Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

minacce emergenti

Come evolvono le truffe telefoniche in Italia

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Sempre più impeccabili nei contenuti e sempre più mirate. Un’ondata di telefonate a cui seguono messaggi WhatsApp aiuta a comprendere il nuovo corso delle truffe telefoniche e quali strumenti usare per scongiurare il peggio

Pubblicato il 17 feb 2026
Giuditta Mosca

Giornalista, esperta di tecnologia

Come cambiano le truffe telefoniche
wallpaperflare.com

Al centro della campagna di truffe telefoniche c’è la utility Octopus Energy che è a sua volta vittima involontaria dei criminali.

Una campagna che ridisegna il paradigma secondo cui i truffatori si esprimono in un italiano improbabile e redigono messaggi, email e testi di siti web in modo claudicante.

La fase in cui una truffa poteva essere sventata partendo da errori grammaticali si sta esaurendo, lasciando il posto a comunicazioni impeccabili che sono sempre più difficili da classificare come raggiri.

Non è la prima volta che i criminali usano il telefono come vettore, ma sono in corso cambiamenti inediti.

Con il supporto di Enrico Frumento, Cybersecurity Research Lead di Cefriel, smontiamo questa truffa pezzo per pezzo e approfondiamo quali misure attuare per non cadere in trappola.

Truffe online sfruttano la condivisione schermo di WhatsApp: come difendersi

Come evolvono le truffe telefoniche

Per capire le tattiche più rilevanti occorre ripercorrere brevemente come si svolge la truffa a tema Octopus Energy.

Tutto inizia con una telefonata che ha tutti gli elementi per essere autorevole: proviene da un numero italiano e l’interlocutrice, che dichiara di lavorare per Octopus Energy, si esprime in modo impeccabile. Conosce già i dati personali della vittima, della quale è in grado di elencare nome, cognome e ubicazione della fornitura elettrica.

L’interlocutrice sostiene che, per via di guasti nella zona del cliente, è urgente trasferire i pagamenti a un partner terzo, paventando l’ipotesi di un blackout. Ritorna quindi il tema dell’urgenza che, tipicamente, è una delle peculiarità che caratterizza le truffe. Per aumentare la credibilità, i truffatori fanno ricorso a un elemento che dovrebbe indurre sicurezza nella vittima. L’operatrice fornisce un codice numerico (in questo caso 2020, come da immagine qui sotto) che, dice, sarà utile per identificare il collega che effettuerà una seconda chiamata finalizzata alla modifica delle coordinate bancarie.

La procedura include quindi un messaggio WhatsApp inviato da un profilo accompagnato da un nome e un logo, elementi che a loro volta infondono fiducia.

L’aspetto interessante è che il codice 2020 serve al cliente per riconoscere l’operatore Octopus Energy che effettuerà la seconda telefonata e non il contrario: di norma sono le aziende a doversi sincerare di essere al telefono con l’intestatario di un contratto e non viceversa.

L’obiettivo della truffa

Poiché la vittima ha mangiato la foglia, la truffa non è andata a buon fine. “L’obiettivo finale era ottenere l’attivazione di un RID (Rapporto Interbancario Diretto) sul conto della vittima”, spiega Enrico Frumento. “Ho verificato se Octopus Energy avesse subito violazioni di database recenti, ma non ci sono evidenze pubbliche. Questo, ovviamente, non esclude che sia accaduto. I dati in possesso degli attaccanti erano precisi: nome, cognome, paese di attivazione della fornitura ed ovviamente lo stato attivo del contratto”.

Frumento, che più volte si presta a diffondere i principi elementari della cyber cultura anche tramite il proprio profilo LinkedIn (qui una truffa andata a buon segno e qui un tentativo intercettato dalla potenziale vittima), riconosce una certa serialità in questo tipo di raggiri: “Lo schema segue una struttura ripetitiva ormai consolidata: arriva una telefonata, condotta da un operatore italiano, con un pretesto plausibile. Questa telefonata viene seguita da una seconda, condotta da un operatore diverso, sempre italiano, per chiudere l’operazione e ottenere i dati finali.

Tutti gli operatori sono madrelingua, professionali, addestrati a mantenere il tono anche sotto pressione o resistenze inattese. Probabilmente si tratta di call center abusivi più che di strutture di cybercrime tecnico, ma l’effetto sulla vittima alla fine è identico”.

Come difendersi

È la voce di Enrico Frumento a illustrare quali approcci sono propedeutici a evitare il peggio: “La difesa passa, per forza di cose, dalla formazione continua.

Conoscere come operano queste truffe, dalla loro struttura in due passaggi all’uso sbagliato del sistema dei codici di verifica, fino allo spostamento su canali alternativi come WhatsApp, riduce in modo netto la probabilità di successo dell’attacco.

La barriera più efficace resta la consapevolezza pratica: cosa osservare, cosa evitare e come rispondere prima che la conversazione prenda slancio”.

L’elenco che segue, scritto dall’esperto, ripercorre tanto le generalità di simile truffe quanto gli strumenti per non cadere in trappola.

  • Lo schema si apre quasi sempre con una frase, pronunciata con confidenza o autorità: “La contattiamo dal suo fornitore”, seguita da un pretesto generico relativo a un determinato problema, aggiornamento o scadenza importante. Poi, arriva la richiesta utile per poter scalare: la prima è la conferma dei dati, seguita dalla richiesta del POD e dell’IBAN o alle volte dalla richiesta di fare una registrazione vocale. La parte davvero rischiosa emerge spesso dopo, quando la fiducia è già stata costruita.
  • Non fornire mai informazioni in risposta alle chiamate in entrata. Invertire il flusso: chiedere voi i dati verificabili all’interlocutore. Non confermare né correggere alcun dato.
  • Non rispondere con “sì” o “confermo” a domande generiche sull’identità. Queste registrazioni possono essere riutilizzate.
  • Segnalare il tentativo all’azienda impersonata, non solo alle autorità. Le aziende possono allertare altri clienti. Le forze dell’ordine raramente aprono indagini su singoli tentativi.
  • Fate caso alla cosiddetta asimmetria informativa. L’operatrice sa tutto della vittima, ma non fornisce un codice cliente verificabile, non invita a richiamare un numero ufficiale e non manda comunicazione scritta preventiva.
  • Verificare i numeri chiamanti tramite Google è inefficace. Sono SIM usa e getta o numeri con recensioni artificiali.
  • Salvare in rubrica solo i contatti ufficiali indicati nei contratti firmati e capire come il fornitore vi contatta. Usare esclusivamente quelli per le comunicazioni con il fornitore.

Poiché le truffe telefoniche e quelle online sono accomunate da una situazione d’urgenza creta ad arte per causare una reazione immediata (e quindi non riflessiva) della vittima, è importante sapere che – a prescindere da ogni altro elemento che può indurre a pensare di essere vittime di raggiri – non c’è una situazione tanto urgente che merita di essere comunicata per telefono da istituti di credito, fornitori di energia, compagnie di assicurazioni o qualsiasi altro fornitore.

La posizione di Octopus Energy

Abbiamo contattato Octopus Energy per avere alcuni chiarimenti. Riportiamo la risposta così come la abbiamo ricevuta.

Resta il fatto che il targeting – ossia il fatto che tali telefonate vengono ricevute da clienti di Octopus Energy – pone interrogativi irrisolti.

Al momento attuale non risultano violazioni note che coinvolgono l’azienda questo, però, non significa che Octopus non ne sia stata vittima né, tantomeno, esclude l’ipotesi che alcune procedure interne risultino perfettibili.

“Sono assolutamente tentativi di truffa – fa sapere Octopus Energy – quello che dicono non è vero e vogliamo essere chiari: Octopus Energy è dalla tua parte. Non forniamo i dati dei nostri clienti ad altri fornitori né ad aziende che fanno chiamate commerciali. Non lo abbiamo mai fatto, perché non è giusto verso i clienti e, tra l’altro, non avrebbe alcun senso per noi come azienda, nemmeno dal punto di vista commerciale.

Le chiamate che ricevi non dipendono da Octopus. Nella maggior parte dei casi i contatti utilizzati da questi soggetti circolano da anni, a causa di pratiche scorrette diffuse nel passato. In altri casi il problema è legato a vulnerabilità di sistemi centrali del settore energia che non dipendono dai singoli fornitori, ma che possono essere sfruttate da soggetti poco corretti.

A questo si aggiunge il ruolo del SII (Sistema Informativo Integrato), un sistema pubblico gestito da Acquirente Unico, società interamente controllata dallo Stato, che i fornitori sono obbligati per legge a utilizzare per operazioni come il cambio di fornitore. È uno strumento che oggi presenta oggettive lacune di sicurezza e che richiede maggiore attenzione e interventi da parte delle autorità e del Garante della Privacy. Il fatto che sia un sistema pubblico non può giustificare compromessi sulla tutela dei dati dei cittadini.

Il fenomeno è amplificato anche dal contesto di mercato. Negli ultimi dieci anni milioni di persone hanno iniziato a cambiare fornitore: per fare un esempio concreto, un operatore storico come Enel ha perso circa 12 milioni di clienti in dieci anni. In questo scenario c’è un doppio incentivo per chi ha dominato il mercato per anni: da un lato rendere il mercato meno chiaro e sicuro, così che le persone abbiano paura di cambiare; dall’altro tentare in modo sempre più aggressivo di riportare indietro clienti persi oggi o anche in passato. Nulla di tutto questo è accettabile, ma aiuta a capire perché le chiamate si concentrino proprio dopo un cambio di fornitore.

Su questo tema non stiamo a guardare. Stiamo lavorando attivamente per contrastare queste pratiche, collaborando con le autorità e attraverso il nostro Manifesto, che raccoglie 10 azioni concrete per rendere il mercato energetico più corretto e sicuro”, conclude la utility.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Giuditta Mosca
Giornalista, esperta di tecnologia
Giornalista, esperta di tecnologia

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Interazione DSA GDPR_shutterstock_2573650401; Quando il dato viaggia chiuso: perché il corriere non è né titolare né responsabile del trattamento; Digital omnibus, il parere di EDPB ed EDPS: verso una massiccia semplificazione del GDPR

  • La proposta

    EDPB ed EDPS sul Digital omnibus: verso una massiccia semplificazione del GDPR

    12 Feb 2026

    di Chiara Ponti

    Condividi
  • WhatsApp data breach

  • data breach

    Fuga di dati WhatsApp, perché è giusto preoccuparsi

    20 Nov 2025

    di Dario Fadda

    Condividi
  • Virtualizzazione dei server: vantaggi per il business

  • data center

    Virtualizzazione dei server: vantaggi per il business

    04 Apr 2025

    di Alessia Valentini

    Condividi
  • Privacy e dati: perché è un vantaggio competitivo

  • gdpr

    Quando l’“altro dipendente” diventa terzo: le responsabilità privacy nelle organizzazioni

    18 Feb 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
0
Lascia un commento, la tua opinione conta.x