Attenzione allo Smishing: proteggi i tuoi dati dagli SMS fraudolenti

Negli ultimi mesi si è registrato un aumento significativo dei tentativi di frode tramite SMS, una tecnica di attacco informatico nota come smishing (dalla fusione dei termini SMS e phishing).
È una delle forme di truffa digitale più diffuse, perché sfrutta la fiducia, la fretta e la disattenzione degli utenti — sia privati che aziende — per ottenere informazioni riservate o denaro.

Lo smishing è una tipologia di phishing mirato ai dispositivi mobili.
I truffatori inviano messaggi di testo che imitano le comunicazioni ufficiali di banche, enti pubblici o aziende note. L’obiettivo è indurre la vittima a cliccare su link fraudolenti, scaricare allegati infetti o rispondere con dati sensibili come PIN, password o numeri di carta.

I messaggi truffa possono assumere diverse forme:

• Invito a cliccare su un link: rimanda a un sito contraffatto dove vengono raccolte le credenziali.
• Richiesta di scaricare un allegato: apre la porta all’installazione di malware.
• Richiesta di risposta all’SMS: il truffatore raccoglie direttamente i dati forniti.
• Invito a contattare un numero di telefono: un falso operatore induce la vittima a rivelare informazioni o a eseguire operazioni bancarie fraudolente.

1. Raccolta dei dati personali: i criminali ottengono nome e numero di telefono attraverso social network, database pubblici o furti di dati (data breach).
2. Invio dell’SMS fraudolento: il messaggio, apparentemente legittimo, riproduce il linguaggio e lo stile della banca. Spesso invita a “risolvere subito un problema” cliccando su un link o rispondendo.
3. Contatto del falso operatore: una volta rubate le credenziali, il truffatore telefona fingendosi un addetto dell’ufficio antifrode per carpire ulteriori codici di conferma o autorizzazione.

Negli ultimi anni gli attacchi si sono raffinati.
Molti truffatori hanno capito che gli utenti sono diventati più diffidenti verso i link sospetti, perciò ricorrono a strategie più sottili.

Un esempio tipico è quello dell’SMS senza link, che segnala un presunto pagamento in corso o un’anomalia sul conto. Il messaggio invita semplicemente a rispondere “NO” per bloccare l’operazione. Subito dopo, la vittima riceve una telefonata da un finto operatore del reparto antifrode, che si presenta in modo convincente e invita a fornire dati o codici di sicurezza per “mettere in sicurezza il conto”.

In alcuni casi i truffatori utilizzano lo spoofing telefonico, ovvero la falsificazione del numero chiamante: sul display compare il vero numero della banca, rendendo la truffa ancora più credibile.

Ricorda: la banca non chiede mai via SMS o telefonata di comunicare credenziali, PIN, password o codici di sicurezza.

Gli attacchi di smishing possono arrivare da mittenti che si fingono:

• Banche o istituti di credito, che segnalano presunti blocchi o anomalie;
• Enti pubblici, con richieste di pagamento o verifica dati;
• Fornitori di servizi, che comunicano bollette non pagate o consegne in sospeso;
• Social network o piattaforme online, che notificano “violazioni dell’account”;
• Corrieri o marketplace, che segnalano pacchi da ritirare o spedizioni bloccate.

Un SMS di Banco BPM riporta sempre il nome della Banca come mittente e mai un numero di cellulare visibile.

Ecco alcuni segnali d’allarme che possono aiutarti a individuare una truffa:

• Proviene da un numero di cellulare anziché dal nome della Banca.
• Tono urgente o allarmistico (“Conto bloccato”, “Aggiorna subito i tuoi dati”).
• Presenza di link o numeri da contattare.
• Errori grammaticali o linguistici nel testo.
• Richiesta di inserire o confermare dati personali o codici OTP.

Spesso, la sensazione di urgenza è l’esca principale: i truffatori fanno leva sulla paura di un problema imminente per spingere a reagire d’istinto.

Cosa non fare:

• Non cliccare mai sui link contenuti nel messaggio.
• Non aprire o scaricare eventuali allegati.
• Non rispondere fornendo dati personali, codici o credenziali di accesso.
• Non richiamare i numeri di telefono indicati nell’SMS.

Cosa fare invece:

• Cancella subito il messaggio sospetto, senza aprirlo né inoltrarlo.
• Contatta la Banca esclusivamente attraverso i canali ufficiali, come l’app, il sito istituzionale o il numero verde.
• Se temi un’anomalia, verifica la situazione accedendo direttamente all’app Banco BPM o al portale ufficiale, evitando qualsiasi link ricevuto via SMS.
• In caso di incertezza, rivolgiti al Servizio Clienti o contatta la Polizia Postale (www.commissariatodips.it).

Ricorda: uno SMS di smishing è innocuo finché non interagisci con esso. Evitare anche un solo clic può fare la differenza.

Intervieni tempestivamente:

1. Avvisa subito la Banca o il gestore della carta per bloccare eventuali operazioni.
2. Cambia immediatamente password e codici di accesso.
3. Segnala la truffa alle autorità competenti per contribuire a prevenire nuovi attacchi.

Un’azione rapida può limitare o evitare danni economici.

Molti utenti ritengono il proprio smartphone più sicuro del computer, ma è un falso senso di protezione.
Il cellulare accompagna ogni momento della giornata e le notifiche vengono spesso lette “al volo”, riducendo la soglia di attenzione.

I criminali sfruttano:

• l’alto tasso di apertura degli SMS,
• la distrazione,
• la fiducia eccessiva nei dispositivi mobili.

Le truffe via SMS colpiscono tutti i sistemi operativi, da Android a iOS. Nessuno è immune.

La protezione dei tuoi dati è una collaborazione tra te e la Banca.
Segnalare un messaggio sospetto aiuta non solo te, ma l’intera comunità dei clienti.

Banco BPM promuove una cultura della consapevolezza digitale:

• non condividere mai credenziali o codici via SMS o telefono;
• usa solo i canali ufficiali per accedere ai servizi online;
• mantieni dispositivi e app sempre aggiornati.

Con attenzione e buone pratiche digitali, è possibile bloccare lo smishing sul nascere e proteggere la propria sicurezza online.

L’articolo è di carattere divulgativo aggiornato alla data di pubblicazione. Per conoscere l’offerta della Banca consulta l’area Prodotti.

“Messaggio pubblicitario a finalità promozionale. Per le condizioni contrattuali si rinvia ai fogli informativi e/o alla documentazione contrattuale disponibili sul sito www.bancobpm.it e presso le filiali della Banca. Per l’emissione della carta di debito e della carta di credito la Banca si riserva la valutazione dei requisiti necessari alla concessione e dei massimali di spesa da assegnare alla stessa.”