La truffa del finto sms dalla banca: quello che devi sapere

La guida definitiva per riconoscere, bloccare e ottenere il rimborso dalla tattica Smishing/Vishing ibrida (ovvero l’utilizzo di chiamate vocali, sms e altro sistemi di comunicazione per far cadere l’utente in trappola).

Le frodi digitali che colpiscono i servizi finanziari hanno raggiunto livelli di sofisticazione senza precedenti. La tattica più insidiosa oggi non si limita a una singola email di phishing, ma combina due vettori di attacco—l’SMS (Smishing) e la chiamata vocale (Vishing)—per creare un inganno ibrido quasi impossibile da distinguere per l’utente medio. Questo rapporto analizza la dinamica di questa truffa e fornisce un protocollo schematico di difesa, distinguendo chiaramente tra le azioni proattive e quelle reattive, e fornendo un quadro essenziale sui diritti di rimborso previsti dalla normativa europea.

I. L’anatomia della truffa ibrida: dal messaggio di panico alla sottrazione finanziaria
La moderna truffa bancaria sfrutta l’immediatezza e l’autorità del canale mobile per innescare una reazione emotiva, preludio necessario al furto. Questa tecnica, che combina Smishing e Vishing, è definita “ibrida” perché utilizza la debolezza di un canale (l’SMS) per rendere credibile l’attacco sul canale successivo (la telefonata).

1.1. Smishing, Vishing e Spoofing: chiarezza terminologica e l’efficacia della sintesi d’attacco
La frode inizia con un messaggio di testo non sollecitato, noto come Smishing, che segnala un’attività finanziaria allarmante, spesso un “bonifico eseguito” o una “autorizzazione di pagamento” in attesa.1 L’obiettivo primario di questo innesco non è ottenere dati immediatamente, ma generare un senso di urgenza e panico nella vittima, spingendola a reagire senza analizzare criticamente la comunicazione.2 Questo stato emotivo riduce la capacità di giudizio e rende il correntista più vulnerabile al passo successivo.
La caratteristica più pericolosa di questa truffa è l’uso dello spoofing. I cybercriminali utilizzano sofisticate tecniche per falsificare il mittente, riuscendo spesso a far comparire l’SMS fraudolento all’interno della cronologia autentica delle comunicazioni tra il cliente e la sua banca. Successivamente, nella fase Vishing (la chiamata), i truffatori falsificano l’ID del chiamante, facendo sì che sullo schermo della vittima appaia il numero verde ufficiale del servizio clienti o il numero di filiale della banca.1 Il correntista, vedendo un numero che riconosce, è immediatamente rassicurato e pronto a fidarsi della figura successiva: il presunto “operatore dell’ufficio antifrode”.
La capacità di un operatore di Vishing di presentarsi come un soccorritore, amplificata dalla percezione di autenticità generata dallo spoofing telefonico, disarma le difese critiche della vittima. L’autorità percepita dell’ufficio antifrode, che sembra agire proprio per risolvere l’emergenza segnalata via SMS, rafforza la fiducia e maschera l’inganno in atto.

II. Il protocollo di prevenzione: i “DO’S” proattivi per blindare il conto
La difesa più efficace contro le truffe ibride risiede nella prevenzione e nella conoscenza approfondita delle procedure di sicurezza della propria banca.

2.1. Blindare le credenziali: la lista definitiva dei “non fare mai” (DON’TS)
Le istituzioni finanziarie italiane hanno stabilito linee guida rigorose su ciò che un operatore bancario non chiederà mai ai clienti. Questo elenco è la prima e più solida linea di difesa contro l’ingegneria sociale.

● Non fornire mai dati riservati: non si devono mai comunicare codici personali di accesso, password, il PIN della carta o il codice di sicurezza a tre cifre (CVC2/CVV2) riportato sul retro della carta, indipendentemente dalla motivazione addotta dal chiamante. La banca è già in possesso di questi dati e non li richiederà mai al cliente per telefono o tramite SMS.1
● Non comunicare OTP per “annullare” operazioni: il codice OTP (One-Time Password) o codice dispositivo serve esclusivamente per autorizzare un movimento finanziario. Se un presunto operatore antifrode richiede un codice OTP, sta cercando di farsi autorizzare il trasferimento dei fondi. Il codice OTP non serve mai per revocare, annullare o stornare un pagamento.
● Non eseguire bonifici di sicurezza: è essenziale diffidare da qualsiasi richiesta di eseguire bonifici istantanei per “mettere in salvo” somme di denaro o trasferirle su un “conto provvisorio” a causa di un presunto operatore infedele. Nessuna banca chiederà mai al cliente di agire in tal modo.
● Non installare software esterno: non si devono mai scaricare o installare applicazioni non ufficiali, specialmente software di controllo remoto o per la “sicurezza”, suggerite da finti operatori. Tali programmi permettono al truffatore di ottenere il controllo diretto dello smartphone del cliente e disporre operazioni autonomamente.
● Non cliccare su link sospetti: non si deve accedere o cliccare su link contenuti in SMS, email o messaggi non attesi. L’accesso ai servizi bancari deve avvenire sempre digitando l’URL ufficiale nel browser o tramite l’App

Per quanto riguarda specifici canali di comunicazione, si osserva che alcuni istituti finanziari forniscono regole ferree: ad esempio, il numero verde del servizio clienti di UniCredit (800.57.57.57) non effettua chiamate in uscita. Pertanto, se una chiamata appare proveniente da quel numero, è un segnale certo di spoofing e, di conseguenza, di frode.

2.2. Rafforzare l’autenticazione e la comunicazione (DO’S)
La sicurezza passiva deve essere affiancata da misure proattive che rafforzino il controllo del correntista sul proprio conto.
Potenziare l’autenticazione: è riconosciuto che l’autenticazione a due fattori (2FA) basata esclusivamente su SMS presenta vulnerabilità note (fenomeno del Sneaky Phishing).7 Per una protezione superiore, si consiglia di:
1. Richiedere alla propria banca di adottare metodi di autenticazione più sicuri, come l’uso di tokenizzazione software (tramite App proprietaria della banca) o, dove disponibili, chiavi di sicurezza fisiche (Passkey o Yubikey).
2. Accedere ai servizi bancari sempre e solo tramite i canali ufficiali, evitando di utilizzare i link di accesso forniti da comunicazioni esterne.
Verifica delle comunicazioni autentiche: i correntisti devono imparare a distinguere gli SMS legittimi. Sebbene i siti contraffatti possano essere visivamente identici all’originale, alcune banche forniscono indicatori inconfondibili. Per esempio, UniCredit specifica che gli SMS contenenti un link autentico non collegano mai alla pagina di accesso alla banca multicanale e dovrebbero sempre includere il nome del cliente e i dettagli della filiale di riferimento.
Gestione dei dati personali: mantenere aggiornati i dati di contatto presso la propria banca è una misura di sicurezza fondamentale. Avere dati aggiornati permette all’istituto di contattare rapidamente il cliente in caso di attività sospette, fornendo un canale di verifica rapido contro le comunicazioni fraudolente.
La seguente tabella riassume i punti di non-negoziazione in materia di sicurezza bancaria digitale:

Cosa la Banca non Chiede Mai: segnali di Allarme Immediati
Tipo di Dato/Azione
Contesto della Richiesta Fraudolenta
Segnale di Allarme (Perché è un DON’T)
Credenziali (Password, PIN)
“verifica identità” o “sblocco del conto.”
La banca li conosce e non te li chiederà mai per telefono.1
Codice OTP (a tempo)
“per annullare” o “stornare” un’operazione.
L’OTP serve solo per autorizzare transazioni. Se lo chiedono per annullare, stanno finalizzando il furto.
CVC/CVV2 (3 cifre sul retro)
“verifica della carta.”
Mai richiesto per comunicazioni di sicurezza.
Esecuzione di Bonifico Istantaneo
“mettere in sicurezza i fondi” o “conto provvisorio.”
La banca non ti chiederà mai di spostare fondi per ragioni di sicurezza.

III. Reazione e gestione dell’emergenza: il protocollo di intervento immediato
Quando il sospetto di una truffa ibrida si concretizza in una chiamata o nell’aver fornito dati sensibili, l’azione immediata e corretta è l’unico fattore in grado di minimizzare il danno. La rapidità nel seguire il protocollo di emergenza è cruciale.

3.1. Istruzioni di emergenza immediata (la regola d’oro)
La regola cardinale per contrastare un attacco di Vishing è la separazione dei canali. Se si riceve una chiamata da un presunto operatore antifrode, l’unica azione corretta è riagganciare immediatamente la comunicazione. Successivamente, il cliente deve contattare la propria banca in modo indipendente, utilizzando i numeri ufficiali che sono stati verificati e sono noti, come quelli riportati sul sito web ufficiale o sul retro della carta di credito.4 È vitale non utilizzare mai i numeri di telefono forniti nell’SMS o durante la chiamata sospetta. Ad esempio, i clienti di Intesa Sanpaolo sono invitati a chiamare la Filiale Digitale al numero verde 800.303.303.9
Se, durante l’attacco, sono stati forniti dati sensibili (come le credenziali di accesso) o un codice OTP, o se un bonifico è stato eseguito sotto coercizione, la priorità assoluta è il blocco immediato delle carte associate al conto. Il blocco deve essere richiesto ai servizi di emergenza 24/7 della banca o del gestore delle carte (come Nexi, CartaSi o BankAmericard).
L’efficacia della difesa contro lo spoofing risiede proprio nell’annullamento della sua validità. Il truffatore controlla il canale in entrata (la chiamata ricevuta); l’utente deve interrompere quel canale e attivarne uno nuovo (la chiamata in uscita) su un numero verificato. Questa contromisura impedisce al criminale di manipolare ulteriormente l’utente.

3.2. Il flusso di contromisure (schematizzazione pratica)
Il protocollo di reazione deve essere eseguito in sequenza logica, privilegiando la sicurezza finanziaria alla verifica emotiva.

Protocollo di reazione immediata in caso di sospetto fraudolento
Sei in Pericolo?
Cosa NON Devi Assolutamente Fare (DON’TS)
Azione Immediata (DO’S)
SMS allarmante ricevuto (es. bonifico autorizzato)
cliccare su qualsiasi link, richiamare il numero indicato, o rispondere all’SMS.
Contattare la banca tramite i canali ufficiali (sito/app) per verificare la notifica, ignorando l’SMS.
Chiamata da un numero che sembra la tua Banca (Spoofing)
fornire credenziali, PIN, codici CVC/CVV, o OTP (codici usa e getta).
Interrompere immediatamente la comunicazione (riagganciare).
Richiesta di ‘Storno’ o ‘Messa in Sicurezza’
eseguire qualsiasi bonifico istantaneo, ricarica o inserimento di OTP sotto dettatura.
Chiamare la banca usando il numero di telefono ufficiale che trovi sul sito (non quello fornito nell’SMS/chiamata).
Hai già fornito dati sensibili o OTP
esitare, perdere tempo, o cercare di recuperare da solo.
Bloccare immediatamente tutte le carte associate al conto chiamando i numeri di emergenza 24/7.

IV. Il targeting del mittente: perché l’SMS truffa arriva dalla tua banca
Il fatto che il messaggio d’allarme si inserisca nella cronologia delle comunicazioni autentiche della propria banca è l’elemento cruciale che rende questa frode, definita Smishing/Vishing ibrida, quasi irresistibile. Questo non è frutto di una casualità, ma è l’esito di una duplice azione: la pre-acquisizione dei dati personali e la manipolazione tecnica del canale di comunicazione.

4.1. Pre-acquisizione dei dati e targeting chirurgico
A differenza delle vecchie tecniche di frode via email che “sparavano nel mucchio”, le frodi via SMS sono spesso mirate. I truffatori hanno acquisito in precedenza, tramite canali illeciti, liste di dati che abbinano il numero di telefono del cliente al suo istituto bancario di riferimento. Questi dati possono provenire da:

● Violazioni di database (Data Breaches): informazioni trapelate da servizi online esterni alla banca, spesso acquistate nel dark web, che collegano numeri di telefono a nomi e possibili affiliazioni bancarie.
● Malware o phishing iniziale: in alcuni casi, le credenziali o i primi dati vengono rubati tramite l’installazione di malware sul dispositivo della vittima o tramite tentativi di phishing precedenti, che permettono al criminale di identificare la banca prima di lanciare l’attacco telefonico.
● Rovistamento di documenti: anche il furto di documenti fisici, come estratti conto gettati nei rifiuti (i rifiuti della vittima), può fornire l’informazione necessaria al targeting.
4.2. Lo Spoofing dell’ID mittente: l’inganno tecnico

L’inserimento del messaggio fraudolento nella cronologia delle conversazioni bancarie autentiche è permesso dalla tecnica di Spoofing dell’ID mittente (Sender ID Spoofing). Questa tecnica sfrutta una vulnerabilità intrinseca del protocollo SMS, che non sempre verifica l’autenticità dell’identificativo alfanumerico (il nome o il numero) dichiarato come mittente.

4.2. Lo Spoofing dell’ID mittente: l’inganno tecnico
L’inserimento del messaggio fraudolento nella cronologia delle conversazioni bancarie autentiche è permesso dalla tecnica di Spoofing dell’ID mittente (Sender ID Spoofing). Questa tecnica sfrutta una vulnerabilità intrinseca del protocollo SMS, che non sempre verifica l’autenticità dell’identificativo alfanumerico (il nome o il numero) dichiarato come mittente.

● Falsificazione dell’ID: Il truffatore utilizza servizi che consentono di inviare SMS mascherando il proprio numero reale con un ID alfanumerico (ad esempio “UniCredit”, “Intesa SP”) o con il numero verde ufficiale della banca.
● Fusione nella cronologia: Quando il telefono della vittima riceve un SMS con un ID mittente che corrisponde esattamente a quello usato precedentemente dalla banca per le comunicazioni legittime, il sistema operativo dello smartphone lo raggruppa automaticamente sotto lo stesso thread di conversazione.1 Questo crea immediatamente un falso senso di sicurezza e autenticità, spingendo la vittima all’azione urgente richiesta.

Questa combinazione di targeting e spoofing fa sì che l’utente si trovi di fronte non a un messaggio generico, ma a un allarme personalizzato che sembra provenire dalla fonte più attendibile, preludendo all’attacco di Vishing.

V. Tutela legale e procedura di recupero: il diritto al rimborso (PSD2)
Cadere vittime di una truffa sofisticata come il Vishing ibrido non significa necessariamente perdere i propri fondi. La normativa europea e la giurisprudenza italiana offrono una solida tutela al correntista.

5.1. Il quadro normativo: PSD2 e la responsabilità oggettiva della banca
Il riferimento normativo principale è la direttiva sui servizi di pagamento 2 (PSD2), attuata in Italia dal D.Lgs. 27 gennaio 2010, n. 11. Questa normativa stabilisce un principio fondamentale: la banca detiene una responsabilità oggettiva per le operazioni di pagamento non autorizzate.13

In assenza di prove concrete che il cliente abbia agito con dolo o con colpa grave, la banca è tenuta al rimborso integrale delle somme sottratte.13 Spetta all’istituto finanziario l’onere di provare che l’operazione sia stata effettivamente autorizzata dal cliente o che la perdita sia il risultato di una negligenza estrema del correntista.

5.2. Il concetto di “colpa grave” e l’impatto dello Spoofing ibrido
Il concetto di “colpa grave” non è definito in modo specifico dalla PSD2 e viene valutato caso per caso dalla giurisprudenza. La tendenza dei tribunali italiani è di interpretare restrittivamente la colpa grave, riconoscendo che la maggior parte dei clienti non possiede le competenze tecniche necessarie per identificare le frodi più sofisticate, specialmente quando l’attacco utilizza lo spoofing per replicare perfettamente i canali di comunicazione ufficiali della banca.6
Non viene solitamente configurata la colpa grave se il cliente si limita a inserire le proprie credenziali in un sito web esteticamente identico a quello ufficiale o se comunica codici OTP durante una telefonata che appare provenire dal servizio clienti (spoofing telefonico). Queste azioni, sebbene imprudenti, non sono ritenute indice di negligenza estrema data la natura altamente ingannevole dell’attacco.6
Al contrario, la colpa grave potrebbe configurarsi solo se il cliente ha ignorato ripetuti e specifici avvisi di sicurezza della banca, o se ha comunicato informazioni riservate in contesti palesemente sospetti.6 Il livello di sofisticazione dell’inganno gioca quindi a favore del cliente: se la frode era estremamente elaborata, come nel caso del Vishing ibrido che induce a un “bonifico di storno” da un numero spoofato, il diritto al rimborso del correntista è considerevolmente più forte.14

5.3. La procedura formale di segnalazione e denuncia (DO’S legali)
Per esercitare il diritto al rimborso e proteggere la propria posizione legale, è necessario seguire un protocollo post-frode preciso:

Passo 1: segnalazione e reclamo formale. Immediatamente dopo aver bloccato le carte, il correntista deve segnalare l’operazione non autorizzata e presentare un reclamo formale alla propria banca (tramite PEC o raccomandata A/R). Tale atto formale avvia la procedura di rimborso prevista dalla PSD2.
Passo 2: raccolta e conservazione delle prove. È fondamentale conservare meticolosamente tutte le prove dell’attacco subito: la copia dell’SMS fraudolento, eventuali email, registrazioni di comunicazione e i riferimenti precisi del pagamento sottratto (ricevute e estratti conto).15
Passo 3: denuncia alle autorità competenti. Sporgere denuncia formale presso le forze dell’ordine, in particolare la Polizia Postale o il commissariato di pubblica sicurezza.16 È un requisito cruciale per l’iter di rimborso e investigativo. Al momento della denuncia, è essenziale fornire alle autorità e alla banca una copia della comunicazione fraudolenta ricevuta (SMS o email).10
Assistenza legale: qualora la banca respinga il reclamo contestando la “colpa grave” del cliente, è altamente consigliato rivolgersi a un legale specializzato in diritto bancario.14 La giurisprudenza in materia è complessa, ma i precedenti tendono a tutelare il cliente vittima di attacchi sofisticati che sfruttano le vulnerabilità del sistema di comunicazione digitale.

Conclusioni e raccomandazioni finali
La truffa bancaria del Vishing/Smishing ibrido rappresenta una delle sfide più significative per la sicurezza finanziaria personale. Essa non attacca solo i sistemi informatici, ma la psicologia dell’utente, sfruttando lo spoofing per infondere un falso senso di sicurezza.

La prevenzione si basa su una conoscenza rigorosa dei “non fare mai”: nessuna banca chiederà mai credenziali o codici OTP per “annullare” operazioni o “mettere in sicurezza” i fondi. In caso di sospetto, la reazione immediata è sempre quella di riagganciare e ristabilire un contatto con la banca su un canale ufficiale e verificato.

Se si cade vittima della frode, l’azione tempestiva (blocco carte e denuncia) e la conservazione delle prove sono indispensabili per avviare la procedura di recupero. Grazie alla normativa PSD2, il correntista è fortemente tutelato, e la banca è obbligata al rimborso a meno di dimostrare una colpa grave difficilmente configurabile data la crescente sofisticazione delle tecniche di frode. L’unica vera sicurezza è la diffidenza attiva e la verifica incrociata dei canali di comunicazione.

>> Conosci la truffa dello squillo detta Wanghiri?