Crescono i casi di phishing e smishing in Italia: criminali informatici colpiscono utenti di banche e servizi pubblici con tecniche sempre più sofisticate. Ecco le regole per difendersi.
Le truffe digitali continuano a rappresentare una minaccia concreta e in crescita per milioni di utenti italiani, con metodi sempre più sofisticati che sfruttano la tecnologia e l’ingegneria sociale per sottrarre dati sensibili e prosciugare conti correnti. Negli ultimi giorni, due grandi realtà italiane, Autostrade per l’Italia e UniCredit, hanno lanciato nuovi allarmi riguardo a campagne di phishing e smishing che mettono a rischio la sicurezza dei cittadini.
Le nuove strategie di phishing e smishing contro Autostrade per l’Italia e UniCredit
I criminali informatici si presentano come rappresentanti ufficiali di enti noti, utilizzando messaggi che sembrano autentici, completi di loghi e numeri di telefono falsificati con tecniche di spoofing, così da ingannare anche gli utenti più esperti.
Nel caso di Autostrade per l’Italia, società che oggi fa parte di Holding Reti Autostradali S.p.A. sotto la guida di Cassa Depositi e Prestiti, la truffa prende di mira l’utenza con falsi messaggi relativi a pedaggi autostradali non pagati. Questi sms contengono link che rimandano a siti web contraffatti, come “autostiade.com” o “autostrede.com”, molto simili al portale ufficiale di Autostrade. Il fine è raccogliere i dati della carta di credito degli utenti, inducendoli a saldare importi variabili, spesso di poche decine di euro, con la scusa di regolarizzare un pagamento in sospeso. Autostrade per l’Italia ribadisce con forza che non invia mai link per pagamenti tramite sms e invita gli automobilisti a usare esclusivamente i canali ufficiali accessibili dal sito autostrade.it per qualsiasi operazione.
Dal lato bancario, UniCredit, uno dei più rilevanti gruppi finanziari in Italia con sede a Milano e un fatturato che nel 2024 ha superato i 24 miliardi di euro, affronta una variante ancora più insidiosa di truffa digitale, lo smishing via sms. I messaggi falsi notificano presunte transazioni sospette, come bonifici o acquisti online di grandi somme, ad esempio: “UniCredit Conferma disposizione da C/C di EURO 1.790,00” o “Transazione Amazon per 4.840 euro in elaborazione”.
Questi messaggi sono particolarmente pericolosi perché appaiono nella stessa chat delle comunicazioni ufficiali della banca, grazie a tecniche di spoofing dei numeri telefonici. Quando la vittima risponde o richiama, viene messa in contatto con un falso operatore che, con tono rassicurante, suggerisce di effettuare un bonifico istantaneo su un “conto sicuro” per proteggere i fondi. In realtà il conto è riconducibile ai truffatori. UniCredit ha precisato che nessun operatore reale richiede mai password, codici dispositivi o bonifici di sicurezza tramite messaggi o telefonate non autorizzate, e invita a utilizzare sempre i canali ufficiali di home banking o il numero verde certificato.
Le autorità competenti, tra cui Polizia Postale e forze dell’ordine, insistono sull’importanza della prevenzione come miglior antidoto contro phishing e smishing. È fondamentale non cliccare mai su link sospetti ricevuti tramite sms, email o chat, e non fornire mai informazioni personali o codici via telefono o messaggi. In caso di dubbi, è consigliato contattare direttamente la banca o l’ente tramite i canali ufficiali.
Gli esperti raccomandano inoltre di mantenere aggiornati i dispositivi digitali, installare software antivirus affidabili e attivare sistemi di autenticazione a due fattori (2FA), preferendo app di generazione di codici temporanei rispetto all’invio di OTP via sms, per prevenire attacchi come il SIM swapping, che permette ai truffatori di clonare il numero telefonico e aggirare le misure di sicurezza.
Nel caso in cui si dovesse sospettare di essere vittima di una truffa, è cruciale segnalarlo tempestivamente alla Polizia Postale, che dispone di un portale dedicato alle denunce di phishing e smishing. Agire rapidamente può consentire di bloccare bonifici fraudolenti e avviare le procedure per il recupero delle somme sottratte.
Nel quadro normativo italiano ed europeo, la tutela delle vittime di truffe online è rafforzata da normative specifiche. Secondo il decreto legislativo 11/2010, l’utente deve comunicare tempestivamente alle banche o ai fornitori di servizi di pagamento ogni uso non autorizzato del proprio strumento di pagamento. La banca, a sua volta, è tenuta a dimostrare l’autenticità delle operazioni contestate e a garantire la sicurezza delle transazioni.
La giurisprudenza della Corte di Cassazione, insieme all’applicazione del Regolamento europeo GDPR, definisce le responsabilità delle banche in caso di furto di dati personali e impone loro di adottare misure di sicurezza adeguate. Il risarcimento dei danni è previsto per chi subisce perdite a causa di violazioni di tali norme, ma la tempestività della denuncia da parte del cliente è essenziale per limitare i danni.