/ Tecnologia e scienza / Come difendersi dal “smishing” (SMS truffa) che clona il sito della vostra banca?
Pubblicato il Marzo 15, 2024

La difesa efficace contro lo smishing non è evitare i link, ma capire come i truffatori sfruttano le falle del sistema e la nostra psicologia per aggirare le difese.

  • Il riutilizzo delle password tra siti diversi è il principale punto di compromissione che apre le porte a furti di identità mirati.
  • L’autenticazione via SMS (OTP) è vulnerabile ad attacchi di SIM swapping; le app di autenticazione sono una barriera di sicurezza decisamente superiore.

Raccomandazione: Adottare un’igiene digitale rigorosa: creare password uniche per ogni servizio, attivare ovunque l’autenticazione a due fattori tramite app e mantenere una diffidenza sistematica verso ogni comunicazione non richiesta, verificandola sempre tramite canali ufficiali.

L’avviso via SMS sembra autentico. Proviene dallo stesso numero da cui la vostra banca invia le comunicazioni ufficiali e vi allerta di un “accesso anomalo” al vostro conto, invitandovi a cliccare su un link per verificare o sbloccare l’operatività. Questa è la realtà dello smishing, una minaccia informatica che non si combatte più solo con il consiglio generico di “non cliccare sui link”. Quel consiglio, sebbene valido, è ormai insufficiente. Chi orchestra queste truffe non è un dilettante, ma un professionista dell’ingegneria sociale che sfrutta meccanismi psicologici e vulnerabilità tecniche per indurre all’errore anche l’utente più attento.

La vera minaccia non risiede nel singolo SMS, ma nella catena di eventi che questo può innescare. I truffatori sanno che avete un account su quel social network, conoscono la vostra email e a volte persino il vostro numero di telefono, dati spesso ottenuti da violazioni di sicurezza (data breach) subite da altre piattaforme, non necessariamente dalla vostra banca. Il vero problema non è quindi riconoscere un messaggio falso, ma comprendere le vulnerabilità sistemiche che i criminali sfruttano: dal riutilizzo delle password al “call spoofing”, dove vi chiamano falsificando il numero verde della banca, fino al più sofisticato “SIM swapping”, che rende inutile l’autenticazione a due fattori via SMS.

Se la vera chiave per la sicurezza non fosse semplicemente reagire a una minaccia, ma anticiparla comprendendo le tattiche del nemico? Questo articolo non si limiterà a ripetere le solite raccomandazioni. In qualità di analisti di sicurezza, vi guideremo attraverso le tecniche reali usate dai truffatori, analizzando ogni anello debole della catena di sicurezza digitale per fornirvi contromisure tecniche e comportamentali efficaci. L’obiettivo è trasformare la vostra ansia in consapevolezza e la vostra passività in una difesa attiva e informata.

Per navigare attraverso le complesse sfide della sicurezza digitale, abbiamo strutturato questa analisi in diverse sezioni chiave. Ogni sezione affronterà una specifica vulnerabilità, fornendo spiegazioni tecniche e strategie di difesa concrete per proteggere la vostra identità digitale e i vostri risparmi.

Sommario: Le vulnerabilità nascoste dietro le truffe bancarie e come neutralizzarle

Perché usare la stessa password per Facebook e la banca è un invito al furto d’identità?

L’errore fondamentale che molti utenti commettono è pensare alla sicurezza come a compartimenti stagni. Si tende a credere che la violazione di un account “secondario”, come quello di un social network o di un sito di e-commerce, non abbia ripercussioni sulla sicurezza del proprio conto bancario. Questa è un’illusione pericolosa. I criminali informatici operano secondo una logica di “credential stuffing”: raccolgono enormi database di credenziali (email e password) trapelate da violazioni di sicurezza su siti meno protetti e poi le testano in modo automatizzato su piattaforme ad alto valore, come i portali di home banking. Se utilizzate la stessa combinazione di email e password su più servizi, state offrendo loro la chiave d’ingresso principale.

Il punto di compromissione iniziale raramente è la banca stessa, dotata di sistemi di sicurezza robusti. Il vero anello debole è l’ecosistema digitale dell’utente. Un caso emblematico è quello che ha coinvolto UniCredit: l’attacco non ha violato direttamente i sistemi core della banca, ma ha sfruttato vulnerabilità in altri punti per accedere ai dati. Nel 2024, UniCredit ha subito una multa di 2,8 milioni di euro dal Garante Privacy per un cyberattacco che ha esposto i dati di 778.000 clienti, evidenziando come anche le grandi istituzioni debbano costantemente rafforzare le proprie difese perimetrali. Questo dimostra che, una volta ottenuti i vostri dati da una fonte, i criminali possono usarli per orchestrare attacchi molto più mirati.

La vostra password di Facebook, se identica a quella bancaria, non è solo una password: è un pezzo della vostra identità digitale. Combinata con altre informazioni raccolte online, permette ai truffatori di costruire un profilo completo per attacchi di ingegneria sociale o per superare le domande di sicurezza. L’igiene digitale, a partire dalla differenziazione delle password, non è un’opzione, ma il primo, fondamentale strato di una difesa efficace.

Piano d’azione: Verificate l’esposizione dei vostri dati

  1. Punti di contatto: Inserite il vostro indirizzo email sul sito “Have I Been Pwned” per controllare se è presente in violazioni di dati note.
  2. Collecte: Inventariate tutti gli account (bancari, social, email, e-commerce) e identificate immediatamente tutte le password identiche o simili a quella usata per la banca.
  3. Coerenza: Cambiate immediatamente le password compromesse o riutilizzate, partendo dai servizi più critici. Utilizzate un password manager per generare e custodire credenziali uniche e complesse per ogni servizio.
  4. Memorabilità/emozione: Attivate l’autenticazione a due fattori (2FA) su tutti gli account che la supportano, dando priorità alle app di autenticazione rispetto agli SMS.
  5. Plan d’intégration: Monitorate regolarmente gli estratti conto bancari e le notifiche di accesso ai vostri account per rilevare qualsiasi attività sospetta non autorizzata.

Come capire se chi vi chiama è davvero l’operatore della banca o un truffatore che usa il numero reale?

Una delle tecniche di ingegneria sociale più insidiose e in crescita è il “call spoofing” o “vishing” (voice phishing). In questo scenario, i truffatori non si limitano a inviare un SMS, ma alzano il livello della manipolazione chiamandovi direttamente. La loro arma più potente è la capacità di falsificare il numero di telefono da cui chiamano, facendo apparire sul vostro display il numero verde ufficiale della vostra banca. Questo stratagemma è progettato per abbattere la vostra prima linea di difesa: la diffidenza. Vedendo un numero familiare, siete psicologicamente predisposti a fidarvi.

L’operatore fasullo, spesso con un tono calmo e professionale, vi informerà di presunte operazioni sospette sul vostro conto, usando le informazioni raccolte precedentemente (come nome, cognome e forse la banca di cui siete clienti) per rendere la chiamata più credibile. L’obiettivo è creare un senso di urgenza e panico controllato, spingendovi a compiere azioni immediate “per la vostra sicurezza”, come comunicare codici OTP ricevuti via SMS o installare un’app di “assistenza remota” (che in realtà è un malware). La regola d’oro è incrollabile, come sottolinea costantemente la Polizia di Stato.

Banche, poste o istituti di credito non utilizzano mai SMS, mail o telefonate per richiedere ai clienti dati personali, credenziali di accesso o informazioni urgenti.

– Polizia Postale, Comunicato ufficiale Sezione Operativa Sicurezza Cibernetica

La vera contromisura non è tecnologica, ma comportamentale. Non importa quanto la chiamata sembri legittima: non fornite mai, per nessuna ragione, informazioni sensibili al telefono. Se ricevete una chiamata del genere, la procedura corretta è una sola: riagganciare, attendere qualche minuto e contattare voi stessi la banca utilizzando il numero verde ufficiale che trovate sul sito dell’istituto o sul retro della vostra carta.

Per aiutarvi a distinguere una chiamata legittima da un tentativo di truffa, ecco i segnali chiave da monitorare, come indicato anche da istituti come Banco BPM nella sua guida alla sicurezza.

Vero operatore vs Truffatore: i segnali distintivi
Operatore Bancario Legittimo Truffatore
Non chiede MAI password complete Richiede password o PIN completi
Non richiede codici OTP via telefono Chiede di comunicare codici ricevuti via SMS
Propone di richiamare il numero ufficiale Insiste per risolvere immediatamente
Fornisce riferimenti verificabili Crea urgenza e pressione psicologica

SMS o App Authenticator: quale metodo 2FA blocca davvero gli hacker che hanno la vostra password?

L’autenticazione a due fattori (2FA) è uno strato di sicurezza fondamentale. L’idea è semplice: anche se un criminale riesce a rubare la vostra password, ha bisogno di un secondo “fattore”, tipicamente qualcosa che possedete (come il vostro telefono), per accedere all’account. Per anni, il metodo più diffuso è stato l’invio di un codice monouso (OTP) via SMS. Tuttavia, da un punto di vista tecnico, questo metodo presenta una vulnerabilità critica che i truffatori stanno sfruttando attivamente: il SIM swapping.

In un attacco di SIM swapping, un criminale, usando i vostri dati personali rubati (nome, cognome, codice fiscale), contatta il vostro operatore telefonico e, con un pretesto (furto, smarrimento), riesce a farsi rilasciare una nuova SIM associata al vostro numero. Una volta attivata la nuova SIM, la vostra smette di funzionare e tutti gli SMS, inclusi i codici OTP della banca, vengono recapitati al truffatore. A quel punto, la vostra password e il secondo fattore di autenticazione sono entrambi nelle sue mani. Per contrastare questo fenomeno, le nuove procedure AGCOM dal 2022 richiedono SMS di conferma prima del rilascio di SIM duplicate, ma la vigilanza resta essenziale.

Confronto tra sicurezza SMS e app authenticator per autenticazione a due fattori

La vera alternativa sicura all’SMS è l’utilizzo di app di autenticazione (come Google Authenticator, Microsoft Authenticator o altre integrate nelle app bancarie). A differenza degli SMS, queste app generano codici OTP direttamente sul vostro dispositivo, senza passare per la rete telefonica. Il codice è legato all’hardware del vostro smartphone. Per un truffatore, intercettare questo codice è esponenzialmente più difficile: non basta clonare la SIM, dovrebbe avere il possesso fisico del vostro telefono sbloccato. Questo rende le app di autenticazione un metodo a prova di intercettazione e la scelta tecnica superiore per mettere in sicurezza i propri account. Se la vostra banca offre questa opzione, attivatela senza esitazioni.

L’errore di controllare il saldo bancario dall’aeroporto o dal bar senza VPN

La comodità di accedere al proprio conto corrente ovunque ci si trovi è innegabile, ma nasconde un rischio spesso sottovalutato: la sicurezza delle reti Wi-Fi pubbliche. Quando vi connettete alla rete gratuita di un aeroporto, di un hotel, di un centro commerciale o di un bar, state entrando in un ambiente di rete non protetto e potenzialmente ostile. Un criminale informatico connesso alla stessa rete può lanciare un attacco “Man-in-the-Middle” (MitM). In questo tipo di attacco, l’hacker si interpone tra il vostro dispositivo (smartphone o laptop) e il punto di accesso Wi-Fi, intercettando tutto il traffico dati che transita.

Se accedete al vostro home banking senza una protezione adeguata, le vostre credenziali di accesso, i dati personali e le informazioni sulle transazioni potrebbero essere catturate in chiaro dal malintenzionato. Anche se molti siti bancari utilizzano la crittografia HTTPS (il lucchetto nella barra degli indirizzi), esistono tecniche avanzate (come lo “SSL Stripping”) che possono aggirare questa protezione su una rete non sicura. Controllare il saldo o effettuare un bonifico diventa così un’operazione ad altissimo rischio.

La soluzione tecnica per neutralizzare questa minaccia è l’utilizzo di una VPN (Virtual Private Network). Una VPN crea un “tunnel” crittografato tra il vostro dispositivo e un server remoto. Tutto il vostro traffico internet passa attraverso questo tunnel, rendendolo illeggibile a chiunque tenti di intercettarlo sulla rete locale. Anche se connessi a una Wi-Fi pubblica, i vostri dati rimangono al sicuro, come se steste navigando dalla rete di casa. Per un uso bancario, è cruciale scegliere una VPN che offra standard di sicurezza elevati. Come spiegato da guide specializzate, i criteri essenziali includono la crittografia AES-256 (lo standard usato in ambito militare e bancario), una rigorosa politica no-log (che garantisce che il provider non registri la vostra attività) e una funzione di Kill Switch, che blocca automaticamente la connessione internet se la VPN dovesse disconnettersi, impedendo fughe di dati accidentali.

Quando bloccare le carte e fare denuncia se sospettate che i vostri dati siano nel Dark Web?

Il sospetto che le proprie credenziali siano state compromesse e siano in vendita sul Dark Web è uno scenario che genera forte ansia. La domanda non è “se” agire, ma “quando” e “come”. La risposta di un analista di sicurezza è chiara: al primo segnale di anomalia, anche se minimo. Questo può essere un SMS di smishing, una mail di phishing ben congegnata, una notifica di accesso da un dispositivo sconosciuto o, peggio, un piccolo addebito non riconosciuto sulla vostra carta. Questi non sono eventi isolati, ma potenziali indicatori che i vostri dati sono in mano a criminali.

L’inerzia è il peggior nemico. Aspettare la “prova certa” o la transazione fraudolenta di importo elevato significa dare ai truffatori il tempo di agire. La crescita esponenziale delle frodi digitali in Italia conferma questa urgenza. Una relazione recente ha evidenziato come ci siano state oltre 730 segnalazioni di presunte truffe alla Banca d’Italia nel 2024, con un incremento del 32% rispetto all’anno precedente, a testimonianza di un fenomeno in continua espansione.

In caso di sospetto fondato, la procedura d’emergenza deve essere immediata e sistematica. Non basta bloccare una carta; è necessario seguire un protocollo per contenere il danno e avviare le pratiche per un eventuale rimborso. La tempestività è fondamentale, poiché le normative come il D.Lgs 11/2010 tutelano il consumatore, ma richiedono che l’utente agisca “senza indugio”. Ecco i passaggi critici da seguire:

  1. Blocco immediato: Chiamate subito il numero verde per il blocco delle carte di credito/debito fornito dalla vostra banca. Salvate questo numero nella vostra rubrica per averlo sempre a portata di mano.
  2. Denuncia formale: Presentate denuncia alla Polizia Postale. Potete farlo online sul sito del Commissariato di P.S. online o recandovi di persona presso l’ufficio più vicino. Questo passaggio è obbligatorio per la pratica di rimborso.
  3. Comunicazione alla banca: Inviate una copia della denuncia al vostro istituto di credito (via PEC o raccomandata A/R) per avviare formalmente la richiesta di disconoscimento delle operazioni e la procedura di rimborso.
  4. Documentazione: Conservate screenshot, email, SMS e qualsiasi altra comunicazione relativa alla frode. Documentate tutto con date e orari.
  5. Bonifica digitale: Cambiate immediatamente tutte le password degli account collegati (email, home banking, social) e attivate, se non già fatto, l’autenticazione a due fattori tramite app.

L’errore di sicurezza bancaria che svuota il conto corrente al 30% delle vittime over 65

L’idea che le truffe online colpiscano solo gli anziani o le persone poco digitalizzate è un luogo comune smentito dai fatti. Tuttavia, è innegabile che l’ingegneria sociale utilizzata dai truffatori spesso faccia leva su meccanismi psicologici, come il rispetto per l’autorità o il timore di perdere i propri risparmi, che possono essere particolarmente efficaci su determinate fasce della popolazione. L’errore più comune, trasversale a tutte le età ma con conseguenze devastanti per chi ha meno familiarità con le dinamiche digitali, è quello di abbassare la guardia di fronte a una comunicazione che sembra ufficiale e genera ansia.

Un caso reale illustra perfettamente questa dinamica. Una professionista ternana, un soggetto quindi tutt’altro che sprovveduto, ha ricevuto un SMS apparentemente inviato dalla sua banca. Il messaggio la avvisava di “accessi anomali” al suo conto corrente e la invitava a cliccare un link per risolvere il problema. Questo singolo errore le è costato, in un primo momento, 29.000 euro.

A una professionista ternana, con la stessa modalità, i truffatori erano riusciti, in un primo momento, a rubarle 29mila euro. La donna ha ricevuto l’SMS apparentemente inviato dal suo Istituto di credito contenente l’avviso di accessi anomali al proprio conto corrente.

– Redazione, Cybersec Italia

Questo episodio dimostra che la leva non è l’ingenuità, ma la manipolazione di emozioni universali. Il fenomeno in Italia ha raggiunto dimensioni allarmanti. Secondo un’indagine, sono stati quasi 2,9 milioni gli italiani vittime di truffa nel 2024, per un danno economico complessivo che supera gli 880 milioni di euro. Questi numeri indicano che la minaccia è sistemica e non risparmia nessuno. L’errore fatale è credere che “a me non può succedere” e trattare con leggerezza una comunicazione che, per sua natura, è progettata per disattivare il pensiero critico e spingere a un’azione impulsiva.

CIE o SPID: quale identità digitale vi servirà per viaggiare e accedere ai servizi UE in futuro?

In un mondo sempre più digitalizzato, la nostra identità non è più solo fisica. Strumenti come lo SPID (Sistema Pubblico di Identità Digitale) e la CIE (Carta d’Identità Elettronica) sono diventati le chiavi d’accesso non solo per i servizi della Pubblica Amministrazione italiana, ma progressivamente anche per servizi a livello europeo. Questa centralizzazione, se da un lato semplifica la vita, dall’altro crea un nuovo, preziosissimo obiettivo per i criminali informatici. Il furto delle credenziali SPID o dei dati della CIE non significa più solo accedere a un portale, ma potenzialmente impersonare un individuo a 360 gradi.

I truffatori lo sanno bene e hanno adattato le loro campagne di smishing e phishing per colpire specificamente questi strumenti. Non è raro ricevere SMS fraudolenti che sembrano provenire dall’Agenzia delle Entrate, da portali come NoiPA o persino dalla Banca d’Italia, con pretesti di “aggiornamenti antiriciclaggio” o “verifiche di sicurezza”. L’ultimo caso noto che ha coinvolto il portale NoiPA è solo la punta dell’iceberg: la lista delle istituzioni sfruttate dai truffatori è in continua espansione e mira a ottenere le credenziali di identità digitale per poi usarle in frodi ben più complesse, inclusi accessi a conti bancari e richieste di prestiti a nome della vittima.

La vulnerabilità principale, ancora una volta, è comportamentale. I criminali sfruttano la nostra tendenza a gestire queste comunicazioni in mobilità, con un basso livello di attenzione. Come sottolinea un’analisi di Banco BPM, questo contesto aumenta drasticamente il rischio.

L’utilizzo del telefono ‘in movimento’, facendo spesso altre cose contemporaneamente e di fretta, aumenta il livello di distrazione e quindi la possibilità di rispondere senza pensare.

– Banco BPM, Analisi comportamentale truffe digitali

Sia CIE che SPID si stanno evolvendo per diventare parte del futuro European Digital Identity Wallet. La protezione di queste credenziali diventa quindi sinonimo di protezione della propria identità legale e finanziaria in tutta l’Unione Europea. Trattatele con lo stesso livello di sicurezza, se non superiore, di un passaporto fisico o di una carta di credito.

Da ricordare

  • Il riutilizzo delle password è la falla di sicurezza numero uno: una password compromessa su un sito minore diventa la chiave per attaccare il vostro conto bancario.
  • L’autenticazione a due fattori (2FA) via SMS è vulnerabile al SIM swapping. Le app di autenticazione offrono una protezione tecnicamente superiore e a prova di intercettazione.
  • Nessun istituto bancario o ente pubblico legittimo vi chiederà mai password, PIN o codici OTP tramite telefono, SMS o email. Qualsiasi richiesta di questo tipo è un tentativo di frode.

Come adattarsi alla digitalizzazione della Pubblica Amministrazione italiana dopo i 60 anni senza stress?

L’adattamento alla digitalizzazione dei servizi pubblici rappresenta una sfida, ma anche un’opportunità. Per gli utenti, specialmente dopo i 60 anni, la chiave per un’esperienza priva di stress non è padroneggiare ogni singola tecnologia, ma interiorizzare un insieme di regole di base per una navigazione sicura. L’approccio non deve essere di timore, ma di cautela metodica. La stragrande maggioranza delle truffe informatiche non sfrutta complesse falle tecnologiche, ma semplici errori umani di disattenzione o di fiducia mal riposta. L’ecosistema digitale della Pubblica Amministrazione è, in sé, sicuro; il pericolo nasce quando si esce dai canali ufficiali.

Il volume delle truffe in Italia è un dato di fatto che richiede attenzione. Secondo i dati del Ministero dell’Interno, nel 2023 ci sono state oltre 302.000 denunce per truffe informatiche, e di queste, ben il 55% era legato a tecniche di phishing, smishing e vishing. Questo significa che la principale porta d’ingresso per i criminali è la manipolazione dell’utente, inducendolo a cliccare su un link o a fornire dati su un sito clonato.

Per interagire con la PA digitale in totale sicurezza, non servono competenze da hacker, ma l’applicazione di un semplice protocollo di verifica. Ecco i passi fondamentali per chiunque, a prescindere dall’età:

  • Usare solo i preferiti: Non cercate ogni volta su Google il sito dell’INPS o dell’Agenzia delle Entrate. Accedetevi una volta, verificate che l’indirizzo sia corretto (deve finire con “.gov.it”) e salvatelo nei preferiti del vostro browser. Usate sempre e solo quel link.
  • Ignorare i link esterni: Non cliccate mai su link per accedere a servizi della PA ricevuti via SMS o email, anche se sembrano legittimi. Digitate sempre l’indirizzo ufficiale a mano o usate i preferiti.
  • Verificare l’URL e il lucchetto: Prima di inserire qualsiasi dato, controllate sempre la barra degli indirizzi. L’URL deve iniziare con “https://” e deve essere presente l’icona di un lucchetto, che indica una connessione sicura.
  • Chiedere supporto fisico: Per operazioni complesse come l’attivazione dello SPID, non esitate a chiedere aiuto. Gli Uffici Postali offrono assistenza per l’attivazione, e molti Comuni mettono a disposizione “punti di facilitazione digitale” gratuiti per supportare i cittadini.

Adottare queste abitudini trasforma l’interazione digitale da fonte di ansia a strumento di efficienza. La sicurezza non è una questione di età, ma di metodo.

Per proteggere concretamente il vostro patrimonio e la vostra identità digitale, il primo passo non è attendere la prossima minaccia, ma eseguire oggi stesso un audit delle vostre abitudini digitali, applicando sistematicamente i punti di controllo e le strategie di difesa discusse in questa analisi.

Scritto da Alessandro Ferri, Ingegnere Energetico e Consulente Tecnico. Specializzato in efficientamento energetico, mobilità elettrica e sicurezza informatica domestica con 14 anni di esperienza sul campo.
I nostri ultimi post
Come usare termostati intelligenti per risparmiare il 20% sul gas senza patire il freddo?
Software in abbonamento: come liberarsi dei costi fissi con alternative gratuite e legali
Come usare ChatGPT per aiutare i figli nei compiti senza che smettano di ragionare?
Come riparare elettrodomestici fuori produzione stampando i ricambi in 3D a casa?
Come ottenere una certificazione ambientale che vi faccia vincere appalti pubblici e privati?
Post simili
Come personalizzare la dieta basandosi sul DNA per prevenire realmente le malattie ereditarie?
Come partecipare al monitoraggio delle specie protette nel vostro territorio senza disturbare la fauna?