Abbonati

Economia e Finanza

Quotazioni

Risparmio e Investimenti

Fintech

Fisco e Tasse

Lavoro e Diritti

Imprese

Formazione Finanziaria

Attualità

Green

Lifestyle

Motori

Tecnologia

Progetti speciali

Video

Strumenti

Smishing, la truffa via SMS e notifiche: significato e come difendersi

Pasquale Conte

22 Febbraio 2026 - 13:25

Lo smishing è una delle truffe online più diffuse in assoluto. Ma cos’è? Come funziona? E soprattutto, come difendersi? Te lo spieghiamo in questa guida.

Smishing, la truffa via SMS e notifiche: significato e come difendersi

Al giorno d’oggi è diventato fondamentale saper riconoscere subito le truffe online, capire quali sono i campanelli d’allarme e soprattutto cosa si può fare per difendersi. Sia per prevenire eventuali frodi sia per correre ai ripari nel caso si venga colpiti.

In questa guida, parliamo nello specifico di smishing, una forma di phishing sempre più diffusa per la sua rapidità d’esecuzione e per il numero di vittime che colleziona ogni anno in tutto il mondo. Proprio nelle ultime settimane, c’è stato il caso di Nexi che ha fatto tornare a parlare.

Vediamo insieme di che cosa si tratta, come si diffonde, quali sono i segnali che dovrebbero farti venire sospetti e quali mosse attuare per la prevenzione e per la difesa.

leggi anche

1 miliardo di smartphone Android a rischio malware. Scopri se c’è anche il tuo
1 miliardo di smartphone Android a rischio malware. Scopri se c'è anche il tuo

Cos’è lo smishing

Lo smishing è una truffa digitale nata dall’unione delle due parole SMS e phishing. Emersa per la prima volta ad inizio anni 2000 con la diffusione dei primi telefoni cellulari, è esplosa a livello globale soprattutto nell’ultimo decennio con gli smartphone per la gestione della propria vita digitale e finanziaria.

Ci sono alcune importanti differenze rispetto al phishing. Quest’ultimo viene diffuso via email e spesso finisce nelle cartelle di spam grazie ai sistemi dei principali provider in rete, mentre lo smishing va a colpire un canale più diretto e personale.

Quando si riceve un SMS, di solito lo si apre quasi istantaneamente per leggerne il contenuto. E rispetto alle email, studi dicono che l’utente tende ad abbassare la guardia e a fidarsi.

C’è anche da considerare che, visto lo schermo di un telefono ridotto rispetto a quello di un computer, l’URL risulta più difficile da analizzare e quindi è più facile cliccarci sopra.

Lo stesso vale anche per l’intestazione del mittente che, a primo impatto, può risultare autentica. Tutto questo, unito al senso di urgenza e di panico tipico dello smishing, portano decine di migliaia di potenziali vittime a cadere nel tranello.

Come funziona lo smishing

Il funzionamento dello smishing punta molto sulla psicologia e sul senso di urgenza da instillare alla potenziale vittima. Il Commissariato di Polizia Postale Online ha pubblicato tempo fa una guida in merito, in cui divide la truffa in quattro fasi principali:

  1. L’inganno dell’identità: i criminali sfruttano dei software per camuffare il proprio numero, così che il telefono lo raggruppi insieme agli altri messaggi legittimi ricevuti dalla tua banca o da un corriere;
  2. L’esca emotiva: all’interno del messaggio, si fa leva su un senso di urgenza o di paura. Spesso ci sono avvisi di accessi non autorizzati o di conti da sospendere entro 24 ore. Tutte parole che spingono l’utente ad agire subito;
  3. La trappola tecnica: per fare il via alla truffa vera e propria, c’è un link di reindirizzamento che porta a una landing page clone, del tutto identica a quella originale. Qui è dove agiscono i truffatori per rubare i dati;
  4. Il furto dei dati: si arriva alla quarta e ultima fase, la più importante. Dopo che l’utente inserisce credenziali di accesso, queste vengono trasmesse ai criminali. Spesso viene chiesto anche un codice OTP via SMS che, se viene fornito, autorizza gli hacker a bonifici o acquisti.

leggi anche

I servizi segreti tedeschi lanciano un allarme hacker. A rischio anche i profili WhatsApp

I servizi segreti tedeschi lanciano un allarme hacker. A rischio anche i profili WhatsApp

Come riconoscere lo smishing

Le tecniche utilizzate da hacker e cybercriminali sono sempre più avanzate ma, nonostante questo, riconoscere un tentativo di smishing è possibile grazie ad alcuni elementi in comune tipici di queste frodi.

Per prima cosa, come accennato, fai sempre attenzione al tone of voice dell’SMS e al senso di urgenza. Se nel testo si legge di un’urgenza di agire immediatamente, magari per evitare il blocco di un conto, potrebbe trattarsi di truffa.

Dai poi un occhio al link inserito nel testo. Molto spesso, ci sono errori minimi che potrebbero farti scoprire tutto. Per esempio un dominio diverso da .it o .com, oppure errori di battitura.

Il vero campanello d’allarme è però la richiesta di dati sensibili. Nessuna banca o ente ti chiederà mai di inserire una password, un codice OTP o un pin su un link da cliccare. Sono informazioni che di norma si inseriscono solo nelle app ufficiali o sui siti digitati a mano.

Altri elementi sospetti sono gli errori di sintassi e di formattazione. Nel 2026 i malintenzionati li hanno ridotti al minimo, ma comunque potresti imbatterti in spaziature irregolari, caratteri speciali o punteggiatura che sembra tradotta automaticamente.

Infine, il mittente Alias. Se vedi che il messaggio sembra essere stato inviato da un brand noto come Nexi o Amazon, fai comunque attenzione perché lo smishing permette a chiunque di falsificare l’etichetta tramite software avanzati.

Come difendersi dallo smishing

Vediamo ora alcune tecniche efficaci per difendersi dallo smishing e per evitare di cadere nella trappola degli hacker.

Una strategia efficace prevede per prima cosa il non cliccare mai sui link ricevuti via SMS. Ogni avviso di sicurezza viene infatti inviato tramite app ufficiale, mai tramite messaggio.

A maggior ragione in caso di codice OTP, che di norma serve per autorizzare operazioni e non per annullarle. Se te ne viene chiesto uno per bloccare un tentativo di frode, diffida subito perché si tratta di un modo per svuotare il tuo conto corrente.

In termini pratici, puoi valutare di attivare il filtro antispam del tuo smartphone:

  • Da Android: apri l’app Messaggi, accedi al tuo profilo toccando l’icona situata in alto a destra, seleziona la voce Impostazioni di Messaggi e scorri l’elenco fino a trovare Protezione antispam. Per concludere, imposta su ON la spunta di fianco ad Attiva la protezione antispam.
  • Da iPhone: apri l’app Impostazioni e scorri fino ad App in fondo. Ora tocca su Messaggi, scendi fino a Mittenti sconosciuti e imposta su ON i due filtri Filtra mittenti sconosciuti e Filtra i messaggi indesiderati.

Un altro potente strumento da utilizzare è l’autenticazione a due fattori non basata su SMS. Quando possibile, utilizza app come Google Authenticator o notifiche push in-app, così che risultino più difficile da intercettare.

Infine, per toglierti ogni dubbio verifica sempre il mittente tramite blacklist. Esistono numerosi database online o app come Truecaller che ti segnalano in tempo reale numeri utilizzati per campagne di smishing o telemarketing.

Cosa fare se si è vittima di smishing

Può capitare che, pur essendo a conoscenza di tutte le mosse necessarie per difendersi dallo smishing, si clicchi per distrazione su un link sospetto e si forniscano dati sensibili ai cybercriminali.

È importante agire il prima possibile, per evitare pesanti conseguenze. In che modo? Innanzitutto bloccando i canali finanziari. Chiama la tua banca usando il numero per il blocco delle carte e chiedi la chiusura immediata di home banking e conto. Se noti già movimento sospetti, chiedi all’operatore la procedura di chargeback.

Se invece hai inserito la password, cambiala subito da un altro dispositivo. Evita il telefono colpito, perché è potenzialmente infetto e con malware installati al suo interno.

Ricorda infine di effettuare una segnalazione sul portale ufficiale del Commissariato di Polizia Postale online, copiando l’URL della truffa per far sì che venga bloccato dai sistemi di Google.

Alcuni casi recenti di smishing

Nelle prime settimane del 2026, sono stati segnalati numerosi casi di smishing in Italia. Il più pericoloso è senza dubbio quello che sfrutta il meccanismo dell’SMS di Nexi. Le vittime ricevono messaggi come: “Gentile cliente, il tuo profilo Nexi Pay risulta limitato per mancata sicurezza. Ripristina ora al link: [URL]”.

È risultata molto efficace per via del sito clone praticamente identico all’originale e per la richiesta del numero di telefono, dopo username e password, per motivi di sicurezza. Ma non solo perché, in molti casi, si riceve persino una telefonata da un finto operatore che chiede di leggere il codice OTP ricevuto via SMS per annullare un pagamento.

Altra truffa che ha fatto parlare a febbraio 2026 è stata quella della ballerina. Le vittime in questo caso ricevono un SMS che invita a votare per una presunta gara di ballo. Dpo aver cliccato sul link, l’utente concede ai criminali l’accesso alla propria rubrica telefonica.

E poi l’allarme INPS per finti rimborsi delle pensioni o richieste di aggiornamento dei dati. I messaggi contengono link a siti clone, praticamente identici a quelli istituzionali per l’accesso con lo SPID. L’INPS stessa ha emesso diversi avvisi urgenti in merito.

leggi anche

Allarme WhatsApp, così scopri se qualcuno sta leggendo i tuoi messaggi di nascosto
Allarme WhatsApp, così scopri se qualcuno sta leggendo i tuoi messaggi di nascosto

© RIPRODUZIONE RISERVATA

Argomenti

# Smartphone
# Phishing
# Hacker
# Truffa

Seguici su

FT logo

C’è un “trucco” per avere una pensione più alta, secondo il Financial Times

L’AI promette pensioni migliori ma è davvero così? L’analisi del Financial (…)

12 marzo 2026

Perché il petrolio a 200 dollari al barile non è più impensabile?

Cosa succede se il flusso di petrolio si ferma davvero? Il prezzo sarebbe (…)

9 marzo 2026

Sorpasso clamoroso. L’Italia supera il Regno Unito in un indicatore chiave

Smentiti i segnali di crisi dell’Italia che ora sorpassa il Regno (…)

5 marzo 2026

Il piano del Regno Unito per usare i soldi dei pensionati per investimenti rischiosi

Addio pensioni tradizionali? Ecco che fine faranno le pensioni degli (…)

2 marzo 2026

Il piano dell’Italia per tagliare i costi delle bollette svelato dal Financial Times

Paghiamo la CO₂ due volte? Il piano che può riscrivere il mercato elettrico (…)

26 febbraio 2026

Chi possiede Bitcoin divorzia più spesso. L’analisi del Financial Times

Quando l’amore finisce e le crypto spariscono: perché la nuova frontiera dei (…)

24 febbraio 2026

SONDAGGIO
Termina il 17/03/2026 Se la benzina arrivasse a 3€ al litro, cosa faresti?
VOTA ORA

Trading online
in Demo

Fai Trading Online senza rischi con un conto demo gratuito: puoi operare su Forex, Borsa, Indici, Materie prime e Criptovalute.

Money.it Prova gratis

Selezionati per te

Digitale Terrestre, questi storici canali Rai verranno presto rimossi

Tecnologia

Digitale Terrestre, questi storici canali Rai verranno presto rimossi
Digitale Terrestre, a sorpresa tutti questi canali sono stati eliminati

Tecnologia

Digitale Terrestre, a sorpresa tutti questi canali sono stati eliminati

Correlato

I servizi segreti tedeschi lanciano un allarme hacker. A rischio anche i profili WhatsApp

Tablet e Smartphone

I servizi segreti tedeschi lanciano un allarme hacker. A rischio anche i profili WhatsApp