Hai ordinato qualcosa online tre giorni fa. Il telefono vibra: "Il tuo pacco non può essere consegnato. Aggiorna le informazioni di spedizione entro 24 ore o l'ordine verrà restituito." Sotto, un link. E quella piccola stretta allo stomaco: hai davvero un pacco in arrivo, non vuoi perderlo, il pollice è già a mezzo centimetro dal link. Fermati proprio lì. Quel messaggio è quasi certamente falso, e il momento in cui te ne accorgi è adesso, prima di toccarlo.

Lo smishing tramite finte notifiche di corrieri e Poste Italiane è cresciuto insieme agli acquisti online. Funziona su un calcolo banale: quasi tutti aspettano sempre qualcosa. Ma la parte utile di questo articolo non è l'elenco dei segnali sospetti - quelli li trovi ovunque. È capire quale difesa conta davvero e quali invece ti fanno solo perdere tempo.

La verità è che passi troppa energia a giocare all'analista del messaggio: il dominio è giusto? Il tracking sembra vero? C'è il lucchetto? Questi controlli non fanno male, ma sono un terreno dove il truffatore gioca in casa, perché può falsificare quasi tutto. La difesa vera è una sola e non dipende dal messaggio: non inserisci mai i dati della carta su una pagina raggiunta da un link che non hai digitato tu. Se tieni ferma questa regola, il messaggio può essere perfetto quanto vuole - non ti tocca.

Perché i corrieri sono il travestimento perfetto

La logica è di numeri. Se mandi 100.000 SMS fingendoti BRT o DHL, decine di migliaia di destinatari stanno davvero aspettando un pacco proprio in quei giorni. La percentuale di clic schizza in alto rispetto ad altri tipi di phishing, e l'urgenza sembra naturale: nessuno vuole vedersi restituire una consegna. Il truffatore non ha bisogno di conoscerti, gli basta il calendario collettivo degli acquisti.

I marchi più imitati in Italia, secondo le segnalazioni raccolte dal CSIRT Italia, sono quelli che vedi ogni settimana:

  • Poste Italiane / BancoPosta - la più imitata, perché unisce pacchi e servizi finanziari nello stesso nome
  • BRT (Bartolini) - tra i vettori più usati dall'e-commerce italiano
  • DHL - clientela già abituata a ricevere notifiche digitali
  • GLS - in crescita come corriere per i marketplace
  • Amazon Logistics - con il pretesto delle consegne Amazon

I segnali che ti aiutano (senza farti dipendere da loro)

Detto che la regola d'oro è un'altra, i segnali servono comunque a farti scattare l'allarme prima. Trattali come indizi, non come una prova: bastano a insospettirti, non a rassicurarti.

Elemento SMS legittimo del corriere SMS di smishing
Link Al dominio ufficiale (es. brt.it, dhl.com) Domini simili ma falsi (brt-consegna.com, dhl-italia.net)
Numero di tracciamento Spesso incluso e verificabile Assente o generico ("il tuo ordine")
Richiesta di pagamento Solo se c'è davvero un'imposta doganale, tramite canali ufficiali Piccolo importo (0,99-2 euro) per "sbloccare" la consegna
Dati richiesti Al massimo un indirizzo alternativo, mai dati bancari Carta di credito, dati completi, per un "pagamento simbolico"
Tono Neutro: "consegna prevista domani" Urgente: "entro 24 ore", "il pacco verrà restituito"

Il trucco del micro-pagamento (dove casca quasi tutti)

La variante più efficace non ti chiede mille euro. Ti chiede 1,99. Un piccolo importo per "sbloccare la consegna" o "coprire le spese doganali". Il calcolo psicologico è preciso: una cifra così piccola non attiva la diffidenza, e la gente digita i dati della carta senza pensarci. Sembra quasi un fastidio burocratico più che una minaccia.

Ma quell'euro e novantanove non è il vero obiettivo. Nel momento in cui inserisci il numero della carta, la scadenza e il codice sul retro dentro quella pagina, il truffatore ha tutto ciò che gli serve. Il micro-pagamento è l'esca; il bersaglio è la carta, che userà per acquisti molto più salati o rivenderà. Ecco perché l'importo basso non deve rassicurarti: è studiato apposta per farlo.

La regola pratica in cinque passaggi

Quando arriva un SMS del genere, non metterti a decifrarlo. Segui una procedura fissa e chiudi la questione in un minuto.

  1. Non toccare il link. Se vuoi verificare, apri tu il sito ufficiale del corriere digitando l'indirizzo nel browser, oppure usa la sua app. Mai partendo dall'SMS.
  2. Usa il codice di tracciamento del venditore. Ogni acquisto vero ne ha uno, che trovi nell'ordine sul sito dove hai comprato. Se il messaggio non lo cita, è un pessimo segno.
  3. Controlla lo stato dell'ordine alla fonte. Entra nel tuo account sull'e-commerce: lì c'è la verità sulla spedizione, non nell'SMS.
  4. Cerca il numero mittente su un servizio di segnalazioni: se è già finito in blacklist hai la conferma. Trovi il metodo nella guida su come verificare un numero sconosciuto in Italia.
  5. In caso di dubbio, chiama il corriere al numero ufficiale del sito, mai a un recapito indicato nell'SMS.

Cosa fare se hai già cliccato

Qui conta distinguere due situazioni molto diverse, perché il consiglio generico "hai cliccato, sei rovinato" è sbagliato e serve solo a farti prendere dal panico.

Hai aperto la pagina ma non hai inserito nulla. Il rischio è basso: aprire un sito, di norma, non installa niente sul telefono. Chiudi il browser, non tornare su quella pagina e, se vuoi stare tranquillo, fai una scansione con un antivirus aggiornato. Non serve andare nel panico.

Hai inserito i dati della carta. Qui il tempo conta davvero:

  • Chiama subito la banca o l'emittente della carta per bloccarla - quasi tutte hanno un numero antifrode attivo 24 ore su 24, spesso stampato sul retro
  • Controlla i movimenti delle ultime ore e contesta ogni addebito che non riconosci
  • Se quella carta era salvata su altri servizi, aggiornala o rimuovila da lì
  • Denuncia alla Polizia Postale con lo screenshot dell'SMS e l'indirizzo del sito visitato

Hai inserito dati personali (nome, indirizzo, codice fiscale): presenta comunque denuncia, tieni gli screenshot e nei mesi successivi controlla che nessuno apra conti o contratti a tuo nome. Se sospetti un uso illecito dei dati, puoi rivolgerti anche al Garante Privacy. Per un piano d'azione ordinato subito dopo, ti torna utile la guida su cosa fare nelle prime 24 ore dopo aver dato i tuoi dati a una truffa.

Perché Poste Italiane è il caso più delicato

Gli SMS che imitano Poste sono i più pericolosi per un motivo strutturale: sotto lo stesso marchio convivono il pacco e il conto. Un messaggio "di Poste" può puntare al furto dei dati di spedizione oppure alle credenziali di BancoPosta o Postepay. Il travestimento del corriere diventa così la porta d'ingresso a un attacco finanziario vero e proprio, non solo a un finto pagamento da due euro.

Non a caso, spesso queste campagne viaggiano in parallelo con gli SMS che fingono di essere la tua banca. Se nello stesso periodo ricevi un messaggio "della banca", i meccanismi sono identici: leggi la guida su come riconoscere gli SMS truffaldini delle banche. Chi organizza lo smishing colpisce su più fronti insieme, contando sul fatto che la stanchezza abbassi la guardia.

Come ridurre il rischio in futuro

  • Traccia i pacchi solo dall'app ufficiale del corriere o dall'account del venditore, mai dagli SMS
  • Attiva le notifiche push delle app e-commerce che usi: ricevi aggiornamenti autentici e gli SMS diventano superflui
  • Per gli acquisti online usa una carta virtuale o prepagata con poco credito: limiti il danno massimo se i dati finiscono in giro
  • Valuta un'app di filtro spam per chiamate e SMS: alcune segnalano anche i messaggi sospetti

FAQ

Come faccio a sapere se sto davvero aspettando un pacco?

Vai sull'e-commerce dove hai comprato e controlla lo stato dell'ordine dal tuo account. Se non hai fatto acquisti di recente, qualsiasi SMS di "pacco in attesa" è falso per definizione. Se invece hai comprato qualcosa, usa il codice di tracciamento che ti ha inviato il venditore, non quello eventualmente presente nell'SMS sospetto.

Il link porta a un sito con HTTPS e lucchetto. È sicuro?

No, e questo è uno dei malintesi più sfruttati. Il lucchetto indica solo che la connessione è cifrata, non che il sito sia autentico. I truffatori usano HTTPS da anni proprio perché la gente associa il lucchetto alla sicurezza. Quello che conta è il dominio e, ancora prima, il fatto che tu non ci sia arrivato da un link ricevuto.

Ho segnalato l'SMS alla Polizia Postale. Cosa succede dopo?

Le segnalazioni servono a ricostruire il quadro delle campagne di smishing attive. Non riceverai una risposta per ogni segnalazione, ma i dati alimentano indagini più ampie. Se invece hai subito un danno economico, è la denuncia formale che conta: crea il fascicolo ufficiale necessario per le indagini e per un eventuale rimborso dalla banca.

In sintesi

Lo smishing dei corrieri vive di un calcolo statistico e di una piccola stretta allo stomaco. Puoi anche imparare a memoria tutti i segnali sospetti, ma la difesa che ti protegge sempre è più semplice e non dipende da quanto è ben fatto il messaggio: non inserisci mai i dati della carta su una pagina raggiunta da un link che non hai digitato tu. Verifica alla fonte - app del corriere, account del venditore - e tratta l'importo da due euro non come una rassicurazione, ma come l'esca che è.