Hai riagganciato con un brutto presentimento. Al telefono hai detto qualcosa che non avresti dovuto: il codice OTP, le credenziali dell'home banking, l'IBAN, i dati della carta. Il cuore va a mille, rileggi la conversazione nella testa e ti chiedi quanto sia grave. La risposta dipende quasi solo da una cosa: la velocità con cui reagisci adesso.

Le banche e le autorità italiane hanno procedure precise per questi casi, ma funzionano a una condizione: che tu le attivi in tempo. Non tutte le mosse pesano uguale, ed è qui che si gioca la partita.

Se me lo chiedi, l'ordine conta più della lista. La prima chiamata - quella al numero antifrode della banca - vale più di tutte le altre azioni messe insieme, perché blocca l'emorragia mentre è ancora in corso. Denunce, monitoraggi del credito e cambi password sono importanti, ma vengono dopo. Chi perde i primi minuti a cambiare la password di Facebook mentre il conto si svuota ha sbagliato la priorità. Quindi: prima il denaro che si muove, poi tutto il resto.

Le prime due ore: blocca tutto

La finestra iniziale è la più critica. Chi ha appena ottenuto i tuoi dati prova a sfruttarli prima che tu reagisca.

  1. Chiama il numero antifrode della tua banca. Tutte le banche italiane ne hanno uno, di solito stampato sul retro della carta o disponibile in app. Chiedi il blocco immediato di conto, carte e home banking.
  2. Cambia le credenziali dell'home banking se riesci ancora ad accedere. Se l'accesso è già bloccato, segnalalo all'operatore antifrode.
  3. Verifica le ultime operazioni e individua bonifici o pagamenti partiti negli ultimi minuti.
  4. Chiedi il richiamo del bonifico se qualcosa è già partito. Sui bonifici tra paesi UE un richiamo è teoricamente possibile, difficile ma più probabile se intervieni subito.
  5. Disconnetti i dispositivi collegati all'home banking. In app trovi quasi sempre una sezione "Dispositivi attivi" da cui forzare il logout.

Dove trovare il numero antifrode della tua banca

Conoscere il numero giusto prima che serva fa la differenza tra reagire in trenta secondi e perdere mezz'ora nel panico. I numeri antifrode cambiano nel tempo per fusioni e riorganizzazioni, quindi meglio la fonte ufficiale aggiornata che un elenco statico.

  • Sul retro della carta: tutte le carte italiane riportano il numero per smarrimento, furto o frode sospetta.
  • Nell'app di home banking, alla voce "Sicurezza", "Blocco carta" o "Contatti urgenti".
  • Sul sito ufficiale della banca, nella sezione sicurezza o contatti antifrode.

Fai una cosa oggi, non quando sarà tardi: salva quel numero in rubrica come "BLOCCO BANCA". Se hai carte di banche diverse, salvane uno per ciascuna con un nome distinto. In un momento di stress, cercarlo è tempo che non hai.

Le prime sei ore: SIM e account

Se hai dato dati che aprono l'accesso al tuo numero o alle tue identità digitali, il danno può uscire dai confini della banca.

Blocco SIM in caso di sospetto SIM swap

Se temi un SIM swap, cioè il trasferimento del tuo numero su una SIM in mano al truffatore, chiama subito il tuo operatore. I numeri di assistenza dei principali gestori italiani:

  • TIM: 119 dalla rete TIM (da altre reti, il numero è pubblicato su tim.it)
  • Vodafone: 190 dalla rete Vodafone
  • WindTre: 159
  • Iliad: 177 dalla rete Iliad
  • Fastweb: 192193

Se non sei sicuro del numero attuale, controllalo sul sito ufficiale o in app: cambiano e variano in base al tipo di linea.

Cambio password degli account critici

In questo ordine, dal più pericoloso da perdere:

  1. Email principale: è la chiave di tutto, perché da lì si resettano le password ovunque.
  2. Apple ID o account Google: controllano telefono e pagamenti mobili.
  3. Servizi finanziari secondari (PayPal, Postepay, Satispay, Revolut, Hype).
  4. E-commerce con carte salvate (Amazon, eBay, app di consegna).
  5. Social, per evitare furti d'identità che colpiscono i tuoi contatti.

Attiva l'autenticazione a due fattori

Se non l'avevi già, attivala su email, social e servizi finanziari. Meglio l'app dedicata (Google Authenticator, Authy, Microsoft Authenticator) rispetto all'SMS, che è vulnerabile proprio al SIM swap.

Le prime 24 ore: denuncia e rimborso PSD2

Sporgi denuncia formale

La denuncia alla Polizia Postale o ai Carabinieri non è burocrazia inutile: è la condizione per attivare il rimborso previsto dalla PSD2. Senza denuncia, la banca difficilmente procede.

  • Accedi al portale della Polizia Postale per la denuncia online preliminare.
  • Recati poi in commissariato o caserma per quella formale: l'online velocizza ma non sostituisce.
  • Porta documento d'identità, cronologia dei fatti, ricevute e screenshot.
  • Per la procedura completa, vedi la guida su come denunciare una truffa telefonica.

Attiva la procedura PSD2

La direttiva europea PSD2 prevede che, per le operazioni non autorizzate, la banca rimborsi il cliente entro il giorno lavorativo successivo alla segnalazione, salvo frode del cliente o negligenza grave. La denuncia è ciò che dimostra la tua buona fede.

  1. Comunica alla banca per iscritto (PEC o raccomandata) l'operazione non autorizzata, allegando il verbale di denuncia.
  2. Compila il modulo di disconoscimento operazioni che la banca ti fornisce.
  3. La banca deve valutare la richiesta e, se non dimostra una negligenza grave, rimborsare.

Qui sta il punto che nessuno spiega bene: la parola su cui si combatte è "negligenza grave", e sei tu a dover apparire diligente. Ecco perché tempestività e denuncia contano tanto. Per capire perché quel codice al telefono pesa così tanto, leggi anche perché non condividere mai un OTP.

Le prime 48-72 ore: monitoraggio e segnalazioni

Attiva il monitoraggio del credito

I tuoi dati, in mano ai criminali, possono servire a chiedere prestiti o aprire conti a tuo nome. Per ridurre il rischio:

  • CRIF: il principale sistema italiano di informazioni creditizie. Puoi consultare il tuo file e attivare alert in caso di nuove richieste a tuo nome.
  • SCIPAFI: il sistema pubblico di prevenzione delle frodi sul credito, gestito dal Ministero dell'Economia, che banche e finanziarie consultano prima di erogare credito.

Avvisa i contatti

Se hanno accesso al tuo numero o alle tue email, possono provare a colpire i tuoi contatti. Manda un messaggio a parenti e amici: "Sono stato vittima di una truffa, se ricevete messaggi strani da me, ignorateli e verificate."

Segnalazioni integrative

  • numerosospetto.it: segnala il numero che ti ha chiamato per allertare altri utenti.
  • CSIRT Italia: utile se sono coinvolti un sito phishing o un dominio falso.
  • Garante Privacy: se sospetti che i tuoi dati siano stati raccolti illecitamente da un database, una segnalazione alimenta le indagini sui trattamenti abusivi.

Cosa NON fare nelle prime ore

  • Non richiamare il numero del truffatore, neppure per capire chi fosse: spesso sono numeri falsificati o a sovrapprezzo.
  • Non rispondere ai suoi messaggi: cancella pure, ma non alimentare il contatto, apre la porta a nuove fasi della truffa.
  • Non pagare "spese di sblocco" o "commissioni per il rimborso": è una seconda truffa innestata sulla prima.
  • Non aspettare sperando che "non sia successo niente": più passa il tempo, più si riduce il margine di rimborso e di recupero.
  • Non lasciare che la vergogna ti blocchi: le truffe colpiscono persone normali, anche professionisti. Il silenzio aiuta solo chi le organizza.

Una checklist da stampare e tenere a portata

  • Ho chiamato il numero antifrode e bloccato conto e carte
  • Ho cambiato le password di home banking, email principale, account Apple/Google
  • Ho verificato le ultime operazioni e segnalato quelle sospette
  • Ho contattato l'operatore telefonico per la SIM
  • Ho disconnesso tutti i dispositivi attivi sull'home banking
  • Ho sporto denuncia alla Polizia Postale o ai Carabinieri
  • Ho avviato la procedura formale PSD2 con la banca
  • Ho richiesto la consultazione del mio file CRIF
  • Ho avvisato familiari e contatti del rischio
  • Ho segnalato il numero su numerosospetto.it

Domande frequenti sul protocollo post-truffa

Posso davvero ottenere il rimborso completo dalla banca?

È il principio della PSD2: la banca deve rimborsare le operazioni non autorizzate, salvo una negligenza grave che deve dimostrare lei. La giurisprudenza italiana ha più volte affermato che la sola condivisione di un OTP non è automaticamente negligenza grave: dipende dalle circostanze. Denuncia e tempestività giocano a tuo favore.

Quanto tempo ho per attivare la procedura PSD2?

La normativa concede fino a 13 mesi dalla transazione non autorizzata. In pratica, prima agisci meglio è: le segnalazioni rapide vengono esaminate con più attenzione e con più margine di recupero.

E se la banca rifiuta il rimborso?

Puoi rivolgerti all'Arbitro Bancario Finanziario (ABF), organo di risoluzione delle controversie istituito presso la Banca d'Italia. Le sue decisioni non sono vincolanti, ma le banche le rispettano nella grande maggioranza dei casi. Per costruire il ricorso, un'associazione consumatori è un buon appoggio.

Devo cambiare numero di telefono dopo una truffa?

Solo nei casi più gravi, con minacce continue o un numero chiaramente compromesso. Di norma bastano l'iscrizione al Registro delle Opposizioni e un'app antispam ben configurata.

I miei familiari possono essere truffati con i dati che ho dato?

Dipende da cosa hai fornito. Se sono solo i tuoi dati personali, il rischio per gli altri è limitato, a meno di conti cointestati. Se hai dato accessi a piattaforme condivise o a un'azienda di famiglia, valuta caso per caso: avvisa, monitora e attiva l'autenticazione a due fattori dove puoi.

In sintesi

Dopo aver dato dati a un truffatore, non è la sfortuna a decidere l'esito, ma la sequenza delle tue mosse. Prima blocca il denaro che si muove chiamando l'antifrode della banca, poi metti in sicurezza SIM e account, infine denuncia e avvia la PSD2 per far valere la tua buona fede. La velocità e la denuncia formale sono le due leve che spostano davvero l'ago tra rimborso e perdita. Agisci in ordine, subito, senza lasciarti fermare dalla vergogna.