Negli ultimi mesi, le cronache italiane e internazionali hanno riportato con forza una realtà che molti preferivano ignorare: gli anziani sono nel mirino di organizzazioni criminali globali.

Si tratta di una minaccia che non si manifesta con sofisticati attacchi informatici o malware invisibili, ma attraverso una combinazione di tecnologia, psicologia e manipolazione emotiva, attraverso il social engineering.

Lo schema di frode anti anziani

A marzo 2025, negli Stati Uniti, le autorità federali hanno smantellato una rete criminale con base a Montréal che, utilizzando uno schema di frode noto come “grandparent scam”, aveva sottratto oltre 21 milioni di dollari a centinaia di famiglie americane.

Il metodo era sempre lo stesso: telefonate drammatiche da parte di finti nipoti o parenti che raccontavano storie di arresti, incidenti e urgenze mediche, chiedendo alle vittime di trasferire somme elevate di denaro in tempi rapidissimi.

L’inchiesta, raccontata dal Washington Post, ha mostrato come questi schemi siano ormai organizzati su scala industriale, con call center criminali in grado di orchestrare migliaia di truffe simultaneamente.

Il panorama italiano

Anche l’Italia, poche settimane dopo, ha scoperto di essere pienamente coinvolta nello stesso fenomeno.

La Procura di Genova, insieme alle squadre mobili di Napoli e Caserta, ha portato a termine una maxi-operazione che ha smantellato una banda responsabile di 103 truffe ad anziani.

Il bottino stimato è di oltre due milioni di euro tra contanti, gioielli e beni preziosi, sottratti a persone spesso sole, fragili e prive di strumenti per difendersi.

L’inchiesta ha portato a 22 arresti in carcere e 55 misure cautelari, con oltre 300 agenti coinvolti. Le modalità erano identiche a quelle nordamericane: telefonate studiate nei dettagli, storie drammatiche, finti funzionari di polizia o avvocati, prelievi e bonifici lampo per impedire ripensamenti.

La privacy come barriera è una protezione che non basta più

Queste vicende ci costringono a riflettere su un punto cruciale: la privacy, così come è stata concepita e regolamentata negli ultimi decenni, è ancora uno strumento efficace per proteggere le persone?

Oggi i criminali non cercano solo di rubare dati: sfruttano quei dati per attaccare l’essere umano, non il sistema informatico. Ed è in questo contesto che l’idea della privacy come barriera assoluta mostra crepe profonde.

La privacy come trincea

Storicamente, la privacy è stata vista come una trincea: un diritto fondamentale volto a difendere il cittadino dall’invadenza dello Stato, delle aziende, dei colossi tecnologici. Il GDPR ha rafforzato questo approccio, ponendo il consenso informato e la
minimizzazione nel trattamento dei dati al centro di un sistema di tutela articolato.

In Europa, la protezione dei dati intesa come “riservatezza” è stata considerata per anni quasi sacra, con deroghe previste solo in casi eccezionali.

Tuttavia, oggi i criminali hanno affinato tecniche di manipolazione che bypassano sistemi di sicurezza sofisticati e colpiscono la vittima nel suo punto più vulnerabile: la fiducia.

Conoscendo pochi dettagli personali (spesso ottenuti sui social network) riescono a creare scenari credibili e a manipolare emozioni come paura e senso di colpa.

L’anello debole della catena di sicurezza non è più il computer, ma la persona.
Se, da un lato, la rigidità delle norme sulla privacy è essenziale per proteggere i cittadini da abusi istituzionali e commerciali, dall’altro rende complesso intervenire in tempo per prevenire le truffe.

In Italia, per esempio, una banca che sospendesse un bonifico autorizzato da un cliente senza una base normativa solida rischierebbe di incorrere in responsabilità legali. Così, mentre il sistema tutela formalmente i dati, nella pratica le persone più fragili restano sole.

Il Canada e la svolta del Digital Privacy Act

Il Canada è stato tra i primi Paesi a riconoscere questa contraddizione. Nel 2015 ha approvato il Digital Privacy Act (DPA), che ha modificato la Personal Information Protection and Electronic Documents Act (PIPEDA). L’emendamento ha introdotto un principio rivoluzionario: le banche e le organizzazioni finanziarie possono divulgare dati personali senza consenso in casi specifici, quando esiste un sospetto fondato di abuso finanziario ai danni di una persona vulnerabile.

I tre criteri della deroga apportata dal DPA

Sono tre i criteri che regolano la deroga apportata dal DPA del 2015:

• l’organizzazione deve avere motivi ragionevoli per credere che l’individuo sia stato, sia o possa essere vittima di abuso finanziario;
• la divulgazione deve avere finalità esclusiva di prevenzione o indagine;
• è ragionevole ritenere che informare la persona interessata possa compromettere l’efficacia dell’intervento.

Questo approccio ha trasformato il ruolo delle banche: da semplici esecutori di ordini a custodi fiduciari, con una responsabilità attiva nella protezione dei clienti più fragili.

Il Canada ha così scelto di superare il dogma della privacy intangibile, per farne una leva di sicurezza.

Anche se potrebbe pensarsi ad una “resa” dei diritti fondamentali, si tratta piuttosto di evoluzione: la privacy diventa strumento positivo di protezione, non più solo barriera contro intrusioni.

L’Italia e la necessità di una riforma

L’operazione “103 truffe” dimostra che l’Italia è vulnerabile quanto il Canada. Le tecniche criminali sono identiche: storie drammatiche, informazioni personali
accurate, richieste di denaro immediate.

Il problema non è solo tecnologico, ma normativo e culturale. Il GDPR protegge in modo straordinario i diritti dei cittadini, ma limita fortemente le possibilità di intervento preventivo.

In Italia, le banche non hanno margini per bloccare operazioni sospette senza rischiare accuse di violazione della privacy o di abuso di potere. Questo crea un paradosso: i dati sono protetti, ma le persone restano esposte.

Il paradosso privacy: quell’equilibrio critico

Il confronto mostra due modelli:

• Garantista (UE): privacy quasi sacra, ma meno adattabile.
• Proattivo (Canada, UK, USA, Australia): privacy dinamica, derogabile per proteggere i più fragili, purché regolamentata.

A ben guardare, il Canada ha scelto una strada intermedia: deroghe possibili, ma documentate e tracciate, con responsabilità precise per gli operatori e può essere paradigma dell’idea che la privacy serve a proteggere e non solo a difendere.

Cosa si potrebbe fare in Italia

Sarebbe auspicabile l’adozione di normative settoriali per definire meglio l’interesse pubblico rilevante (per esempio nel settore bancario e finanziario), introducendo obblighi specifici di monitoraggio e protezione per soggetti vulnerabili; si potrebbero, inoltre, promuovere linee guida dell’Autorità Garante per la protezione dei dati personali per chiarire come applicare le deroghe esistenti in casi di frodi o truffe.
Di seguito alcune misure (realisticamente) realizzabili:

• Duty of care finanziario con obblighi per le banche di identificare clienti fragili e monitorare le loro operazioni: può essere introdotto a livello nazionale, definendo obblighi di monitoraggio e protezione per banche e operatori, purché il trattamento sia giustificato da interesse pubblico rilevante e proporzionato.
• Banca d’Italia, Consob e ABI potrebbero emanare linee guida operative.
• Sistema di trusted contact, come negli Stati Uniti, per allertare familiari o referenti autorizzati dall’interessato in caso di comportamenti anomali: Attuabile subito, con il consenso dell’interessato. Non viola il GDPR, perché la persona autorizza preventivamente la banca a contattare una terza parte.
• Investimenti in IA antifrode trasparente, che analizzi i comportamenti dei clienti per rilevare transazioni sospette, ma con sistemi di auditing pubblico. Già possibile: sistemi di monitoraggio comportamentale possono essere implementati se rispettano principi di privacy by design, minimizzazione e auditing.
• Deroghe settoriali al GDPR per consentire blocchi temporanei e notifiche immediate, senza compromettere i diritti fondamentali. Richiedono un percorso politico e giuridico più complesso, con un ruolo attivo dell’Italia nel promuovere un cambiamento europeo.

Cosa si può chiedere alla tua banca per proteggersi

Perché la banca diventi un alleato attivo nella lotta contro le frodi, ecco alcune richieste e verifiche concrete che ogni cliente, soprattutto in una situazione di vulnerabilità, può (e dovrebbe) fare:

• Politiche antifrode avanzate e sistemi di blocco automatico delle transazioni: verifica che la tua banca disponga di strumenti in grado di analizzare in tempo reale le operazioni, individuare transazioni anomale e bloccarle prima che sia troppo tardi. Non si tratta solo di notifiche via SMS, ma di veri e propri algoritmi antifrode e procedure di sicurezza che possano fermare un bonifico sospetto per consentire verifiche aggiuntive.
• Possibilità di indicare un “trusted contact” per le emergenze: Chiedi alla tua banca di poter designare una persona di fiducia (un familiare, un tutore o un amico) da contattare in caso di attività sospette. Questa funzione, già diffusa negli Stati Uniti, è una misura di buon senso che permette interventi rapidi senza violare la privacy.
• Alert personalizzati su operazioni inconsuete: Non accontentarti delle notifiche standard: richiedi avvisi su misura per il tuo profilo, ad esempio per importi sopra una certa soglia o per trasferimenti internazionali. Gli strumenti esistono e possono prevenire truffe mirate.
• Procure limitate per soggetti fragili: In caso di situazioni di fragilità (età avanzata, difficoltà cognitive, problemi di salute), è utile predisporre procure bancarie limitate, che diano accesso solo a determinate operazioni o conti. Questo riduce il rischio di abusi e semplifica la gestione patrimoniale.
• Programmi di educazione alla sicurezza digitale e al riconoscimento delle truffe: Chiedi alla tua banca se offre corsi, webinar o materiali informativi per imparare a riconoscere tentativi di phishing e truffe telefoniche. Molti istituti già promuovono iniziative di educazione finanziaria: sfruttale come strumenti di prevenzione.

Il dibattito su privacy e sicurezza non può più essere ideologico

La privacy è un diritto fondamentale e non una prigione che impedisce di proteggere chi è più fragile.

Serve una nuova cultura della protezione dei dati: la privacy, oltre che difesa dalla sorveglianza, deve essere garanzia di sicurezza personale.

Il modello canadese dimostra che è possibile trovare un equilibrio: deroghe mirate, interventi documentati, responsabilità chiare.

Per l’Italia, adottare questo approccio significherebbe trasformare la privacy in uno scudo dinamico, capace di difendere non solo informazioni, ma vite e patrimoni.
Le truffe ai più fragili sono una tragedia sociale che va oltre il furto economico: spezzano la fiducia nelle istituzioni, isolano le vittime, minano il senso di sicurezza.

Ripensare la privacy come infrastruttura di protezione è il primo passo per costruire una società digitale più sicura, dove proteggere significa intervenire con mezzi appropriati al momento giusto, non a posteriori.

I dati, se usati in modo responsabile e regolato, possono salvare patrimoni e dignità. Serve una visione in cui intervenire nella privacy diventa un atto di tutela, non di arbitrio.

L’evoluzione normativa (con alla base trasparenza, auditing e accountability) potrebbe guidarci verso una privacy funzionale a proteggere chi è più esposto.