In questi giorni UniCredit sta avvisando i propri clienti della circolazione di falsi messaggi SMS che sembrano provenire dai sistemi della banca: è una truffa di smishing.

In realtà, i criminali utilizzano tecniche di spoofing per falsificare il numero del mittente. In questo modo l’SMS appare del tutto legittimo e il destinatario è più incline a fidarsi.

A rendere la truffa smishing a tema UniCredit ancora più efficace è il tono urgente del testo, che spesso parla di blocchi imminenti al conto o di verifiche da effettuare subito, così da spingere la persona ad agire senza riflettere.

Le truffe informatiche, infatti, sono in continua evoluzione e una delle più insidiose si manifesta proprio tramite SMS.

Questo fenomeno, noto come smishing, sfrutta un canale di comunicazione familiare e apparentemente sicuro per colpire direttamente gli utenti, inducendoli a compiere azioni inopportune.

Un messaggio breve e convincente, costruito per apparire autentico, spinge la vittima a cliccare su link fraudolenti o a condividere informazioni riservate.

Anche gli utenti di Intesa Sanpaolo a rischio truffa

Il meccanismo dello smishing è tanto semplice quanto pericoloso.

Un cliente riceve un SMS che lo invita a cliccare su un link o a fornire codici di sicurezza. Il sito a cui si accede riproduce in modo quasi perfetto l’interfaccia ufficiale della banca e questo basta per convincere molti utenti a inserire le proprie credenziali.

Da quel momento i truffatori hanno in mano gli strumenti necessari per disporre operazioni non autorizzate, come bonifici verso conti offshore, con danni immediati e spesso difficili da recuperare.

Un caso concreto è quello della truffa a tema Intesa Sanpaolo, segnalato su LinkedIn da Stefano Gazzella, autore di Cybersecurity360, che chiarisce ancora meglio il funzionamento di queste tipologie di truffe.

Lo stesso Gazzella ha ricevuto un messaggio con il mittente “IntesaSP”, che recita: “Accesso effettuato alle 09:56 da un nuovo dispositivo. Se non sei stato tu verifica al: [link]”.

Il testo riproduce fedelmente lo stile di un avviso di sicurezza. La strategia è far credere alla vittima che qualcuno abbia effettuato un accesso non autorizzato al proprio conto. Il messaggio genera allarme e spinge a cliccare immediatamente sul collegamento fornito.

Quel link, però, non porta al sito ufficiale di Intesa Sanpaolo, ma a un dominio che imita l’interfaccia della banca.

Inserendo credenziali e codici dispositivi su quella pagina, l’utente li consegna direttamente ai criminali.

Da lì, i truffatori possono accedere realmente al conto corrente e disporre operazioni a danno della vittima.

Smishing a tema UniCredit: il ruolo decisivo dell’utente

È ancora la UniCredit nel suo messaggio di allerta sulla truffa smishing a ricordare ai propri clienti che nessun operatore chiederà mai via SMS o telefono di predisporre bonifici o di comunicare codici dispositivi.

Questa consapevolezza è il primo passo per smascherare la frode. L’indicazione è chiara: non fidarsi di messaggi che sollecitano azioni urgenti, non cliccare su collegamenti sospetti e, in caso di dubbi, rivolgersi solo ai canali ufficiali, come il numero verde dedicato all’assistenza.

Nonostante le banche investano continuamente in sistemi di protezione avanzati, i criminali preferiscono colpire l’anello più vulnerabile della catena, cioè l’essere umano.

Un messaggio ben studiato può aggirare anche la migliore infrastruttura tecnologica se il destinatario cade nell’inganno. Per questo motivo l’arma più efficace resta la consapevolezza.

Informarsi, mantenere la calma di fronte a comunicazioni sospette e adottare comportamenti prudenti sono i passi fondamentali per difendersi. Ogni cliente che impara a riconoscere i segnali tipici di una truffa contribuisce non solo a proteggere sé stesso, ma anche a rendere più sicuro l’intero ecosistema digitale.

Non è un caso che UniCredit abbia scelto di concludere il suo avviso con un messaggio diretto e potente: “l’antifrode più efficace puoi essere tu”.