Lo smishing è la versione via SMS del più conosciuto phishing via email, e negli ultimi anni è diventato uno dei metodi preferiti dai truffatori proprio perché sfrutta la fiducia quasi automatica che molte persone ripongono nei messaggi di testo, considerati erroneamente più affidabili delle email. Un semplice SMS che sembra arrivare dalla propria banca o da un corriere può bastare per sottrarre credenziali, dati della carta di credito o l’accesso al conto corrente.
Lo smishing è una truffa via SMS che imita comunicazioni di banche, corrieri o enti pubblici per rubare dati personali o bancari tramite link fraudolenti. Si riconosce da errori di scrittura, link sospetti, richieste di urgenza e numeri di telefono anomali. Non bisogna mai cliccare link o inserire dati personali partendo da un SMS non verificato.
Indice
- Cos’è lo smishing
- Come funziona una truffa tipo
- I segnali che devono insospettire
- Gli esempi più diffusi in Italia
- Cosa fare se ricevi un SMS sospetto
- Cosa fare se hai già cliccato
- Domande frequenti
Cos’è lo smishing
Il termine smishing nasce dalla fusione tra “SMS” e “phishing”, e descrive esattamente questo: l’invio di messaggi di testo fraudolenti pensati per indurre la vittima a cliccare un link malevolo o a fornire informazioni riservate. A differenza delle email di phishing, che spesso finiscono nella cartella spam grazie a filtri sempre più sofisticati, gli SMS arrivano direttamente sul telefono e vengono letti quasi sempre entro pochi minuti, un fattore che i truffatori sfruttano consapevolmente per aumentare il tasso di successo delle proprie campagne.
Un elemento che rende lo smishing particolarmente insidioso è la tecnica dello spoofing del mittente: il messaggio può comparire nella stessa conversazione SMS già esistente con la propria banca, perché il truffatore riesce a falsificare il nome del mittente facendolo apparire identico a quello legittimo, ingannando anche chi è normalmente attento a questo tipo di truffe.
Come funziona una truffa tipo
Il meccanismo classico prevede l’invio di un SMS che segnala un problema urgente da risolvere: un pagamento sospeso, una consegna bloccata, un accesso sospetto al proprio conto. Il messaggio invita a cliccare un link per “verificare” o “sbloccare” la situazione. Il link porta a una pagina web che replica fedelmente la grafica del sito ufficiale della banca, del corriere o dell’ente citato, dove viene chiesto di inserire credenziali di accesso, numero di carta di credito o codici OTP ricevuti via SMS.
Una volta inseriti questi dati, i truffatori li utilizzano immediatamente per accedere al vero conto della vittima o per effettuare pagamenti non autorizzati, spesso nel giro di pochi minuti dal furto dei dati, prima ancora che la vittima si renda conto di essere caduta in una trappola.
I segnali che devono insospettire
Ci sono alcuni indizi che, presi singolarmente o insieme, dovrebbero far scattare un campanello d’allarme immediato. Il senso di urgenza estrema è probabilmente il segnale più affidabile: le comunicazioni legittime di banche ed enti raramente richiedono un’azione entro poche ore pena il blocco del conto. Anche gli errori grammaticali o di battitura, per quanto oggi meno frequenti grazie a strumenti di traduzione più sofisticati, restano un indicatore utile, così come i link che, guardati con attenzione, mostrano indirizzi web leggermente diversi da quelli ufficiali, magari con una lettera cambiata o un dominio diverso.
Un altro segnale importante riguarda il canale stesso: nessuna banca italiana chiede di inserire la password completa o il codice PIN tramite un link ricevuto via SMS. Se un messaggio richiede esplicitamente questo tipo di informazione, si tratta con altissima probabilità di un tentativo di smishing.
Gli esempi più diffusi in Italia
Tra le truffe più segnalate negli ultimi tempi ci sono gli SMS che imitano Poste Italiane, avvisando di un accredito bloccato o di un documento da verificare, quelli che si fingono corrieri come SDA, BRT o GLS per una consegna con “dazio da pagare”, e quelli che imitano le principali banche italiane segnalando un accesso sospetto al proprio home banking. Anche i falsi messaggi dell’Agenzia delle Entrate, che promettono un rimborso fiscale da riscuotere cliccando un link, sono estremamente comuni, soprattutto nei periodi vicini alle scadenze fiscali, quando l’attenzione delle persone verso comunicazioni di questo tipo è naturalmente più alta.
Cosa fare se ricevi un SMS sospetto
La regola più semplice ed efficace è non cliccare mai su link contenuti in SMS non richiesti, anche se sembrano provenire da un mittente conosciuto. Se il messaggio riguarda davvero un problema con un conto bancario o una consegna, la verifica va sempre fatta contattando direttamente l’ente tramite i canali ufficiali, digitando manualmente l’indirizzo del sito o chiamando il numero verde riportato sul retro della propria carta o sul sito ufficiale, mai un numero indicato nell’SMS stesso.
Molti operatori telefonici italiani offrono oggi servizi di blocco automatico degli SMS sospetti, e segnalare il numero mittente come spam aiuta anche a proteggere altri utenti che potrebbero ricevere lo stesso messaggio fraudolento nei giorni successivi.
Cosa fare se hai già cliccato
Se hai cliccato un link sospetto ma non hai inserito alcun dato, il rischio è generalmente limitato, anche se è comunque consigliabile eseguire una scansione antivirus del dispositivo per escludere l’installazione di software malevolo. Se invece hai già inserito credenziali bancarie o dati della carta di credito, la priorità assoluta è contattare immediatamente la propria banca per bloccare la carta e monitorare eventuali movimenti sospetti, oltre a cambiare tempestivamente le password di accesso all’home banking da un dispositivo sicuro. È inoltre consigliabile sporgere denuncia alla Polizia Postale, che in Italia si occupa specificamente di questo tipo di reati informatici.
Domande frequenti
Come faccio a sapere se un SMS della mia banca è falso?
Le banche italiane non chiedono mai di inserire password complete o codici OTP tramite link ricevuti via SMS. In caso di dubbio, la verifica va sempre fatta contattando la banca tramite i canali ufficiali, non tramite il link ricevuto.
Basta non cliccare il link per essere al sicuro?
Nella maggior parte dei casi sì, il rischio principale nasce dall’inserimento di dati personali nella pagina fraudolenta collegata al link. Tuttavia è comunque consigliabile non interagire in alcun modo con il messaggio e segnalarlo come spam.
Cosa devo fare se ho già inserito i dati della carta?
Contatta immediatamente la tua banca per bloccare la carta, monitora i movimenti sospetti e sporgi denuncia alla Polizia Postale il prima possibile.
Per approfondire la sicurezza online, leggi anche la nostra guida su phishing: cos’è e come riconoscerlo e su come riconoscere un sito truffa.

