Arriva un SMS. Mittente: "IntesaSanpaolo". Testo: "Accesso sospetto rilevato sul tuo conto. Verifica ora il tuo profilo." Seguito da un link. Sembra autentico - stesso nome, stesso tono. Ma con ogni probabilità è falso.
Lo smishing bancario - phishing via SMS - è la truffa digitale più diffusa in Italia nel 2024 secondo i dati della Polizia Postale. Migliaia di persone ci cascano ogni anno perché i messaggi sono costruiti benissimo. Vediamo come riconoscerli e cosa fare se ne ricevi uno.
Come funziona lo smishing bancario
Il truffatore invia un SMS che sembra provenire dalla tua banca. Usa tecniche di spoofing per far apparire il messaggio nello stesso thread dei messaggi autentici della banca - sì, anche questo è possibile. Il testo crea urgenza: conto bloccato, transazione sospetta, verifica necessaria entro 24 ore.
Il link porta a una pagina identica a quella della banca. Inserisci username, password e magari il codice OTP che ti arriva via SMS. A quel punto i truffatori hanno tutto il necessario per svuotare il tuo conto.
Il processo intero può durare meno di dieci minuti. Dall'SMS al conto svuotato.
I segnali che distinguono l'SMS falso da quello reale
| Caratteristica | SMS autentico della banca | SMS truffaldino |
|---|---|---|
| Link presente | Raramente, mai per login | Sempre, con urgenza |
| Richiesta di credenziali | Mai via SMS | Spesso, tramite link |
| Tono del messaggio | Neutro, informativo | Urgente, allarmante |
| Mittente visibile | Nome banca o numero aziendale | Nome banca (falsificato) o numero mobile strano |
| URL del link | dominiobanca.it ufficiale | intesa-sanpaola.com, unicredit-sicuro.net ecc. |
| Errori grammaticali | Assenti | A volte presenti, soprattutto punteggiatura |
La regola più importante: nessuna banca italiana ti chiede mai di inserire username, password o codice OTP tramite un link ricevuto via SMS. Questo non succede mai. Se un SMS te lo chiede, è una truffa.
Come controllare il link senza cliccarlo
Se vuoi verificare il link prima di aprirlo - senza rischiare nulla - ecco cosa fare:
- Tieni premuto il link nell'SMS fino a quando appare l'URL completo in anteprima
- Controlla il dominio: deve essere esattamente quello ufficiale della banca (es. intesasanpaolo.com, non intesa-sanpaolo.it o intesasanpaola-sicurezza.com)
- Se il dominio ha trattini extra, parole aggiunte o estensioni strane (.net, .info, .org invece di .it o .com), è falso
- In dubbio: non aprire. Apri direttamente l'app della banca o digita l'indirizzo ufficiale nel browser
Le banche più imitate in Italia
Secondo le segnalazioni alla Polizia Postale e al CSIRT Italia, le banche più frequentemente usate come copertura negli SMS truffaldini sono:
- Intesa Sanpaolo - la più imitata per quota di mercato
- UniCredit - molto diffusa al Nord
- BancoPosta / Poste Italiane - colpisce anche chi non ha un conto corrente vero e proprio
- Fineco Bank - clientela abituata all'online banking, quindi sembrano più credibili
- ING Italia - clientela digitale, target frequente
Ma non si limitano alle banche: arrivano SMS falsi anche da PayPal, Satispay, Amazon Pay. Il meccanismo è identico.
Ho cliccato il link. Cosa fare adesso?
Se hai cliccato ma non hai inserito niente, il rischio è basso. Chiudi subito il browser, non tornare su quella pagina.
Se hai inserito credenziali o dati bancari, agisci immediatamente:
- Chiama il numero verde della tua banca - ogni banca ha un numero di emergenza attivo 24/7 per bloccare accessi e carte. Trovalo sul retro della tua carta o sul sito ufficiale
- Cambia subito la password dal sito ufficiale - non tramite link nell'SMS
- Controlla i movimenti e segnala qualsiasi transazione non autorizzata
- Denuncia alla Polizia Postale - puoi farlo online su commissariatodips.it o andando fisicamente all'ufficio più vicino
- Conserva le prove - screenshot dell'SMS, URL della pagina falsa, orari - ti serviranno per la denuncia e per l'eventuale rimborso
Posso essere rimborsato dalla banca?
Dipende dai dettagli. La normativa europea PSD2 e il Codice del Consumo (D.Lgs. 206/2005) prevedono la responsabilità della banca per transazioni non autorizzate, ma con un'eccezione importante: se hai fornito tu stesso il codice OTP al truffatore, la banca può considerarti "colpevole di negligenza grave" e rifiutare il rimborso.
Negli ultimi anni l'Arbitro Bancario Finanziario (ABF) ha emesso numerose decisioni a favore dei consumatori anche in casi di smishing, ritenendo che la banca avrebbe dovuto rilevare l'anomalia. Se la banca si rifiuta di rimborsarti, puoi presentare ricorso all'ABF gratuitamente tramite bancaditalia.it.
Come proteggersi in modo sistematico
- Attiva le notifiche push dall'app ufficiale della banca - così vedi i movimenti in tempo reale
- Imposta un limite giornaliero per i bonifici online - riducce il danno massimo possibile
- Non salvare le credenziali bancarie nel browser dello smartphone
- Usa un numero di telefono separato per i servizi bancari se possibile
- Segnala gli SMS sospetti al CSIRT Italia (csirt.gov.it) e alla tua banca
Se ricevi spesso messaggi indesiderati o sospetti, puoi anche verificare i numeri mittente su siti specializzati. Trovi una guida ai metodi di ricerca nell'articolo su come verificare un numero sconosciuto in Italia.
La banca mi ha già contattato per telefono riguardo all'SMS. È legittimo?
Forse, ma verifica. I truffatori a volte usano una doppia tecnica: prima l'SMS, poi una chiamata da un "operatore bancario" che conferma l'allarme e ti guida a fare operazioni. Una banca vera non ti chiederà mai di spostare soldi su un "conto sicuro" per proteggerli. Se ricevi una chiamata del genere, riattacca e richiama tu il numero ufficiale della banca che trovi sul sito o sul retro della carta.
Perché l'SMS falso appare nello stesso thread di quello vero?
I truffatori usano lo spoofing dell'identificativo mittente (sender ID): inviano l'SMS con lo stesso nome alfanumerico usato dalla banca (es. "IntesaSanpaolo"). Gli smartphone raggruppano i messaggi per mittente senza verificarne l'autenticità. Questo è un limite tecnico degli SMS - non un errore tuo.
Ho ricevuto l'SMS ma non sono cliente di quella banca. Devo preoccuparmi?
No, non sei a rischio immediato. I truffatori inviano SMS a massa senza sapere chi è cliente di quale banca: sperano che qualcuno dei destinatari lo sia. Cancella il messaggio e segnalalo alla Polizia Postale come tentativo di smishing, anche se non sei cliente. Le segnalazioni aiutano a tracciare le campagne truffaldine.