Quando leggi “allerta truffa” sullo schermo, spesso scatta un riflesso automatico: apri l’SMS per capire se c’è un problema urgente, un pagamento da sistemare, un pacco fermo. Ed è proprio lì che, nel 2025, si gioca la partita più comune: un messaggio apparentemente normale che ti “ruba i dati” in pochi minuti, senza bisogno di forzare nulla.
Il messaggio più comune: pedaggio, conto da verificare, premio da riscuotere
La forma più frequente di smishing in Italia oggi è semplice e micidiale: un SMS che finge di provenire da un ente ufficiale o da un servizio che usi davvero, come gestione pedaggi autostradali, pagamenti digitali, Poste, ASL o comunicazioni regionali. Il testo è quasi sempre breve, “credibile”, e soprattutto contiene un link.
Esempi tipici (le frasi cambiano, lo schema no):
- “Risulta un pedaggio non pagato, regolarizza entro oggi: (link)”
- “Verifica il tuo conto per evitare la sospensione: (link)”
- “Hai diritto a un rimborso o a un premio, conferma i dati: (link)”
- “ASL: prenota screening o aggiorna tessera sanitaria: (link)”
- “Consegna non riuscita, aggiorna l’indirizzo: (link)”
La leva emotiva è sempre una delle due: urgenza (paura di una multa, blocco, sospensione) oppure eccitazione (premio, rimborso, offerta lampo).
Come ti ruba i dati, passo dopo passo (senza che te ne accorga)
Qui sta la parte più “invisibile” e più pericolosa. Il link ti porta su una pagina che imita bene siti e portali reali: colori familiari, loghi, perfino testi in italiano accettabile. A quel punto succede spesso questo:
- Ti chiede di inserire dati personali (nome, indirizzo, codice fiscale, email).
- Ti chiede dati di accesso o di pagamento: numero carta, scadenza, CVV.
- Arriva la trappola finale: ti chiede PIN, OTP, codici 3D Secure o “conferme” che in realtà autorizzano un’operazione reale.
Il dettaglio importante è che molte truffe lavorano “in tempo reale”: mentre tu compili, qualcuno dall’altra parte sta provando ad accedere davvero ai tuoi servizi. E se inserisci anche l’OTP, hai appena consegnato la chiave di casa, con tanto di permesso firmato.
Negli ultimi mesi si vedono anche varianti più moderne:
- link che portano a chat Telegram per “investimenti cripto” o “lavori facili”,
- SMS seguiti da telefonate con voci sintetiche molto convincenti, che aumentano la pressione.
I segnali che lo smascherano in 10 secondi
Quando ci fai l’occhio, questi messaggi iniziano a “suonare” strani. Ecco i campanelli d’allarme più affidabili:
- Mittente sospetto: prefissi esteri (come +44 o +1), numeri lunghi e anonimi, oppure numeri italiani che non corrispondono a nulla.
- Tono teatrale: “immediato”, “ultimo avviso”, “entro 30 minuti”, “evita sanzioni”.
- Link strano: domini lunghi, abbreviati, o con estensioni insolite (tipo .xyz), spesso con parole che imitano il nome dell’ente.
- Richieste impossibili: nessun ente serio ti chiede via SMS PIN, OTP o codici di sicurezza.
- Testo generico: “Gentile cliente” senza nome, nessun riferimento preciso a pratiche, date o dati verificabili.
I controlli rapidi che funzionano davvero
Se hai anche solo un dubbio, fai una cosa “noiosa” ma potentissima: esci dal messaggio e verifica da canali ufficiali.
- Se riguarda pedaggi o pagamenti, entra nel sito o nell’app che usi normalmente, digitandolo tu (non dal link).
- Se riguarda Poste, banca, ASL o Regione, chiama i numeri ufficiali trovati sul sito istituzionale.
- Se ti sembra urgente, ricordati questa regola: la fretta è l’ingrediente della truffa.
Cosa fare se lo ricevi (e cosa fare se hai cliccato)
Se lo ricevi:
- Non cliccare e non richiamare.
- Blocca il numero e segnala, ad esempio tramite il canale 1592 della Polizia Postale o con le funzioni di segnalazione del tuo smartphone.
- Puoi anche usare app di filtro anti-spam aggiornate.
Se hai cliccato e inserito dati:
- Cambia subito le password coinvolte.
- Contatta la banca o il servizio pagamenti per bloccare carte e operazioni.
- Attiva o rafforza l’autenticazione a due fattori, ma ricordando che l’OTP va dato solo dentro processi avviati da te, mai “per sistemare un problema” arrivato via SMS.
La verità è che questo tipo di messaggio è “il più comune” perché assomiglia alla vita quotidiana. Proprio per questo, riconoscerlo diventa una piccola abitudine mentale: fermarsi, respirare, e verificare fuori dal link. È lì che la truffa perde potere.
