Se hai appena aperto un messaggio sospetto sul telefono o sul computer, mantieni la calma: nella maggior parte dei casi, la sola apertura di un SMS o di un’email non infetta il dispositivo e non comporta il furto di denaro o dati personali. Il vero pericolo scatta solo se compi azioni successive, come fare clic su link allegati, scaricare file o inserire credenziali e codici personali in pagine web esterne.
Questa guida pratica è pensata per chiunque abbia ricevuto una comunicazione dubbia (SMS, WhatsApp, email) e voglia capire immediatamente se corre un rischio, come proteggere il proprio account e quali contromisure adottare per mettere in sicurezza i propri dati.
Cosa sapere prima: come funzionano le truffe via SMS e messaggi
Per difendersi efficacemente, è fondamentale capire il meccanismo che i cybercriminali utilizzano per colpire. Oggi la minaccia principale viaggia tramite smishing (le truffe via SMS) e phishing tradizionale.
- Il prefisso +62 e l’era delle “esche digitali”: come sta cambiando la nostra percezione dei messaggi
- Quishing: perché il QR Code è diventato la nuova frontiera del phishing
- La rinascita dei QR Code: come un piccolo quadrato sta ridisegnando il nostro confine digitale
I messaggi esca simulano quasi sempre comunicazioni urgenti da parte di soggetti autorevoli:
- Banche e istituti di credito: messaggi che segnalano “accessi anomali” o il “blocco del conto corrente”.
- Corrieri espressi (Poste Italiane, BRT, DHL, UPS): notifiche di “pacco in giacenza” o “indirizzo di consegna incompleto” con richiesta di pagamento di pochi centesimi.
- Enti pubblici o aziendali (INPS, Agenzia delle Entrate, Netflix): avvisi di rimborsi fiscali o problemi con il rinnovo dell’abbonamento.
Il messaggio in sé è solo un’esca. Il danno reale si verifica quando l’utente cade nella trappola psicologica dell’urgenza e compie un’azione dispositiva, completando il piano del truffatore.
Come fare passo dopo passo: mettere in sicurezza il dispositivo
Se hai aperto il messaggio ma non hai cliccato su alcun link, non devi fare nulla se non eliminare la chat. Se invece hai interagito con il contenuto, segui questi passaggi mirati in base alla tua situazione e al sistema operativo che utilizzi.
1. Se hai solo aperto il messaggio (Senza cliccare)
- Cosa fare: Non toccare nessun elemento all’interno del testo. Blocca il mittente e cancella definitivamente il messaggio per evitare tocchi involontari in futuro.
2. Se hai cliccato sul link ma non hai inserito dati
Se si è aperta una pagina web nel browser ma l’hai chiusa subito senza digitare password o codici, il rischio è minimo, ma è bene fare una verifica hardware e software differenziata:
- Su Android: Chiudi la scheda del browser. Vai in Impostazioni > Applicazioni > Scegli il tuo browser (es. Chrome) > Memoria archiviazione e seleziona Cancella cache. Esegui una scansione con Google Play Protect (apri il Play Store, tocca l’icona del tuo profilo in alto a destra, seleziona Play Protect e avvia la scansione).
- Su iPhone (iOS): Chiudi l’applicazione Safari o Chrome. Se usi Safari, vai in Impostazioni > Safari e tocca Cancella cronologia e dati dei siti web. iOS gestisce le app in modalità “sandbox”, riducendo quasi a zero il rischio di installazione autonoma di malware da una semplice pagina web.
- Su PC / Desktop (Windows o Mac): Chiudi la pagina, svuota la cronologia recente del browser e avvia una scansione completa con l’antivirus integrato (Sicurezza di Windows o strumento analogo su Mac).
3. Se hai inserito password, dati della carta o codici OTP
Questo è lo scenario critico. Devi agire tempestivamente seguendo questo ordine di priorità:
- Modifica le credenziali: Se hai inserito la password del tuo account bancario, di Amazon o della mail, accedi immediatamente al servizio reale (dall’applicazione ufficiale o digitando l’indirizzo corretto nel browser) e cambia la password. Se usi la stessa password su altri siti, modificala anche lì.
- Contatta la banca: Se hai inserito i dati della carta di credito o del bancomat, chiama subito il numero verde per il blocco delle carte del tuo istituto di credito (attivo 24 ore su 24). Monitora la lista dei movimenti alla ricerca di transazioni non autorizzate.
- Disconnetti i dispositivi: Molti servizi (come Google, Apple o i social media) permettono di vedere la lista dei dispositivi connessi. Vai nelle impostazioni di sicurezza dell’account e seleziona “Disconnetti da tutti i dispositivi” per espellere eventuali sessioni avviate dai truffatori.
Errori comuni da evitare assolutamente
Quando si riceve un messaggio sospetto, l’istinto può portare a commettere passi falsi che aumentano il livello di rischio. Ecco cosa non devi fare:
- Rispondere al messaggio: Anche solo inviare un SMS con scritto “Stop” o “Chi sei?” conferma ai truffatori che il tuo numero di telefono è attivo, funzionante e monitorato. Questo ti esporrà a un numero ancora maggiore di attacchi futuri.
- Chiamare il numero del mittente: Spesso i numeri visibili negli SMS di truffa sono contraffatti tramite una tecnica chiamata spoofing, che mostra il nome reale di una banca o di un contatto legittimo. Chiamare quel numero non ti metterà in contatto con i truffatori, oppure potrebbe indirizzarti verso numerazioni a tariffazione speciale a sovrapprezzo.
- Inoltrare il messaggio ad amici per chiedere pareri: Inoltrando il messaggio rischi che un tuo contatto clicchi sul link per errore. Se vuoi un consiglio, fai uno screenshot della schermata e condividi solo l’immagine.
Cosa fare se qualcosa non funziona
Se noti comportamenti insoliti sul tuo dispositivo o non riesci a riprendere il controllo dei tuoi account, applica queste soluzioni di emergenza:
- Se l’applicazione della banca è bloccata o non accedi più: Non tentare continui ripristini via email se non ricevi i codici. Chiama direttamente l’assistenza clienti telefonica della tua banca o recati nella filiale più vicina. Gli operatori possono bloccare l’accesso al profilo home banking da remoto in pochi secondi.
- Se il telefono mostra pubblicità continue o app sconosciute (Sintomo di malware):
- Soluzione Android: Avvia il telefono in Modalità Provvisoria (tieni premuto il tasto di accensione, poi tieni premuto a lungo sull’opzione “Spegni” sullo schermo finché non compare la voce per riavviare in modalità provvisoria). Una volta riavviato, vai in Impostazioni > Applicazioni e disinstalla le app sospette o sconosciute che non ricordi di aver scaricato.
- Soluzione estrema (valida anche per iPhone): Se i problemi persistono, effettua un backup dei soli dati personali (foto e contatti, evitando il backup delle applicazioni recenti) e procedi a un ripristino dei dati di fabbrica del dispositivo.
Alternative utili e strumenti di prevenzione
Per evitare che il problema si ripresenti, puoi sfruttare strumenti gratuiti e funzionalità integrate nei sistemi operativi per filtrare le minacce a monte:
- Filtro antispam integrato di Google: Se usi un dispositivo Android, imposta l’applicazione “Messaggi di Google” come gestore predefinito. Include un sistema di protezione in tempo reale che identifica la maggior parte degli SMS di truffa e li sposta automaticamente nella cartella “Spam e bloccati”.
- Verifica dei link con VirusTotal: Se hai un dubbio su un link presente in un messaggio, non cliccarlo. Copia l’indirizzo testuale, collegati al sito web gratuito VirusTotal.com, seleziona la scheda “URL” e incolla il link. Il servizio lo analizzerà contemporaneamente con oltre 70 motori di sicurezza per dirti se è segnalato come phishing o malware.
- Autenticazione a due fattori (2FA): Attiva sempre la verifica in due passaggi su tutti i tuoi account principali (mail, social, messaggistica). Anche se un truffatore dovesse riuscire a rubare la tua password tramite un messaggio esca, non potrà accedere al tuo profilo senza il secondo codice generato sul tuo smartphone tramite app come Google Authenticator o Microsoft Authenticator.
(Nota di aggiornamento: Le tecniche di spoofing e smishing evolvono costantemente. Questa guida viene aggiornata regolarmente per riflettere le ultime procedure di sicurezza dei sistemi operativi iOS e Android).
FAQ – Domande frequenti
Si può prendere un virus solo aprendo un SMS?
No, sui moderni sistemi operativi per smartphone (Android e iOS) l’apertura visiva di un SMS di testo non è sufficiente per installare automaticamente un virus o un malware. È necessaria un’interazione successiva dell’utente, come l’apertura di un link o il download di un file eseguibile.
Ho cliccato sul link ma la pagina non si è caricata, sono sicuro?
Non del tutto. Anche se la pagina sembrava vuota o non è stata caricata, il server del truffatore potrebbe aver registrato che il tuo numero è attivo e reattivo. Per sicurezza, svuota la cache del browser del tuo smartphone ed esegui una scansione di sicurezza con l’antivirus del dispositivo.
Cosa significa se ricevo un messaggio da una banca di cui non sono cliente?
Si tratta di un attacco di phishing massivo e indiscriminato. I truffatori inviano lo stesso SMS a migliaia di numeri generati casualmente, sperando che una percentuale di destinatari sia effettivamente cliente di quell’istituto di credito. Cancella il messaggio senza timore.
Possono rubarmi i soldi se non ho inserito il codice PIN del bancomat?
Se hai inserito solo il numero della carta di credito e la data di scadenza, i truffatori non possono prelevare contanti dallo sportello, ma potrebbero comunque tentare di effettuare acquisti online sui siti che non richiedono il protocollo di sicurezza 3D Secure (senza OTP). Blocca immediatamente la carta per precauzione.
