Telefonia

Vishing: Truffe telefoniche

Guida al vishing: come riconoscere e difendersi dalle truffe per telefono

Redazione Moneyside · · 10 min di lettura · Verificato dalla redazione

Significato e origini del termine

Il vishing è una metodologia criminale che combina tecniche di ingegneria sociale con la comunicazione telefonica diretta. È una variante evoluta del phishing tradizionale, adattata ai canali vocali attraverso VOIP, numeri geografici contraffatti e centralini automatici. La parola deriva dall'inglese "voice" (voce) e "phishing" (il classico attacco di pesca informatica). I criminali utilizzano software di spoofing telefonico per mascherare il numero di origine e apparire come istituti legittimi ai danni delle vittime ignare.

Dato importante: Secondo il Rapporto AGCOM 2024, il vishing rappresenta il 34% di tutte le truffe telefoniche segnalate in Italia, con un aumento del 47% rispetto al 2023. Le fasce d'età più colpite sono tra i 45 e i 75 anni, anche se sempre più vittime rientrano nella fascia 25-45 anni.

Come funziona il vishing: la meccanica della truffa

Il ciclo tipico di una truffa vishing segue uno schema consolidato che i criminali hanno perfezionato nel corso degli anni:

  1. Acquisizione dei dati preliminari: I truffatori ottengono informazioni personali (nome, cognome, numero di conto) da data breach pubblici, dark web, venditori di database illegali o semplici ricerche online su social network e portali pubblici.
  2. Contatto iniziale: Telefonata improvvisa con numero contraffatto attraverso spoofing che simula una banca, un operatore telefonico, l'Agenzia delle Entrate o un'assicurazione.
  3. Creazione dell'urgenza psicologica: Il criminale afferma che c'è stata una "transazione sospetta", un "tentativo di frode", un "rinnovo scaduto" o un "problema amministrativo urgente" che richiede intervento immediato.
  4. Richiesta di credenziali: Sotto pressione e paura, la vittima viene indotta a fornire PIN, password, codici OTP, coordinate bancarie o informazioni personali sensibili.
  5. Prelievo del denaro: Con i dati ottenuti, il truffatore accede rapidamente al conto e trasferisce fondi a conti dedicati, spesso situati all'estero o convertiti in criptovalute.

Tipologie Principali di Vishing in Italia

Vishing bancario e fintech

È la forma più diffusa e redditizia. I truffatori si fingono operatori di banche mainstream come Intesa SanPaolo, UniCredit, BancoPosta, ING o Mediolanum, oppure di app fintech emergenti come Revolut, N26 e Wise. Utilizzano toni di urgenza assoluta: "Signor Rossi, abbiamo rilevato una transazione non autorizzata di 3.500 euro verso l'estero. Per bloccarla subito, mi comunichi il suo PIN e il codice della carta". La vittima, presa dal panico, cede facilmente i dati riservati. Negli ultimi mesi si registra un'escalation di attacchi verso clienti di banche digitali, dove il tasso di conversione (ossia il numero di persone che cade nella truffa) è particolarmente alto perché i clienti digitali sono più esperti di tecnologia ma spesso meno cauti.

Vishing telefonico e utilities

I criminali si presentano come operatori di Telecom, Vodafone, TIM, Enel o altre utility e affermano che il cliente ha diritto a sconti esclusivi, che il contratto risulta irregolare, oppure che ci sono arretrati da versare. Richiedono il numero di conto corrente per "applicare il rimborso" o "regolarizzare la posizione" in tempi brevi. Questi attacchi sono particolarmente efficaci perché il cliente spesso ha contratti con più fornitori e non ricorda precisamente quali servizi possiede, creando confusione e incertezza che i truffatori sfruttano.

Vishing amministrativo e fiscale

Si imita l'Agenzia delle Entrate, il Fisco o l'INPS con messaggi allarmanti: "Abbiamo scoperto un'anomalia nei suoi versamenti tributari. Deve pagare 2.400 euro entro 48 ore, altrimenti procediamo al pignoramento". Molti italiani, giustamente preoccupati di questioni fiscali e amministrative, cascano facilmente nella trappola utilizzando il canale vocale che genera maggiore urgenza. L'autorità del tono e il linguaggio burocratico rendono questi attacchi particolarmente credibili e pericolosi.

Vishing assicurativo

Finte compagnie di assicurazione, spesso facendo leva su polizze esistenti, contattano clienti con offerte di "integrazione gratuita", "revisione della copertura" o "agevolazioni speciali" senza corrispettivo. Durante la conversazione apparentemente innocua chiedono dati sensibili, coordinate bancarie o informazioni di accesso ai sistemi online. Questi attacchi sfruttano la naturalezza di una chiamata commerciale legittima, rendendo la vittima meno sospettosa.

Vishing con deepfake vocale (nuova minaccia 2026)

La forma più sofisticata e pericolosa emersa recentemente sfrutta intelligenza artificiale per clonare voci di familiari, colleghi o persone di fiducia. Il sistema genera una voce praticamente indistinguibile dall'originale, e la vittima "riconosce" il parente che chiede soldi urgenti per una presunta emergenza medica, incidente stradale o debito urgente. Questo tipo di attacco è straordinariamente efficace perché bypassare completamente la sfiducia iniziale verso le chiamate sconosciute.

Allerta tecnologica: Negli ultimi 12 mesi abbiamo assistito a un'escalation preoccupante di vishing che sfrutta intelligenza artificiale per clonare voci di familiari o persone di fiducia. Questo deepfake vocale è estremamente pericoloso: la vittima "riconosce" la voce di un parente che chiede soldi urgenti per una presunta emergenza. Nel 2025 sono stati segnalati casi di perdite superiori a 50.000 euro per singola vittima utilizzando questa tecnica.

Segnali di Allarme e Come Riconoscere una Truffa Vishing

Indicatori telefonici e comportamentali

Ecco i segnali concreti che dovrebbero attivare immediatamente il vostro istinto di protezione e difesa:

  • Numero di provenienza anomalo: Numeri di centralino con sequenze strane, prefissi esteri, oppure numeri identici al vostro indicando una clonazione. Le banche serie non chiamano da numeri fissi, da centralini anonimi o da linee VOIP di qualità scadente.
  • Richiesta immediata di dati sensibili:
  • Richiesta immediata di dati sensibili: Codici PIN, password, coordinate bancarie, numeri di carte di credito richiesti al telefono. Una banca legittima non chiede mai queste informazioni per telefono, nemmeno se dice che è un'emergenza.
  • Pressione psicologica e urgenza artificiale: "Deve agire subito", "Il suo conto verrà bloccato tra 10 minuti", "C'è una frode in corso", "Deve trasferire soldi immediatamente". La fretta è il nemico principale della razionalità.
  • Problemi audio o ritardi nella conversazione: Eco, rumori di fondo, silenzi strani, lag nelle risposte. I sistemi di deepfake vocale hanno ancora difficoltà a replicare perfettamente la fluidità di una conversazione naturale.
  • Incoerenze nelle informazioni personali: Vi dicono il vostro nome ma sbagliano il cognome, conoscono il numero di conto ma non l'intestatario, citano dettagli generici come se fossero specifici.
  • Richiesta di installare app o accedere a siti: Vi chiedono di scaricare un'applicazione, di accedere a un link, di usare il vostro computer mentre vi guidano. È un classico strumento per installare malware o accedere ai vostri dati.
  • Spoofing del numero: Il numero visualizzato è quello della vostra banca, ma la chiamata proviene da tutt'altra parte. Non fidate mai del numero visualizzato: verificate sempre contattando la banca al numero ufficiale.
  • Assenza di dettagli verificabili: Vi chiedono informazioni che voi dovreste avere (numero pratica, riferimento operazione) ma che loro non possono fornire. Le aziende serie hanno sempre documentazione specifica.

Cosa fare durante la chiamata sospetta

Se ricevete una chiamata sospetta, seguite questa procedura:

  1. Non fornite mai dati sensibili durante la chiamata, nemmeno parziali
  2. Interrompete la conversazione dicendo che contatterete voi l'azienda al numero ufficiale
  3. Riattaccate immediatamente
  4. Attendete almeno 5 minuti prima di effettuare una nuova chiamata (i truffatori a volte rimangono in linea)
  5. Chiamate il numero ufficiale della banca o dell'ente da una rubrica verificata, non dal numero che vi ha contattato
  6. Chiedete informazioni sulle comunicazioni che vi hanno fatto durante la chiamata sospetta
  7. Se avete fornito dati, informate immediatamente la banca e chiedete il blocco delle operazioni

Domande Frequenti

Quanto costa una truffa vishing media? Quali sono i danni finanziari reali?

I danni di una truffa vishing sono estremamente variabili. Le truffe più semplici (credenziali bancarie ottenute con ingegneria sociale) comportano perdite tra i 500 e i 3.000 euro. Le truffe più sofisticate, soprattutto quelle che sfruttano il deepfake vocale o il social engineering su imprenditori, possono causare perdite da 20.000 a 100.000 euro o superiori. Nel 2024 la perdita media per persona colpita da vishing è stata stimata intorno ai 8.500 euro. Le vittime anziane hanno subito danni mediamente più elevati (15.000-50.000 euro) rispetto ai giovani adulti. Il costo reale include inoltre le spese legali, le commissioni bancarie per il recupero e il danno emotivo causato dalla violazione della privacy finanziaria.

Quanto tempo impiega una banca a bloccare un trasferimento fraudolento dopo la denuncia?

Domande Frequenti

Quanto tempo impiega una banca a bloccare un trasferimento fraudolento dopo la denuncia?

I tempi di blocco variano significativamente in base al momento della segnalazione. Se la denuncia viene presentata entro poche ore dal trasferimento, la banca può intervenire prima che i fondi raggiungano il conto destinatario, bloccando l'operazione in tempo reale o entro 24-48 ore. Tuttavia, se il trasferimento è già stato completato e i soldi sono stati prelevati o trasferiti a una terza parte, il recupero diventa molto più complesso e può richiedere 30-90 giorni. Le banche italiane hanno l'obbligo legale di avviare indagini entro 10 giorni dalla denuncia, ma il recupero effettivo dei fondi dipende dalla cooperazione delle banche coinvolte (nazionali e internazionali). Nel caso di trasferimenti verso conti esteri, i tempi si allungano ulteriormente, fino a 6-12 mesi. È fondamentale segnalare la frode il prima possibile e conservare tutta la documentazione delle comunicazioni con i truffatori.

Come posso riconoscere un numero falso durante una chiamata di vishing?

Anche se il caller ID mostra un numero che sembra legittimo, non è una garanzia di autenticità. I truffatori utilizzano tecniche di spoofing del numero per camuffare il numero chiamante e far apparire che la chiamata provenga dalla banca o da un'istituzione ufficiale. Per verificare l'autenticità della comunicazione, interrompi la chiamata e richiama direttamente il numero ufficiale della banca che trovi sul retro della carta di credito o sul sito ufficiale dell'istituto. Una banca legittima non chiederà mai password, PIN, codici OTP o dati completi della carta durante una chiamata telefonica. Se hai dubbi, termina la conversazione e contatta personalmente la tua banca tramite i canali ufficiali. Un'altra accortezza è verificare se la qualità audio è scarsa o distorta, caratteristica comune nelle chiamate VoIP utilizzate dai truffatori per mascherare la loro identità.

Quali documenti devo raccogliere per sporgere denuncia di vishing alle autorità?

Per presentare una denuncia efficace presso le autorità (Polizia Postale o Carabinieri), raccogli e conserva i seguenti documenti:

  • Registrazione della chiamata (se legalmente consentito nella tua regione)
  • Screenshot del caller ID e dell'ora della chiamata
  • Estratti bancari e movimenti che documentano il trasferimento fraudolento
  • Messaggi SMS o email ricevuti prima o dopo la chiamata
  • Bonifico o pagamento con numero di riferimento e importo esatto
  • Comunicazioni scritte con la banca relative al blocco o al tentativo di recupero
  • Copia dell'identità (documento di riconoscimento e codice fiscale)
  • Cronologia dettagliata degli eventi con date, orari e nomi delle persone con cui hai parlato
Presenta tutto questo materiale sia presso la tua banca che presso la Polizia Postale o i Carabinieri. La denuncia permette di avviare indagini ufficiali e aumenta le possibilità di recupero dei fondi. Conserva una copia della denuncia per tutti i ricorsi successivi.

Qual è la migliore strategia difensiva contro il vishing nel 2026?

La strategia difensiva più efficace nel 2026 combina tecnologia, consapevolezza e abitudini prudenti. Innanzitutto, attiva l'autenticazione a più fattori (MFA) su tutti i tuoi account bancari e finanziari: questo impedisce ai truffatori di accedere anche se ottengono le tue credenziali. Utilizza password uniche e complesse, memorizzate in un gestore password certificato. Sottoscrivi servizi di monitoraggio del credito o alert bancari che notificano ogni transazione sospetta in tempo reale. A livello comportamentale, non fornire mai dati sensibili per telefono, nemmeno se il numero sembra legittimo: le banche autentiche contattano i clienti tramite app o portale online per questioni critiche. Sospetta di qualsiasi urgenza artificiale o pressione psicologica. Iscriviti al Registro Pubblico delle Opposizioni (RPO) per ridurre le chiamate indesiderate, anche se i truffatori spesso ignorano questo registro. Mantieni il tuo numero di cellulare privato e condividilo solo con contatti affidabili. Aggiorna costantemente il tuo smartphone con gli ultimi patch di sicurezza e utilizza app bancarie ufficiali scaricate direttamente dai negozi app ufficiali. Infine, educa i tuoi familiari (specialmente gli anziani) sui rischi del vishing e sui protocolli di sicurezza da seguire. Secondo le proiezioni 2026, l'implementazione di biometric authentication (riconoscimento facciale o impronta digitale) diventerà lo standard per le transazioni bancarie sensibili, riducendo significativamente il rischio di frode da vishing.

Le guide Moneyside hanno carattere educativo e informativo. Non costituiscono consulenza finanziaria, legale o fiscale ai sensi del D.Lgs. 58/1998 (TUF) e della Direttiva MiFID II. Verifica sempre le informazioni con fonti ufficiali o un professionista qualificato.

Guide correlate

Offerte mobile per under 25
Voltura TIM: Come intestare la linea fissa a tuo nome
Voltura Vodafone: Come intestare la linea fissa o fibra
Voltura Fastweb: Come intestare fibra e linea fissa
Guida gratuita 2026
La guida al risparmio 2026

24 pagine su energia, telefonia, abbonamenti e conto corrente.

Categoria
Telefonia
Vedi tutte le guide →