“Ci definiamo una tecnologia che opera nel mondo dei pagamenti”. La definizione, proposta da Luca Corti, Country Manager Italia di Mastercard, chiarisce il posizionamento dell’azienda: il pagamento resta il punto di partenza, ma attorno alla transazione si estendono attività legate a sicurezza, dati e capacità predittive lungo l’intero ciclo del pagamento.
Il contesto è quello emerso nel corso di una conferenza stampa dedicata alla sicurezza nei pagamenti e all’evoluzione del cybercrime, in cui Mastercard ha affiancato la propria visione ai dati dell’Annual Payment Fraud Intelligence Report 2025 di Recorded Future, società specializzata in threat intelligence, acquisita da Mastercard nel 2024 e focalizzata sulla raccolta e sull’analisi di segnali provenienti da fonti aperte e ambienti ad alta criticità come dark web, forum criminali e canali utilizzati dagli attori malevoli. L’azienda utilizza modelli di analisi avanzati per correlare dati eterogenei – dalle credenziali esposte alle infrastrutture compromesse – e trasformarli in informazioni operative utili a prevenire attacchi e frodi. L’integrazione nel perimetro Mastercard consente di collegare direttamente queste informazioni ai sistemi antifrode e ai processi decisionali delle istituzioni finanziarie, anticipando l’utilizzo fraudolento prima che si traduca in transazione.
Insieme a Luca Corti, è intervenuto Lorenzo Giudici, Business Development Security Solutions di Mastercard. Il quadro è quello di un cybercrime sempre più industrializzato, alimentato da dati rubati, servizi criminali specializzati, automazione e intelligenza artificiale. E-skimmer, purchase scam e card testing non operano più come fenomeni isolati, ma come parti di catene integrate: compromissione del dato, arricchimento informativo, validazione, social engineering, aggiramento dell’autenticazione e monetizzazione.
In questo scenario, la fiducia diventa un requisito tecnico prima ancora che commerciale. L’esercente deve avere certezza dell’incasso e il consumatore deve poter contare sulla correttezza dell’operazione. La rete Mastercard autorizza transazioni globali in circa 50 millisecondi, anche quando coinvolgono più attori e giurisdizioni. A questa velocità, la sicurezza non può essere un livello aggiuntivo: è una condizione di funzionamento dell’infrastruttura.
Gli attacchi cyber in Italia sono cresciuti del 42% su base annua, contro una media globale del 49%. Il Paese rientra pienamente tra i target e non può più essere considerato periferico. Gli attacchi verso siti governativi sono aumentati del 300%, segnalando una pressione crescente anche sul settore pubblico. “I confini tra gruppi cyber criminali, enti statuali oppure gruppi pagati o stimolati da enti statali sono sempre più labili”, osserva Giudici.
La logica operativa cambia di conseguenza. L’attacco non è più necessariamente immediato o dimostrativo: una volta ottenuto l’accesso, gli attaccanti possono rimanere all’interno delle infrastrutture, osservare, raccogliere informazioni e intervenire nel momento più efficace. La minaccia diventa meno visibile e più persistente, rendendo centrale la capacità di intercettare segnali precoci.
L’impatto si estende oltre il perimetro finanziario. Gli attacchi verso import, export, logistica e trasporti sono cresciuti del 34%, colpendo settori già esposti a tensioni geopolitiche e fragilità nelle catene di fornitura. La frode finanziaria e l’attacco cyber attraversano l’economia reale, coinvolgendo filiere, fornitori, infrastrutture e processi operativi.
Dati rubati: meno quantità, più valore operativo
La materia prima del cybercrime resta il dato, ma cambia la sua qualità. Nel 2025 sono stati pubblicati oltre 142 milioni di record di carte di pagamento sui marketplace del dark web, 34 milioni in meno rispetto al 2024, pari a un calo del 19%. La riduzione non implica un rischio minore: nell’82% dei casi le carte card-not-present sono accompagnate da informazioni di contatto della vittima, come email o numero di telefono, in crescita di nove punti percentuali su base annua.
Una carta associata a dati identitari diventa un punto di ingresso per attacchi più articolati – account takeover, spear phishing, frodi su wallet digitali, truffe telefoniche e costruzione di identità sintetiche. “La carta da sola consente una frode veloce, ma per costruire truffe complesse servono identità strutturate”, osserva Giudici.
In Italia circa un milione di carte di pagamento risulta presente nei circuiti illegali. Il dato va rapportato a un totale superiore ai 100 milioni di carte in circolazione, ma indica la disponibilità concreta di stock nazionali. Il modello è esplicitamente commerciale: pacchetti di carte vengono acquistati in base a quantità e qualità delle informazioni associate. Non si comprano credenziali, ma probabilità di successo.
Il fenomeno si estende oltre i marketplace. Il volume medio mensile di record di carte esposti gratuitamente su Telegram e forum del dark web è cresciuto del 26%, raggiungendo livelli comparabili a quelli dei marketplace. Anche quando non consentono frodi card-not-present complete, questi dataset aumentano il rischio di spear phishing e accesso all’online banking. In Europa, il volume di carte rubate in vendita è cresciuto di circa 1,5 milioni di record rispetto al 2024.
Marketplace resilienti e dati come leva competitiva
La riduzione dei record in vendita non indica un arretramento strutturale. Le operazioni delle forze dell’ordine contro marketplace come BidenCash hanno inciso sui volumi, ma non sull’ecosistema. I marketplace continuano a operare su domini alternativi e infrastrutture distribuite, dimostrando una forte capacità di adattamento.
La distribuzione gratuita di dati diventa parte della competizione tra attori criminali. Rilasciare database serve ad attrarre utenti, costruire reputazione e generare traffico verso servizi a pagamento. Il dato rubato non è solo merce: è leva di marketing e strumento di posizionamento all’interno dell’economia illegale.
Per banche, merchant e operatori di pagamento questo cambia il perimetro della difesa. Il monitoraggio delle transazioni non è sufficiente. Serve integrare intelligence esterna, correlare segnali provenienti da fonti diverse e automatizzare la risposta prima che la frode si manifesti. La difesa efficace combina monitoraggio reattivo e capacità proattiva, costruendo una visione unificata del comportamento d’attacco.
Dalla reazione alla prevenzione: intelligence e anticipazione
Il modello difensivo si sposta a monte. La gestione della crisi lascia spazio alla raccolta e all’analisi dei segnali prima che la frode si concretizzi. La threat intelligence osserva ambienti come dark web, Telegram e forum criminali per intercettare indicatori preliminari: credenziali sottratte, dati in vendita, infrastrutture compromesse, merchant utilizzati per card testing, siti infetti e tracce di campagne in preparazione. “Non vogliamo più gestire la crisi quando avviene, ma cogliere i segnali prima che accada”, afferma Giudici.
Corti descrive l’intelligence digitale come un’attività “dietro le linee”, che consente di identificare in anticipo carte compromesse e intervenire prima dell’utilizzo fraudolento. L’obiettivo non è osservare passivamente il mercato illecito, ma lavorare con le banche per individuare gli stock esposti e bloccarli o sostituirli prima che generino perdite.
Mastercard Intelligence nasce in questo contesto e viene utilizzata per intercettare siti compromessi, individuare attività di card testing e correlare segnali precoci nel mercato dei pagamenti. La logica è industriale: se l’attacco scala e si automatizza, anche la difesa deve scalare e automatizzarsi. Se la frode nasce prima della transazione, la prevenzione deve spostarsi prima del momento transazionale.
Supply chain: il punto debole è fuori dal perimetro
Gli attacchi passano sempre più spesso dalla supply chain. Un fornitore meno protetto può diventare il punto d’ingresso in infrastrutture altrimenti solide. “Basta una piccola porticina aperta verso il fornitore per portarsi in casa l’attacco”, osserva Giudici.
Il rischio non è solo cyber, ma anche finanziario. La compromissione di un componente terzo, ad esempio nel checkout e-commerce, può portare a esfiltrazione silenziosa di dati di pagamento, alimentare circuiti di frode e generare danni reputazionali senza interrompere il servizio. La sicurezza non può essere valutata solo sul perimetro diretto: riguarda l’intero ecosistema.
La threat intelligence estende la visibilità anche ai fornitori critici. Individuare segnali di compromissione su partner o piattaforme esterne consente di intervenire prima che l’attacco si propaghi, aumentando controlli, modificando configurazioni o riducendo l’esposizione operativa.
Skimming digitale: compromissione invisibile dell’e-commerce
Lo skimming digitale rappresenta l’evoluzione online dello skimming fisico. Nel contesto e-commerce, l’attaccante compromette il sito o componenti del checkout e inserisce script malevoli che intercettano i dati di pagamento durante la transazione. Il processo resta invisibile: il sito continua a funzionare e l’utente completa l’acquisto, mentre i dati vengono inviati ai criminali.
Gli attacchi Magecart rendono evidente la scala del fenomeno. Nel 2025 sono state rilevate oltre 10.500 infezioni e-skimmer attive, di cui più di 7.300 nuove, con almeno 23,4 milioni di transazioni compromesse.
La diffusione è sostenuta da kit full-stack e modelli Malware-as-a-Service. Strumenti come “Sniffer By Fleras”, responsabile di una quota significativa delle infezioni, offrono interfacce per generare script malevoli e infrastrutture per gestire i dati sottratti. Modelli più recenti introducono logiche di revenue sharing, con percentuali sui proventi o sui dati raccolti.
Le tecniche si evolvono rapidamente: abuso di servizi legittimi, uso di container di tagging, relay distribuiti, payload ospitati tramite smart contract e mimetizzazione del traffico come analytics per evitare la detection. In alcuni casi, la compromissione di piattaforme centralizzate ha avuto impatto su centinaia di clienti business, attraverso l’iniezione di codice malevolo nei repository.
La compliance non è sufficiente a mitigare il fenomeno. L’adozione di PCI DSS 4.0 non elimina l’impatto degli e-skimmer, mentre la standardizzazione degli strumenti criminali rende gli attacchi più replicabili. Allo stesso tempo, proprio questa standardizzazione rende più riutilizzabili gli indicatori di compromissione, a condizione che vengano intercettati in anticipo e integrati nei sistemi di difesa.
Card testing: validazione su larga scala
Dopo il furto dei dati, la fase successiva è la selezione. Il card testing serve a identificare quali carte sono ancora attive e utilizzabili. Bot automatizzati permettono di processare grandi volumi di dati, eseguendo micro-transazioni per distinguere rapidamente le carte valide da quelle inutilizzabili. Una volta filtrate, le carte possono essere utilizzate subito oppure conservate per operazioni a maggiore valore. “I bot consentono di macinare grandi volumi di carte e verificare quali funzionano”, spiega Giudici. La scala è significativa. Nel 2025 sono stati identificati oltre 1.350 tester merchant account, il 94% dei quali non osservati in precedenza, segno di una rotazione continua delle infrastrutture per evitare la detection. Più di 27 milioni di record carta sono stati esposti su canali Telegram dedicati a card generation e testing, pari al 38% del totale osservato su queste fonti.
Il card testing non si limita a merchant compromessi o marginali. Vengono sfruttate anche piattaforme legittime e infrastrutture di pagamento di organizzazioni pubbliche o verticali specifici. In questi contesti, l’attività fraudolenta si confonde con il traffico reale, rendendo inefficaci controlli antifrode generici. L’identificazione richiede correlazione tra pattern di utilizzo, merchant coinvolti e segnali provenienti da fonti esterne.
Purchase scam: la frode autorizzata
Le purchase scam spostano il punto di attacco dall’infrastruttura all’utente. La vittima viene indirizzata verso un falso sito e-commerce, crede di effettuare un acquisto legittimo e autorizza il pagamento verso un merchant fraudolento. La transazione è formalmente corretta, ma il contesto è costruito artificialmente.
Nel 2025 sono stati identificati oltre 3.600 scam merchant account, 2,5 volte più rispetto all’anno precedente, distribuiti in più di 40 Paesi e collegati a oltre 230 acquirer.
L’infrastruttura è organizzata. I dati di registrazione dei merchant mostrano pattern ricorrenti, segno di workflow replicabili e scalabili. Più di 50 merchant fraudolenti risultano collegati a dati carta in vendita sul dark web, indicando una connessione diretta tra raccolta dei dati e monetizzazione attraverso transazioni apparentemente legittime.
La diffusione è sostenuta dall’ecosistema pubblicitario digitale. I criminali utilizzano campagne sui social media, impersonano brand noti e propongono offerte aggressive, lasciando agli algoritmi delle piattaforme il compito di individuare utenti più propensi all’acquisto. In alcuni casi vengono attivate subscription trap con addebiti ricorrenti; in altri, emergono addebiti secondari immediati legati a presunti servizi di recupero fondi, progettati per aggirare i controlli antifrode.
L’evoluzione è accelerata dall’intelligenza artificiale. Campagne osservate nel 2025 utilizzano piattaforme AI per migliorare targeting e generazione dei contenuti. Su canali Telegram circolano istruzioni per creare pagine di phishing tramite agenti autonomi. L’uso di AI generativa si estende a vishing con voice cloning, script per call center, deepfake identitari e supporto in tempo reale ad attacchi di account takeover.
Social engineering: il fattore umano come vettore di attacco
Una quota rilevante delle frodi nasce dall’interazione tra dati disponibili e manipolazione dell’utente. “Buona parte degli attacchi che hanno successo nasce dal fatto che siamo noi a dare le nostre credenziali a chi vuole attaccarci”, afferma Giudici.
In Italia il 60% degli utenti ha ricevuto SMS o email di phishing, mentre il 53% è stato esposto a tentativi di truffa telefonica. Le comunicazioni fraudolente sono sempre più credibili: meno errori evidenti, maggiore coerenza linguistica, uso di dati reali e contestualizzazione. I messaggi si inseriscono nella vita quotidiana della vittima – banca, acquisti, lavoro – e risultano difficili da distinguere da comunicazioni legittime.
Il modello operativo è stabile: comunicazione plausibile, urgenza, richiesta semplice. Il conto da sbloccare, il pacco da consegnare, la multa da pagare, il rimborso da confermare. L’utente viene portato a cliccare, inserire dati o fornire codici. La semplicità dell’azione richiesta aumenta la probabilità di successo.
Il vishing amplifica il rischio. Le chiamate imitano banca, utility o servizi clienti, talvolta con numeri manipolati per sembrare autentici. L’effetto è psicologico: familiarità e urgenza abbassano la soglia di attenzione. Le vittime non appartengono a una categoria specifica: chiunque può essere colpito se il contesto è credibile.
OTP, wallet digitali e attacchi relay
L’intercettazione degli one-time password collega social engineering e frode tecnica. Gli OTP, progettati per rafforzare l’autenticazione, diventano un obiettivo primario perché consentono di completare operazioni altrimenti bloccate.
Gli attaccanti li utilizzano soprattutto per abilitare frodi su wallet digitali e attacchi NFC relay. Nel primo caso, i dati carta vengono caricati su un wallet e utilizzati per transazioni che appaiono affidabili. Nel secondo, i dati vengono trasmessi a distanza verso dispositivi controllati da money mule, permettendo pagamenti contactless non autorizzati.
La fiducia attribuita ai wallet complica la detection: il comportamento fraudolento si inserisce in un canale percepito come sicuro. Campagne di phishing ad alto volume e strumenti come e-skimmer con funzionalità di furto OTP supportano queste operazioni.
La prevenzione si sposta sul provisioning. Se l’OTP può essere intercettato, una richiesta anomala di attivazione della carta nel wallet può ancora essere bloccata attraverso segnali di intelligence e controlli mirati. Il punto critico non è più solo la transazione, ma ciò che la precede.
Pagamenti istantanei e decisioni in tempo reale
Le frodi autorizzate e i pagamenti istantanei riducono drasticamente i margini di intervento. In molti casi, una volta eseguita l’operazione, il recupero dei fondi è difficile o impossibile.
Con i bonifici istantanei, una disposizione può diventare definitiva in circa dieci secondi. La valutazione del rischio deve quindi avvenire in finestre temporali minime. I sistemi antifrode analizzano grandi volumi di dati in tempo reale per individuare connessioni tra beneficiari, nodi e pattern di attacco, estendendo logiche già consolidate nel mondo carte anche ad altri strumenti di pagamento.
La gestione della frizione resta un elemento critico. I modelli di scoring devono distinguere tra operazioni legittime e fraudolente senza penalizzare l’esperienza utente. Nei casi ad alto rischio si blocca, in quelli chiaramente leciti si autorizza, mentre nelle situazioni intermedie si introducono verifiche aggiuntive proporzionate. Il processo avviene in millisecondi, supportato da modelli di machine learning applicati a transazioni, identità e comportamenti.
Identità sintetiche: costruire un’identità credibile
Le identità sintetiche segnano un cambiamento strutturale nel modello di frode. Non si tratta più di sottrarre un’identità esistente, ma di costruirne una plausibile combinando dati reali e informazioni inventate. Nome, email, numero di telefono, dispositivo, metodi di pagamento e indirizzo vengono assemblati per creare un profilo coerente, ma non riconducibile a una persona reale. “I criminali utilizzano frammenti di dati reali e li combinano con dati inventati”, osserva Giudici.
Il vantaggio è evidente: queste identità non risultano compromesse nei sistemi tradizionali, non compaiono in blacklist e possono essere modellate per superare controlli progressivi. Gli attaccanti testano combinazioni di dati, osservano la risposta dei sistemi antifrode e adattano il profilo fino a ottenere un’identità che risulta valida.
Il mercato rende questa pratica accessibile. Identità sintetiche, anche corredate da documenti falsi, sono disponibili a costi contenuti. La scala cambia il problema: non basta più proteggere dati esistenti, occorre riconoscere identità costruite artificialmente prima che diventino operative.
La difesa si sposta sulla coerenza nel tempo. Un’identità reale lascia tracce: una email utilizzata da anni, un numero associato stabilmente a un nome, un dispositivo coerente con una geografia, comportamenti ricorrenti. La mancanza di questa storia – email recenti, numeri non correlati, dispositivi incoerenti – diventa un segnale di rischio. La verifica non riguarda più solo il documento, ma la consistenza complessiva dell’identità.
AI offensiva: qualità e scala dell’attacco
L’intelligenza artificiale agisce come moltiplicatore. Dal lato difensivo consente analisi in tempo reale e correlazione dei segnali; dal lato offensivo aumenta qualità, velocità e accessibilità degli attacchi.
Gli attori criminali integrano l’AI nelle proprie operazioni: generazione automatica di contenuti, miglioramento del targeting, orchestrazione di campagne. Email di phishing, pagine fraudolente, script per call center e contenuti social vengono prodotti più rapidamente e con maggiore coerenza linguistica. Strumenti di marketing e automazione consentono di individuare vittime più esposte, mentre tecniche di simulazione – voice cloning, deepfake, documenti sintetici – rafforzano la credibilità degli attacchi.
Questo sposta il livello qualitativo. Le truffe non sono più facilmente riconoscibili da errori evidenti o segnali grossolani. “Le comunicazioni fraudolente sono sempre più credibili”, osserva Giudici.
L’AI non introduce solo nuove tecniche, ma accelera una traiettoria già in atto: attacchi più mirati, più coerenti e più difficili da distinguere da interazioni legittime.
Agentic commerce: il rischio si sposta sull’intento
L’agentic commerce introduce una nuova superficie di rischio. Se agenti AI possono effettuare acquisti per conto degli utenti, la sicurezza non riguarda più soltanto identità, autenticazione e transazione, ma anche l’intento. Diventa necessario stabilire chi ha realmente deciso l’operazione: l’utente, l’agente o un soggetto che ha manipolato il processo.
Questa evoluzione espone a tecniche già utilizzate per aggirare i controlli antifrode nelle transazioni online, applicate ora a un livello superiore. Anche la gestione delle dispute si complica: il comportamento dell’agente rende più difficile attribuire responsabilità e aumenta i costi di analisi per gli issuer.
Nel 2025 i primi sistemi sono entrati in fase pilota, con iniziative come Amazon Buy for Me, Visa Intelligent Commerce e Mastercard Agent Pay. La criticità principale resta la validazione dell’intento. I framework esistono, ma sono ancora esposti a manipolazioni analoghe a quelle che colpiscono l’identità. La visibilità è limitata e richiama le prime fasi dell’open banking: nuovi flussi, contesti poco osservabili e responsabilità definite formalmente ma complesse da gestire operativamente.
La risposta si muove sul piano infrastrutturale. “Così come oggi una carta non viaggia più come numero ma come token, anche gli agenti dovranno operare con token”, afferma Corti.
Tokenizzazione, certificazione degli agenti, standard condivisi, interoperabilità e consenso esplicito diventano elementi chiave. Gli agenti devono essere verificati e operare all’interno di un perimetro controllato, replicando nel nuovo contesto logiche già consolidate come la strong customer authentication.
L’evoluzione richiede un ecosistema completo: merchant in grado di dialogare con agenti software, protocolli di interazione, standard comuni e modelli chiari di responsabilità. Le componenti di pagamento partono da una base più matura, ma devono essere adattate a un contesto in cui il soggetto che prende decisioni non è più una persona, ma un sistema automatizzato.
PMI e microfrodi: attacchi distribuiti e bassa visibilità
Le piccole e medie imprese si trovano esposte a una combinazione di fattori che aumenta il rischio: consapevolezza limitata, capacità di investimento ridotta, attacchi frammentati e importi spesso contenuti. “Per molte PMI è una tempesta perfetta”, osserva Giudici.
Il modello cambia. Il ransomware resta una minaccia, ma una parte crescente dell’attività criminale si sposta su microfrodi distribuite: importi minimi, ripetuti nel tempo, difficili da individuare e spesso sottovalutati. L’automazione amplifica il fenomeno. Se targeting, interazione e tentativi di pagamento vengono gestiti su larga scala, anche operazioni di pochi euro diventano profittevoli.
Il problema non è il singolo evento, ma la combinazione tra scarsa visibilità, processi amministrativi fragili e difficoltà a distinguere tra errore, fornitore legittimo e frode.
Le stesse dinamiche emergono nelle frodi BEC. “Nel caso di account takeover si entra davvero nella casella email, nello spoofing si imita il mittente”, spiega Giudici.
Nel primo caso l’attaccante ha accesso a conversazioni, contatti e contesto; nel secondo utilizza domini simili e informazioni pubbliche per costruire richieste credibili. Il pattern resta costante: urgenza, pressione, impossibilità di verifica immediata. Le contromisure sono organizzative oltre che tecniche: autorizzazioni multiple, verifiche fuori banda e formazione.
Formazione e gestione della crisi
La formazione resta centrale perché l’errore umano non è eliminabile. Programmi continuativi di simulazione phishing permettono di allenare gli utenti a riconoscere segnali sospetti e a non agire sotto pressione. L’obiettivo è costruire un comportamento prudente: nel dubbio non intervenire e segnalare.
Il tema riguarda anche il management. La percezione del rischio cyber non è sempre allineata all’impatto economico e reputazionale. Per questo vengono utilizzate simulazioni di attacco rivolte al top management. Un incidente non coinvolge solo i sistemi IT, ma comunicazione, clienti, investitori, continuità operativa e governance. La resilienza diventa una responsabilità trasversale.
Cyber e frodi: un unico spazio operativo
Cybersecurity e antifrode convergono. “I pattern di attacco cyber sono sempre più vicini alle tecniche di frode”, osserva Corti.
Le fasi si concatenano: compromissione di un sito, sottrazione di dati carta, card testing, frodi, utilizzo di dati personali per phishing, furto OTP, abuso dei wallet, costruzione di identità sintetiche. Non si tratta più di fenomeni separati, ma di una filiera continua.
La risposta richiede integrazione tra threat intelligence e antifrode. Monitoraggio reattivo e prevenzione devono essere combinati, con capacità di correlare segnali provenienti da fonti diverse e intervenire nelle fasi iniziali dell’attacco. Individuare un dato esposto, un merchant compromesso o un provisioning anomalo consente di interrompere la catena prima che produca effetti economici.
