Ormai a mandarci sms sono solo gli anziani parenti o i truffatori. Sì, scherziamo, ma fino a un certo punto.
Negli ultimi anni gli sms truffa – lo “smishing”, cioè il phishing via SMS – sono diventati uno dei canali preferiti dai criminali per rubare credenziali bancarie, dati personali e soldi. Nel report 2025 sulle campagne malevole, il Cert-AgID segnala 3.620 campagne registrate in un anno, con un aumento di circa il 55% degli attacchi diretti ai dispositivi Android: molte infezioni partono proprio da link ricevuti via SMS. Le esche più usate restano ordini e spedizioni, home banking, multe, pagamenti e finti avvisi della pubblica amministrazione.
Attenzione, il pericolo non riguarda solo i consumatori ma anche le aziende. Un sms truffa può servire anche come cavallo di troia per informazioni sensibili sul lavoro.
Di seguito passiamo in rassegna 25 tipologie di sms truffa particolarmente pericolose (alcuni segnalati oggi da un report Panda Security) e poi vediamo come riconoscerli, denunciarli e ridurre il rischio di cadere in trappola.
Indice degli argomenti
Perché gli sms truffa funzionano ancora nel 2026, lo smishing
La Polizia Postale definisce lo smishing come una dinamica in cui l’utente riceve un SMS apparentemente da un mittente affidabile (banca, corriere, ente pubblico), con un link che porta a un sito contraffatto dove vengono richiesti credenziali o dati di pagamento.
Ci sono almeno tre fattori che rendono questi messaggi insidiosi:
- l’SMS è percepito come più “istituzionale” di una mail;
- i truffatori sfruttano contesti reali (un pacco in arrivo, un bonifico appena fatto, una delivery che stiamo aspettando);
- la lettura avviene spesso in mobilità, con poca attenzione, su schermi piccoli.
Con l’aiuto dell’intelligenza artificiale, i messaggi sono sempre più corretti dal punto di vista linguistico e grafico, quindi i vecchi campanelli d’allarme (errori di ortografia, italiano sgangherato) non bastano più.
Le 25 truffe via SMS più pericolose (con scenari reali)
Vediamo 25 casi, tratti da report delle autorità in materia, di analisti di settore e dall’esperienza di Cybersecurity360.
Pacchi e consegne
- Finti problemi di consegna: corrieri e Poste Italiane
È lo schema oggi più diffuso: un SMS apparentemente proveniente da un corriere o da Poste Italiane segnala un problema nella consegna di un pacco (“indirizzo incompleto”, “tassa di sdoganamento”, “firma mancante”). Il link rimanda a un sito clonato del corriere o di Poste, dove vengono richiesti dati personali e i dati della carta.
Il Cert-AgID ha documentato diverse campagne di smishing a tema Poste: un falso avviso di consegna con link a un sito che riproduce il portale ufficiale e punta a sottrarre credenziali e dati di pagamento.
Messaggio tipo:
“Poste: il tuo pacco è in giacenza per tassa di spedizione non pagata. Regolarizza ora per evitare il reso: [link sospetto]”
Pagamenti, pedaggi e sanzioni
- Pedaggi autostradali, Ztl e parcheggi non pagati
Qui la leva è l’importo basso e la minaccia di una penale immediata: un presunto pedaggio non saldato, un parcheggio, un accesso in Ztl. Recenti report del Cert-AgID hanno registrato campagne di smishing che abusano del marchio di Autostrade per l’Italia per sollecitare il pagamento di pedaggi inesistenti.
Messaggio tipo:
“Avviso: pedaggio A1 non pagato di 3,25 €. Paga subito per evitare sanzioni: [link sospetto]”
- Multe e falsi avvisi PagoPA
È una variante sempre più aggressiva: messaggi che imitano notifiche PagoPA o della polizia locale su presunte sanzioni stradali. Molte campagne oggi viaggiano via mail e pec, ma lo schema è perfettamente riutilizzabile via SMS (e in alcuni casi lo è già, con link che reindirizzano a pagine di pagamento false).
Messaggio tipo:
“PagoPA: sollecito pagamento multa n. [xxxxxx]. Importo 79,40 €. Pagare entro 24h per evitare ulteriori sanzioni: [link]”
Relazioni, lavoro e investimenti
- Numero sbagliato che diventa “amicizia” e investimento
Truffa lenta e relazionale. Parte da un messaggio dal tono innocuo (“Ciao, sei Luca?”). Se rispondi, l’interlocutore si scusa e continua a scriverti, costruendo fiducia. Dopo giorni o settimane, arriva il “consiglio” su un investimento, spesso in criptovalute o su piattaforme non regolamentate.
L’obiettivo è portarti fuori dai canali regolati verso app e siti che non offrono alcuna garanzia, o sono veri e propri schemi di truffa.
Messaggio tipo:
“Ciao, sei Leonardo? Scusa, numero sbagliato… sembri una persona gentile, che lavoro fai?”
- Finti recruiter e offerte di lavoro “facili”
Qui il gancio è un lavoro da remoto, con orari flessibili e guadagni apparentemente rapidi: recensire hotel, valutare app, mettere “like” a contenuti. All’inizio arrivano piccoli pagamenti per rendere credibile lo schema, ma per “sbloccare” compensi più alti o ritirare i guadagni ti viene chiesto di versare commissioni, comprare crediti o ricaricare un wallet.
Dopo il versamento, il recruiter sparisce.
Messaggio tipo:
“Congratulazioni! Sei stato selezionato per un lavoro da remoto. Guadagna 200–300 € al giorno recensendo hotel. Inizia ora: [link]”
Banche, carte e account
- Falsi avvisi di frode bancaria
La leva è l’ansia per il conto corrente. Il messaggio parla di “accesso sospetto”, “transazione bloccata”, “carta congelata”. Ti invita a cliccare su un link o a chiamare un numero, dove un finto operatore chiede credenziali, codici OTP o di installare app di “controllo remoto”.
Le campagne monitorate dal Cert-AgID mostrano che il tema “banking” è tra i più usati per phishing e smishing, spesso con l’obiettivo di distribuire malware bancari per Android e Windows.
Messaggio tipo:
“Intesa: rilevata attività anomala sul tuo conto. Verifica entro 30 minuti per evitare il blocco: [link]”
- Verifica del conto e “aggiornamento dati”
È una versione più “soft” della truffa precedente. Nessun allarme, ma un invito a confermare i dati “per motivi di sicurezza” o per “adeguamento PSD2”. Di solito imitano banche, Nexi, circuiti di pagamento.
Messaggio tipo:
“Gentile cliente, per continuare a operare in sicurezza aggiorna i dati del tuo profilo entro oggi: [link]”
- Finti codici di autenticazione a due fattori
Ricevi un SMS con un codice OTP che non hai richiesto, accompagnato da un link per “bloccare l’accesso non autorizzato” o un numero da chiamare. Lo scopo è farti interagire con il link o con il finto help desk, dove ti verranno chiesti altri codici (quelli veri) o i dati della carta.
Messaggio tipo:
“Il tuo codice di verifica per [servizio] è 123456. Se non l’hai richiesto, proteggi subito il tuo account qui: [link]”
Abbonamenti finti e sms truffa
- Account e servizi digitali con problemi di pagamento
Si sfruttano servizi che molti usano davvero (streaming, cloud, abbonamenti digitali). Il messaggio annuncia che il pagamento non è andato a buon fine, o che la carta è scaduta. Il link porta a una pagina di login identica a quella del servizio, ma controllata dai truffatori.
Messaggio tipo:
“[Netflix] Il pagamento del tuo abbonamento non è andato a buon fine. Aggiorna subito i dati della carta per evitare la sospensione: [link]”
- Rinnovi di abbonamenti a prezzi gonfiati
Versione “al contrario” dello schema precedente: il messaggio annuncia il rinnovo automatico a una cifra esagerata (antivirus, VPN, software di ottimizzazione). Cliccando sul link per “annullare” il rinnovo, l’utente finisce su un portale di phishing.
I report settimanali del Cert-AgID segnalano da tempo il tema “rinnovo” tra quelli più usati per campagne di phishing, soprattutto verso servizi di hosting e domini; non c’è ragione perché lo stesso schema non venga replicato anche via SMS.
Messaggio tipo:
“Il tuo abbonamento a [servizio] si rinnoverà oggi a 99,99 €. Clicca qui per annullare il rinnovo: [link]”
Premi, rimborsi truffa
- Premi, concorsi e gift card
Promesse di gift card Amazon, buoni carburante, smartphone vinti: un grande classico. Per “riscattare” il premio, il link porta a pagine che chiedono dati personali, coordinate bancarie o il pagamento di una piccola “commissione di spedizione”.
Messaggio tipo:
“Complimenti! Sei stato selezionato per una gift card Amazon da 100 €. Conferma qui il tuo premio entro oggi: [link]”
- Finti rimborsi fiscali, Agenzia delle Entrate, canone Rai
Messaggi che si spacciano per comunicazioni dell’Agenzia delle Entrate o di enti locali e parlano di rimborsi fiscali, canone Rai, agevolazioni. Molte campagne si sono mosse soprattutto via mail, ma i modelli sono ormai riciclati anche via SMS o chat: si promette un rimborso e si chiede di cliccare su un link per inserire dati personali e della carta.
Messaggio tipo:
“Agenzia Entrate: ti è stato riconosciuto un rimborso canone TV di 187 €. Inserisci i dati per l’accredito: [link]”
- Falsi prestiti agevolati e cancellazione del debito
Nella versione statunitense si parla spesso di prestiti studenteschi; in Italia, gli schemi più simili riguardano prestiti personali, rinegoziazioni del debito, “programmi speciali” di cancellazione di finanziamenti. Il messaggio invita a sfruttare una finestra temporale molto breve per aderire.
Messaggio tipo:
“Ultimo avviso: la tua richiesta di riduzione del debito è stata approvata. Conferma i dati entro oggi per non perdere i benefici: [link]”
- Pagamenti in eccesso e rimborsi
Si parte dall’idea di un rimborso legittimo: un pagamento effettuato due volte, un conguaglio di bolletta, una tassa pagata in eccesso. In realtà si arriva a un portale fake dove vengono chiesti IBAN, dati di carta o credenziali di home banking.
Messaggio tipo:
“Hai versato 49,90 € in più per la tua ultima bolletta. Per ricevere il rimborso compila il modulo: [link]”
- Falsi recuperi crediti
Qui il registro è molto più aggressivo. Il messaggio si presenta come proveniente da una società di recupero crediti, cita importi e scadenze e minaccia segnalazioni alle centrali rischi o azioni legali. La pressione psicologica spinge alcuni utenti a pagare anche quando sanno di non avere debiti.
Messaggio tipo:
“URGENTE – Ultimo avviso per debito in sospeso di 312,70 €. In mancanza di pagamento procederemo con azione legale. Regolarizza ora: [link]”
Criptovalute
- Avvisi su criptovalute e piattaforme di trading
Con l’aumento degli investimenti retail in crypto e trading, proliferano sms che promettono rendimenti altissimi o segnalano presunti blocchi del wallet. Il link rimanda a piattaforme clone o a falsi servizi di assistenza che puntano a farsi consegnare seed phrase e credenziali del portafoglio.
Messaggio tipo (promessa di guadagni):
“[CryptoNews] Gli analisti prevedono forti rialzi per [nome token]. Entra nel gruppo VIP e inizia subito: [link]”
Messaggio tipo (finta assistenza):
“Avviso sicurezza: il tuo wallet crypto è stato limitato. Verifica i dati per evitare la chiusura: [link]”
Utenze e sms truffa
- Interruzione di utenze: luce, gas, telefono, internet
Un altro filone stabile: bollette in ritardo, distacchi imminenti, contatori “a rischio sospensione”. Il link porta a portali di pagamento fasulli. La minaccia di restare senza luce, gas o connessione spinge molte vittime ad agire d’impulso.
Messaggio tipo:
“Avviso urgente: la tua fornitura elettrica sarà sospesa per mancato pagamento. Effettua subito il saldo: [link]”
- Sms inviati da dirigenti o colleghi
Il truffatore si spaccia per un dirigente, un responsabile di filiale, un collega “in trasferta”. Il messaggio chiede di comprare carte regalo, fare un bonifico urgente o condividere dati riservati.
È particolarmente insidioso se l’SMS finisce dentro un thread esistente con messaggi veri (per via dello spoofing del mittente).
Messaggio tipo:
“Ciao, sono [Nome CEO]. Ho bisogno subito di 10 gift card da 100 € per un cliente. Comprale e inviami foto dei codici. Ti rimborso più tardi.”
Banche, telefonia, sanità, servizi digitali: i messaggi truffa più credibili
- Riattivazione di account e identità digitali (social, SPID, Io, email)
Messaggi su sospensione o blocco temporaneo di un account: social network, email, SPID, app IO, servizi cloud. L’utente viene spinto a cliccare su un link per “riattivare” il profilo, che in realtà è una pagina di phishing.
Il Cert-AgID ha documentato varie campagne di phishing a tema SPID e identità digitale; in molti casi il vettore è l’email, ma lo stesso schema viene replicato via SMS e messaggistica.
Messaggio tipo:
“SPID sospeso per verifica documenti scaduti. Accedi qui per aggiornare la documentazione entro 24 ore: [link]”
- Sms che sembrano arrivare dal tuo stesso numero
È forse la variante più inquietante. A causa dello spoofing del numero mittente, l’SMS sembra spedito dal tuo stesso cellulare, o compare nello stesso thread dei messaggi legittimi della banca o del corriere.
Il testo parla di cambio password, accessi sospetti o reimpostazione delle credenziali. Vedere il proprio numero come mittente induce molti utenti a considerare il messaggio “garantito”, e quindi a cliccare sul link senza riflettere.
Messaggio tipo:
“È stata richiesta la reimpostazione della password del tuo account. Se non sei stato tu, verifica subito qui: [link]”
- Finti acquirenti e venditori sui marketplace (Subito, Vinted, ecc.)
Qui l’aggancio è una compravendita reale: hai messo un annuncio su un marketplace o stai acquistando qualcosa. Poco dopo arriva un SMS (o un messaggio con link via chat) che ti invita a “confermare il pagamento” o a inserire i dati della carta per ricevere i soldi.
In realtà il link porta a una finta pagina che imita il sito del marketplace e chiede di inserire dati della carta o credenziali di home banking “per ricevere l’accredito” o “attivare la spedizione sicura”.
Esempio:
“Subito.it: l’acquirente ha inviato il pagamento per il tuo oggetto. Conferma e ricevi 250 € sul tuo conto: [link sospetto]”
- Truffe con codici di verifica “inviati per errore” (WhatsApp, Telegram, ecc.)
Questo schema sfrutta i veri SMS di verifica delle app di messaggistica. Il criminale tenta di registrare un account WhatsApp/Telegram col tuo numero, tu ricevi il codice via SMS e subito dopo arriva un messaggio (via chat o SMS) che chiede di “inoltrare il codice arrivato per errore”.
Se glielo invii, gli consegni il controllo del tuo account, che verrà poi usato per truffare i tuoi contatti con richieste di soldi, link malevoli e altro.
Esempio:
“Ciao, ti ho mandato per sbaglio un codice via SMS, me lo puoi girare? Devo completare l’accesso, è urgente 🙏”
- Falsi messaggi sanitari: ticket, referti, Green Pass “di ritorno”
Altro filone: SMS che fingono di provenire da Asl, farmacie, laboratori analisi o dal sistema sanitario nazionale. Si parla di referti pronti, ticket non pagati, aggiornamenti di esenzioni, fino ai “ritorni” delle truffe a tema Green Pass.
Il link porta a portali fake dove vengono chiesti codici fiscali, dati di carta o credenziali SPID “per scaricare il referto” o “pagare il ticket”.
Esempio:
“ASL: il referto del tuo ultimo esame è disponibile. Per consultarlo e pagare il ticket clicca qui: [link sospetto]”
- Finti bonus e omaggi degli operatori telefonici
In questo caso i truffatori imitano il tuo operatore mobile: ti promettono giga illimitati, sconti sulla bolletta, smartphone in regalo o “premi fedeltà”.
Per ottenere il bonus devi cliccare su un link e inserire credenziali dell’area clienti o i dati di pagamento “per attivare l’offerta”. L’obiettivo è rubare credenziali o agganciare abbonamenti premium non richiesti.
Esempio:
“[Operatore]: in quanto cliente fedele hai diritto a 100 GB gratis al mese per 12 mesi. Attiva ora l’offerta esclusiva: [link sospetto]”
- Falsi supporti tecnici (Apple, Google, Microsoft, banco online)
Qui il messaggio sembra arrivare dal supporto tecnico di Apple, Google, Microsoft o del tuo servizio di home banking. Si parla di problemi di sicurezza, backup bloccati, accessi sospetti all’ID Apple / account Google / conto online.
Nel testo ti invitano a:
cliccare su un link per “reimpostare” la password,
scaricare un’app di “assistenza remota”,
o condividere un codice di ripristino/account.
Tutte operazioni che, in realtà, consegnano il controllo dell’account o del dispositivo al criminale.
Esempio:
“Apple ID: abbiamo rilevato un accesso non autorizzato al tuo account. Verifica la tua identità e ripristina la password qui: [link sospetto]”
Riconoscere uno smishing in pochi secondi
L’uso di AI rende i messaggi sempre più credibili, ma alcuni segnali restano utili per riconoscere lo smishing:
Messaggi fuori contesto
Ti arriva un SMS su un pacco che non aspetti, una banca con cui non hai conti, un rimborso che non hai mai richiesto, un lavoro a cui non ti sei candidato. È il primo campanello d’allarme.
Urgenza e minacce
Frasi come “entro 24 ore”, “altrimenti il conto verrà bloccato”, “ultima possibilità per evitare azione legale” servono a spingerti a cliccare senza pensare. Polizia Postale e CERT-AgID ribadiscono da anni che la fretta è uno strumento di manipolazione, non una reale procedura di sicurezza.
Numeri strani o troppo corti
Molte campagne usano numeri brevi (5-6 cifre) o mittenti alfanumerici insoliti. Il problema è che lo spoofing permette anche di “rubare” la denominazione di mittenti legittimi (Poste, banca, corriere). Quindi un mittente corretto è necessario, ma non sufficiente, per considerare il messaggio autentico.
Incoerenze nel brand
Oggi gli errori di grammatica sono meno frequenti, ma restano frequenti incongruenze nel nome dell’azienda, nel logo o nello stile del messaggio. Istituti bancari ed enti pubblici usano formule standard e link a domini ufficiali: tutto ciò che non coincide deve far alzare le antenne.
Link sospetti o accorciati
Bit.ly, tinyurl, domini con lettere sostituite (AMAZ0N invece di AMAZON), URL lunghi e confusi, domini di primo livello poco usati (.top, .xyz, .info in contesti dove ti aspetteresti un .it o .com).
Regola pratica: per i servizi critici (banca, posta, PA) non cliccare mai sul link nell’SMS. Apri l’app ufficiale o digita l’indirizzo del sito a mano.
Sms truffa: cosa fare, denuncia e prevenzione
Cosa fare se ricevi un SMS sospetto:
- Non cliccare sul link e non scaricare allegati o app.
- Non rispondere al messaggio, nemmeno per scrivere “smettila” o “cancellami”: confermeresti che il numero è attivo.
Verifica su un altro canale:
- se è la banca, chiama il numero sul retro della carta o usa il numero ufficiale dal sito;
- se è il corriere, controlla lo stato della spedizione dall’app o dal tracking ufficiale;
- se è un familiare, richiamalo o scrivigli su un altro canale.
Segnala e blocca
- puoi segnalare i tentativi di smishing al Commissariato di PS online (Polizia Postale) tramite il portale ufficiale o recandoti in una sede di Polizia di Stato;
- in molti casi è utile anche segnalare al proprio operatore telefonico, come suggerito da diverse guide di educazione digitale.
Blocca il mittente sul telefono
su iPhone, dall’app Messaggi, apri la conversazione, tocca l’icona del contatto in alto e scegli “Blocca contatto”;
su Android, nell’app Messaggi, tieni premuta la conversazione e usa la funzione “Blocca / Segnala come spam”.
Bloccare il numero non ferma i criminali, ma riduce il rumore e contribuisce alle segnalazioni aggregate che permettono agli operatori di intervenire.
Cosa fare se hai già cliccato o inserito dati
Se ti accorgi di aver interagito con un SMS truffa, è importante intervenire rapidamente:
Se hai inserito credenziali o codici bancari: contatta subito la banca o l’emittente della carta tramite i canali ufficiali, chiedi il blocco dei mezzi di pagamento e verifica le ultime operazioni.
Se hai scaricato un’app da un link nell’SMS (file .apk): potresti aver installato un malware, in particolare sui dispositivi Android. Il report CERT-AgID 2025 sottolinea che molte campagne di smishing sono usate per distribuire trojan bancari e spyware mobile.
disinstalla subito l’app sospetta;
esegui una scansione con una soluzione di sicurezza affidabile;
se possibile, esegui un backup dei dati importanti e valuta un ripristino alle impostazioni di fabbrica.
Se hai fornito documenti o dati personali: tieni monitorato il tuo home banking, le comunicazioni da parte della banca e valuta di attivare alert su movimenti e bonifici. In caso di addebiti illeciti, la denuncia alla Polizia Postale è fondamentale per documentare la frode.
Come ridurre il rischio: buone pratiche e strumenti
Oltre all’attenzione quotidiana, ci sono alcune misure strutturali che aiutano a esporti meno alle truffe via SMS:
- Limitare il marketing: disiscriviti dalle comunicazioni promozionali non indispensabili; meno messaggi legittimi ricevi, più è facile notare quelli sospetti.
- Filtri antispam per SMS: sia iOS sia Android offrono funzioni di filtro per mittenti sconosciuti e sms potenzialmente indesiderati; attivarle riduce il numero di messaggi che arrivano in chiaro.
- App di sicurezza mobile: soluzioni di mobile security affidabili (antivirus + antiphishing) riconoscono molti link malevoli, bloccano l’accesso a siti di phishing e possono rilevare app infette prima che rubino dati o credenziali. I recenti report su campagne smishing che installano malware bancari su Android mostrano che una protezione di questo tipo non è più un optional.
- Aggiornamenti regolari: mantenere sistema operativo e app aggiornati riduce la superficie d’attacco, soprattutto contro malware che sfruttano vulnerabilità note.
- Formazione continua: soprattutto in azienda, ha senso includere lo smishing nelle attività di awareness, con esempi reali, simulazioni e procedure chiare su come segnalare un SMS sospetto arrivato sul telefono personale ma legato a contesti di lavoro (finti messaggi del “capo”, di fornitori, di banche aziendali).
