Smishing: Truffe via sms

Lo smishing è una forma di frode sempre più diffusa in Italia, che sfrutta i messaggi SMS per indurre le vittime a rivelare dati sensibili o scaricare malware. Il termine è la contrazione di "SMS phishing" e rappresenta una delle minacce più insidiose per chi utilizza lo smartphone nella vita quotidiana. A differenza delle email di phishing, che molti riconoscono grazie ai filtri antispam, gli SMS sono più diretti, personali e difficili da controllare, rendendo lo smishing particolarmente efficace.

Con 15 anni di esperienza nel settore della finanza personale e protezione dei consumatori, ho visto evolversi questi attacchi da semplici messaggi goffi a tentativi sofisticati che riescono a ingannare persino utenti consapevoli. In questa guida ti mostrerò come riconoscere gli SMS truffaldini, quali sono i metodi più comuni utilizzati dai criminali, e soprattutto cosa fare concretamente per proteggere te stesso e il tuo denaro. Scoprirai anche i tuoi diritti secondo la normativa italiana e le risorse ufficiali a cui rivolgerti in caso di truffa.

Che cos'è lo smishing e perché rappresenta un rischio reale

Definizione e meccanismo della truffa

Lo smishing è un attacco di ingegneria sociale che utilizza i messaggi di testo (SMS) come vettore principale. Il truffatore invia un messaggio che sembra provenire da un'istituzione legittima — una banca, un operatore telefonico, un e-commerce, una piattaforma di pagamento — e invita la vittima a cliccare su un link o a chiamare un numero di telefono. Una volta dentro, viene chiesto di inserire credenziali, dati bancari, codici OTP (One Time Password) o informazioni personali.

Il vantaggio per il criminale è evidente: gli SMS hanno un tasso di apertura del 98% (secondo i dati del 2025), molto superiore alle email. Inoltre, molte persone non considerano i messaggi di testo altrettanto pericolosi, abbassando la guardia. Il truffatore conta proprio su questa percezione errata di sicurezza.

Numeri e statistiche in Italia

Secondo l'AGCOM (Autorità per le Garanzie nelle Comunicazioni), nel 2024-2025 si è registrato un aumento del 156% dei tentativi di smishing in Italia rispetto al 2023. Le segnalazioni ai principali istituti bancari mostrano che il 34% dei clienti ha ricevuto almeno un SMS sospetto negli ultimi 12 mesi. Le perdite medie per vittima superano i 2.500 euro, con casi più gravi che arrivano anche a 15.000-20.000 euro quando il truffatore ottiene accesso al conto bancario.

I tipi più comuni di smishing in Italia

Smishing bancario

È il più diffuso e pericoloso. Un SMS finto arriva dal tuo istituto di credito e ti informa di un problema urgente: "Conto bloccato per sospette attività", "Verifica immediata della tua identità richiesta", "Clicca qui per sbloccare la tua carta". Il link rimanda a un sito che clona perfettamente quello della banca reale.

Una volta inseriti i dati di accesso (IBAN, pin, coordinate), il truffatore ha accesso completo al tuo conto. Se successivamente ricevi una richiesta di confermare un'operazione via OTP, il criminale avrà già in mano il codice monouso perché intercettato.

Smishing da operatori telefonici

Messaggi come "TIM/Vodafone/Wind: Il tuo contratto scade tra 24 ore, rinnova subito cliccando qui" sono classici. Conducono a siti fake che replicano il portale dell'operatore e chiedono i tuoi dati: numero di telefono, PIN, codici personali. Il truffatore usa queste informazioni per modificare il contratto, attivare servizi a pagamento, o commettere frodi a nome tuo.

Smishing da piattaforme di pagamento e e-commerce

PayPal, Amazon, Satispay e Revolut sono le piattaforme più imitate. Un SMS dice: "Attività sospetta rilevata sul tuo conto, verifica subito il tuo account". Il link conduce a una pagina truffaldina che cattura le tue credenziali. Se utilizzi lo stesso username e password su più siti (errore molto comune), il criminale avrà accesso a tutti i tuoi account.

Smishing per il furto di identità

Messaggi che richiedono urgentemente dati personali: "Verifica dati INPS", "Aggiorna informazioni Agenzia delle Entrate", "Controllo documenti di identità". Raccolgono dati per commettere frodi di identità, aprire conti correnti falsi, richiedere prestiti a tuo nome.

Come riconoscere uno SMS di smishing

Indicatori di allarme linguistici e strutturali

Ecco i segnali che dovrebbero metterti in allerta:

• Urgenza artificiale: "Clicca entro 2 ore", "Azione richiesta urgentemente", "Conto bloccato". I criminali creano panico per evitare che tu rifletta.
• Errori di grammatica e ortografia: anche se gli attacchi sono sempre più raffinati, spesso persistono errori: "Verifca il tuo conto" anziché "Verifica", oppure punteggiatura assente.
• Tono strano o informale: banche serie usano tono formale; frasi come "Ehi! Sblocca il tuo conto veloce" sono un campanello d'allarme.
• Richieste non standard: vere istituzioni non chiedono mai password, codici OTP o dati bancari via SMS.
• Mittente sospetto: un numero di telefono invece di un nome, oppure variazioni del nome legittimo ("Banca-Italia" anziché "Banca Italia").

Verifica dell'indirizzo web del link

Se decidi di cliccare (cosa che sconsiglio vivamente), esamina attentamente l'indirizzo web prima di inserire dati:

• URL trafugato: "https://ww.paypal-secure
• URL trafugato: "https://ww.paypal-secure.com" anziché "https://www.paypal.com"; manca una "w", oppure il dominio è completamente falso.
• Certificato SSL assente: se l'indirizzo non inizia con "https://", la connessione non è sicura.
• Porta insolita: "https://banca.com:8080" usa una porta non standard, sospettissimo.
• Sottodominio strano: "https://paypal.malicious-site.com" sembra autentico a prima vista, ma il dominio principale è diverso.

Come proteggersi dallo Smishing

La prevenzione è il miglior rimedio. Ecco le misure concrete da adottare:

• Non cliccare mai sui link: se ricevi un SMS sospetto, non toccarlo. Digita manualmente l'indirizzo web della banca nel browser.
• Contatta direttamente l'istituto: telefona al numero ufficiale (quello sulla carta o sul sito) per verificare se il messaggio è autentico.
• Attiva l'autenticazione a due fattori: anche se i criminali hanno la tua password, non potranno accedere senza il codice OTP.
• Usa un gestore di password: se il sito è falso, il gestore non compilerà automaticamente i tuoi dati, avvisandoti che il dominio non corrisponde.
• Abilita avvisi transazionali: molte banche inviano notifiche in tempo reale per operazioni. Se ricevi SMS senza aver fatto nulla, è un campanello d'allarme.
• Blocca i numeri sospetti: la maggior parte dei telefoni permette di bloccare mittenti; salvaguarda la tua lista contatti.
• Segnala gli SMS malevoli: inoltra i messaggi al numero 1234 (in Italia, operatore dipendente) oppure alle autorità competenti.
• Mantieni il sistema operativo aggiornato: gli aggiornamenti patch chiudono buchi di sicurezza che i malware sfruttano.

Cosa fare se sei già vittima di Smishing

Se purtroppo hai già inserito dati sensibili, agisci immediatamente:

1. Contatta la tua banca: avvisa subito la filiale o chiama il numero verde. Loro possono bloccare la carta e monitorare movimenti sospetti.
2. Cambia tutte le password: specialmente quella bancaria, da un dispositivo diverso e connesso a una rete nota.
3. Monitora i tuoi conti: controlla estratti conto e movimenti quotidianamente nelle settimane successive.
4. Segna il numero di denuncia: in Italia, contatta la Polizia Postale o l'Autorità Garante della Privacy.
5. Attiva un blocco credit: se è stato compromesso il codice fiscale, richiedi alle agenzie di credito un blocco temporaneo delle nuove richieste di finanziamento.

Domande Frequenti

Quanto costa cadere vittima di Smishing?

Il danno economico varia notevolmente. Se i criminali accedono al tuo conto corrente, potrebbero rubare l'intero saldo disponibile. Tuttavia, le banche italiane sono obbligate a rimborsare le vittime di frode se hanno agito in buona fede e segnalato prontamente il crimine. Le perdite medie documentate variano da poche centinaia a migliaia di euro, dipendendo dal saldo del conto e da quanto tempo passa prima della scoperta. Alcuni criminali usano i dati rubati per aprire crediti a tuo nome, generando debiti nascosti che scopri mesi dopo. Per questo motivo, il danno reputazionale e gestionale può essere ancora più grave del furto iniziale.

Quanto tempo ho per denunciare una truffa smishing?

In Italia, è consigliato denunciare il reato entro 48 ore dal momento della scoperta. Sebbene la legge non imponga un termine rigido, agire rapidamente è fondamentale per consentire alla banca di bloccare operazioni fraudolente in corso e avviare l'indagine. Se comunichi il furto entro il termine breve, la banca deve procedere al rimborso secondo le direttive PSD2. Passate le 48 ore, la responsabilità potrebbe ricadere parzialmente su di te, soprattutto se la banca riesce a provare negligenza da parte tua. Contatta contemporaneamente la polizia postale, il tuo istituto di credito e l'Arbitro Bancario Finanziario se la banca nega il rimborso.

Quali segnali mi avvertono che un SMS è una truffa smishing?

Impara a riconoscere questi indicatori di pericolo: mittenti generici come "Banca" o "Paypal" invece di numeri ufficiali; richieste urgenti di azione entro poche ore; link abbreviati o URL che non corrispondono al dominio ufficiale dell'azienda; grammatica scorretta o stile poco professionale; minacce di blocco conto o sospensione servizi; assenza di dati personali come il tuo nome completo. Le banche italiane serie non richiedono mai PIN, password o dati di accesso via SMS. Se ricevi un messaggio sospetto, contatta direttamente il numero ufficiale della banca dal retro della carta di credito, mai dal numero presente nel messaggio stesso.

Come posso proteggere il mio numero di telefono dallo smishing nel 2026?

Adotta queste misure preventive: abilita l'autenticazione a due fattori su email e conti bancari, preferibilmente tramite app dedicata anziché SMS; registrati al Registro Pubblico delle Opposizioni per ridurre gli SMS di spam; usa un numero virtuale per registrazioni online non essenziali, mantenendo il numero reale solo per banca e servizi critici; attiva filtri anti-spam sul tuo smartphone, sia su iOS che Android; non condividere mai il tuo numero su social media o forum pubblici; aggiorna regolarmente il sistema operativo per avere le patch di sicurezza più recenti. Molte banche italiane offrono anche app proprietarie che notificano le operazioni senza passare per SMS, rappresentando un livello di sicurezza superiore.

Se ho cliccato il link ma non ho inserito dati, sono comunque a rischio?

Sì, anche solo cliccare il link comporta rischi significativi. Aprendo la pagina contraffatta, il malware potrebbe installarsi automaticamente sul telefono, consentendo ai criminali di accedere ai tuoi messaggi, email e applicazioni bancarie. Inoltre, il tuo numero viene confermato come "attivo", quindi riceverai ancora più tentativi di truffa in futuro. Se hai solo cliccato senza inserire informazioni, agisci subito: disattiva l'accesso a internet mobile per evitare download automatici; disconnetti il WiFi; segnala il numero mitente all'operatore telefonico; esegui una scansione antivirus completa; cambia tutte le password da un dispositivo diverso; monitora i tuoi conti bancari per le prossime due settimane. Se noti movimenti sospetti, contatta immediatamente la banca.