Euro Digitale e rischio frodi in Europa
Introduzione
Il 2024 è stato un anno decisivo per l’evoluzione di eIDAS (2.0) e per il futuro degli “ID-Wallet” in Europa. La loro piena introduzione, prevista per il 2026, consentirà di ridisegnare gli scenari relativi ai servizi basati sull’identità, sulla gestione delle informazioni personali e non solo.
Ci sarà un grande impatto sui servizi di pagamento e finanziari, ma potrebbero emergere anche rischi correlati. La centralizzazione dei dati, unita alla possibilità di svolgere operazioni basate sull’identità, rappresenta di per sé una minaccia, e i soli meccanismi ausiliari aggiuntivi di tracciatura e condivisione delle operazioni potrebbero non essere sufficienti.
Ragionare su modelli dinamici di controllo, basati su elementi comportamentali specifici dell’utente e su meccanismi di identity check & verify awareness, potrebbe non solo essere utile, ma anche contribuire allo sviluppo di una maggiore consapevolezza da parte degli utenti riguardo alla potenza e ai rischi di questi servizi.
Rischio Frodi nell’Euro Digitale: analisi strategica e comparata per proteggere cittadini, imprese e pubbliche amministrazioni”
Recenti studi e rapporti della Banca Centrale Europea, della Banca dei Regolamenti Internazionali (BIS) e di altri organismi internazionali, indicano che l’introduzione dell’euro digitale rappresenterà una svolta per il sistema monetario europeo. L’emissione e la regolamentazione di una CBDC (Central Bank Digital Currency) rappresentano uno dei progetti più ambiziosi avviati dalla Banca Centrale Europea. L’Euro Digitale mira al raggiungimento di tre principali obiettivi: favorire la digitalizzazione dei pagamenti, rendendoli veloci, sicuri e maggiormente accessibili a cittadini ed imprese. Aumentare la resilienza dei sistemi di pagamento europei, aggiungendo un’alternativa pubblica ai circuiti privati già presenti. Garantire la sovranità monetaria, evitando che monete digitali private (o straniere) possano assumere un ruolo dominante nel mercato europeo. Questi obiettivi, indiscutibilmente apprezzabili, devono spingere la BCE, i Payment Service Provider e tutti gli stakeholder coinvolti a riflessioni più approfondite per mitigare i rischi legati all’Euro Digitale. In particolare, l’aumento di accessibilità e l’incentivazione all’utilizzo di una moneta digitale da parte di fasce di popolazione non ancora digitalizzate, comportano rilevanti rischi in ambito antifrode. Inoltre, l’immediatezza delle transazioni e l’utilizzo “offline” per i pagamenti in prossimità, allargano la superficie di attacco per i frodatori, rendendo fondamentale l’adozione di soluzioni antifrode e di sicurezza robuste e iniziative di sensibilizzazione a tutela dei clienti con un basso livello di alfabetizzazione digitale.
Valute Digitali di Stato nel Mondo: analisi comparata dei modelli già adottati
Studiare le esperienze di altri paesi che hanno già adottato valute digitali di stato, come ad esempio, Cina, Nigeria, Bahamas e Giamaica, offre un’opportunità importante di approfondimento e riflessione per comprendere i potenziali rischi legati alle frodi e per definire una strategia efficace e resiliente da applicare nell’ecosistema economico Europeo con l’avvento dell’Euro Digitale. La Cina, in merito all’adozione di una CBDC (Central Bank Digital Currency) è sicuramente il paese che possiamo considerare come maggiormente maturo, infatti la loro moneta digitale (e-CNY) è operativa dal 2020. C’è tuttavia diffusione marginale della valuta digitale nazionale: viene utilizzata attivamente dal 5-7% della popolazione. A giugno 2024 il volume totale delle transazioni e-CNY ha comunque superato i 7 trilioni di Yuan (986 Miliardi USD) quasi quattro volte i volumi dell’anno precedente. Non si hanno purtroppo dati certi in merito al volume di frodi e/o truffe registrate, i pochi episodi di frodi documentati hanno riguardato principalmente operazioni di riciclaggio derivanti da truffe telefoniche. La Nigeria ha ufficialmente lanciato la sua CBDC, denominata E-Naira nel 2021. Tuttavia, al 2023 la sua diffusione rimane marginale: rappresenta soltanto lo 0,37% della moneta totale in circolazione. Molti sono stati infatti gli ostacoli all’adozione di questa valuta nazionale in Nigeria, legati principalmente alla scarsa fiducia dei cittadini verso il proprio governo e ad un’infrastruttura tecnologica considerata fragile, nonché per la scarsa fiducia nei livelli di sicurezza informatica nazionale. I casi di Bahamas (Sand Dollar) e Giamaica (Jam-Dex) si attengono ad un modello molto simile ai precedenti, ma caratterizzato da volumi di transazioni decisamente contenuti, un basso utilizzo e dalla mancanza di dati ufficiali sui volumi di frodi e truffe registrate. In Bahamas si contano circa 20.000 wallet, 5% della popolazione ed un volume di transazioni pari a circa 1,5 Milioni di USD. In Giamaica il Jam-Dex, conta 190.000 wallet registrati di cui attivi circa 19.000, pari a circa 0,7% della popolazione. I volumi del transato annuo sono circa 2 Milioni di USD. Alla luce di tutte queste evidenze, non è sicuramente possibile trarre conclusioni sull’effettivo impatto delle frodi nei contesti citati. Tuttavia, i pochi episodi riportati indicano chiaramente rischi molto simili a quelli attualmente registrati sui sistemi di pagamento nazionali, legati spesso a fattori umani: phishing, social engineering ed utilizzo di dispositivi non certificati. Queste osservazioni rafforzano comunque la consapevolezza che per l’euro digitale sarà fondamentale puntare sull’incentivazione all’utilizzo, oltre a un robusto quadro normativo, controlli antifrode multilivello e sinergici tra istituti e BCE, senza trascurare una chiara strategia di educazione digitale.
Rischi potenziali e vulnerabilità dell’Euro Digitale: focus europeo
I principali vettori di attacco saranno quasi sicuramente gli stessi già noti ed ampiamente utilizzati nei sistemi di pagamento digitali tradizionali: il “Phishing” ed il “Social Engineering”. Queste strategie, basate sulla manipolazione psicologica degli utenti, mirano ad ottenere con l’inganno l’accesso ai dati sensibili della vittima. Un ulteriore rischio sarà rappresentato dalla diffusione di malware ed applicazioni “fake” che possono intercettare credenziali, modificare transazioni e sottrarre fondi. La Banca Centrale Europea è pienamente consapevole delle vulnerabilità antifrode che la nuova valuta digitale introdurrà nel sistema finanziario. Per far fronte a queste nuove sfide, la BCE sta lavorando alla definizione puntuale di un documento: il “Rulebook dell’Eurosistema per l’euro digitale”. Si tratta di un documento tecnico che fungerà da riferimento per gli operatori e le istituzioni finanziarie coinvolte e su cui si baserà anche il quadro normativo che guiderà l’implementazione dell’euro digitale in tutti i paesi dell’eurozona. È praticamente certa l’adozione di un approccio multilivello che prevederà, tra le varie iniziative, un monitoraggio antifrode gestito centralmente dalla BCE con l’implementazione del Centralized Risk and Fraud Management Module (RFM Module). Questo modulo centralizzato avrà la funzione di monitorare in tempo reale i flussi transazionali, rilevare pattern di frodi sistemiche e fornire “alert” tempestivi ai Payment Service Provider (PSP). Sia l’identificazione del cliente (KYC) che il monitoraggio antifrode di primo livello resterà in capo ai PSP che saranno comunque obbligati a potenziare i propri presidi di monitoraggio. La sinergia tra PSP e BCE mira ad aumentare il livello di sicurezza prevenendo ed intercettando tempestivamente fenomeni fraudolenti su scala europea, proteggendo cittadini, imprese e pubbliche amministrazioni da frodi che potrebbero avere un effetto domino nel sistema finanziario. In aggiunta, di fondamentale importanza sarà la possibilità di utilizzare l’European Digital Identity Wallet (EUDI Wallet) come strumento di onboarding in fase di apertura del portafoglio elettronico, per identificare i clienti. L’adozione di questa misura di identificazione ed autenticazione ridurrà la possibilità di accessi fraudolenti, proteggendo in particolar modo gli utenti meno esperti.
Previsione dei rischi frodi nei Paesi europei: un’analisi prospettica
L’introduzione dell’euro digitale dovrà includere una strategia di coinvolgimento e sensibilizzazione efficace, soprattutto verso i cittadini meno digitalizzati. In Europa, il 46% delle persone tra i 55 e i 74 anni, presenta un livello di conoscenze digitali che possono essere definite come basse, se non nulle (Eurostat 2023) e circa un quarto della popolazione rurale utilizza Internet meno di una volta a settimana o non lo utilizza affatto. I paesi del Nord Europa, in particolare la Danimarca, Svezia, Finlandia e Paesi Bassi, presentano una percentuale di utenti digitalizzati superiori al 95%, decisamente più alta rispetto alla media europea. Il rischio di introdurre un nuovo strumento, come l’euro digitale, senza la giusta strategia, è quello di aumentare un divario già preoccupante. La domanda centrale a cui questa pubblicazione intende rispondere è: con l’arrivo dell’Euro Digitale, quali paesi Europei saranno maggiormente esposti a rischio frode? Analizzando la situazione complessiva, possiamo prevedere una maggiore esposizione a rischio frode, nei paesi caratterizzati da “digital literacy” più bassa e da infrastrutture informatiche meno mature. Secondo i dati più recenti del DESI (Digital Economy and Society index 2024), paesi come Spagna, Italia e Portogallo rientrano in un cluster di rischio “Medio-Alto” risultando decisamente più vulnerabili a causa della scarsa alfabetizzazione digitale di alcune fasce della popolazione ed infrastrutture non omogeneamente distribuite sul territorio. Al contrario paesi come Finlandia, Germania, Paesi bassi e Danimarca, forti di un’elevata digitalizzazione e di infrastrutture robuste, presentano un rischio frode Medio-Basso. Francia e Belgio si collocano invece in una fascia di rischio Medio, ma con ampi margini di miglioramento grazie all’avvio di importanti programmi di cybersecurity nazionali. Un aspetto importante da considerare sarà anche la velocità di adozione della valuta digitale europea da parte delle nazioni aderenti, in quanto ci si aspetta dai paesi nordici un’adozione e un utilizzo decisamente più alto che nel resto d’Europa. Sebbene si possa ipotizzare per questi paesi una minor esposizione a rischio frodi, numericamente parlando, dobbiamo però considerare che in termini di valore assoluto, l’elevato volume di transazioni stimate potranno portare a perdite economiche rilevanti. In una prospettiva paneuropea, è importante garantire la stabilità dei sistemi di pagamento tradizionali, scongiurando anche il rischio di bank run digitale. Tale pratica, applicata alla nuova valuta digitale europea, si verificherà se un numeroso gruppo di cittadini e/o imprese, convertiranno in massa i propri depositi in euro digitali, percepiti come più sicuri perché garantiti dalla BCE e non a rischio insolvenza bancaria. La BCE ha già anticipato che per contenere questo fenomeno, sarà introdotto un limite alla detenzione di euro digitali da parte degli utenti. Tuttavia, questa misura non elimina il rischio che gruppi criminali organizzati, utilizzando Social, Deep Fake e Applicazioni di messaggistica istantanea, possano indurre i cittadini a compiere azioni pericolose. Queste campagne, accostate a tecniche di phishing avanzato e malware sofisticati, potrebbero permettere ai frodatori o agli stessi clienti, di dirottare fondi verso conti fraudolenti.
Conclusioni
L’analisi conferma che l’euro digitale offrirà importanti opportunità in termini di innovazione, accessibilità e resilienza; tuttavia, introduce significativi rischi antifrode che devono essere affrontati e gestiti in modo sinergico tra tutti gli stakeholder coinvolti. Il confronto con le frodi attualmente registrate nei sistemi di pagamento tradizionali e l’adozione della valuta digitale nazionale con altri paesi, conferma che la scarsa alfabetizzazione digitale, rappresenterà anche nel contesto dell’euro digitale una delle maggiori vulnerabilità. La Banca Centrale Europea sta già lavorando ai limiti che saranno imposti sul possesso della nuova valuta digitale europea e all’introduzione del “Centralized Risk Fraud management Module (RFM)”, ma sarà determinante integrare controlli multilivello ed incrementare i processi di cooperazione tra BCE, Payment Service Provider ed Istituzioni Nazionali. In particolare, al fine di far evolvere e rendere efficace il modello antifrode centralizzato che sarà messo a disposizione dalla BCE, sarebbe auspicabile che i PSP non si limitassero a ricevere valutazioni di rischio dal modulo RFM, ma potessero anche condividere le valutazioni dei propri sistemi antifrode, idealmente in real time, incluse le informazioni sulle frodi accertate così da poter costantemente far evolvere il modello centralizzato ed aumentare il livello di protezione dei cittadini, Imprese e pubbliche amministrazioni.
Maurizio Saliola
