Email, SMS e telefonate “di sicurezza” imitano i provider SPID e le banche. Ecco i segnali d’allarme, le mosse immediate e quando la banca deve rimborsare.

🔍 Cos’è lo smishing e perché ora colpisce lo SPID

Lo smishing è un phishing via SMS/WhatsApp: ricevi un messaggio che sembra della tua banca, dell’INPS o del provider SPID. Ti invita a “verificare” l’account o “sbloccare” il profilo tramite un link. Il sito di destinazione imita quello ufficiale e chiede credenziali e, spesso, il codice OTP.
Sempre più spesso la truffa è “mista”: messaggio + pagina clone + telefonata (vishing) di un “operatore” che ti chiede di leggere l’OTP per “annullare un’operazione sospetta”. 😬

🧭 Cosa succede dal punto di vista legale

Per i pagamenti non autorizzati si applicano le regole PSD2 (Dir. 2015/2366/UE) recepite nel d.lgs. 11/2010:

  • Art. 10 d.lgs. 11/2010: la banca deve rimborsare senza indugio le operazioni non autorizzate, salvo provi che il cliente ha agito con frode o colpa grave.

  • Strong Customer Authentication (SCA): l’intermediario deve usare verifica “forte” (almeno due fattori). Se il sistema è aggirato con tecniche di social engineering e la banca non prova la colpa grave del cliente, il rimborso è dovuto.

  • In tema privacy, il trattamento dei messaggi ai fini di difesa è legittimo (art. 6(1)(f) GDPR; per dati particolari anche art. 9(2)(f)), ma evita diffusioni pubbliche: conserva solo ciò che serve per la tutela.

🚨 Come riconoscere in 10 secondi una truffa

  • ✉️ Urgenza: “Subito o blocco!”. Le PA/provider seri non comunicano così.

  • 🔗 Link sospetto: dominio con numeri/lettere scambiate (es. sp1d, -secure-, pay-verify).

  • 📞 Richiesta OTP al telefono: illegittima. Nessuno può chiederla.

  • 🧪 Pagina clone: grafica identica, ma indirizzo web diverso; spesso certificato https valido (non basta a garantire autenticità).

  • 📲 App di “assistenza” da installare o QR code da scansionare: sintomi di controllo remoto.

🛡️ Cosa fare subito se temi una frode

  1. Blocca carte e disabilita temporaneamente l’home banking (numero ufficiale della banca da sito/app). ☎️

  2. Cambia password di email, SPID e banca; attiva autenticazione a due fattori ovunque. 🔐

  3. Conserva le prove: screenshot di SMS/e-mail/URL (con barra indirizzi), numeri chiamanti, orari, movimenti. 📸

  4. Disconosci per iscritto l’operazione alla banca (PEC o modulo online). Chiedi il riaccredito immediato ex art. 10 d.lgs. 11/2010 e i log tecnici. 📨

  5. Denuncia a Polizia Postale o Carabinieri, allegando le prove. 📝

  6. Se la banca respinge, reclamo e poi ABF – Arbitro Bancario Finanziario; in alternativa/aggiunta causa civile. ⚖️

🧪 “Colpa grave” del cliente: quando c’è (e quando no)

I giudici guardano alla dinamica concreta:

  • 🔎 No colpa grave se la campagna era sofisticata (spoofing del numero della banca, siti clone fedelissimi, pressione emotiva) e tu hai agito da utente medio attento.

  • ⚠️ Rischio colpa grave se hai ignorato avvisi evidenti (es. dominio palese falso, richiesta reiterata di OTP al telefono) o hai installato app di controllo remoto dopo avvertimenti chiari.
    In ogni caso prova della colpa grave spetta alla banca.

🧰 Buone pratiche che riducono (molto) il rischio

  • 🚫 Mai cliccare link da messaggi per “verifiche” → apri solo l’app ufficiale o un segnalibro del browser.

  • 🧩 OTP: non leggerla mai al telefono e non digitarla su siti raggiunti da link.

  • 📨 Notifiche attive per movimenti e acquisti; limiti di spesa giornalieri.

  • 🔐 Password robuste e uniche; biometria/PIN sullo smartphone; niente foto delle password in galleria.

  • 📚 Contatti salvati: memorizza “BANCA – NUMERO UFFICIALE” e chiama solo quello.

  • 🧾 Archivio prove: tieni un raccoglitore con screenshot e ricevute per contestazioni rapide.

✉️ Modello rapido di contestazione (copia-incolla)

Oggetto: Disconoscimento operazioni non autorizzate – richiesta rimborso ex d.lgs. 11/2010
«In data … ho rilevato addebiti per € … mai autorizzati. Chiedo il rimborso senza indugio ai sensi degli artt. 10 e segg. d.lgs. 11/2010.
Allego screenshot, estratti conto, eventuale denuncia, e richiedo copia dei log tecnici relativi ad autenticazioni, dispositivi e IP. Resto a disposizione per ulteriori chiarimenti.»

❓FAQ lampo

  • “Mi ha chiamato il numero della banca: era vero?” Probabilmente no: è spoofing del caller ID.

  • “Ho letto un OTP e hanno pagato con la mia carta: rimborsano?” Dipende dal caso: la banca deve provare la tua colpa grave; se la truffa è credibile e ti sei mosso subito, il rimborso è possibile.

  • “Posso usare chat e SMS come prova?” Sì: esporta la conversazione completa o fai acquisizione forense per garantirne autenticità.

✅ In sintesi

Stesso copione, tecnologia raffinata: l’obiettivo è la tua autorizzazione. Se l’operazione non l’hai autorizzata, la banca rimborsa salvo colpa grave provata. Muoviti subito, conserva prove e scrivi per iscritto.