Arriva un SMS mentre sei alla cassa del supermercato. Mittente: "IntesaSanpaolo". Testo: "Accesso sospetto rilevato sul tuo conto. Verifica ora il tuo profilo o l'account verrà bloccato." Sotto, un link. Il messaggio compare nello stesso elenco dei veri avvisi della banca, con lo stesso nome. Il cuore accelera, il pollice si avvicina al link. È proprio lì che si gioca tutto.
Lo smishing bancario - il phishing che arriva via SMS - è tra le truffe digitali piu diffuse in Italia, come confermano le segnalazioni alla Polizia Postale. Migliaia di persone ci cascano ogni anno, e non perché siano ingenue: i messaggi sono costruiti benissimo.
Ma c'è un punto che riduce tutta la difesa a una sola frase. In pratica, nessuna banca ti chiede mai di inserire credenziali o codici tramite un link ricevuto via SMS. Se un messaggio te lo chiede, hai già la risposta: è falso, punto. Il codice OTP, in particolare, non è un dettaglio da confermare - è la tua firma su un bonifico. Chi te lo chiede sta cercando di farti firmare al posto suo.
Come funziona lo smishing bancario
Il truffatore invia un SMS che sembra arrivare dalla tua banca. Usa lo spoofing del mittente per far comparire il messaggio nello stesso thread degli avvisi autentici: sì, tecnicamente è possibile, e non dipende da un tuo errore. Il testo crea urgenza artificiale - conto bloccato, transazione sospetta, verifica entro 24 ore - perché la fretta spegne il pensiero critico.
Il link porta a una pagina identica a quella della banca. Inserisci username, password e poi il codice OTP che ti arriva "per confermare". In quel momento stai autorizzando in diretta l'operazione del truffatore. L'intero processo, dall'SMS al conto svuotato, può durare meno di dieci minuti.
I segnali che distinguono l'SMS falso da quello vero
| Caratteristica | SMS autentico della banca | SMS truffaldino |
|---|---|---|
| Link presente | Raramente, mai per il login | Sempre, accompagnato da urgenza |
| Richiesta di credenziali o OTP | Mai via SMS | Spesso, tramite il link |
| Tono del messaggio | Neutro, informativo | Allarmante, con conto alla rovescia |
| Mittente visibile | Nome banca o numero aziendale | Nome banca falsificato o numero mobile anonimo |
| URL del link | Dominio ufficiale della banca | intesa-sanpaola.com, unicredit-sicuro.net e simili |
| Errori nel testo | Assenti | A volte presenti, spesso nella punteggiatura |
Quello che non ti dicono i vademecum generici è che l'errore grammaticale non c'è quasi mai piu: le campagne recenti sono scritte in italiano corretto. L'unico segnale che regge sempre non è il tono né la grafica, è la richiesta stessa. Se ti chiede credenziali o un codice, è falsa a prescindere da quanto sembri perfetta.
Come controllare il link senza cliccarlo
Se vuoi verificare il link prima di aprirlo, senza rischiare nulla, ecco l'ordine giusto.
- Tieni premuto il link nell'SMS finché non compare l'URL completo in anteprima.
- Guarda il dominio: deve essere esattamente quello ufficiale della banca, non una variante con trattini o parole aggiunte.
- Diffida di estensioni strane (.net, .info, .top) al posto di quelle attese, e di sottodomini lunghi come "sicurezza-cliente.qualcosa.com".
- Nel dubbio non aprire: apri direttamente l'app della banca o digita a mano l'indirizzo ufficiale nel browser.
La regola pratica dietro tutto questo è ancora piu semplice: alla banca ci arrivi tu, non ci arrivi cliccando. Il canale che scegli tu è sicuro; quello che ti viene servito in un messaggio, no.
Le banche piu imitate in Italia
Secondo le segnalazioni alle autorità, i nomi usati piu spesso come copertura sono quelli con la base clienti piu ampia o piu digitale:
- Intesa Sanpaolo, la piu imitata per semplice quota di mercato.
- UniCredit, molto usata come esca in tutto il Paese.
- BancoPosta e Poste Italiane, che colpiscono anche chi non ha un conto corrente vero e proprio.
- Banche solo online, la cui clientela è abituata a operare da app e quindi meno diffidente verso i link.
Non si fermano alle banche: arrivano SMS falsi anche a nome di PayPal, Satispay o servizi di pagamento. Il meccanismo è identico, cambia solo il logo. Se ricevi spesso finti avvisi di spedizione o pacchi in giacenza, il fenomeno gemello è spiegato nella guida sullo smishing di Poste e corrieri.
Ho cliccato il link. Cosa faccio adesso?
Se hai solo cliccato ma non hai inserito nulla, il rischio è basso: chiudi subito il browser e non tornare su quella pagina. Il problema serio nasce quando hai inserito credenziali o il codice OTP. In quel caso agisci nell'ordine seguente, senza perdere minuti.
- Chiama il numero della tua banca per bloccare accessi e carte. Lo trovi sul retro della carta o sul sito ufficiale, mai nell'SMS sospetto.
- Cambia la password dal sito o dall'app ufficiale, non da link ricevuti.
- Controlla i movimenti e segnala ogni operazione che non riconosci.
- Denuncia alla Polizia Postale, online o di persona.
- Conserva le prove: screenshot dell'SMS, URL della pagina falsa, data e ora. Serviranno per la denuncia e per l'eventuale rimborso.
Posso essere rimborsato dalla banca?
Dipende dai dettagli, e qui la teoria e la pratica non coincidono. La normativa europea sui pagamenti prevede la responsabilità della banca per le operazioni non autorizzate, ma con un'eccezione pesante: se hai comunicato tu stesso il codice OTP, la banca può contestarti una "negligenza grave" e rifiutare il rimborso.
Negli ultimi anni, però, l'Arbitro Bancario Finanziario ha dato ragione a molti consumatori anche in casi di smishing, ritenendo che la banca avrebbe dovuto intercettare l'anomalia con sistemi antifrode adeguati. Se la banca rifiuta, puoi presentare ricorso all'Arbitro tramite la Banca d'Italia, gratuitamente. Vale la regola di fondo: non dare per scontato il "no" della banca, ma non contare neppure sul rimborso automatico. La difesa vera resta non consegnare mai l'OTP - motivo per cui abbiamo dedicato una guida al perché il codice OTP non va condiviso con nessuno.
Come proteggersi in modo sistematico
- Attiva le notifiche push dell'app ufficiale: vedi i movimenti in tempo reale e ti accorgi subito di un addebito estraneo.
- Imposta un limite giornaliero per i bonifici online: riduce il danno massimo se qualcosa va storto.
- Non salvare le credenziali bancarie nel browser dello smartphone.
- Tratta ogni SMS con link come non richiesto, anche quando il nome del mittente è perfetto.
- Segnala gli SMS sospetti alla tua banca: alimenti i filtri antifrode di tutti.
FAQ
La banca mi ha chiamato al telefono dopo l'SMS, è legittimo?
Verifica, non fidarti. I truffatori usano spesso la doppia mossa: prima l'SMS, poi una chiamata da un finto operatore che "conferma l'allarme" e ti guida a spostare i soldi su un conto sicuro. Nessuna banca vera ti chiede di trasferire denaro per proteggerlo. Riattacca e richiama tu il numero ufficiale che trovi sul sito o sul retro della carta.
Perché l'SMS falso finisce nello stesso thread di quello vero?
Perché i truffatori falsificano il mittente alfanumerico, usando lo stesso nome della banca. Gli smartphone raggruppano i messaggi per nome del mittente senza verificarne l'autenticità. È un limite tecnico degli SMS, non un tuo errore e non un segno che ti abbiano davvero violato qualcosa.
Ho ricevuto l'SMS ma non sono cliente di quella banca, devo preoccuparmi?
No, non sei a rischio immediato. Gli SMS partono a raffica verso liste enormi, senza sapere chi è cliente di quale banca: sperano solo di beccare qualcuno che lo sia. Cancella il messaggio e, se vuoi, segnalalo come tentativo di smishing. Le segnalazioni aiutano a mappare le campagne in corso.
In sintesi
Lo smishing bancario vince sulla fretta e sulla paura, non sulla tua ingenuità. Puoi dimenticare la caccia all'errore grammaticale: l'unico segnale che regge sempre è la richiesta stessa, perché nessuna banca ti chiede credenziali o OTP tramite un link. Alla banca ci arrivi tu, dall'app o dal sito digitato a mano. E se un giorno hai già cliccato e inserito qualcosa, la velocità con cui blocchi il conto e denunci conta piu di qualsiasi rimpianto.