Dagli annunci ai social, i finti acquirenti ti mandano un link per “incassare” o “spedire” col corriere. In realtà è una pagina clone che ruba dati e soldi. Ecco come funziona, cosa dice la legge e come rientrare dei danni.

🔍 Come funziona la truffa (gli schemi più comuni)

Il copione è ormai rodatissimo:

  • Messaggio in chat: l’“acquirente” scrive che ha urgenza e propone di usare uno spedizioniere che “paga lui” (o una “protezione acquisti” esterna).

  • Link esterno: invia un URL che non appartiene al marketplace (spesso accorciato). La pagina chiede carta, IBAN o addirittura codice OTP “per ricevere il denaro”.

  • Micro-importo (1–3 €) o bonifico istantaneo “di verifica”: serve a catturare i dati.

  • Escalation: con i dati ottenuti, i truffatori tentano prelievi, addebiti ricorrenti, o bonifici dal tuo conto.

📌 Occhio anche al “corriere fake” sotto casa: arriva con un pacco “da ritirare/pagare” e ti mostra un POS che intercetta i dati, o un QR da scansionare che porta a un sito clone.

⚖️ Il quadro legale: cosa puoi far valere

  • Truffa/frode informatica: art. 640 e 640-ter c.p. quando, con raggiri e pagine fasulle, ti sottraggono denaro o credenziali.

  • Operazioni di pagamento “non autorizzate”: d.lgs. 11/2010 (PSD2). Art. 10 → la banca deve rimborsare senza indugio le operazioni non autorizzate, salvo provi dolo o colpa grave dell’utente. Il mero uso dell’OTP non basta a dimostrare la colpa grave: servono elementi concreti (orientamenti ABF ricorrenti).

  • Chargeback su carta: per pagamenti su circuito carta puoi sollecitare la procedura di storno tramite l’emittente, allegando subito prove di phishing/smishing.

  • Tutela privacy: se diffondono i tuoi dati, puoi agire anche per illecito trattamento (artt. 5–6 GDPR) e danno.

👉 Tradotto: se ti hanno “spillato” soldi tramite pagina fake, contesta subito. L’onere di provare la tua colpa grave è della banca (non tuo).

🧭 Cosa fare subito (ordine pratico)

  1. Blocca carta/conti/app: chiama il numero d’emergenza della banca, revoca credenziali, disconnetti i dispositivi.

  2. Raccogli prove: screenshot integrali della chat (con URL in chiaro), della pagina fake, dello SMS OTP, più estratti conto con gli addebiti.

  3. Reclamo scritto alla banca (PEC o modulo): dichiara che si tratta di phishing/smishing e che l’operazione è non autorizzata ai sensi del d.lgs. 11/2010.

  4. Denuncia/querela alla Polizia Postale (anche online): allega tutto.

  5. Se la banca nega o tace: ABF – Arbitro Bancario Finanziario (entro 12 mesi dal reclamo).

  6. Se hai pagato con carta: apri pratica di chargeback.

  7. Se ti si presenta un corriere “strano”: non pagare, verifica la spedizione sulla tua app o con il numero ufficiale (non quello nel messaggio).

🧪 Come dimostrare che il link è fake (e farti rimborsare)

Integra tutto nell’esposto/reclamo:

  • Dominio non riconducibile al marketplace/corriere;

  • Richiesta di dati sensibili (OTP, credenziali) non prevista dai flussi ufficiali;

  • Mancanza di Strong Customer Authentication coerente (es. autorizzazioni a cascata atipiche);

  • Temporalità: truffa subito dopo il click sul link;

  • Pattern noti: screen della chat con “pagamento tramite corriere” e URL sospetto.

💡 Suggerimento: se possibile, chiedi a un tecnico di generare un hash del PDF con gli screenshot; è una precauzione utile se la controparte contesta alterazioni.

🧰 Se hai spedito l’oggetto e non pagano

  • Conserva prova di spedizione e chat.

  • Se il raggiro è evidente, oltre alla denuncia puoi valutare un’azione civile per danno e/o indebito.

  • Con piattaforme che offrono “pagamenti in piattaforma”, insisti perché la trattativa resti dentro l’app: fuori canale è molto più difficile ottenere assistenza.

🧠 Prevenzione (che davvero funziona)

  • Non uscire mai dai canali di pagamento del marketplace: niente link in chat.

  • Verifica il dominio prima di inserire dati: scrivi tu l’indirizzo nella barra o apri l’app ufficiale.

  • Micro-pagamenti sospetti? Evita carte principali: usa carte virtuali/usa-e-getta e imposta limiti.

  • Avvisi push e notifiche della banca attive: intercetti subito movimenti anomali.

  • Diffida di “corrieri” che richiedono pagamenti o QR/link a domicilio.

❓Domande ricorrenti

Se ho inserito l’OTP è colpa mia?
Non automaticamente. La colpa grave non si presume: la banca deve provarla con elementi concreti (prassi ABF).

Posso pubblicare nickname e chat del truffatore sui social?
Meglio di no: rischi profili di diffamazione o privacy. Usa autorità e piattaforma.

Se la banca rifiuta il rimborso?
Porta il caso in ABF allegando prove, tempi, reclamo e risposta della banca. In alternativa/aggiunta, causa civile.

✅ Checklist rapida

  • 🛑 Non cliccare link esterni al marketplace.

  • 🧾 Screenshot completi di chat/URL/pagina fake.

  • 📞 Blocca strumenti di pagamento e cambia password.

  • ✉️ Reclamo scritto alla banca + ABF se serve.

  • 👮 Denuncia alla Polizia Postale.

  • 🔐 Paghi solo in app o canali ufficiali.