Truffa della falsa autorità: come funziona e come difendersi

Nel 2026 una delle frodi bancarie più in crescita si basa su un meccanismo semplice quanto efficace: farti credere di parlare con chi dovrebbe proteggerti. Polizia postale, carabinieri, ufficio antifrode della banca, operatori della Banca d’Italia: identità che i truffatori adottano con disinvoltura, documentazione falsa inclusa. Capire come funziona questo schema è il modo più concreto per non caderne vittima.

Tutto inizia con una telefonata. Il numero che vedi sul display sembra ufficiale perché i truffatori usano il caller ID spoofing, una tecnica che permette di falsificare il numero chiamante e farlo apparire identico a quello di una banca, di un’istituzione pubblica o delle forze dell’ordine.

Ma c’è un passaggio preliminare che rende questa truffa particolarmente difficile da riconoscere, e che avviene molto prima della chiamata.

Prima di contattarti, i truffatori hanno già costruito un profilo dettagliato su di te. Come? Acquistando o sottraendo dati da database circolanti nel dark web, alimentati da violazioni di sicurezza (i cosiddetti data breach) avvenuti nel corso degli anni su piattaforme di e-commerce, servizi online, operatori telefonici, app di vario tipo.

Questi archivi contengono spesso combinazioni molto precise di dati: nome, cognome, codice fiscale, indirizzo di residenza, numero di telefono, indirizzo email. In molti casi includono anche l’IBAN, che è un dato sufficiente per risalire alla banca di riferimento: le prime quattro cifre dopo il codice paese identificano l’istituto. Da lì, sanno chi chiamare e con quale identità presentarsi.

Il risultato è una telefonata in cui il truffatore conosce già il tuo nome, la tua banca, a volte persino le ultime operazioni sul conto (ottenute tramite tecniche di phishing precedenti o ulteriori accessi non autorizzati). Questa quantità di informazioni disattiva il tuo sistema di allerta: se sa tutto questo, deve essere davvero chi dice di essere.

La voce dall’altro capo è calma, professionale, e ti comunica una notizia allarmante: sul tuo conto sono stati rilevati movimenti sospetti, è in corso un’indagine, i tuoi soldi sono a rischio. Per darti ulteriore credibilità, il truffatore può inviarti via mail o WhatsApp una falsa denuncia-querela o una falsa informazione di garanzia, completa di intestazione, numero di protocollo e timbri contraffatti.

A questo punto scatta la fase operativa: fingendo di aiutarti a “mettere in salvo” il denaro, il finto operatore ti chiede di:

• comunicare le credenziali di accesso all’home banking o i codici OTP appena ricevuti sul tuo telefono
• autorizzare bonifici verso conti che descrive come “conti tecnici protetti” della banca o della magistratura
• installare un software di controllo remoto, come AnyDesk o TeamViewer, per “monitorare insieme” la situazione

In alcuni casi la sceneggiatura è ancora più elaborata: ti chiedono di recarti fisicamente allo sportello e disporre un bonifico senza spiegare nulla al personale della filiale, perché “l’indagine è riservata”.

Il truffatore rimane in linea per tutta la durata dell’operazione, guidandoti passo dopo passo. Stai collaborando con qualcuno che sembra conoscere la tua vita finanziaria meglio di chiunque altro, e che si presenta con l’autorità di chi ha il compito di tutelarti. Il tuo sistema di allerta non si attiva perché non percepisci una minaccia esterna: sei tu ad autorizzare ogni operazione, convinto di stare proteggendo i tuoi soldi.

Questo rende la frode particolarmente insidiosa anche dal punto di vista del recupero: l’operazione risulta autorizzata dal titolare del conto.

Tre principi da tenere sempre presenti:

Le forze dell’ordine non ti chiameranno mai per farti spostare denaro. Carabinieri, polizia postale e guardia di finanza non operano in questo modo. Se hai dubbi su una chiamata che si presenta come proveniente da un’istituzione, chiudi e richiama il numero ufficiale che trovi sul sito istituzionale.

La banca non ti chiederà mai OTP, PIN o password. Nessun operatore di Banco BPM, né di qualsiasi altra banca, ha bisogno di questi dati per gestire un’emergenza sul tuo conto. Se qualcuno te li chiede, è una frode.

Nessuno ti chiederà di installare software sul tuo telefono o computer. Il controllo remoto del dispositivo non fa parte di nessuna procedura antifrode bancaria o delle forze dell’ordine.

Il fatto che il tuo interlocutore conosca il tuo IBAN, il tuo nome o la tua banca non è una prova di legittimità: è esattamente quello che ci si deve aspettare da chi ha acquistato i tuoi dati su un database compromesso.

Se ricevi una chiamata di questo tipo: chiudi. Poi chiama direttamente la banca usando il numero sul retro della tua carta o sul sito ufficiale www.bancobpm.it.

Se hai già fornito dati o autorizzato operazioni, agisci subito:

1. Chiama il numero antifrode di Banco BPM per bloccare l’accesso all’home banking e le carte
2. Sporgi denuncia presso le forze dell’ordine (puoi farlo anche online sul sito della Polizia Postale: www.commissariatops.it)
3. Conserva tutto: screenshot, numeri chiamanti, eventuali documenti ricevuti

L’articolo è di carattere divulgativo aggiornato alla data di pubblicazione. Per conoscere l’offerta della Banca consulta l’area Prodotti.

“Messaggio pubblicitario con finalità promozionale. Per le condizioni contrattuali si rinvia ai fogli informativi e/o alla documentazione contrattuale disponibili sul sito www.bancobpm.it e presso le filiali della Banca. Per l’emissione della carta di debito e della carta di credito la Banca si riserva la valutazione dei requisiti necessari alla concessione e dei massimali di spesa da assegnare alla stessa.”