Clienti Intesa, Poste e Hype nel mirino: l’ondata di SMS che sta prosciugando i conti correnti in tutta Italia

Francesco Giuliani

Settembre 25, 2025

Una nuova ondata di smishing colpisce migliaia di italiani: messaggi identici a quelli ufficiali delle banche spingono a cliccare link fraudolenti e a consegnare OTP e credenziali. Ecco come riconoscerli e cosa fare per proteggersi.

Negli ultimi mesi si è intensificata in Italia una pericolosa ondata di smishing, ovvero phishing via SMS. I criminali inviano messaggi che sembrano provenire direttamente dalla propria banca: stesso nome del mittente, stesso thread in cui ricevi i codici OTP, loghi e grafica identici. A questo si aggiunge un linguaggio di urgenza — “conto bloccato”, “accesso non autorizzato”, “verifica immediata” — che induce l’utente a cliccare senza pensarci. Una volta inserite le credenziali nella pagina clone, il risultato è sempre lo stesso: il conto viene svuotato.

Secondo i bollettini dell’Agenzia per la Cybersicurezza Nazionale (ACN), il fenomeno è in rapida crescita e colpisce clienti di più istituti: Poste Italiane, Intesa Sanpaolo, Hype, ING e altre realtà. Nel solo primo semestre del 2025, sono stati tracciati oltre 1.500 eventi cyber e centinaia di incidenti con impatto economico concreto, segno di una minaccia sempre più sofisticata.

Perché quegli SMS sembrano autentici

  • Mittente falsificato: grazie allo spoofing, l’SMS truffa appare nello stesso filo dei messaggi legittimi della banca.

  • Urgenza e paura: il testo parla di sospensioni, blocchi o accessi anomali da confermare subito.

  • Link camuffati: spesso accorciati, rimandano a pagine clone perfette, con logo e lessico identici.

  • Doppio attacco: dopo il click, arriva una telefonata di finto operatore antifrode che chiede l’OTP “per bloccare l’operazione”. In realtà è il passo decisivo che autorizza la frode.

  • App malevole: alcuni SMS contengono link per scaricare APK su Android, in realtà trojan bancari capaci di intercettare notifiche e codici.

I 7 segnali per riconoscere uno smishing

  1. Richiesta di dati sensibili: PIN, password, OTP o CVV (le banche non li chiedono via SMS).

  2. Tono allarmistico con scadenza immediata: “entro 10 minuti”, “entro 30 minuti”.

  3. Link sospetto o accorciato che nasconde il dominio reale.

  4. Errori di grammatica o impaginazione strana (ancora frequenti in certi messaggi).

  5. Numero da richiamare diverso da quello ufficiale della banca.

  6. Pagina clone che chiede subito tutte le credenziali insieme.

  7. Invito a installare app via SMS: quasi sempre malware bancario.

Esempi di messaggi truffa

  • Intesa Sanpaolo: accesso anomalo rilevato. Per evitare il blocco verifica subito: [link]”

  • Poste: operazione in sospeso. Conferma identità entro 10 minuti: [link]”

  • Hype: riscontro attività sospette. Aggiorna i tuoi dati: [link]”

👉 Regola d’oro: non cliccare mai. Entra solo tramite l’app ufficiale o digita manualmente l’indirizzo della banca nel browser.

Cosa fare se ricevi un SMS sospetto

  • Ignora e cancella subito il messaggio.

  • Non chiamare mai i numeri indicati nel testo.

  • In caso di dubbi, contatta la banca solo dai canali ufficiali (numero sul retro della carta, app, area clienti).

  • Segnala l’SMS alla tua banca e alla Polizia Postale tramite il Commissariato online.

Piano d’emergenza se hai cliccato o inserito i dati

  1. Attiva subito la modalità aereo se sospetti di aver installato un’APP malevola.

  2. Chiama immediatamente la tua banca dai canali ufficiali e blocca carte, home banking e bonifici.

  3. Cambia le password di home banking, email e di tutti gli account collegati.

  4. Abilita l’autenticazione a due fattori via app Authenticator (non via SMS).

  5. Revoca tutte le sessioni aperte e scollega i dispositivi dall’app della banca.

  6. Attiva notifiche in tempo reale su login e movimenti.

  7. Se hai installato un APK sospetto, esegui un backup foto, poi ripristino di fabbrica e reinstalla solo da store ufficiali.

  8. Segnala alla Polizia Postale e valuta una denuncia formale.

  9. Avvisa familiari e contatti per evitare altre vittime a catena.

  10. Monitora credito telefonico e impostazioni della SIM per scongiurare SIM swap o deviazioni di chiamata.

Le banche rimborsano sempre?

La realtà è che il rimborso non è automatico: se sei tu ad aver comunicato i codici o l’OTP, l’operazione risulta tecnicamente autorizzata. Le banche italiane collaborano tramite CERTFin e Banca d’Italia per rafforzare la sicurezza, ma la prima difesa resta la prudenza del cliente. In caso di disaccordi, è possibile presentare esposti alla Banca d’Italia e intraprendere vie formali.

Le 10 contromisure che funzionano davvero

  1. Ricorda: la banca non chiede mai PIN o OTP via SMS.

  2. Non cliccare mai link nei messaggi: entra solo da app ufficiale o URL digitato a mano.

  3. Attiva 2FA via app, non via SMS.

  4. Ricevi notifiche istantanee per movimenti e login.

  5. Usa password uniche e robuste con un gestore affidabile.

  6. Aggiorna sistema operativo e app: i malware sfruttano telefoni obsoleti.

  7. Blocca installazioni da fonti sconosciute su Android.

  8. Diffida dei numeri da richiamare riportati negli SMS.

  9. Condividi esempi di smishing con familiari e amici per aumentarne la consapevolezza.

  10. Segnala sempre gli SMS sospetti: aiutano banche e forze dell’ordine a chiudere più rapidamente le campagne.

Un fenomeno in crescita nel 2025

Lo smishing di nuova generazione è più pericoloso che mai: spoofing perfetto del mittente, pagine clone indistinguibili, catene combinate di SMS e telefonate, distribuzione di malware bancari via link. L’ACN e la Polizia Postale registrano numeri in costante aumento e confermano che la vera arma di difesa è la consapevolezza.

In sintesi: non fidarti mai di SMS che chiedono credenziali o OTP, non cliccare link sospetti, usa solo canali ufficiali e segnala sempre. In un’epoca di truffe digitali sempre più sofisticate, la prudenza resta la tua miglior protezione.