Truffa PostePay è il nome che si dà ormai a una famiglia intera di raggiri, ma quella che sta girando su WhatsApp in questi giorni ha una caratteristica che la rende più pericolosa delle solite: dopo il messaggio arriva una telefonata vera, con una voce che si finge un operatore Poste e che sa già il tuo nome. La Polizia Postale ha lanciato un avviso specifico a inizio luglio 2026 perché i casi segnalati sono in crescita netta rispetto alla primavera.
Arriva un messaggio WhatsApp che promette un rimborso o una “PostePay omaggio”, poi una telefonata che sembra ufficiale chiede di cliccare un link o versare una piccola commissione di sblocco. Poste Italiane non chiede mai codici o dati della carta per telefono, SMS o chat. Se hai già fornito dati, il primo passo è bloccare la carta chiamando il numero ufficiale, non quello ricevuto nel messaggio.
Indice
- Come funziona la truffa del “rimborso” su WhatsApp
- Le varianti più diffuse: SMS, email, telefonata
- Perché sembra così credibile
- Cosa fare se hai già cliccato o dato i dati
- Come proteggersi davvero
- Truffa online: chi paga, la banca o il cliente?
- Domande frequenti
Come funziona la truffa del “rimborso” su WhatsApp
Il meccanismo segue quasi sempre lo stesso copione. Arriva un messaggio WhatsApp da un numero sconosciuto, spesso con il logo di Poste Italiane copiato da internet, che avvisa di un rimborso in sospeso o di una PostePay “attivata in omaggio” a tuo nome per qualche centinaio di euro. Il testo invita a cliccare un link entro poche ore, altrimenti l’importo andrà perso — la fretta è lo strumento psicologico più usato in questo tipo di frode, perché non lascia il tempo di ragionare con calma.
Chi clicca finisce su una pagina che copia in modo quasi perfetto il sito o l’app di Poste Italiane, dove viene chiesto di inserire numero di carta, scadenza, codice di sicurezza e a volte anche il codice OTP ricevuto per SMS. Da quel momento i truffatori hanno tutto quello che serve per svuotare la carta, spesso nel giro di pochi minuti. In alcuni casi il link non chiede dati subito, ma installa un’app di controllo remoto travestita da “app di verifica identità”: una volta installata, chi è dall’altra parte vede lo schermo del telefono in tempo reale.
Quello che rende la versione 2026 diversa dalle solite campagne di smishing è la telefonata di conferma. Dopo il messaggio, spesso entro un’ora, arriva una chiamata da un numero che sembra un normale cellulare italiano: una voce cordiale, con toni da call center, chiede di “verificare l’operazione” leggendo proprio i dati appena inseriti sul sito falso. Sentirsi ripetere i propri dati da chi chiama abbassa la guardia, perché sembra la controprova che l’operazione sia genuina — è in realtà l’esatto contrario.
Le varianti più diffuse: SMS, email, telefonata
Oltre alla versione WhatsApp esistono almeno altre tre varianti che circolano in parallelo, e conviene conoscerle tutte perché i truffatori alternano il canale a seconda di cosa funziona meglio in un dato momento.
La più vecchia è lo smishing via SMS: un messaggio che avvisa di un accesso anomalo o del blocco della carta, con un link per “sbloccarla subito”. La differenza rispetto a un SMS legittimo si nota quasi sempre nel numero mittente, che non compare nella stessa conversazione degli SMS reali di Poste già ricevuti in passato — su questo aspetto è utile la nostra guida sullo smishing e come riconoscerlo. C’è poi la variante via email, quasi sempre con un allegato PDF che simula un estratto conto o una fattura, pensata più per chi usa PostePay per acquisti online che per il conto corrente.
La variante più insidiosa resta però quella telefonica pura, senza nemmeno un messaggio prima: un finto operatore chiama direttamente sostenendo di dover “annullare un pagamento sospetto” appena tentato sulla carta. Qui la pressione psicologica è ancora più alta perché sembra un’emergenza reale in corso, non una promozione. In tutti i casi il punto di contatto finale è lo stesso: un link, un’app da installare, o la richiesta diretta del codice OTP.
Perché sembra così credibile
Non è ingenuità: le pagine copiate oggi sono quasi indistinguibili dagli originali, e i truffatori spesso hanno già in mano dati reali della vittima, comprati da fughe di dati precedenti (nome, cognome, numero di telefono, a volte anche le ultime cifre di una carta). Sentirsi chiamare per nome da chi dice di essere Poste Italiane, con qualche dettaglio vero già noto, è quello che convince anche persone attente a fidarsi.
Esempio 1. A una persona di Bergamo è arrivato un WhatsApp che indicava un rimborso di 187 euro per “un disservizio del servizio clienti”, cifra volutamente non tonda per sembrare più reale di un generico “hai vinto 500 euro”. Dopo il click sul link, la telefonata di conferma è arrivata in undici minuti.
Esempio 2. Un caso segnalato a Bari riguardava una finta “PostePay Evolution omaggio” da 200 euro, con tanto di falso numero di pratica da citare durante la telefonata: un dettaglio che imita esattamente il linguaggio burocratico dei veri servizi clienti, ed è proprio quello che fa abbassare la guardia a chi ha già avuto a che fare con l’assistenza reale in passato.
Cosa fare se hai già cliccato o dato i dati
Se ti accorgi di aver inserito dati della carta su un sito sospetto, o di aver letto un codice OTP al telefono, il tempo conta più di tutto: ogni minuto in più è un minuto in cui i truffatori possono muovere denaro. Il primo passo è bloccare subito la carta chiamando il numero ufficiale di assistenza PostePay, 800.003.322, mai un numero ricevuto nel messaggio o suggerito dalla persona al telefono durante la truffa stessa.
Dopo il blocco, conviene controllare i movimenti dall’app ufficiale Poste Italiane scaricata dagli store ufficiali (mai da link ricevuti) e segnalare ogni operazione non riconosciuta tramite la procedura di disconoscimento presente nell’app o in filiale. Va sporta denuncia alla Polizia Postale, anche online sul portale del Commissariato di P.S. online, perché senza denuncia le probabilità di ottenere un rimborso da parte della banca si riducono molto, come spiegato più avanti.
Se hai anche installato un’app sospetta dopo aver cliccato il link, il consiglio pratico è disinstallarla e, se possibile, fare un ripristino delle impostazioni di fabbrica del telefono: alcune di queste app restano attive in background anche dopo la disinstallazione manuale delle sole icone visibili.
Come proteggersi davvero
La regola che vale sempre, ripetuta ma quasi mai seguita fino in fondo, è che nessuna banca, Poste inclusa, chiede mai il codice della carta, la password dell’app o il codice OTP per telefono, SMS o chat. Chi lo chiede, in qualunque forma lo chieda, sta cercando di rubare denaro: non esistono eccezioni, nemmeno per “verificare un rimborso” o “annullare un pagamento sospetto”.
Un’abitudine utile è non cliccare mai link ricevuti via SMS o WhatsApp che riguardano conti o carte, nemmeno per curiosità: se un messaggio sembra plausibile, meglio aprire l’app ufficiale direttamente e controllare da lì se c’è davvero qualcosa in sospeso. Allo stesso modo, se arriva una telefonata sospetta, riagganciare e richiamare il numero ufficiale stampato sul retro della carta o sul sito istituzionale è più sicuro che continuare la conversazione, anche se chi chiama insiste sul fatto che il tempo stia per scadere.
Vale la pena anche impostare le notifiche push per ogni movimento sulla carta, così un utilizzo non autorizzato si nota nel giro di secondi e non di giorni. Per un quadro più ampio su come riconoscere questo tipo di raggiri anche fuori dal mondo bancario, la nostra guida su come riconoscere un sito truffa raccoglie i segnali comuni a phishing, finti e-commerce e altre frodi online.
Truffa online: chi paga, la banca o il cliente?
Qui la situazione è meno scontata di quanto si pensi. Se il cliente ha fornito i dati volontariamente, anche se ingannato, le banche spesso sostengono che ci sia stata “colpa grave” e negano il rimborso in prima battuta. La giurisprudenza recente, però, tende a dare più spesso ragione al cliente quando la truffa usa tecniche di ingegneria sociale sofisticate come quelle descritte in questo articolo, perché la responsabilità della banca di proteggere i propri sistemi da frodi note e diffuse resta comunque forte.
In pratica, la strada che porta più spesso a un rimborso, anche parziale, è quella di denunciare subito alla Polizia Postale, contestare formalmente l’operazione alla banca entro 13 mesi dall’addebito (termine di legge per le operazioni di pagamento non autorizzate) e, se la banca rifiuta, rivolgersi all’Arbitro Bancario Finanziario prima di valutare una causa civile vera e propria. Senza denuncia, la contestazione formale ha molte meno probabilità di andare a buon fine.
Domande frequenti
Poste Italiane chiama davvero per verificare un rimborso?
No. Poste Italiane non contatta mai i clienti per telefono, SMS o WhatsApp per chiedere di confermare rimborsi, sbloccare carte o fornire codici. Qualunque comunicazione di questo tipo che chieda dati o l’inserimento di codici va considerata una truffa.
Posso riconoscere il sito falso dall’URL?
Spesso sì: i siti clone usano indirizzi molto simili all’originale ma con piccole variazioni (trattini in più, dominio diverso da .it, sottodomini strani). Il modo più sicuro resta comunque non cliccare affatto il link e digitare a mano l’indirizzo ufficiale, oppure usare l’app scaricata dallo store ufficiale.
Ho già dato il codice OTP, cosa rischio esattamente?
Con OTP e dati della carta i truffatori possono autorizzare pagamenti o bonifici in tempo reale, spesso in pochi minuti. Il rischio concreto è lo svuotamento del saldo disponibile sulla carta. Per questo il blocco immediato tramite il numero ufficiale è la priorità assoluta, prima ancora di sporgere denuncia.
Conviene rispondere al messaggio per “verificare”?
No, rispondere conferma ai truffatori che il numero è attivo e monitorato, esponendo a nuovi tentativi anche su altri canali. La cosa più sicura è ignorare il messaggio, non cliccare nulla e, se si vuole, segnalarlo direttamente a WhatsApp bloccando il contatto.

