Dizionario delle truffe

Account

Cosa significa: “Conto” in inglese. Il tuo profilo personale su un’app o un sito web — composto da un nome utente (spesso la tua email) e una password. Hai un account WhatsApp, un account email, un account bancario online, un account Amazon.

Come lo usano i truffatori: L’obiettivo di molte truffe è rubarti l’account — specialmente quello WhatsApp, email o bancario — per poi usarlo per truffare i tuoi contatti o svuotare il tuo conto.

Esempio pratico: Nella truffa della ballerina, i criminali rubano il tuo account WhatsApp inserendo un codice che tu fornisci inconsapevolmente. Da quel momento usano il tuo profilo per scrivere ai tuoi amici chiedendo soldi.

Autenticazione a due fattori (2FA)

Cosa significa: “Two-Factor Authentication” — verifica con due elementi distinti. Un secondo livello di sicurezza oltre alla password: quando accedi a un servizio, oltre alla password ti viene chiesto un codice temporaneo che arriva sul tuo telefono via SMS o da un’app.

Perché è importante: Anche se un truffatore conosce la tua password, senza il secondo codice non riesce ad entrare nel tuo account. È la difesa più efficace contro il furto di identità digitale.

Come attivarla: Su WhatsApp si chiama “Verifica in due passaggi” — Impostazioni → Account → Verifica in due passaggi. Una volta attivata, anche chi ottiene il tuo codice SMS non riesce a rubarti l’account.

Backup

Cosa significa: Una copia di sicurezza dei tuoi dati — foto, contatti, messaggi, documenti — salvata in un altro posto. Se il telefono si rompe, viene rubato o un ransomware blocca tutto, con il backup recuperi tutto.

Come farlo — iPhone: Impostazioni → [tuo nome] → iCloud → Backup iCloud → attiva. Il telefono fa il backup automatico ogni notte quando è in carica e connesso al Wi-Fi.

Come farlo — Android: Impostazioni → Sistema → Backup → attiva il backup su Google. Foto e video si salvano automaticamente con Google Foto.

Regola pratica: Se non hai un backup attivo, tutte le foto e i contatti sul tuo telefono esistono in una copia sola. Se il telefono muore, muoiono anche loro. Attivalo oggi — ci vuole un minuto.

Bonifico

Cosa è: Un trasferimento di denaro da un conto bancario a un altro. Puoi farlo dall’app della banca, allo sportello o online.

Come lo usano i truffatori: I bonifici sono lo strumento preferito perché, una volta eseguiti, sono difficilissimi da bloccare o recuperare. A differenza dei pagamenti con carta (che possono essere stornati), un bonifico completato è quasi sempre definitivo.

Esempio pratico: Nella truffa del finto figlio, chiedono un bonifico urgente su un IBAN sconosciuto. Nella truffa bancaria, il finto funzionario chiede un “bonifico di sicurezza” su un “conto protetto”. Non esiste nessun conto protetto — quei soldi spariscono.

Regola: Nessuna banca, nessun ente pubblico e nessun familiare ti chiederà mai un bonifico urgente via messaggio senza che tu possa verificare di persona.

Carta prepagata

Cosa è: Una carta su cui carichi del denaro in anticipo — come una PostePay o una carta regalo. Non è collegata a un conto bancario tradizionale.

Come la usano i truffatori: Le carte prepagate sono difficili da tracciare. I truffatori le usano come destinazione dei soldi rubati: possono essere intestate a prestanome, caricate da tante vittime diverse e svuotate rapidamente al bancomat.

Segnale di allarme: “Puoi ricaricare una PostePay per me?” da un numero sconosciuto che dice di essere un familiare — è quasi sempre una truffa.

Codice OTP

Cosa significa: “Password monouso” — un codice a 4 o 6 cifre che funziona una volta sola e scade in pochi minuti. Ti arriva via SMS quando fai un acquisto online, accedi al conto bancario o confermi un’operazione.

Differenza con il PIN: Il PIN lo scegli tu e resta sempre uguale. L’OTP lo genera il sistema ed è diverso ogni volta. Non confonderli: il PIN è fisso, l’OTP è usa e getta.

Come lo usano i truffatori: L’OTP è l’ultimo ostacolo prima di entrare nel tuo conto. Si fingono operatori bancari, dicono che serve per bloccare una truffa, o creano siti che te lo chiedono.

Regola assoluta: Il codice OTP non va MAI comunicato a nessuno. Non alla banca, non a WhatsApp, non alla polizia. Nessuna organizzazione legittima te lo chiede.

Data breach

Cosa significa: “Violazione di dati” — quando un’azienda subisce un attacco informatico e i dati dei suoi utenti finiscono nelle mani dei criminali. Può includere email, password, numeri di telefono, dati bancari.

Perché ti riguarda: Se hai un account su un sito che subisce un data breach, le tue credenziali finiscono in circolazione. I truffatori le usano per provare ad accedere ai tuoi altri account (molte persone usano la stessa password ovunque).

Come sapere se sei coinvolto: Vai su haveibeenpwned.com — inserisci la tua email e scopri se è comparsa in qualche data breach. Se sì, cambia subito la password di quell’account e di tutti gli account dove usi la stessa password.

Come difendersi: Usa una password diversa per ogni servizio. La 2FA protegge anche se la password viene rubata.

Deepfake

Cosa significa: “Deep” (intelligenza artificiale) + “fake” (falso). Un video o un audio falso creato con l’intelligenza artificiale che imita in modo convincente la voce o il volto di una persona reale.

Come lo usano i truffatori: Con pochi secondi di audio originale, un software può generare una voce identica a quella di tuo figlio. Il truffatore può mandarti un vocale WhatsApp che sembra davvero lui, oppure fare una videochiamata con il volto di un finto funzionario bancario.

Come difendersi: Stabilisci con i tuoi familiari una parola in codice da usare nelle emergenze — qualcosa che solo voi sapete. Se qualcuno ti contatta con urgenza, chiedi quella parola.

IBAN

Cosa è: Il codice identificativo del tuo conto bancario — una sequenza di lettere e numeri (in Italia inizia con IT e ha 27 caratteri). Serve per ricevere e inviare bonifici.

Come lo usano i truffatori: Nella “truffa dell’IBAN”, i criminali intercettano una email con una fattura legittima e sostituiscono l’IBAN del fornitore con il proprio. Tu paghi convinto di saldare una fattura vera, ma i soldi vanno al truffatore. Questo avviene anche nelle compravendite immobiliari.

Regola pratica: Quando ricevi un IBAN via email per un pagamento importante, verifica sempre per telefono chiamando direttamente il destinatario — non usando il numero nella email, ma quello che hai in rubrica.

Ingegneria sociale

Cosa è: L’arte di manipolare le persone psicologicamente per farle fare qualcosa che non farebbero normalmente. Non è tecnologia — è psicologia. I truffatori studiano i comportamenti umani per capire quali leve emotive spingono le persone ad agire senza pensare.

Le leve più usate: Urgenza (“devi farlo entro 10 minuti”), paura (“il tuo conto sarà bloccato”), fiducia (“sono il funzionario della tua banca”), senso di colpa (“tuo figlio ha bisogno di aiuto”).

Perché è importante saperlo: Tutte le truffe su CellulareSicuro si basano sull’ingegneria sociale. Riconoscere la manipolazione psicologica è la difesa più efficace: quando senti urgenza o paura, fermati. Respira. Verifica.

Link

Cosa è: Un collegamento cliccabile che porta a una pagina web. Si riconosce perché è sottolineato o di un colore diverso, oppure è un indirizzo che inizia con “http://” o “https://”.

Come lo usano i truffatori: Il link è lo strumento principale di quasi tutte le truffe digitali. Porta la vittima su un sito falso dove vengono rubati i dati. Su smartphone è più pericoloso che su computer perché è difficile vedere l’indirizzo prima di cliccare.

Regola: Se ricevi un link via SMS o WhatsApp da un mittente sconosciuto — o da un contatto con una richiesta insolita — non cliccare. Vai direttamente sul sito ufficiale digitando l’indirizzo a mano nel browser.

Malware

Cosa significa: “Software malevolo” — un programma progettato per fare danni al tuo dispositivo o rubare informazioni. Include virus, trojan, spyware, ransomware. Una volta installato, può leggere i tuoi messaggi, rubare le password, accedere al conto bancario.

Come arriva sul telefono: Quasi sempre cliccando un link in un SMS sospetto, oppure installando un’app da fonti non ufficiali.

Esempio: “La tua app bancaria è scaduta, aggiorna qui: [link]”. Clicchi, scarichi un file che sembra l’app della banca ma è un malware. Da quel momento il truffatore vede tutto quello che fai.

Difesa: Scarica app solo dall’App Store (iPhone) o Google Play (Android). Non installare mai file .apk inviati via messaggio.

Password

Cosa è: La parola segreta che protegge il tuo account. È la prima linea di difesa per email, banca online, social media e qualsiasi servizio digitale.

Differenza con PIN e OTP: La password la scegli tu e può essere lunga. Il PIN è un codice corto (4-6 cifre) fisso. L’OTP è un codice generato automaticamente che cambia ogni volta. Tre cose diverse, tre usi diversi.

Errori comuni: Usare la stessa password ovunque (se la rubano una volta, entrano dappertutto). Usare password semplici come “123456”, la data di nascita o il nome del figlio. Scriverla su un biglietto attaccato al computer.

Consiglio pratico: Usa una frase che ricordi facilmente, ad esempio: “MioFiglio!Marco2003”. Lunga, con maiuscole, numeri e simboli. E usa una diversa per ogni servizio importante (banca, email, WhatsApp).

Phishing

Cosa significa: Deriva da “fishing” (pescare) — il truffatore lancia l’amo sperando che qualcuno abbocchi. Una truffa via email dove il mittente si finge un ente affidabile — banca, INPS, Poste, Amazon — chiedendo di cliccare un link o fornire dati personali.

Come si riconosce: Crea urgenza artificiale. Contiene un link. L’email del mittente ha qualcosa di strano (es. “[email protected]” con lo zero). Il testo a volte ha errori grammaticali.

Esempio: Email da “INPS”: “Il tuo rimborso di 340€ è in attesa. Clicca qui per riceverlo entro 48 ore.” Il link porta a un sito falso che ruba i tuoi dati.

PIN

Cosa è: Un codice numerico corto (di solito 4-6 cifre) che scegli tu e usi per sbloccare il telefono, la carta bancomat, la SIM o un’app. A differenza dell’OTP, il PIN resta sempre lo stesso finché non lo cambi tu.

I PIN più importanti: PIN del bancomat (4 cifre, per prelievi e pagamenti), PIN della SIM (per sbloccare la scheda telefonica), PIN di sblocco telefono, PIN della verifica in due passaggi di WhatsApp.

Come lo usano i truffatori: Te lo chiedono al telefono fingendosi operatori bancari. Oppure ti osservano mentre lo digiti al bancomat (tecnica chiamata “shoulder surfing”).

Regola: Il PIN non va mai comunicato a nessuno, nemmeno alla banca. La banca non te lo chiede mai — se qualcuno te lo chiede, è una truffa.

Quishing

Cosa è: Una truffa che usa codici QR falsi. Inquadrando il QR con il telefono, vieni indirizzato a un sito truffa invece che al sito legittimo.

Come funziona: I truffatori applicano adesivi con QR falsi sopra quelli veri — sui parchimetri, ai tavoli dei ristoranti, sulle locandine. Oppure inviano email o lettere con QR che sembrano ufficiali.

Esempio: Inquadri il QR al parchimetro per pagare. Il QR è falso e ti porta su un sito clone che ruba i dati della carta.

Difesa: Prima di inquadrare un QR in un luogo pubblico, controlla che non ci sia un adesivo incollato sopra quello originale. Se il QR porta su un sito con indirizzo strano, chiudi subito.

Ransomware

Cosa è: Un malware che blocca l’accesso a tutti i file del dispositivo — foto, documenti, contatti. Poi compare un messaggio che chiede un riscatto (spesso in criptovaluta) per sbloccarli.

Chi colpisce di più: Computer aziendali e telefoni Android. Su iPhone è molto più raro. Arriva cliccando link in email o SMS sospetti.

Cosa fare se ti capita: Non pagare mai il riscatto — non c’è garanzia che sblocchino i file. Contatta la Polizia Postale e un tecnico informatico. Se hai un backup, puoi ripristinare tutto senza pagare.

SIM swap

Cosa è: Una truffa dove il criminale convince il tuo operatore telefonico a trasferire il tuo numero di telefono su una nuova SIM in suo possesso. Da quel momento, tutti gli SMS e le chiamate destinate a te arrivano a lui — inclusi i codici OTP della banca.

Come funziona: Il truffatore raccoglie i tuoi dati personali (nome, codice fiscale, numero di telefono) da social media o data breach. Poi contatta il tuo operatore telefonico fingendosi te e chiede una nuova SIM per “smarrimento”. Una volta attivata, il tuo telefono perde il segnale.

Segnale di allarme: Il telefono perde improvvisamente il segnale senza motivo — niente chiamate, niente SMS, niente dati. Se succede, contatta subito il tuo operatore da un altro telefono e poi la banca.

Difesa: Attiva un PIN aggiuntivo sul tuo account con l’operatore telefonico. Usa app di autenticazione (come Google Authenticator) invece degli SMS per la 2FA.

Sito clone

Cosa è: Una copia quasi identica di un sito web legittimo — stessa grafica, stesso logo, stessi colori — ma con un indirizzo leggermente diverso e uno scopo fraudolento: rubare le tue credenziali o i dati della carta.

Come si riconosce: L’indirizzo web ha qualcosa di strano: “intesa-sanpaolo-sicuro.com” invece di “intesasanpaolo.com”. A volte una lettera è cambiata: “arnazon.it” invece di “amazon.it”.

Come controllare: Su iPhone, tieni premuto il link per vedere l’anteprima dell’indirizzo. Su Android, tieni premuto e scegli “Copia link” per leggerlo. Se c’è qualcosa di strano, non aprire.

Smishing

Cosa è: Phishing tramite SMS o messaggi WhatsApp. Il messaggio sembra provenire da una fonte affidabile — banca, corriere, ente pubblico — e contiene un link o un numero da chiamare.

Perché è più pericoloso del phishing via email: Le persone si fidano più degli SMS. Il telefono è percepito come un canale privato. I messaggi si leggono di fretta. Su smartphone è difficile vedere l’indirizzo del link prima di cliccare.

Esempio: “UniCredit: rilevata attività insolita sul tuo conto. Verifica subito: [link]” — È smishing. La banca non manda mai link via SMS.

SMS

Cosa è: Il classico messaggio di testo — esisteva prima di WhatsApp. Può essere inviato da qualsiasi numero, ma anche da mittenti con nome (es. “IntesaSanpaolo”).

Il problema del mittente: Chiunque può impostare qualsiasi nome come mittente di un SMS — anche il nome della tua banca (tecnica chiamata spoofing). Il telefono raggruppa automaticamente tutti gli SMS con lo stesso nome, anche se provengono da numeri diversi. Per questo i falsi SMS della banca compaiono nella stessa chat di quelli veri.

Regola: Il nome del mittente di un SMS non è una garanzia di autenticità.

Spoofing

Cosa è: La tecnica con cui i truffatori fanno apparire sul tuo telefono un numero o un nome diverso da quello reale. Si può far comparire “IntesaSanpaolo” come mittente di un SMS, oppure il numero verde della banca come numero chiamante — anche se la chiamata arriva dall’altra parte del mondo.

Perché è pericoloso: Smonta la difesa istintiva di “controllo chi mi scrive”. Se il nome del mittente sembra quello giusto, la maggior parte delle persone abbassa la guardia.

Difesa: Non fidarti mai solo del nome del mittente o del numero visualizzato. Chiama tu la banca al numero sul retro della carta.

Spyware

Cosa è: Un tipo di malware che si installa di nascosto sul telefono e spia tutto quello che fai: messaggi, chiamate, posizione, password digitate, foto. A differenza del ransomware che si fa notare, lo spyware lavora in silenzio — potresti averlo sul telefono senza saperlo.

Come arriva: Cliccando link sospetti, installando app da fonti non ufficiali, oppure in alcuni casi attraverso messaggi che sfruttano vulnerabilità del telefono (anche senza cliccare nulla).

Segnali: Il telefono è più lento del solito, la batteria si scarica rapidamente, il consumo dati è aumentato senza motivo, il telefono si scalda anche quando non lo usi.

Difesa: Tieni il telefono sempre aggiornato, scarica app solo dagli store ufficiali, non cliccare link sospetti. Su Android attiva Google Play Protect.

Truffa romantica

Cosa è: Una truffa lenta basata sulla costruzione di una relazione emotiva falsa. Il truffatore crea un profilo finto su social o app di incontri, corteggia la vittima per settimane o mesi, costruisce fiducia, e poi inventa un’emergenza che richiede denaro.

Chi colpisce: Principalmente persone sole o in cerca di compagnia. In crescita anche tra i 35-50 anni grazie all’intelligenza artificiale che crea profili e conversazioni convincenti.

Segnali di allarme: Non vuole mai fare una videochiamata. Vive lontano o è “all’estero per lavoro”. Dopo settimane di messaggi affettuosi, compare un’emergenza economica.

Regola: Prima di inviare denaro a qualcuno conosciuto online, chiedi una videochiamata live. Se non la vuole fare, è una truffa.

URL

Cosa è: L’indirizzo di una pagina web — quello che vedi nella barra in cima al browser. Ad esempio: “https://www.cellularesicuro.it”. Ogni sito ha il suo URL univoco.

Come lo usano i truffatori: Creano URL molto simili a quelli originali: “amaz0n.it” (zero invece della o), “intesa-sanpaolo-clienti.com” (dominio diverso), “poste-italiane.net” (.net invece di .it).

Come controllare: Guarda sempre l’URL prima di inserire dati. Il sito ufficiale di una banca italiana finisce sempre in “.it” e non ha trattini o parole extra nel nome.

Vishing

Cosa è: Phishing tramite telefonata. Il truffatore si finge un operatore bancario, un funzionario INPS, un tecnico telefonico o un agente di polizia. Lo scopo è convincerti a fornire dati o fare un bonifico.

Come funziona: Prima arriva un SMS di smishing. Poi la telefonata da un “funzionario” che sembra volerti aiutare. In realtà ti tiene al telefono mentre i complici entrano nel tuo conto.

Segnali: La chiamata arriva subito dopo un SMS sospetto. Chi chiama conosce alcuni tuoi dati. Ti chiede codici OTP, PIN o di fare operazioni urgenti.

Regola assoluta: Se ricevi una chiamata sospetta dalla banca, riattacca e chiama tu il numero ufficiale — quello sul retro della carta. Non richiamare il numero da cui hai ricevuto la chiamata.

VPN

Cosa significa: “Rete privata virtuale” — un’app che crea un tunnel protetto tra il tuo telefono e internet. Tutto il traffico passa attraverso questo tunnel crittografato, invisibile a chiunque cerchi di spiarlo.

Quando serve: Ogni volta che ti connetti a un Wi-Fi pubblico (bar, aeroporto, hotel, treno). Senza VPN, chiunque sulla stessa rete può intercettare i tuoi dati — password, email, accessi bancari.

Come funziona: Scarichi un’app (NordVPN, Surfshark, o altri), la attivi con un pulsante, e da quel momento la tua connessione è protetta. Non devi fare altro.

Serve anche a casa? Non è indispensabile sul Wi-Fi di casa, ma aggiunge un livello di privacy. È essenziale fuori casa su reti pubbliche.

WhatsApp

Cosa è: L’app di messaggistica gratuita più usata in Italia — praticamente tutti ce l’hanno. Serve per messaggi, foto, video e chiamate tramite internet.

Perché è nel mirino dei truffatori: Proprio perché tutti la usano. WhatsApp è percepita come un canale privato — le persone si fidano più di un messaggio WhatsApp che di una email. I messaggi arrivano con notifica immediata e si leggono di fretta.

Le truffe più diffuse: Truffa del finto figlio (“ciao mamma ho rotto il telefono”), truffa della ballerina (furto dell’account), richieste di codici OTP, finti concorsi.

La difesa principale: Attiva subito la verifica in due passaggi: Impostazioni → Account → Verifica in due passaggi. Un minuto per rendere quasi impossibile rubarti l’account.