatore è sparito coi soldi).<br>– Possibile richiesta di restituzione del bene da parte del venditore reale (che lo considera indebitamente detenuto).<br>– Coinvolgimento in indagini (come testimone).<br>– Dati personali e finanziari compromessi (rischio ulteriori frodi) . | – Conservare tutte le prove dell’acquisto effettuato sul sito truffaldino (a dimostrazione della propria buona fede).<br>– Sporgere querela appena si scopre l’inganno, fornendo massima collaborazione alle autorità.<br>– Restituire il prodotto al legittimo proprietario se richiesto, per evitare azioni civili (eventualmente chiedendo di essere tenuto indenne se possibile).<br>– Attivare controlli su carte/conti (dopo aver fornito i dati al sito fake), richiedendo blocco o cambio credenziali per evitare ulteriori utilizzi illeciti. |
| Truffatore (intermediario) | – (Responsabile di molteplici reati: truffa, frode informatica, indebito utilizzo di carte, possesso di dati illeciti…)<br>– Se individuato, cumulabilità di pene severe e azioni risarcitorie di tutte le parti. | – Nessuna difesa lecita: trattasi a tutti gli effetti dell’autore della frode. (Spesso cerca di celare la propria identità e la provenienza dei fondi, es. convertendo il ricavato in crypto: condotta che peraltro configura autonoma responsabilità per riciclaggio/autoriciclaggio).<br>– In eventuale processo, potrà ottenere attenuanti solo risarcendo integralmente le vittime prima della condanna (art. 62 n.6 c.p.). |
Phishing e furto di credenziali: contestazioni bancarie e responsabilità
Il phishing – termine ombrello che indica le tecniche di ingegneria sociale volte a carpire informazioni riservate (password, codici OTP, numeri di carta) fingendosi entità fidate – è divenuto uno dei metodi più comuni per perpetrare frodi finanziarie online. Nel contesto del commercio elettronico, il phishing può colpire in vari modi: ad esempio tramite email truffa che simulano comunicazioni della banca o di circuiti di pagamento chiedendo di “verificare un acquisto sospetto” e inducendo l’utente a rivelare i propri codici, oppure tramite siti clone di gateway di pagamento dove l’utente inserisce i dati della carta credendo di pagare l’ordine reale mentre li sta consegnando ai truffatori. Esistono anche varianti come smishing (phishing via SMS) e vishing (via chiamate vocali) in cui il criminale, spacciandosi magari per l’ufficio antifrode della banca, convince la vittima a fornirgli codici di sicurezza o a effettuare lei stessa bonifici verso “conti sicuri” che in realtà sono i conti del truffatore.
Le conseguenze tipiche del phishing sono: l’accesso indebito al conto online della vittima (da cui vengono disposti bonifici fraudolenti) oppure l’uso non autorizzato dei dati di carta di credito per effettuare acquisti online o prelievi. In entrambi i casi, il danno economico inizialmente ricade sul titolare del conto/carta. Tuttavia, come visto, la normativa PSD2 impone alla banca/emittente di rimborsare il cliente salvo prova di dolo o colpa grave di quest’ultimo . Ed è qui che nascono le contestazioni: spesso infatti la banca, davanti a phishing ben orchestrati, tenta di rigettare il reclamo del cliente imputandogli di essere stato negligente (ad esempio: “Ha inserito lei le credenziali sul sito fake, quindi ha autorizzato la transazione”; oppure “Ha cliccato un link sospetto, non possiamo rispondere della sua imprudenza”). Fino a qualche anno fa, la giurisprudenza di merito era altalenante: alcune sentenze (es. Trib. Milano 2017) propendevano per addossare al cliente la responsabilità se aveva divulgato i codici identificativi senza la dovuta cautela. Oggi l’orientamento si è spostato verso la tutela del cliente, grazie a pronunce come Cassazione Civile n. 9158/2018 e soprattutto Cass. 3780/2024. Quest’ultima ha sancito principi chiave: la banca è tenuta ad adottare misure tecniche e organizzative idonee a prevenire l’uso fraudolento dei servizi (diligenza professionale qualificata ex art. 1176 c.c.), e risponde contrattualmente dell’inadempimento in caso di operazioni non autorizzate, a meno che non provi che il fatto dannoso rientra in una sfera al di fuori del proprio controllo e dovuto a colpa grave del cliente . La colpa grave dell’utente, secondo la Suprema Corte, può configurarsi in situazioni estreme – ad esempio un ritardo ingiustificato nel segnalare l’anomalia (uno scenario: la vittima si accorge di addebiti fraudolenti ma li lascia correre per settimane, facilitando ulteriori esborsi) – mentre non equivale a colpa grave il mero fatto di essere caduti nel raggiro, specie considerando l’elevata sofisticazione che queste truffe hanno raggiunto . La Corte ha anche sottolineato che il phishing è un rischio d’impresa tipico per la banca, la quale deve prevedere che una percentuale di clienti possa essere ingannata e predisporre contromisure adeguate (ad es. sistemi antifrode che blocchino transazioni anomale anche se “autenticate” con credenziali, alert in real-time, ecc.) . In definitiva, salvo casi limite, oggi il cliente truffato ha diritto al rimborso.
Questa evoluzione giurisprudenziale significa che, dal punto di vista del correntista vittima di phishing – che inizialmente è il “debitore” verso la banca per le somme uscite dal conto – esiste un solido arsenale di tutela: se la propria banca nega il rimborso, egli potrà con buone probabilità ottenere giustizia in sede ABF o giudiziaria invocando la responsabilità contrattuale dell’istituto. Basti pensare che Codici, un’associazione di consumatori, ha definito la sentenza Cass. 3780/2024 “importante” proprio perché «in caso di phishing, i clienti devono essere risarciti se non emergono colpe gravi» . Diverso è invece il caso in cui effettivamente il cliente abbia tenuto un comportamento gravemente incauto: ad esempio, se qualcuno telefona fingendo di essere della banca e la vittima fornisce via telefono tutte le proprie password e codici di sicurezza (che la banca non chiede mai, come noto), potrebbe profilarsi una colpa grave. Anche qui però, spesso la linea di confine è sottile e i giudici tendono a esigere un onere probatorio importante a carico della banca: sarà quest’ultima a dover dimostrare la condotta imprudente del cliente e il nesso causale con la frode (ad es., log di accesso che mostrano uso delle credenziali corrette, assenza di violazioni dei propri sistemi, etc.).
Va segnalato che alcune sentenze di merito pre-2024 (es. App. Milano 2021, Cass. 7214/2023) sembravano più severe con i clienti, ma la Cassazione 2024 ne ha preso le distanze . Ormai il messaggio è chiaro: le banche devono investire in sicurezza e educazione dell’utenza, e non possono scaricare sul cliente la responsabilità di attacchi ben congegnati, a meno che questi non abbia praticamente agevolato il crimine con condotta inescusabile.
Dal lato del “debitore”: qui il “debitore” in senso tecnico è la banca/prestatore di servizi di pagamento, che deve erogare il rimborso. Se scriviamo per avvocati che difendono le banche, la strategia sarà cercare di qualificare la condotta del cliente come gravemente negligente, sollevando eccezioni magari sulla tardività della denuncia (art. 12 D.lgs 11/2010 prevede che se il cliente non comunica entro 13 mesi l’operazione non autorizzata, perde il diritto al rimborso – ma casi del genere sono rari perché di solito la vittima si attiva subito) . Oppure, contestare che l’operazione non fosse realmente non autorizzata (ad es., sostenere che il cliente ha ceduto consapevolmente le credenziali a terzi). Tuttavia, tali difese reggono poco davanti all’orientamento attuale. Una banca che vuole evitare soccombenze dovrebbe provare concretamente che l’operazione contestata è riconducibile all’utente: ad esempio, mostrare che è stata effettuata con l’uso di Strong Authentication (come l’inserimento di un OTP inviato sul cellulare del cliente) e che difficilmente un terzo poteva avere quell’OTP senza la cooperazione attiva o la grossa imprudenza del cliente. Anche in tali casi, comunque, l’utente potrebbe esser stato vittima di un malware tipo sim swap (duplicazione della SIM telefonica) – quindi di nuovo vittima – e quindi la banca rimane responsabile. In soldoni, per le banche oggi è molto complicato evitare la responsabilità nei phishing: l’unica vera via è prevenire a monte con sistemi antifrode.
Se invece consideriamo il “debitore” come la vittima (nel senso che, se la banca non rimborsa, la vittima rimane debitrice verso la banca dell’importo fraudolento addebitato), allora il suo punto di vista lo abbiamo trattato: difesa è pretendere il rimborso con tutti i mezzi (reclamo, ABF, causa) citando le norme e la giurisprudenza a sé favorevoli . Un supporto può venire anche dalle linee guida europee: la Direttiva PSD2 prevede che l’utente al massimo sopporti una franchigia di 50 euro per operazioni non autorizzate prima della segnalazione (era 150€ in PSD1, ridotta a 50), e nemmeno quella se l’operazione è avvenuta senza che il PSP richiedesse l’autenticazione forte prevista. Quindi spesso il cliente può sostenere che non deve perdere neanche 1 euro, specie se il PSP magari non aveva implementato l’autenticazione a due fattori come avrebbe dovuto (in passato alcune banche non usavano 3D Secure di default e questo veniva visto come mancanza). Ad ogni modo, il cliente vittima ha oggi la strada spianata per farsi valere.
Phishing e e-commerce: oltre al classico scenario del conto svuotato, vi sono casi specifici legati all’e-commerce: ad es. phishing del venditore. Il truffatore invia email a un merchant fingendosi il fornitore o un cliente, inducendolo a effettuare un pagamento verso un IBAN sbagliato (dirottando un bonifico di fornitura su un conto diverso). In tal caso la vittima è l’azienda che paga: recuperare quei fondi può essere complesso (spesso finiscono in conti esteri e poi prelevati in contanti o spostati). Qui la banca può non aver colpe, perché l’ordine di bonifico è genuino e autorizzato dall’azienda (solo mandato alla persona sbagliata). La tutela sta nel muoversi rapidissimamente con un ordine di revoca o recall del bonifico se ancora possibile, e denunciare immediatamente. L’azienda potrà semmai chiamare in causa la banca se ritiene che quest’ultima avrebbe dovuto notare qualcosa (ad es. IBAN destinatario noto in black list), ma non vi sono obblighi stringenti del genere. A livello europeo si discute di introdurre meccanismi di “confirmation of payee” (confronto nome-IBAN per evitare bonifici a truffatori), ma in Italia non ancora attivi nel circuito SEPA.
Riassunto difese nel phishing: – Per il cliente vittima: agire subito (blocco carta/conto, reclamo scritto entro 13 mesi max, querela in Polizia Postale dettagliando l’accaduto e fornendo ogni evidenza – es. screenshot dell’email fraudolenta, header email, ecc.). Inviare alla banca la copia della denuncia (spesso le banche rimborsano in via preliminare appena ricevuta la denuncia, in ottemperanza all’art. 12 d.lgs.11/2010, salvo poi eventualmente rivalersi). Se la banca rifiuta il rimborso o addebita franchigie non dovute, ricorrere all’ABF citando le decisioni precedenti e – se del caso – procedere civilmente chiedendo il risarcimento integrale di somme e spese legali. In giudizio, utilizzare a proprio favore la giurisprudenza di legittimità (Cass. 2018 n.9158; Cass. 2020 n. 7708; Cass. 2024 n.3780, etc.) che ha statuito l’onere della prova a carico della banca e la rarefazione della colpa grave cliente .
– Per la banca: come visto, focalizzarsi su eventuali condotte anomale del cliente. Se ad esempio il cliente ha cliccato su 10 avvisi del browser che indicavano “sito non sicuro” ed è andato avanti lo stesso fornendo codici, magari si può argomentare che quella è colpa grave (ma in concreto la linea è sottile: molti utenti non sanno interpretare gli avvisi). Oppure, se il cliente sostiene “non ho autorizzato” ma la transazione era 3D secure con OTP inviato al suo cellulare, insinuare che forse c’è dolo (caso raro che uno simuli il phishing per farsi rimborsare: sarebbe autocalunnia e comunque difficile da orchestrare). La banca può anche tentare di dimostrare che ha fatto il possibile (esibendo log di sicurezza, audit sulla propria infrastruttura per provare che non è stata bucata – comunque il problema in phishing di solito è sull’utente, non sui server).
Esempio pratico recente: Tribunale di Roma, febbraio 2023, ha condannato Poste Italiane a risarcire una cliente phishing per €2.900 sottratti dalla Postepay, proprio sulla base di quanto detto: la responsabilità del prestatore di servizi per attività pericolosa (trattamento dati finanziari) e il fatto che la sottrazione di credenziali è rischio d’impresa . Poste fece ricorso in Cassazione ed è la sentenza 3780/2024 di cui sopra: ricorso rigettato . In quel caso specifico, a Poste è stato contestato di non aver adottato misure come l’SMS alert per ogni operazione sulla carta – misura che forse avrebbe permesso alla cliente di accorgersi subito della frode e limitarne l’impatto . Questo fa capire come ogni piccolo dettaglio di sicurezza (o la sua mancanza) possa essere decisivo.
Tabella riepilogativa – Phishing bancario:
| Situazione | Responsabilità prevalente | Difesa del “debitore” |
|---|---|---|
| Cliente vittima di phishing subisce bonifici/addebiti fraudolenti sul proprio conto. | – Banca tenuta a rimborsare immediatamente il cliente (salvo frode o colpa grave cliente) .<br>– Cliente deve notificare entro 13 mesi dall’operazione e non aver violato gravemente i doveri di custodia credenziali. | Se debitore = banca: dimostrare colpa grave cliente (es. ha comunicato PIN/OTP malgrado avvisi, o segnalazione tardiva) .<br>Se debitore = cliente (banca nega rimborso): insistere su diligenza propria e inadempimento banca (onere prova a carico della banca, rischio impresa tipico) ; ricorrere ad ABF/giudice citando Cass. 3780/2024. |
| Phishing ai danni di un venditore (es. cambiamento IBAN fornitore via email fraudolenta) con pagamento inviato a truffatore. | – Tecnica di business email compromise (BEC): il pagatore autorizza volontariamente un bonifico verso IBAN sbagliato.<br>– Banca esecutrice non è responsabile dell’errore cliente (ha seguito istruzioni).<br>– Eventuale responsabilità del provider email se evidente hacking (difficile). | – Segnalare immediatamente alla propria banca il bonifico fraudolento (tentare annullamento/recall, a volte possibile se fondi non ancora prelevati).<br>– Denuncia penale (autorità possono congelare fondi se intercettano il conto del truffatore in tempo).<br>– Migliorare procedure interne (verifica telefonica con fornitori per cambi coordinate, ecc.).<br>– Difesa legale limitata: il pagatore difficilmente potrà imputare colpa alla banca (a meno di irregolarità macroscopiche, es. IBAN manifestamente inesistente adattato da sistema). Potrebbe al più rivalersi su eventuali negligenze del proprio personale (responsabilità interna) o su assicurazione se prevista. |
Vendite inesistenti e truffa contrattuale nel B2C e B2B
Quella delle vendite fantasma (merce pubblicizzata e pagata ma mai consegnata) è probabilmente la forma più “classica” di truffa nell’e-commerce. Può avvenire sia in contesti C2C (piccoli annunci tra privati su piattaforme) sia in vere e proprie vendite B2C dove un sedicente negozio online attira clienti per poi non spedire nulla. Può anche riguardare contratti B2B internazionali (come visto nell’introduzione, es. truffa del pagamento anticipato di fornitura mai avvenuta, spesso con aziende fittizie all’estero).
Inquadramento giuridico: se il venditore era in mala fede sin dall’inizio, ossia ha ordito uno schema fraudolento (prezzo molto basso per invogliare, rassicurazioni mendaci, e poi sparizione dopo aver ottenuto il denaro), la condotta trascende il mero inadempimento civile e integra il reato di truffa ex art. 640 c.p. – la cosiddetta truffa contrattuale. La Cassazione è intervenuta più volte a definire i contorni di tale fattispecie. Un caso paradigmatico è la Sentenza n. 45115/2019: riguardava venditori online che avevano incassato il pagamento di un computer offerto a soli 140€ (prezzo insolitamente basso) e non avevano consegnato nulla, rendendosi irreperibili; i giudici di merito li condannarono per truffa e la Cassazione confermò . In quella decisione, la Suprema Corte richiamò precedenti del 2015 e 2016 che stabilivano: «integra il reato di truffa contrattuale la mancata consegna della merce acquistata e pagata, nel caso in cui siano stati indicati un “prezzo conveniente” di vendita sul web e un falso luogo di residenza del venditore, circostanze che evidenziano la presenza di dolo iniziale, cioè la volontà di non adempiere sin dal momento dell’offerta online» . Inoltre, fu citato l’esempio di un venditore che, dopo aver concluso transazioni su eBay e incassato i soldi senza spedire nulla, cancellava immediatamente il proprio account per ostacolare l’identificazione: condotta chiaramente fraudolenta, distinta dall’inadempimento civilistico . Dunque gli indici rivelatori del dolo iniziale evidenziati dalla giurisprudenza sono: prezzi irrealisticamente bassi, fornitura di false generalità o indirizzi (per rendersi irraggiungibili), comportamenti post-vendita volutamente ostruzionistici (cancellazione profili, interruzione contatti). In sintesi, «l’elemento costitutivo del reato è la volontà del venditore di non ottemperare sin dall’origine, accompagnata da artifici e raggiri quali l’allestimento dell’annuncio online con descrizione del bene e prezzo allettante, atti a carpire la buona fede dell’acquirente» . Quando queste condizioni sono provate, si configura reato. Viceversa, se manca il dolo iniziale – ad esempio il venditore aveva effettivamente intenzione di spedire ma poi non l’ha fatto per sopravvenute difficoltà o negligenza – allora si ricade nell’ambito civilistico dell’inadempimento contrattuale semplice, non punibile penalmente. La Cassazione ha cura di distinguere i due piani: non ogni mancata consegna è reato, servono gli artifizi e raggiri e la prova dell’intento fraudolento.
Questa distinzione è importante per il debitore-venditore che si trovi accusato da un cliente. Egli potrà difendersi sul piano penale cercando di dimostrare che il suo era un inadempimento senza inganno: ad esempio, esibendo comunicazioni avute col compratore in cui fornisce giustificazioni plausibili (ritardi, problemi di magazzino), il che contrasta con un comportamento furtivo tipico del truffatore. Se poi il venditore risarcisce o consegna tardivamente la merce, questo non elimina automaticamente la rilevanza penale se il dolo iniziale c’era (il reato si perfeziona al momento dell’inganno e del pagamento), ma può rendere la querela meno probabile o comunque essere valutato come condotta riparatoria (attenuante). In alcuni casi, venditori denunciati per truffa contrattuale hanno evitato la condanna dimostrando che la mancata consegna era dovuta a cause non intenzionali e che non avevano messo in atto stratagemmi per ingannare – semmai c’era stata leggerezza o incapacità. Ad esempio, se un ecommerce è sommerso di ordini e non riesce a evaderli, e qualcuno denuncia, sarà rilevante capire se la società stava cercando di far fronte (quindi mal gestione ma non volontà di rubare) o se ha semplicemente preso i soldi e ignorato i clienti.
Dal lato civilistico, indipendentemente dal profilo penale, il compratore ha diritto alla risoluzione del contratto per inadempimento e alla restituzione del prezzo. Spesso in questi casi l’acquirente agisce su entrambi i fronti: chiede un rimborso (via chargeback se può, o via legale civilmente) e denuncia penalmente per truffa per mettere pressione e perché vuole punire il comportamento. Un aspetto interessante: la presentazione di querela per truffa in questi casi non richiede la messa in mora o altre formalità, perché – come ha chiarito il Tribunale di Ferrara 2022 – la truffa contrattuale è reato istantaneo che si consuma all’atto dell’inganno iniziale, quindi la querela non deve rispettare termini dalla scoperta del mancato adempimento oltre quelli generali (entro 3 mesi dalla data in cui si è avuto sentore della frode, in base all’art. 124 c.p.) . In altre parole, il cliente truffato può denunciare subito senza dover prima attivare diffide (queste semmai servono per la parte civile). Sul fronte del venditore, questo implica che risarcire tardivamente non estingue il reato (a meno che, essendo procedibile a querela, si convinca il querelante a rimettere la querela dopo aver avuto indietro i soldi – scenario possibile).
Casi tra privati (C2C): un esempio tipico è la vendita su siti di annunci (Subito, Kijiji ecc.) in cui Tizio vende un usato, Caio paga con ricarica o bonifico ma non riceve nulla. Anche qui, se Tizio aveva architettato il raggiro (annuncio mendace, etc.), risponderà di truffa. Molte sentenze di Cassazione su truffe online derivano proprio da questi fatti, spesso aggravate perché commesse via internet (alcune pronunce consideravano l’uso di internet come aggravante di minorata difesa, ma la Cass. 2022 n.443 del 12/07/2022 ha escluso automatismi: serve prova che la distanza abbia effettivamente ridotto la difesa, altrimenti resta truffa semplice procedibile a querela) .
Casi B2B internazionali: qui rientrano le truffe di import-export. Ad esempio, un’azienda italiana paga anticipato un fornitore estero per un carico di merci che non arriveranno mai. A differenza del caso consumer, qui potrebbe applicarsi la CISG: se entrambe le aziende sono in Stati aderenti, la Convenzione regola il contratto. Essa prevede che, in caso di inadempimento fondamentale (mancata consegna totale è certamente fondamentale), la parte lesa possa dichiarare il contratto risolto e chiedere danni (Art. 25, 49 CISG). Tuttavia, ciò è efficace se c’è qualcuno da citare e se il fornitore non è semplicemente un’entità fantasma. Spesso queste truffe vedono società fittizie, per cui la tutela pratica è scarsa. Può essere utile coinvolgere le Camere di Commercio locali o l’Interpol se ci sono indizi, ma di fatto le aziende tendono ad assicurarsi contro rischio insolvenza/frode oppure, se l’importo è grande, assumono investigatori privati internazionali. Dal punto di vista penale internazionale, la competenza dipende da dove si è consumato l’evento: la truffa contrattuale internazionale è considerata consumata nel luogo dove si è verificato l’evento di danno, ad esempio dove il denaro è stato incassato o dove la vittima non ha ricevuto la merce (orientamento Cass. pen. n.40256/2019) . Quindi teoricamente si potrebbe aprire un procedimento in Italia se la vittima è italiana e il danno si concretizza in Italia (uscita del denaro), ma bisognerà poi agire via rogatorie per colpire i responsabili all’estero.
Difendersi come venditore accusato di truffa contrattuale: il venditore (o supposto tale) che riceve accuse o una convocazione dalle forze dell’ordine per questi fatti deve immediatamente attivare una linea difensiva chiara: se è effettivamente un truffatore seriale, tenterà magari di negare l’intento (“volevo spedire ma poi ho avuto un problema”), ma le prove spesso lo smentiscono. Se invece è un caso limite – ad esempio un piccolo commerciante in crisi di liquidità che ha incassato acconti sperando di poter poi evadere, fallendo però nel proposito – dovrà far emergere l’assenza di artifici: mostrare che usava il suo vero nome e indirizzo (non nascosto), che non aveva fissato prezzi assurdi, che magari ha consegnato parte degli ordini e solo altri non sono riusciti, ecc. Tutto ciò per qualificare l’accaduto come inadempimento civile e non come reato. Eventualmente potrà transigere con i clienti rimborsandoli, sperando nella remissione delle querele. Da notare: se c’è plurioffensività (molte vittime), la situazione peggiora perché dimostra sistematicità e la procedibilità potrebbe anche essere d’ufficio se ricorrono aggravanti come il danno patrimoniale di rilevante gravità (oltre 100k euro) o l’associazione a delinquere se agivano in gruppo. In questi casi, la difesa penale punterà almeno a evitare le aggravanti sostenendo che non c’era un piano concertato ma solo coincidenze o disorganizzazione.
Difendersi come acquirente accusato: un cenno anche all’ipotesi contraria, meno comune: se un acquirente viene accusato ingiustamente di truffa dal venditore. Può succedere se, ad esempio, il venditore consegna e poi il cliente disconosce il pagamento (friendly fraud) e il venditore lo denuncia per truffa. In tal caso l’acquirente si difenderà sostenendo che la contestazione era legittima (come visto nel paragrafo sul chargeback fraud). Non è usuale che un acquirente onesto finisca indagato penalmente perché di solito i venditori preferiscono cause civili o si rassegnano. Ma se succede, l’acquirente dovrà dimostrare di aver agito in buona fede (es: “ho fatto chargeback perché il pacco non era arrivato entro mesi, poi è arrivato e sto risarcendo” ecc.). Comunque questo scenario è raro.
Riassumendo con una tabella finale i casi di truffa contrattuale vs inadempimento:
| Caso | Configurazione giuridica | Difese del presunto truffatore (debitore) |
|---|---|---|
| Vendita online mai consegnata, con artifici (falsa identità, prezzo stracciato, sparizione). | Truffa contrattuale ex art. 640 c.p. (dolo iniziale) .<br>Reato procedibile a querela (salvo aggravanti); vittima può chiedere risarcimento in sede penale e risoluzione contratto in sede civile. | – Dimostrare assenza di dolo iniziale: esibire comunicazioni dove si prometteva consegna, uso di contatti reali (no identità fittizie), eventuali cause sopravvenute dell’inadempimento.<br>– Se possibile, adempiere tardivamente (consegnare o rimborsare) per mitigare il danno e favorire un ritiro della querela.<br>– Contestare la qualificazione di “artifizi e raggiri”: sostenere che l’offerta non aveva nulla di ingannevole o che il prezzo non era anomalo.<br>– Sottolineare, se vero, l’assenza di profitto: es. merce non consegnata perché finita, ma soldi tenuti disponibili per rimborso (ciò può convertire la questione in civile). |
| Vendita non consegnata per cause non fraudolente (esaurimento scorte, problemi logistici) con venditore rintracciabile. | Inadempimento civile, non reato (mancano artifici; obbligo risarcitorio civilistico). | – Dimostrare di aver avvisato tempestivamente il cliente del problema, offrendo soluzioni (es. nuovo termine, prodotto alternativo).<br>– Se denunciato comunque, produrre queste prove per chiedere archiviazione in fase indagini (mancanza elemento oggettivo della truffa: inganno).<br>– Adempiere all’obbligo di rimborso ex art. 61 Cod. Consumo (se consumer) così da chiudere la vicenda sul piano contrattuale. |
| Pluri-vendite fittizie organizzate (schema seriale su larga scala). | Truffa aggravata (più fatti, danno ingente, eventualmente associazione a delinquere). Procedibilità d’ufficio possibile. | – Tattica difensiva difficile: potrebbe puntare su vizi procedurali, contestare l’identificazione personale (spesso usano alias).<br>– Se difendibile: mirare a ridurre aggravanti (es. contestare “ingente gravità” se sotto soglia, negare esistenza di banda organizzata se operava singolo).<br>– Collaborare con autorità per restituzione parziale beni/fondi se ancora disponibili, per attenuanti. |
Nota: in tutti i casi di vendite inesistenti, dal punto di vista del consumatore/vittima italiano, è utile sapere che può rivolgersi anche ad enti come il Centro Europeo Consumatori (CEC) se la controparte è estera nell’UE, oppure all’AGCM per segnalare il sito fraudolento (l’AGCM ha spesso oscurato siti e comminato multe a venditori fantasma online a tutela dei consumatori). Ciò però esula dalla difesa del debitore, ed è più un rimedio lato vittima.
Abbiamo così esaminato le principali categorie di frodi nel commercio online internazionale e le implicazioni normative di ciascuna. Nel prossimo capitolo affronteremo alcune domande frequenti, per chiarire dubbi specifici, e proporremo delle simulazioni pratiche di casi concreti – focalizzati sull’ordinamento italiano – con un taglio interattivo (domanda/risposta) dal punto di vista di avvocati o soggetti coinvolti, in modo da vedere come applicare nella pratica tutti i concetti esposti sinora.
Domande frequenti (FAQ) su difesa nelle contestazioni di frodi online
- Domanda: Un mio cliente mi accusa di non aver mai inviato la merce e minaccia denuncia per truffa. Io però ho spedito il pacco, che risulta consegnato. Come posso difendermi?
Risposta: In primo luogo, raccogliete tutte le prove della spedizione e consegna: numero di tracking, documento di consegna firmato, eventuali email in cui il cliente confermava ricezione (o messaggi successivi in cui lamenta magari altro, ma non la mancata consegna). Comunicate formalmente al cliente questi riscontri, invitandolo a verificare. Se avete prova di consegna, la contestazione di truffa è infondata. In caso di querela, queste stesse prove andranno fornite all’autorità per dimostrare che la merce è stata consegnata (insussistenza del fatto). È possibile che il cliente stia tentando una “friendly fraud”: in tal caso, opponetevi anche presso il circuito di pagamento presentando i dati di consegna . Consigliamo inoltre di inviare al cliente una diffida contro eventuali dichiarazioni diffamatorie, dato che accusarvi di truffa a fronte di prova contraria potrebbe configurare diffamazione o denuncia calunniosa. In sintesi, la vostra difesa si basa sull’evidenza dell’adempimento: nessuna truffa se avete adempiuto regolarmente. - Domanda: Ho subito un addebito sulla carta per un acquisto online che non ho mai fatto. Ho segnalato subito alla banca ma rifiutano il rimborso dicendo che avevo cliccato un link phishing e quindi è colpa mia. È giusto?
Risposta: No, non è affatto detto che la banca abbia ragione. Anzi, secondo la normativa italiana (D.lgs. 11/2010) e le interpretazioni della Cassazione, la banca può rifiutare il rimborso solo se prova che lei ha agito con colpa grave (o dolo) . Cliccare un link di phishing, di per sé, è un errore comune e non automaticamente colpa grave: i truffatori usano email molto credibili. La banca dovrebbe averle rimborsato l’importo entro il giorno successivo alla contestazione per legge, eventualmente trattenendo 50€ di franchigia (solo se la transazione non era protetta da autenticazione forte). Le consigliamo di presentare subito un reclamo scritto alla banca richiamando la disciplina degli artt. 11 e 12 D.lgs. 11/2010 e citando la sentenza Cass. 3780/2024 che conferma l’obbligo di rimborso salvo colpa grave del cliente . Se la banca insiste nel diniego, può rivolgersi all’Arbitro Bancario Finanziario (ABF): con un costo di soli 20€, otterrà una decisione in tempi relativamente brevi (pochi mesi) e l’esperienza mostra che l’ABF spesso dà ragione ai clienti in casi di phishing, a meno che la banca porti elementi davvero schiaccianti contro il cliente. In parallelo, presenti denuncia querela alla Polizia Postale per il reato di frode informatica, allegando ogni dettaglio (email phishing ricevuta, ecc.): non solo è utile per le indagini, ma una copia della denuncia inoltrata alla banca spesso smuove le cose (perché la banca sa di non avere basi solide per negare). In sintesi: insista sui suoi diritti, perché il principio vigente è che l’uso fraudolento degli strumenti di pagamento rientra nel rischio delle banche, non del cliente onesto . - Domanda: Sono titolare di un e-commerce. Un cliente tedesco ha comprato merce da me e pagato con carta; dopo un mese ha fatto chargeback dicendo di non aver ricevuto il pacco, ma ho la prova di consegna con firma. La sua banca però gli ha già restituito i soldi e ora il mio conto è stato addebitato. Posso fare qualcosa a questo punto?
Risposta: Sì. Innanzitutto, se non l’ha già fatto, deve presentare contestazione formale al chargeback tramite la sua banca (acquirer), inviando la prova di consegna firmata. Il circuito riesaminerà il caso e, poiché lei dispone di prova chiara che il cliente ha ricevuto la merce, con buona probabilità il chargeback verrà revocato e le verranno riaccreditati i fondi. Ci sono delle tempistiche strette: generalmente occorre inviare la documentazione entro 20-30 giorni dall’apertura del chargeback (variabile a seconda del circuito). Lo faccia immediatamente se è ancora in tempo. Se la procedura interna si è già conclusa negativamente per decorrenza termini o altro, ha comunque alcune opzioni: può contestare contrattualmente la decisione con la sua banca (alcuni contratti acquirer permettono un arbitrato ulteriore se si hanno nuove prove). Può inoltre, in parallelo, agire legalmente contro il cliente in Germania: avendo prova della consegna, può chiedere ingiunzione di pagamento europea per l’importo. Valuti economicità e rapporti (se trattasi di importo elevato, ne vale la pena). Inoltre, segnali questo cliente nelle reti antifrode: potrebbe aver adottato un comportamento fraudolento volontariamente (fenomeno purtroppo diffuso). Da ultimo, consideri una prossima volta di assicurare le spedizioni internazionali con ricevuta di ritorno e foto-geolocalizzazione alla consegna, in modo da rendere ancora più difficili contestazioni infondate. In sintesi: utilizzi tutti i rimedi nel circuito (representment, eventuale appeal) e, se necessario, non esiti a coinvolgere legali per recuperare il dovuto, dato che ha dalla sua parte evidenti prove di consegna. - Domanda: Ho venduto un oggetto usato su un sito di annunci a un acquirente francese. Lui ha pagato €300 su PayPal “amico” (senza protezione acquisti). Ho spedito il pacco, ma lui sostiene di non averlo ricevuto e minaccia denuncia internazionale. Purtroppo ho solo la ricevuta di spedizione postale non tracciata (economica). Cosa rischio e come difendermi?
Risposta: Questa è una situazione delicata perché, non avendo tracciabilità né prova di consegna, la sua posizione contrattuale è debole: l’acquirente può sostenere di non aver ricevuto nulla. Dal punto di vista civile, rischia di dover restituire i €300 (inadempimento nell’obbligo di consegna). Dal punto di vista penale, potrebbe effettivamente sporgere denuncia in Francia (o tramite le autorità qui) accusandola di truffa. Tuttavia, perché sia truffa e non semplice inadempimento, dovrebbero emergere indizi di dolo iniziale: ad esempio, che lei non ha mai spedito nulla sin dall’inizio e ha ingannato deliberatamente. Lei ha però una ricevuta di spedizione (anche se non tracciata), ciò suggerisce che ha tentato di spedire. Conservi gelosamente quella ricevuta; magari provi a contattare Poste per vedere se col codice presente si può ottenere qualche informazione (a volte anche spedizioni base hanno un identificativo interno). Per difendersi, consigliamo di cooperare con l’acquirente: ad esempio proponga una soluzione equa – metà rimborso ora e metà se il pacco non torna indietro entro X giorni, oppure offra un risarcimento parziale per il disguido. Mostri fin da subito all’acquirente la copia della ricevuta postale per evidenziare che ha spedito davvero. Se l’acquirente vede collaborazione, forse desiste dal profilo penale e cerca un accordo. In caso di formale accusa di truffa, la sua difesa sarà: assenza di dolo – lei ha spedito (esibendo la ricevuta come prova), al più c’è stata una perdita del pacco o un malinteso. Ciò configura semmai un problema contrattuale, non un reato. È improbabile che un giudice italiano (competente, essendo lei italiana, per rogatoria) la condanni penalmente in mancanza di elementi fraudolenti (prezzo di mercato, identità sua vera, spedizione effettuata). Il rischio maggiore è dover rimborsare civilmente i €300, magari con interessi, ecc. Valuti quindi se è meno oneroso venire a patti prima. In sintesi: documenti e trasparenza. E per il futuro, usare sempre spedizioni tracciate e metodi di pagamento con tutele per evitare simili impasse. - Domanda: Un utente ha acquistato un software digitale dal mio sito, ha scaricato il prodotto (posso vedere dal log che ha usato la licenza) e poi ha stornato il pagamento dicendo alla banca che la carta era stata usata fraudolentemente. Posso denunciarlo?
Risposta: Sì, questo comportamento – purtroppo diffuso – si configura come frode da chargeback e integra gli estremi del reato di truffa. Lei può sporgere denuncia-querela allegando le prove: evidenzi che l’utente ha effettivamente utilizzato il software (log di attivazione con suo IP o account) e allega la documentazione della contestazione di addebito che le è pervenuta. La Polizia Postale potrà cercare di perseguire l’utente, specialmente se non è un caso isolato (magari emergono altri casi simili riconducibili a lui). Anche se l’autorità potrebbe archiviare se ritiene l’importo modesto, la sua denuncia intanto creerà un precedente e – se l’utente è recidivo – aumenterà le chance di azione. Parallelamente, può tentare la via civile: se conosce i dati dell’utente (nome, indirizzo) e la sua giurisdizione, può chiedere al suo legale di inviargli una lettera di costituzione in mora intimando il pagamento della licenza fruita, minacciando appunto sia la causa civile sia la denuncia penale (che avrà già presentato). Talvolta questo spaventa l’autore e lo induce a saldare spontaneamente quanto dovuto, magari per evitare grane. Inoltre, segnali il fatto al circuito di pagamento: in alcuni casi, se dimostra l’abuso (friendly fraud), il circuito può restituirle i fondi (ad esempio PayPal ha un programma venditore protetto per beni immateriali se si forniscono prove d’uso). Nel suo caso specifico, avendo log che il software è stato attivato, c’è un’ottima prova che l’utente mente: usi questo a suo vantaggio in ogni sede. Dunque sì, la denuncia penale è ammissibile, anche se non garantisce l’azione, è comunque legittima. - Domanda: Ho scoperto che qualcuno ha messo online un sito copiando il nome e logo della mia azienda e vende prodotti truffando clienti (vendite inesistenti). Ora sto ricevendo lamentele di persone che credono di essere state truffate da me! Cosa devo fare per difendermi?
Risposta: Si tratta di phishing del merchant o furto di identità commerciale, un fenomeno grave. La prima cosa: denunci immediatamente presso la Polizia Postale questa clonazione, fornendo l’URL del sito fake e ogni dettaglio. La polizia potrà attivarsi per oscurare il sito truffaldino tramite provvedimenti d’urgenza (anche l’AGCM e l’ICANN possono essere coinvolti per sospendere il dominio). Nel frattempo, pubblichi un avviso ben visibile sul suo sito ufficiale e social, dichiarando che “esiste un sito fraudolento che usa indebitamente il nostro marchio, diffidate e controllate che gli ordini provengano solo dal nostro dominio ufficiale…”. Questo serve a tutelare sia i consumatori sia la reputazione sua (mostra che è parte lesa e non complice). Se alcune vittime la contattano direttamente, spieghi la situazione e inviti anche loro a denunciare il fatto (più denunce, più forza per far chiudere il fake). Dal punto di vista legale, lei è vittima di usurpazione di identità e truffa da parte di ignoti: quindi non è tenuto a risarcire i truffati (semmai lo farà il truffatore, se mai verrà preso). Tuttavia, per pubbliche relazioni, se qualche cliente ha subito danni di lieve entità, alcune aziende offrono coupon o sconti come gesto di buona volontà – non obbligatorio, ma può aiutare a mantenere immagine positiva. In ogni caso, l’azione fondamentale è far cessare l’illecito: con la sua denuncia, la Polizia Postale potrebbe richiedere un sequestro del sito; anche l’hosting provider se noto può essere diffidato (la Direttiva e-commerce e il nuovo Digital Services Act impongono di rimuovere contenuti illegali una volta notificati: la frode lo è). Quindi invii anche una segnalazione all’host (se riesce a reperirlo via whois) e al registro dei domini. Inoltre, consideri di registrare eventuali domini simili al suo (typosquatting) per prevenire futuri casi. Per riassumere: difesa immediata = denuncia + avviso pubblico; difesa a medio termine = azioni legali contro ignoti e cooperazione con autorità per oscurare il sito clone. Nel frattempo, raccolga screenshot e prove del sito fake (contenuti, offerte, contatti) da utilizzare in indagini. - Domanda: Sono stato contattato dalla Polizia per essere interrogato riguardo a una truffa online: avevo venduto una console su eBay mesi fa, poi ho avuto problemi e non ho spedito né rimborsato subito l’acquirente, che mi ha denunciato. Io però poi l’ho rimborsato integralmente (anche se dopo qualche mese). Rischio ancora qualcosa a livello penale?
Risposta: Dalla dinamica sembra il classico caso di truffa contrattuale contestata. Il fatto che lei abbia rimborsato la vittima riduce molto la sua esposizione penale, soprattutto se il rimborso è avvenuto spontaneamente prima di una condanna (il che può costituire causa di non punibilità se avvenuto prima della querela, oppure attenuante importante se dopo). Vediamo: se l’acquirente l’ha denunciata prima di ricevere il rimborso, la querela è valida; però potrebbe essere disposto a rimetterla (cioè ritirare la querela) visto che ha avuto indietro i suoi soldi – magari lo contatti tramite il suo legale, con tatto, per verificare se è disposto a formalizzare la remissione (a quel punto il procedimento penale verrebbe chiuso per remissione di querela, reato estinto). Se la remissione non c’è e si procede comunque, la sua linea sarà: non c’era dolo iniziale, lei non aveva intenzione di truffare ma si è trovato impossibilitato a consegnare per motivi che spiegherà (fornisca eventuali prove: es. fornitore che non le ha consegnato la console, problemi finanziari ecc.), e sottolinei che ha già risarcito integralmente la persona offesa. La Cassazione in casi del genere a volte ritiene il reato improcedibile per mancanza di querela valida (se la querela era stata sporta quando la truffa non era ancora procedibile d’ufficio ed eventualmente viziata – ma dettagli tecnici) o comunque guarda favorevolmente al risarcimento come segno di pentimento. Direi che, se è incensurato, la probabilità è che – male che vada – il procedimento finisca con un’archiviazione o al massimo una pena molto lieve (spesso convertibile in sanzione pecuniaria) magari riconoscendole l’attenuante del ravvedimento operoso (art. 62 n.6 c.p.). In pratica, rischia poco se la storia è davvero solo questa e non ci sono altri episodi a lei imputabili. Importante: nel colloquio con la Polizia (o in Procura), racconti la verità in modo coerente: ammetta l’errore, spieghi l’assenza di volontà di ingannare, fornisca ricevuta del rimborso effettuato (così che ne prendano nota). Mostri insomma che è stato un disguido risolto, non un piano criminoso. Spesso, in tali circostanze, le autorità chiudono un occhio (anche perché perseguire penalmente un caso già risolto può non avere interesse pubblico). Dunque, si presenti con un avvocato, sereno, e chiarisca. Con ogni probabilità la cosa si concluderà senza conseguenze gravi.
Casi pratici e simulazioni (focus Italia)
Di seguito presentiamo alcuni scenari ipotetici ispirati a casi reali, per vedere in concreto come applicare i princìpi illustrati. Ogni simulazione descrive brevemente la situazione e poi analizza le possibili azioni e difese dal punto di vista dei soggetti coinvolti, con un occhio di riguardo alla posizione del debitore (cioè di colui che deve difendersi da una contestazione di frode).
Caso 1: Vendita online non consegnata – confine tra inadempimento e truffa
Scenario: Mario, piccolo commerciante toscano, vende elettronica su un marketplace. Offre uno smartphone nuovo a un prezzo promozionale molto basso rispetto al mercato. Un cliente di Milano acquista e paga mediante bonifico €500. Mario riceve il denaro ma, avendo sottostimato la richiesta, resta senza stock del prodotto. Invece di rimborsare subito, temporeggia sperando di reperire il telefono altrove a basso costo. Passano settimane, il cliente chiede spiegazioni: Mario inventa via email un ritardo del fornitore. Dopo 2 mesi senza telefono né rimborso, il cliente perde la pazienza e denuncia Mario per truffa alla Polizia Postale. Mario, avvisato della denuncia, nel frattempo rimborsa integralmente il cliente (che però non ritira la querela).
Analisi: Qui inizialmente sembrano esserci elementi di dolo eventuale: Mario ha messo un prezzo stracciato (segno potenziale di artificio) e accettato pagamenti senza avere merce. Tuttavia, a suo favore, ha usato la sua identità vera, non è sparito (ha risposto alle email, seppur con scuse) e alla fine ha rimborsato. Penale: Mario rischia l’accusa di truffa contrattuale. La sua difesa evidenzierà l’assenza di un raggiro vero e proprio: l’offerta promozionale era reale (aveva alcuni pezzi, poi finiti), la sua condotta post-vendita non è stata di sparizione ma di cattiva gestione. Insomma, mancherebbe l’artificio/frode: è un caso di inadempimento poi sanato. L’avvocato di Mario chiederà l’archiviazione; in subordine, la clemenza del giudice data la riparazione del danno (se si arrivasse a processo, potrebbe ottenere la non menzione della condanna con pena minima, o addirittura una particolare tenuità del fatto ex art. 131-bis c.p. vista la restituzione). Civile: il cliente in realtà è già stato rimborsato, quindi l’azione civile è rientrata. Mario tuttavia ha violato il Codice del Consumo (consegna oltre 30 giorni non effettuata), rischiando sanzioni AGCM se fosse un fenomeno diffuso. Prevenzione: Mario avrebbe dovuto non mettere in vendita stock non posseduto o quantomeno rimborsare subito a fronte dell’indisponibilità. Questo caso insegna che un venditore, anche in buona fede, se non adempie e non rimborsa prontamente può passare guai penali. Dal lato del cliente, comunque, è protetto: infatti ha ottenuto rimborso (grazie anche alla pressione della querela).
Caso 2: Phishing bancario e responsabilità – utente contro banca
Scenario: Lucia, impiegata, riceve un SMS apparentemente dalla sua banca che la avvisa di “attività sospette sul conto” e di cliccare un link. Il link la porta a un sito clone della banca dove inserisce le credenziali e un codice OTP. In pochi minuti, dal suo conto partono due bonifici: €5.000 verso un IBAN estero e €2.000 verso una carta ricaricabile. Lucia se ne accorge il giorno dopo entrando nell’home banking (ormai bloccato). Chiama subito la banca e spiega l’accaduto. La banca rifiuta il rimborso sostenendo che i bonifici risultano autenticati, quindi per loro sono autorizzati dall’utente. Lucia presenta allora ricorso all’ABF.
Analisi: Lucia è la vittima, dunque la debitrice sarebbe la banca tenuta a rifonderla. Civilmente, come già spiegato, la legge sta dalla parte di Lucia: bonifici non autorizzati, segnalati tempestivamente, vanno rimborsati . La banca invoca la colpa grave di Lucia (ha inserito OTP nel sito fake). L’ABF esaminerà se ciò costituisce colpa grave: in casi analoghi, i Collegi ABF hanno spesso deciso a favore del cliente, ritenendo che gli avvisi delle banche (“non clicchi link”, etc.) non bastino a scaricare tutto sul cliente, specie se i messaggi phishing sono ben fatti. La banca per vincere dovrebbe provare un quid pluris (es: Lucia ha ignorato plurimi avvisi di sicurezza o ha tardato molto nel notificare; ma qui ha avvisato il giorno dopo – tempestiva). È probabile quindi che l’ABF accolga il ricorso e ordini il rimborso di €7.000 a Lucia. Penale: verso ignoti, la Polizia Postale indagherà (Lucia ha sporto denuncia). Se mai i truffatori verranno presi, Lucia potrà costituirsi parte civile per i danni (anche se già rimborsata dalla banca, eventualmente la banca subentrerà nella richiesta per essere risarcita a sua volta). Difesa banca: potrebbe opporsi a ABF o in giudizio, ma con Cassazione 2024 contraria , ha poche chance. Esito atteso: Lucia verrà rimborsata (magari dopo qualche mese e battaglia ABF). Importante, Lucia non dovrà restituire nulla anche se i bonifici non verranno recuperati: la perdita resta in capo alla banca, salvo che riesca a bloccare i fondi a destinazione (spesso non riesce). Questo scenario mostra come l’ordinamento tutela fortemente il cliente vittima di phishing, e la “difesa” della banca è praticamente solo nel prevenire a monte.
Caso 3: Triangolazione fraudolenta – venditore vs acquirente
Scenario: Un e-commerce italiano, ChiaraStore, riceve un ordine da Parigi per un laptop (€1.200). Pagamento con carta di credito intestata a un certo John Doe di Londra. Indirizzo di spedizione: un certo Alain a Parigi. La transazione passa (no 3D Secure perché carta UK extra-EU). ChiaraStore spedisce il laptop ad Alain a Parigi. Dopo 40 giorni, la società di ChiaraStore riceve un chargeback: il titolare John Doe dichiara transazione fraudolenta (carta clonata). Importo stornato €1.200 + €25 di fee. ChiaraStore prova a contattare Alain (il destinatario): risponde che lui aveva comprato da un venditore su un marketplace parallelo e pensava che ChiaraStore fosse il corriere; dice di non sapere nulla della carta rubata.
Analisi: Classico caso di triangolazione . Venditore ChiaraStore: è la vittima commerciale, ha perso prodotto e soldi. Poco può fare con il chargeback: non avendo SCA, la regola del circuito dà ragione al titolare fraudato. Prova a presentare representment ma la firma alla consegna è di “Alain”, non del titolare carta: inutile. Azioni possibili: Denuncia in Italia contro ignoti per truffa e frode informatica, allegando i dati (indirizzi, email dell’ordine, ecc.). Forse la Polizia Postale con omologhi esteri risalirà a qualche mail usata dal truffatore. Alain (acquirente parigino): se di buona fede, anche lui è vittima (ha pagato il truffatore per quel laptop, magari €800, e si è visto arrivare il laptop comprato con carta rubata). Il venditore potrebbe citarlo per restituzione del laptop (che è ancora di proprietà del venditore in quanto contratto con lui viziato): ma far causa transfrontaliera per 1200€ è oneroso. Magari ChiaraStore lascia perdere. Alain dal canto suo ha perso i soldi pagati al truffatore, ma ha un laptop – se glielo confiscano dovrà restituirlo e avrà perso tutto. Forse preferisce tenerlo e sperare. Esito tipico: il venditore registra la perdita e migliora i filtri antifrode (magari ora bloccano ordini con triangolazioni evidenti: carta UK spedizione FR, contatti incongruenti). Difese: ChiaraStore aveva pochi strumenti ex post; doveva prevenire: per es., poteva contattare il numero di John Doe (titolare carta) prima di spedire, o attendere qualche giorno (a volte i titolari notano illeciti entro pochi giorni e avvisano, permettendo di bloccare spedizioni). Non c’è però colpa legale del venditore: ha seguito procedure, ma ne subisce la perdita perché i circuiti trasferiscono il rischio esercente se no SCA. Penale: se mai preso, il truffatore verrà imputato di frode informatica, truffa aggravata multi-vittima, ecc. ChiaraStore e John Doe e Alain saranno parti offese. Difesa truffatore non pervenuta (di solito irreperibili o identità false). Lezione: per venditori: usare SCA ovunque possibile, stare attenti a mismatch di dati. Per acquirenti privati: diffidare di siti esterni con prezzi troppo bassi e chiedere sempre feedback, altrimenti si rischia di essere pedine di frodi.
Caso 4: Frode “man in the middle” su contratto B2B internazionale
Scenario: Azienda Alfa (Italia) deve pagare Azienda Beta (Germania) €50.000 per una fornitura. Un hacker ha accesso alla email di Beta e, al momento giusto, invia ad Alfa una mail contraffatta (da indirizzo quasi uguale a quello di Beta) indicando un IBAN diverso per il pagamento (conto offshore). Alfa, credendo legittimo l’aggiornamento, esegue il bonifico sul nuovo IBAN. Beta dopo 2 settimane sollecita il mancato pagamento: si scopre la truffa. I soldi sul conto offshore sono già spariti.
Analisi: Qui la frode è di tipo Business Email Compromise (truffa del CEO/fornitore). Chi perde: Alfa ha pagato, Beta non ha ricevuto. Contrattualmente Alfa deve ancora pagare Beta (perché il pagamento a conto sbagliato non libera dal debito). Quindi Alfa rischia di dover pagare due volte: infatti Beta ha diritto a pretendere i €50.000 (non li ha avuti). Alfa dovrà semmai rivalersi sul truffatore (missione quasi impossibile). Cosa fare per difendersi? Alfa dovrebbe subito coinvolgere la banca per tentare revoca del bonifico: spesso in questi casi se la segnalazione arriva entro poche ore, si riesce a bloccare; qui sono passate 2 settimane, improbabile. Alfa può provare a negoziare con Beta una perdita condivisa (es. Beta offre uno sconto sulla nuova fattura), ma Beta può anche rigettare: contrattualmente ha ragione piena. Beta e Alfa entrambe faranno denuncia penale in Italia e Germania. Forse tramite indagini internazionali (Europol) si potrà individuare la gang (queste truffe sono spesso operate da reti in Africa o Est Europa). Profilo legale: la banca di Alfa non ha colpa (ha eseguito l’ordine come da mandato). La banca di Beta non c’entra perché non ha ricevuto nulla. Alfa potrebbe controllare se Beta aveva doveri di sicurezza (es. contratto con Beta prevedeva particolari modalità di cambio coordinate? Di solito no, questi sono rischi generali). Difficile incolpare Beta: anch’essa vittima di hacking. Quindi Alfa rimane debitor verso Beta. Difesa Alfa: cercare di evitare di pagare di nuovo invocando forza maggiore? Non applicabile, non era un evento che rende impossibile il pagamento, può ancora pagare. Beta potrebbe portarla in giudizio se non paga. Alfa allora dovrà pagare e iscrivere il danno come perdita (magari assicurata, se avevano polizza cyber). Prevenzione: implementare procedure di verifica out-of-band per cambi IBAN (una telefonata diretta al fornitore usando numeri noti, non quelli indicati nella mail sospetta – come da linee guida antifrode ). In questo caso, la lezione costa €50k. Giuridicamente, non c’è molto per difendere Alfa se Beta fa causa. Solo un tardivo tentativo di dire che Beta era negligente nella sicurezza email e quindi chiederle di condividere la colpa in equità – ma è più un argomento morale che legale stretto (a meno che emergano evidenze di grossa negligenza di Beta, tipo account email condiviso senza password…).
Conclusione
Le frodi nel commercio online internazionale rappresentano ormai una sfida quotidiana sia per i consumatori che per le imprese. Abbiamo visto come l’ordinamento italiano (in armonia con quello europeo) offra una serie di rimedi avanzati: dalla responsabilità contrattuale delle banche nei casi di phishing , alle azioni civili e penali contro vendite fraudolente , fino ai meccanismi come il chargeback che, pur non essendo diritti assoluti di legge, costituiscono strumenti efficaci di tutela se ben utilizzati . Dal punto di vista del debitore accusato, difendersi con successo richiede di dimostrare la propria buona fede e diligenza: l’assenza di malizia iniziale nelle contestazioni di truffa contrattuale; l’adozione di tutte le misure di sicurezza ragionevoli nel caso di istituti di pagamento; la correttezza operativa (o la pronta riparazione dell’errore) nei rapporti con i clienti. La giurisprudenza recente mostra un orientamento bilanciato: tutela fortemente le vittime oneste, ma ciò significa anche che chi viene colto in condotte fraudolente sistematiche difficilmente sfuggirà a conseguenze (civili, penali o reputazionali).
Per avvocati e operatori del settore, è essenziale rimanere aggiornati sulle ultime evoluzioni normative – si pensi alle proposte PSD3 e PSR citate dal rapporto FABI , che presto rafforzeranno ulteriormente gli obblighi di sicurezza per i servizi di pagamento – e sulle pronunce giurisprudenziali di legittimità, che affinano via via i criteri (ad esempio in tema di phishing, dove Cass. 2024 ha marcato un cambio di rotta pro-consumatore rispetto a Cass. 2023) . Dal lato pratico, la cooperazione internazionale tra autorità di diversi Paesi e tra attori privati (banche, piattaforme online) sta migliorando, ma i truffatori trovano sempre nuove modalità (uso di AI per messaggi sempre più credibili, exploit su nuovi sistemi come criptovalute, ecc.). Occorre quindi un duplice approccio: preventivo, implementando sistemi antifrode tecnologici e formando gli utenti alla cyber-sicurezza, e reattivo, sapendo attivare con tempestività gli strumenti di tutela (blocco pagamenti, reclami, denunce). Questa guida, con le sue oltre 10.000 parole di analisi approfondita, intende essere un vademecum per orientarsi in tale complesso panorama.
In conclusione, dal punto di vista del debitore accusato di frode online, la miglior difesa è spesso una buona condotta anticipata: trasparenza, correttezza contrattuale, comunicazione aperta con le controparti e adozione delle cautele tecniche del caso. Se ciò nonostante ci si trova coinvolti in contestazioni, le leggi e i tribunali offrono strumenti solidi per far valere le proprie ragioni – a patto di poter dimostrare la verità dei fatti. Con un supporto legale specializzato e l’ausilio delle fonti autorevoli (norme, sentenze, linee guida istituzionali) citate in questa guida, sarà possibile affrontare anche le controversie più insidiose in materia di frodi nel commercio elettronico internazionale, tutelando efficacemente i propri diritti e interessi.
Fonti
– Corte di Cassazione, Sentenza n. 3780/2024,
Hai ricevuto un avviso dall’Agenzia delle Entrate perché ti vengono contestate presunte frodi nel commercio online internazionale? Fatti Aiutare da Studio Monardo
Hai ricevuto un avviso dall’Agenzia delle Entrate perché ti vengono contestate presunte frodi nel commercio online internazionale?
Vuoi sapere quali sono i rischi e come puoi difenderti da queste accuse?
Con la crescita dell’e-commerce transfrontaliero, i controlli fiscali si sono intensificati. Il Fisco può ritenere che dietro alcune operazioni online si nascondano schemi fraudolenti, come omissione di fatturazione, triangolazioni fittizie o uso di società di comodo all’estero. Ma non tutte le contestazioni sono corrette: spesso si basano su presunzioni e dati parziali.
👉 Prima regola: dimostra la tracciabilità e regolarità fiscale di ogni transazione.
⚖️ Quando scattano le contestazioni
- Vendite online non dichiarate a clienti esteri;
- Frode carosello con interposizione di società fittizie;
- Utilizzo di marketplace esteri senza riportare i ricavi in Italia;
- Omissione dell’IVA sulle vendite a distanza intracomunitarie oltre le soglie;
- False triangolazioni commerciali per ridurre o evitare il carico fiscale.
📌 Conseguenze della contestazione
- Recupero delle imposte (IVA, imposte dirette, dazi doganali);
- Sanzioni dal 90% al 200% dell’imposta non dichiarata;
- Interessi di mora;
- Procedimenti penali per frode fiscale, dichiarazioni fraudolente o contrabbando;
- Responsabilità solidale per amministratori, soci e società collegate.
🔍 Cosa verificare per difendersi
- Contratti e fatture: sono state regolarmente emesse e registrate?
- Pagamenti tracciabili: bonifici, carte, PayPal, Stripe;
- Documentazione doganale per import/export extra-UE;
- Applicazione corretta dell’IVA (OSS, regole intracomunitarie, vendite a distanza);
- Motivazione dell’accertamento: l’Agenzia deve indicare in modo preciso le operazioni sospette;
- Termini di notifica: l’accertamento è stato emesso nei tempi di legge?
🧾 Documenti utili alla difesa
- Report dettagliati dei marketplace (Amazon, eBay, Etsy, Shopify, ecc.);
- Estratti conto bancari e dei sistemi di pagamento elettronici;
- Bolle doganali e documenti di trasporto;
- Dichiarazioni IVA e comunicazioni OSS/MOSS;
- Corrispondenza commerciale con clienti e fornitori esteri.
🛠️ Strategie di difesa
- Dimostrare la regolarità delle operazioni con prove documentali;
- Contestare le presunzioni arbitrarie dell’Agenzia delle Entrate;
- Chiarire l’applicazione delle regole IVA internazionali in base alla tipologia di transazione;
- Eccepire vizi procedurali: notifica irregolare, motivazione carente, decadenza dei termini;
- Richiedere autotutela se la contestazione è palesemente infondata;
- Ricorso alla Corte di Giustizia Tributaria entro 60 giorni per sospendere o annullare l’atto;
- Difesa penale dedicata se viene contestata frode fiscale o doganale.
🛡️ Come può aiutarti l’Avv. Giuseppe Monardo
📂 Analizza le operazioni online contestate e i flussi di pagamento;
📌 Verifica la legittimità della contestazione e la corretta applicazione delle norme IVA e doganali;
✍️ Predispone memorie difensive e ricorsi per annullare o ridurre la pretesa fiscale;
⚖️ Ti assiste anche in sede penale in caso di accuse di frode;
🔁 Suggerisce strategie preventive per una gestione sicura e trasparente dell’e-commerce internazionale.
🎓 Le qualifiche dell’Avv. Giuseppe Monardo
✔️ Avvocato esperto in fiscalità internazionale ed e-commerce;
✔️ Specializzato in difesa da contestazioni su frodi tributarie e doganali;
✔️ Gestore della crisi iscritto presso il Ministero della Giustizia.
Conclusione
Le contestazioni dell’Agenzia delle Entrate per frodi nel commercio online internazionale sono molto gravi, ma non sempre fondate.
Con una difesa mirata puoi dimostrare la trasparenza delle tue operazioni, evitare la riqualificazione come frode e proteggere la tua attività da pesanti conseguenze fiscali e penali.
📞 Contatta subito l’Avv. Giuseppe Monardo per una consulenza riservata: la tua difesa contro gli accertamenti sulle frodi nell’e-commerce internazionale inizia qui.
