Un pagamento da 2.730 euro, una spesa su Amazon mai fatta, un bonifico in uscita da bloccare immediatamente. Il messaggio arriva sul telefono con un tono formale, un importo alto e un mittente che esiste davvero: Nexi, Nexi Alert, servizio clienti di qualche azienda. La formula è sempre più o meno la stessa: “NEXI: è stata richiesta un’autorizzazione di pagamento di 2730,00 EUR, se non ha effettuato lei l’operazione contatti il Servizio Clienti”. Oppure: “Nexi: spesa mediante carta Bancomat di EUR 1.436,70 su amazon.it”. A volte il testo parla di un bonifico, altre di un pagamento già autorizzato, altre ancora di un’operazione “in corso” che può essere bloccata solo intervenendo subito.
È una truffa di smishing, cioè phishing via Sms. Il bersaglio non è solo chi ha una carta Nexi. Il nome dell’azienda viene usato perché è riconoscibile, legato ai pagamenti digitali e quindi utile per rendere più credibile l’allarme. La comunicazione non serve a informare l’utente, ma a portarlo dentro un percorso controllato dai criminali.
Il trucco è l’urgenza
Il meccanismo psicologico è elementare: quando una persona legge che dalla propria carta potrebbe essere prelevata una somma elevata, la prima reazione è il panico, e il messaggio sfrutta proprio quel momento, spingendo a usare il canale proposto dai truffatori.
È qui che lo smishing si combina spesso con il vishing, cioè la truffa telefonica. La vittima chiama il numero indicato nell’Sms e dall’altra parte trova un falso operatore, spesso molto preparato, che usa un linguaggio simile a quello di un’assistenza bancaria. Il suo compito è ottenere informazioni: numero della carta, credenziali dell’home banking, codici OTP, codici dispositivi, dati personali o conferme nell’app della banca.
In altri casi il link contenuto nel messaggio porta a una pagina falsa, costruita per assomigliare a quella di Nexi, della banca o di un servizio di pagamento. L’obiettivo è sempre lo stesso: far inserire dati sensibili o autorizzare operazioni che non hanno nulla a che vedere con un vero blocco di sicurezza.
Perché i messaggi sembrano veri
Le truffe via Sms sono diventate più difficili da riconoscere perché non si affidano più soltanto a testi sgrammaticati o domini palesemente sospetti. Il tono è spesso asciutto, burocratico, simile a quello delle comunicazioni bancarie. Gli importi sono scelti per generare ansia. I riferimenti a piattaforme note come Amazon, PayPal o Booking rendono il messaggio familiare. In alcuni casi il mittente può apparire all’interno di conversazioni già esistenti, grazie a tecniche di spoofing che mascherano la provenienza del mittente, così l’utente tende a fidarsi del nome che vede sul telefono.
La regola da ricordare è una sola: nessuna comunicazione urgente ricevuta via Sms deve diventare il punto di partenza per fornire dati bancari, credenziali o codici di sicurezza.
I numeri da non chiamare
Nelle segnalazioni raccolte da Altroconsumo compaiono diversi numeri utilizzati nei falsi messaggi Nexi e presentati come servizio clienti o assistenza rapida. Tra questi vengono indicati 0282302953, 0282396404, 0282300484, 0287186806, 0282307081, +393508984188, +393793404023 e +3512612333.
L’elenco è solo indicativo; i numeri cambiano continuamente, vengono sostituiti, riciclati o affiancati da nuovi contatti. Per questo il problema non è solo riconoscere un numero specifico, ma capire il comportamento corretto: non bisogna chiamare il numero ricevuto via Sms e non bisogna cliccare sui link presenti nel messaggio.
Se c’è davvero il dubbio su un pagamento, la verifica va fatta aprendo direttamente l’app ufficiale, accedendo all’area clienti, digitando l’indirizzo nel browser o chiamando il numero riportato sul retro della carta. Mai usando i contatti suggeriti direttamente nel messaggio sospetto.
Cosa dice Nexi
Nexi dedica diverse pagine alla sicurezza e alle frodi online e invita gli utenti a diffidare di messaggi sospetti, link non verificati e richieste di dati personali. L’azienda indica anche un indirizzo specifico per le segnalazioni di comunicazioni sospette: segnalazioni.phishing@nexigroup.com.
La stessa Nexi, parlando di truffe via Sms e via telefono, ricorda che i criminali possono fingere una frode in corso e invitare la vittima a chiamare un numero fasullo. Una volta avviato il contatto, il falso operatore può cercare di ottenere codici o far compiere operazioni apparentemente di sicurezza, ma in realtà utili a completare il furto.
Ma è bene ricordare che una banca, un operatore di pagamento o un servizio antifrode non chiederanno mai di comunicare password, PIN, CVV, codici OTP o codici dispositivi ricevuti sul telefono. Quei codici servono proprio a confermare operazioni e non devono essere condivisi con nessuno, neanche con chi dice di chiamare dall’assistenza.
Cosa fare
La prima regola da seguire è semplice: non fare nulla. Non reagire d’impulso, non cliccare, non rispondere, non chiamare. Poi è utile controllare i movimenti della carta solo dai canali ufficiali, quindi app, area clienti o numero riportato sulla carta: se l’operazione indicata nell’Sms non compare, il messaggio è quasi certamente un tentativo di truffa.
Il messaggio può essere segnalato come spam dal telefono e il mittente bloccato. È utile anche inoltrare il testo sospetto a Nexi attraverso l’indirizzo dedicato alle segnalazioni. In caso di dubbi più seri, soprattutto se si sono inseriti dati o comunicati codici, contattare subito la propria banca o l’emittente della carta, chiedere il blocco dello strumento di pagamento e verificare eventuali movimenti non autorizzati.
Se nella truffa siamo già caduti, è importante muoversi rapidamente: bloccare carta e accessi, cambiare le credenziali dell’home banking, controllare le autorizzazioni dell’app bancaria, conservare Sms, numeri chiamati, screenshot e movimenti sospetti. Questi elementi possono essere utili per la denuncia alla Polizia Postale e per eventuali richieste di rimborso.
Il problema non riguarda solo Nexi
La truffa del finto Sms Nexi è una delle molte varianti di un fenomeno più ampio. Gli stessi schemi vengono usati con nomi di banche, corrieri, piattaforme di pagamento, servizi pubblici, multe, pedaggi, consegne e identità digitali.
Il Garante per la protezione dei dati personali descrive lo smishing come una forma di truffa che usa messaggi di testo e sistemi di messaggistica per appropriarsi di dati personali, spesso facendo leva sul timore di un danno imminente. Anche la Polizia Postale invita da tempo a non fornire dati bancari, PIN, CVV e codici OTP e a verificare sempre attraverso i canali ufficiali.
Nell’ambito del progetto Digitalizzati finanziato dal Ministero delle Imprese e del Made in Italy, Altroconsumo ha sviluppato uno spazio dedicato alle truffe dove i cittadini possono segnalare tentativi di frode, phishing o truffe digitali ricevute tramite email, messaggi, social network o sms e trovare indicazioni utili su come comportarsi. Il servizio consente di condividere in modo sicuro informazioni su sospette truffe, ricevere assistenza e consigli pratici degli esperti legali di Altroconsumo e contribuire alla mappatura dei fenomeni di truffa più diffusi in Italia, per aiutare altri utenti a riconoscerli e difendersi.
Disclaimer : This story is auto aggregated by a computer programme and has not been created or edited by DOWNTHENEWS. Publisher: lastampa.it
