Phishing bancario: come riconoscerlo e difendersi

A cura della Redazione · Aggiornato il 25 luglio 2026 · 13 min di lettura

Ogni anno in Italia centinaia di migliaia di persone vengono colpite da truffe informatiche legate ai conti bancari. Il phishing è la tecnica più diffusa: i truffatori si fingono la tua banca, Poste Italiane, PayPal o altri servizi finanziari per rubarti le credenziali di accesso o convincerti a fare un bonifico. Il risultato può essere il conto svuotato in pochi minuti.

In questa guida trovi tutto quello che devi sapere: come funzionano queste truffe, come riconoscerle prima che facciano danni, cosa fare immediatamente se ci sei caduto e quali sono i tuoi diritti al rimborso. Se tieni al tuo denaro — e hai un fondo di emergenza da proteggere o dei risparmi sui conti deposito — vale la pena leggerla con attenzione.

Cos'è il phishing bancario e come funziona

Il termine phishing deriva dall'inglese "fishing" (pescare): i truffatori lanciano un'esca e aspettano che qualcuno abbocchi. L'obiettivo è sempre lo stesso: ottenere i tuoi dati bancari, le credenziali di accesso all'home banking o i codici OTP per autorizzare transazioni.

A differenza di un malware che si installa sul computer senza che tu lo sappia, il phishing funziona manipolando te. Fa leva su emozioni come la paura ("il tuo conto è stato bloccato"), l'urgenza ("agisci entro 24 ore") o la curiosità ("hai ricevuto un rimborso"). Queste tecniche si chiamano social engineering: ingegneria sociale, ovvero la manipolazione psicologica delle persone.

Le tre forme principali: phishing, smishing e vishing

  • Phishing via email: il canale classico. Ricevi una email apparentemente dalla tua banca con un link che porta a un sito clone. Inserisci le credenziali, e queste finiscono direttamente ai truffatori.
  • Smishing (SMS phishing): il phishing via SMS. Molto diffuso in Italia perché gli SMS sembrano più affidabili delle email. Spesso il messaggio arriva nel filone di messaggi legittimi della tua banca (tecnica del SMS spoofing), rendendo difficile capire che è falso.
  • Vishing (voice phishing): ti chiama qualcuno al telefono che si spaccia per un operatore della banca, della polizia postale o di un'agenzia governativa. È la forma più sofisticata perché è difficile resistere a una conversazione in tempo reale con qualcuno che sembra credibile.

Il meccanismo passo per passo

Ecco come funziona un attacco phishing bancario tipico via email o SMS:

  1. Ricevi un messaggio urgente che segnala un problema con il tuo conto (accesso sospetto, transazione bloccata, aggiornamento obbligatorio dei dati).
  2. Il messaggio contiene un link. Il sito a cui porta è identico a quello della tua banca: stesso logo, stessa grafica, stessi colori.
  3. Inserisci username e password. I truffatori li ricevono in tempo reale.
  4. Spesso ti viene chiesto anche il codice OTP ricevuto via SMS, con la scusa di "confermare l'identità".
  5. Con username, password e OTP, i criminali accedono al tuo conto e dispongono i pagamenti.

L'intero processo può durare meno di dieci minuti. Quando te ne accorgi, il denaro è già su conti di transito e in fase di essere prelevato.

Come riconoscere un tentativo di phishing

La buona notizia è che la maggior parte degli attacchi phishing ha caratteristiche riconoscibili. Imparare a vederle ti mette al riparo dalla grande maggioranza delle truffe.

Segnali nelle email sospette

  • Indirizzo mittente strano: la tua banca manda email da @bancaX.it, non da @bancaX-sicurezza.com o @noreply-bancaX.eu. Controlla sempre il dominio reale del mittente, non solo il nome visualizzato.
  • URL diverso dal dominio ufficiale: passa il cursore sul link senza cliccare. L'URL che appare in basso a sinistra è il vero indirizzo. Se non corrisponde esattamente al sito ufficiale della banca, è phishing.
  • Tono di urgenza esagerata: "Il tuo conto verrà sospeso nelle prossime 24 ore se non aggiorni i tuoi dati." Le banche reali non mandano ultimatum via email.
  • Errori grammaticali o lessicali: molti attacchi sono tradotti automaticamente e contengono frasi strane o errori. Non è sempre così — gli attacchi più sofisticati usano italiano perfetto — ma è un segnale quando presente.
  • Saluto generico: "Gentile cliente" invece del tuo nome. La tua banca sa come ti chiami.
  • Allegati non richiesti: un file PDF o Word allegato a una email bancaria è quasi sempre malevolo. Non aprirlo.

Segnali negli SMS sospetti

  • Link abbreviati: bit.ly, tinyurl o link corti rendono impossibile vedere il vero URL prima di cliccare.
  • Richiesta di codici OTP: nessuna banca ti chiede via SMS di condividere un OTP. Quel codice serve solo a te per autorizzare un'operazione. Se qualcuno te lo chiede, è una truffa.
  • SMS apparentemente legittimi: anche se il messaggio appare nel filone degli SMS ufficiali della tua banca, non significa che sia autentico. Lo spoofing del mittente è tecnicamente semplice.

Segnali durante una telefonata sospetta

  • Richiesta di credenziali o OTP: gli operatori bancari reali non ti chiedono mai la password completa né il codice OTP. Punto.
  • Pressione a fare subito qualcosa: "Deve fare questo bonifico adesso per mettere al sicuro i soldi." È una tattica classica del vishing.
  • Numero che sembra della banca: anche il numero chiamante può essere falsificato. Se hai dubbi, riattacca e chiama tu il numero ufficiale che trovi sul sito della banca o sul retro della carta.

Le tecniche avanzate che devi conoscere

I truffatori non si fermano alle email di bassa qualità. Le tecniche si evolvono continuamente e vale la pena conoscere le più insidiose.

Man-in-the-middle e attacchi in tempo reale

In alcuni attacchi sofisticati, il sito clone non raccoglie solo le credenziali ma le usa immediatamente per accedere al vero conto bancario mentre tu sei ancora sul sito falso. Il truffatore, in tempo reale, esegue un'operazione sul tuo conto — e ti chiede l'OTP di conferma. Tu pensi di stare verificando la tua identità sul sito della banca; in realtà stai autorizzando un bonifico verso un conto criminale.

Truffa del "operatore antifrode"

Questa è una delle truffe telefoniche più efficaci. Ti chiama qualcuno che si presenta come operatore antifrode della tua banca. Ti dice che hanno rilevato movimenti sospetti e che per bloccarli devono fare un "bonifico di sicurezza" verso un conto protetto. Ti convincono a spostare i tuoi stessi soldi. In alcuni casi coordinano la truffa con un SMS ufficiale-looking che arriva proprio mentre siete al telefono, per dare credibilità.

Phishing tramite QR code

Il QR code phishing (chiamato anche quishing) sta crescendo. Ricevi un documento, una email o persino un foglio fisico con un QR code da scansionare. Il codice porta a un sito falso. Questa tecnica bypassa i filtri antispam perché nel messaggio non c'è un link testuale da analizzare.

Attacchi via app di messaggistica

WhatsApp, Telegram e Signal vengono usati per diffondere link di phishing, spesso attraverso contatti che sono stati a loro volta compromessi. Un messaggio da un amico che ti manda un link strano è meno sospetto di un'email da uno sconosciuto — ma non per questo è sicuro.

Cosa fare immediatamente se sei stato truffato

Se hai inserito le tue credenziali su un sito falso o hai comunicato un OTP al telefono, ogni minuto conta. Ecco la sequenza di azioni da eseguire nell'ordine corretto.

I primi 10 minuti

  1. Blocca il conto: chiama immediatamente il numero antifrode della tua banca (di solito è sul retro della carta o sul sito ufficiale). Chiedi il blocco immediato di tutte le operazioni.
  2. Cambia le credenziali: se riesci ancora ad accedere all'home banking, cambia subito password e PIN. Se non ci riesci, la banca lo farà dal suo lato quando la chiami.
  3. Blocca le carte: chiedi il blocco di tutte le carte associate al conto compromesso.

Nelle ore successive

  1. Fai una denuncia alla Polizia Postale: puoi farlo online su commissariatodips.it oppure di persona presso il commissariato più vicino. La denuncia è fondamentale per il rimborso.
  2. Manda un reclamo scritto alla banca: invia una comunicazione formale via raccomandata A/R o PEC all'ufficio reclami della banca, spiegando l'accaduto e chiedendo il rimborso. Conserva una copia.
  3. Documenta tutto: screenshot delle email o degli SMS sospetti, registrazione del numero da cui hai ricevuto la chiamata, estratti conto con i movimenti fraudolenti.

Se la banca non rimborsa: i tuoi diritti

Il D.Lgs. 11/2010 (recepimento della PSD2) stabilisce che la banca è responsabile per le operazioni non autorizzate, salvo prova di colpa grave da parte del cliente. Se hai comunicato le credenziali in buona fede a causa di un inganno sofisticato, hai buone probabilità di ottenere il rimborso.

Se la banca rifiuta o non risponde entro 30 giorni, puoi rivolgerti all'Arbitro Bancario Finanziario (ABF): è gratuito, semplice da usare e spesso favorevole al consumatore nei casi di phishing. Puoi presentare il ricorso online sul sito di Banca d'Italia.

Attenzione: la colpa grave — che esclude il rimborso — è generalmente considerata tale quando hai ceduto le credenziali a fronte di segnali di allarme chiari e facilmente riconoscibili. I casi di smishing avanzato con spoofing del mittente sono stati spesso riconosciuti come non colpa grave dall'ABF.

Come proteggersi: misure pratiche

La difesa migliore è la prevenzione. Ecco le misure concrete che puoi adottare subito.

Abitudini digitali di base

  • Non cliccare mai i link nelle email o negli SMS bancari: vai sempre sul sito della banca digitando direttamente l'indirizzo nella barra del browser, oppure usa l'app ufficiale.
  • Usa password uniche e robuste: un gestore di password (Bitwarden, 1Password, KeePass) genera e memorizza password diverse per ogni servizio. Se un sito viene violato, gli altri rimangono al sicuro.
  • Attiva l'autenticazione a due fattori (2FA): dove possibile, usa un'app di autenticazione (Google Authenticator, Authy) invece degli SMS per il secondo fattore. Gli SMS possono essere intercettati con attacchi SIM swap.
  • Tieni aggiornati sistemi e app: gli aggiornamenti correggono vulnerabilità di sicurezza. Un sistema non aggiornato è un bersaglio più facile.
  • Usa una rete sicura: evita di accedere all'home banking da reti Wi-Fi pubbliche (bar, aeroporti, hotel). Se devi farlo, usa una VPN affidabile.

Impostazioni bancarie da attivare subito

  • Notifiche push per ogni movimento: abilita gli avvisi in tempo reale per qualsiasi operazione sul conto. Se avviene qualcosa di strano, lo sai subito.
  • Limiti di spesa sulle carte: imposta limiti giornalieri bassi per i pagamenti online e alzali solo quando necessario.
  • Blocco e sblocco carta via app: molte banche permettono di bloccare fisicamente la carta con un tap. Usalo quando non la usi per periodi lunghi.
  • Alert per bonifici: se la tua banca lo consente, attiva la notifica preventiva prima che un bonifico venga eseguito.

Proteggi i tuoi risparmi con la diversificazione

Una misura di sicurezza spesso trascurata è non tenere tutto il denaro su un unico conto. Un fondo di emergenza su un conto separato, magari un conto deposito con vincolo, è più difficile da svuotare rapidamente perché richiede operazioni di svincolo. Questo non ferma un truffatore esperto, ma può limitare i danni. La diversificazione dei tuoi asset protegge anche in questo senso: non concentrare tutto in un unico punto di accesso digitale.

Evita anche gli errori comuni legati alla gestione del denaro online: tenere credenziali scritte in chiaro, riusare la stessa password su più servizi, o fidarsi ciecamente di messaggi urgenti sono tra i comportamenti più rischiosi.

La situazione in Italia: dati e normativa

Il phishing bancario in Italia è in crescita costante. Secondo i dati della Polizia Postale, le frodi informatiche ai danni di privati e aziende hanno superato negli ultimi anni il miliardo di euro di danni annui a livello nazionale. Il canale più sfruttato rimane l'email, ma lo smishing è cresciuto rapidamente grazie all'efficacia degli SMS spoofati.

Sul fronte normativo, il quadro di riferimento principale è:

  • PSD2 (Direttiva Europea sui Servizi di Pagamento): impone alle banche l'autenticazione forte del cliente (Strong Customer Authentication, SCA) per le operazioni online. Richiede almeno due fattori tra qualcosa che sai (password), qualcosa che hai (smartphone), qualcosa che sei (biometria).
  • D.Lgs. 11/2010: recepimento italiano della PSD, disciplina la responsabilità per operazioni non autorizzate.
  • GDPR: le banche sono obbligate a notificare i data breach entro 72 ore alle autorità. Se i tuoi dati vengono violati per colpa della banca, hai diritto a un risarcimento.

L'Arbitro Bancario Finanziario ha emesso negli anni numerose decisioni favorevoli ai consumatori in casi di phishing, specialmente quando l'attacco era sofisticato e difficilmente riconoscibile da un utente medio. Le banche sono sempre più spesso ritenute corresponsabili quando i loro sistemi di sicurezza non hanno intercettato operazioni anomale.

Phishing e investimenti: attenzione alle truffe finanziarie

Il phishing non riguarda solo i conti correnti. Esistono truffe mirate anche a chi investe online. Le piattaforme di trading, i broker e persino i conti crypto sono bersagli frequenti.

Se utilizzi un broker online per investire in azioni o ETF, applica le stesse regole: usa una password unica e robusta, attiva il 2FA, non cliccare link nelle email. In caso di dubbio su un'email dal tuo broker, accedi sempre direttamente dal sito ufficiale.

Esiste anche una categoria a parte di truffe finanziarie legate agli investimenti: le piattaforme fake che promettono rendimenti garantiti elevatissimi, i falsi consulenti su Telegram, le truffe legate alle criptovalute. Queste non sono tecnicamente phishing (non rubano credenziali), ma usano le stesse leve psicologiche. Se vuoi approfondire come evitare gli errori più comuni nell'investire — inclusi quelli legati alle truffe — leggi la nostra guida sugli errori comuni degli investitori.

Domande frequenti

Se ho cliccato un link sospetto ma non ho inserito dati, sono al sicuro?

Non necessariamente. Alcuni siti malevoli possono tentare di installare malware solo con la visita (drive-by download), sfruttando vulnerabilità del browser. Se hai cliccato un link sospetto: non inserire dati, chiudi la pagina, aggiorna il browser e il sistema operativo, esegui una scansione con un antivirus aggiornato. Se non hai inserito credenziali e il tuo sistema è aggiornato, il rischio è basso ma non zero.

La banca è obbligata a rimborsarmi in caso di phishing?

Dipende dalla situazione. La normativa italiana (D.Lgs. 11/2010, in recepimento della PSD2) prevede il rimborso per operazioni non autorizzate, salvo colpa grave del cliente. Se sei stato vittima di un attacco sofisticato con spoofing del mittente, SMS falsi indistinguibili da quelli reali o tecniche di social engineering avanzate, l'ABF ha spesso riconosciuto il diritto al rimborso. Se invece hai ceduto le credenziali a fronte di segnali di allarme evidenti, il rimborso potrebbe essere negato. In ogni caso, presenta sempre denuncia alla Polizia Postale e reclamo scritto alla banca: è il punto di partenza obbligatorio.

Come faccio a capire se un sito bancario è autentico?

Controlla l'URL nella barra del browser: deve corrispondere esattamente al dominio ufficiale della banca (ad esempio, bancaexample.it, non bancaexample-sicuro.com o bancaexample.it.login.eu). Verifica la presenza del lucchetto HTTPS, anche se attenzione: il lucchetto indica solo che la connessione è cifrata, non che il sito sia legittimo — i siti truffaldini possono avere HTTPS. Il metodo più sicuro è accedere sempre digitando direttamente l'indirizzo nel browser o usando l'app ufficiale scaricata dagli store ufficiali (App Store o Google Play).

Cos'è un attacco SIM swap e come proteggersi?

Il SIM swap è una truffa in cui il criminale convince l'operatore telefonico a trasferire il tuo numero di telefono su una SIM nuova in suo possesso. Una volta fatto, riceve tutti gli SMS destinati a te — inclusi gli OTP bancari. Per proteggerti: usa un'app di autenticazione (Google Authenticator, Authy) invece degli SMS come secondo fattore dove possibile; imposta un PIN o password di sicurezza presso il tuo operatore telefonico per le modifiche al contratto; se improvvisamente perdi il segnale cellulare senza motivo apparente, contatta subito il tuo operatore — potrebbe essere un SIM swap in corso.

Devo denunciare anche se non so se hanno rubato soldi?

Sì, è consigliabile. Se hai fornito credenziali bancarie a un sito o una persona sospetta, fai denuncia alla Polizia Postale anche prima di verificare l'entità del danno. La denuncia registra la data e l'ora dell'evento, che può essere determinante per il rimborso. Puoi presentarla online su commissariatodips.it in pochi minuti. Contemporaneamente, blocca il conto e cambia le credenziali.