Hai ordinato qualcosa online. Due giorni dopo arriva un SMS: "Il tuo pacco non può essere consegnato. Aggiorna le informazioni di spedizione." Seguono un link e la sensazione che, se non agisci subito, perdi la consegna. Questo messaggio è quasi certamente falso.
Lo smishing via finte notifiche di corrieri e Poste Italiane è esploso con l'aumento degli acquisti online. I truffatori sfruttano proprio il fatto che la maggior parte di noi aspetta sempre qualcosa. Vediamo come funziona, come riconoscerlo, e cosa fare.
Perché i corrieri sono bersagli ideali per lo smishing
La logica è semplice: se mandi 100.000 SMS fingendo di essere BRT o DHL, statisticamente decine di migliaia di destinatari stanno davvero aspettando un pacco. La percentuale di clic è altissima rispetto ad altri tipi di phishing. E l'urgenza è naturale - nessuno vuole perdere una consegna.
I corrieri più imitati in Italia secondo le segnalazioni al CSIRT Italia:
- Poste Italiane / BancoPosta - la più imitata, anche perché gestisce sia pacchi che servizi finanziari
- BRT (Bartolini) - tra i più usati dall'e-commerce italiano
- DHL - clientela abituata a notifiche digitali
- GLS - in crescita come vettore per marketplace
- Amazon Logistics - con il pretesto di consegne Amazon
Come riconoscere un SMS di smishing da corriere
| Elemento | SMS legittimo del corriere | SMS di smishing |
|---|---|---|
| Link presente | Sì, ma al dominio ufficiale (es. brt.it, dhl.com) | Sì, a domini simili ma falsi (brt-consegna.com, dhl-italia.net) |
| Numero di tracciamento | Sì, spesso incluso e verificabile | Assente o generico ("il tuo ordine") |
| Richiesta di pagamento | Solo se c'è davvero un'imposta doganale | Spesso chiede piccolo pagamento (0,99-2€) per "sbloccare" la consegna |
| Dati richiesti | Solo indirizzo di consegna alternativo, mai dati bancari | Carta di credito, dati completi, spesso per un "pagamento simbolico" |
| Urgenza | Neutra: "consegna prevista per domani" | Alta: "entro 24 ore", "il pacco verrà restituito" |
Il trucco del "micro-pagamento"
Una variante molto efficace di questo smishing chiede un pagamento minimo - di solito tra 0,99 e 2 euro - per "sbloccare la consegna" o "pagare le spese doganali". La logica del truffatore è questa: una cifra così piccola non sembra pericolosa, e le persone inseriscono i dati della carta senza pensarci troppo.
Il problema non è quell'euro. Appena inserisci i dati della tua carta su quella pagina falsa, i truffatori li hanno. E useranno quella carta per acquisti molto più costosi.
Come verificare se l'SMS è vero
- Non cliccare il link nell'SMS - invece, apri manualmente il sito ufficiale del corriere nel browser (digita tu l'indirizzo, non seguire link)
- Usa il numero di tracciamento che hai ricevuto dall'e-commerce dove hai comprato - ogni acquisto legittimo ne ha uno
- Controlla l'URL prima di aprire: tieni premuto il link nell'SMS per vedere l'indirizzo completo. Il dominio deve essere esattamente quello ufficiale
- Cerca il numero mittente su siti di segnalazione - se è già nella blacklist, hai la conferma. Leggi come farlo nell'articolo su come verificare numeri sconosciuti in Italia
- Chiama il corriere al numero ufficiale trovato sul sito - non quello eventualmente indicato nell'SMS
Cosa fare se hai già cliccato il link
Hai aperto il link ma non hai inserito niente: chiudi immediatamente il browser. Il rischio principale è minimo - solo aprire una pagina di solito non installa nulla. Fai uno scan con un antivirus aggiornato per stare tranquillo.
Hai inserito i dati della carta:
- Chiama subito la tua banca o l'emittente della carta per bloccarla - la maggior parte ha un numero attivo 24/7
- Controlla i movimenti nelle ultime ore e segnala qualsiasi addebito non autorizzato
- Cambia le credenziali dei servizi dove usi quella carta se erano salvate
- Denuncia alla Polizia Postale su commissariatodips.it con screenshot dell'SMS e dell'URL visitato
Hai inserito dati personali (nome, indirizzo, codice fiscale):
- Presenta denuncia alla Polizia Postale
- Segnala al Garante Privacy (garanteprivacy.it) se ritieni che i tuoi dati vengano usati illecitamente
- Monitora se nei mesi successivi vengono aperti conti o contratti a tuo nome
Il caso Poste Italiane: più rischioso degli altri
Gli SMS che imitano Poste Italiane sono particolarmente insidiosi perché Poste gestisce anche servizi finanziari: conto BancoPosta, Postepay, prestiti. Un SMS falso di Poste può puntare sia al furto di dati di spedizione che di credenziali finanziarie.
Poste Italiane ha una pagina dedicata alle truffe sul proprio sito (poste.it) e incoraggia a segnalare gli SMS sospetti al numero dedicato. Conserva sempre gli screenshot degli SMS sospetti - sono utili sia per la denuncia che per il rimborso dalla banca.
Se hai ricevuto un SMS sospetto da una "banca" nello stesso periodo, leggi anche la guida su come riconoscere gli SMS truffaldini delle banche - i meccanismi sono identici e spesso le campagne colpiscono su più fronti contemporaneamente.
Come ridurre il rischio in futuro
- Usa sempre l'app ufficiale del corriere per tracciare i pacchi - non affidarti agli SMS
- Attiva le notifiche push delle app e-commerce che usi: Amazon, Zalando, ecc. - riceverai aggiornamenti autentici senza bisogno di SMS
- Considera una carta prepagata o virtuale per gli acquisti online - limita il danno massimo possibile
- Installa un'app di rilevamento spam chiamate/SMS - alcune come Hiya rilevano anche gli SMS sospetti
Come faccio a sapere se sto davvero aspettando un pacco?
Vai sull'e-commerce dove hai acquistato e controlla lo stato dell'ordine direttamente nell'account. Se non hai fatto nessun acquisto di recente, qualsiasi SMS di "pacco in attesa" è sicuramente falso. Se hai comprato qualcosa, usa il codice di tracciamento che ti ha inviato il venditore - non quello eventualmente presente nell'SMS sospetto.
Ho visto che il link nell'SMS porta a un sito con HTTPS e lucchetto. È sicuro?
No. Il lucchetto HTTPS significa solo che la connessione tra il tuo dispositivo e quel sito è cifrata - non che il sito sia legittimo. I truffatori usano HTTPS da anni sui loro siti falsi, proprio perché gli utenti associano il lucchetto alla sicurezza. Quello che conta è il dominio, non il protocollo.
Ho segnalato l'SMS sospetto alla Polizia Postale. Cosa succede dopo?
La Polizia Postale raccoglie le segnalazioni per costruire un quadro delle campagne di smishing attive. Non riceverai una risposta individuale per ogni segnalazione, ma le informazioni servono a indagini più ampie. Se hai subito un danno economico, la denuncia formale è quello che conta: crea il fascicolo ufficiale necessario per un eventuale rimborso dalla banca e per le indagini.