Smishing sempre più diffuso, il Garante lancia l’allarme e offre consigli per difendersi dalle truffe via SMS

Il phishing corre sugli smartphone e cambia forma, diventando smishing. Una truffa digitale sempre più insidiosa che utilizza SMS e app di messaggistica istantanea per carpire dati personali, codici bancari e informazioni sensibili. Il Garante per la protezione dei dati personali interviene con un vademecum utile a riconoscere il pericolo e proteggersi da frodi che possono prosciugare conti correnti e compromettere la sicurezza digitale degli utenti.

Smishing sempre più diffuso, il Garante lancia l’allarme e offre consigli per difendersi dalle truffe via SMS

Lo smishing – fusione tra “SMS” e “phishing” – è un attacco informatico che sfrutta la messaggistica testuale per indurre le vittime a cliccare su link malevoli, scaricare allegati infetti, o fornire dati sensibili come PIN, codici OTP, numeri di carte di credito e credenziali bancarie.

I messaggi sembrano provenire da fonti affidabili: banche, enti pubblici, società di spedizione, gestori di servizi. Spesso contengono toni perentori, avvisi di urgenze imminenti (blocco del conto, pagamento di multe, ritiro di pacchi) e richieste di azione immediata per “evitare danni”.

I rischi sono molteplici: cliccare può portare all’installazione di malware capaci di accedere ai dati conservati sullo smartphone o intercettare le comunicazioni tra utente e app bancarie. Nei casi più sofisticati, le truffe coinvolgono chiamate vocali da falsi operatori che estorcono informazioni fingendo assistenza.

La pericolosità dello smishing risiede nella sua capacità di sfruttare l’urgenza, l’emotività e la fiducia. I truffatori creano scenari credibili per spingere le vittime ad agire d’impulso. Offerte imperdibili, allarmi su conti compromessi, bollette non pagate o presunte multe imminenti sono solo alcuni esempi delle “esche” più comuni.

Spesso i messaggi presentano elementi che aumentano la credibilità, come l’uso del nome della banca o dell’ente pubblico, o addirittura l’invio da numeri simili a quelli istituzionali (tecnica nota come spoofing). Anche i social e le piattaforme di messaggistica possono diventare canali di attacco.

Il Garante per la privacy propone alcune semplici ma efficaci regole di comportamento:

- Mai condividere dati personali o bancari via SMS o messaggi. Nessuna banca o istituzione legittima richiederà PIN, password o codici OTP via messaggistica.
- Non cliccare su link sospetti o allegati da numeri sconosciuti. I link possono installare software dannosi o portare a siti truffaldini.
- Non rispondere a messaggi ambigui o intimidatori. Diffidare di testi che minacciano conseguenze urgenti o richiedono azioni immediate.
- Verificare le informazioni da fonti ufficiali. Prima di contattare numeri ricevuti via SMS, consultare i siti ufficiali o chiamare i numeri noti dei servizi clienti.
- Controllare regolarmente movimenti bancari e attivare alert automatici per essere informati in tempo reale su ogni operazione.
- Non salvare PIN e password sul telefono. In caso di malware, questi dati possono essere intercettati facilmente.
- Segnalare sempre eventuali truffe alla propria banca e alle forze dell’ordine. Agire rapidamente può limitare i danni e impedire ulteriori frodi.
- Lo smishing può camuffarsi dietro identità note: parenti, amici o enti con cui si hanno rapporti possono risultare “mittenti” di messaggi truffaldini. In questi casi è fondamentale fare attenzione a errori grammaticali o richieste fuori contesto, e verificare direttamente con il presunto mittente, utilizzando altri canali.