Lo smishing 2026 è la versione SMS del phishing: messaggi costruiti per sembrare autentici che usano il nome della tua banca, delle Poste o di un ente pubblico, toni di urgenza e link che imitano pagine ufficiali. Bastano pochi secondi di distrazione per finire in trappola. Il principio difensivo è netto: nessuna banca, nessuna Posta, nessun ente pubblico chiede via SMS un codice OTP, una password, un PIN o i dati della carta. Lo ribadiscono ABI, Banca d’Italia e la Polizia di Stato in ogni campagna di prevenzione.
Tre esempi di SMS truffaldini che circolano nel 2026:
“Avviso urgente: blocco della tua carta per attività sospette. Vai a https://bancaclienti-aggiornamento[.]com per confermare i tuoi dati entro 30 min.” — Esempio ricostruito
“Poste: la sua pensione non è stata accreditata. Clicchi qui per sbloccare: http://poste-sicurezza[.]it/login” — Esempio ricostruito
“Intesa Sanpaolo: è stato registrato un pagamento non riconosciuto. Inserisca il codice OTP per verificare: https://intesa-check[.]xyz” — Esempio ricostruito
Non sono messaggi reali, ma rispecchiano i pattern che la Polizia Postale e gli esperti di cybersicurezza segnalano con crescente frequenza nel 2026. La pensione INPS è un bersaglio ricorrente proprio perché è un appuntamento mensile fisso e prevedibile — il truffatore può programmare l’invio sui giorni in cui sa che l’attesa dell’accredito alza la sensibilità di chi riceve.
Smishing 2026: 5 segnali da controllare in pochi secondi
Quali sono i segnali che rivelano un SMS truffa nel 2026?
Prima di cliccare su qualsiasi link ricevuto via SMS, fermati un momento e controlla questi cinque punti.
1. Mittente sospetto o numero sconosciuto
Se il mittente non è il tuo contatto abituale della banca, o appare come una stringa numerica strana, non fidarti. Le banche italiane usano alias riconoscibili (BancaBPM, IntesaSP, UnicreditIT, PosteIT) che compaiono nello stesso thread di conversazione delle comunicazioni precedenti. Un mittente che si presenta con un numero estero (+44, +21, +1) o una stringa casuale è un campanello d’allarme immediato.
2. Il link non corrisponde al sito ufficiale
Guarda attentamente l’indirizzo: se contiene parole come “aggiornamento”, “sicurezza”, “verifica-cliente” o domini terminanti in .xyz, .info, .click, .live, è quasi certamente un sito falso. I siti ufficiali delle banche italiane finiscono in .it con il dominio della banca (es. intesasanpaolo.com, poste.it, unicredit.it) e usano sottodomini regolari (es. clientionline.intesasanpaolo.com), non aggregati lessicali fantasiosi.
3. Ti chiedono un codice OTP, la password o i dati della carta
Le banche non chiedono mai queste informazioni via SMS. Mai. Il codice OTP serve a confermare un’operazione che TU stai facendo, non a “sbloccare” un conto o “verificare” un’identità a richiesta della banca. Se in un SMS ti viene chiesto di inserire un codice in una pagina web, qualcuno sta cercando di farti autorizzare un’operazione che non hai iniziato.
4. Tono di urgenza o minaccia
“Entro 30 minuti”, “blocco immediato del conto”, “ultimo avviso prima della chiusura”: è la tecnica classica per farti agire senza pensare. Un’autentica comunicazione bancaria, anche per un’operazione sospetta, ti dà tempo, ti rimanda al numero verde stampato sulla carta o all’app ufficiale, e non ti minaccia mai con scadenze a contatore. L’urgenza è il marchio di fabbrica della truffa, dal telefono alla porta di casa, come raccontato anche nella scheda sulla truffa dei finti carabinieri 2026.
5. Errori grammaticali o frasi innaturali
Non sempre presenti, ma quando ci sono sono un segnale chiaro: traduzioni automatiche, accenti sbagliati (“e” al posto di “è”), nomi propri scritti male, frasi costruite in modo strano. Negli ultimi anni gli SMS truffa sono diventati più curati grazie all’AI, ma un errore di registro o una formula impersonale fuori contesto restano un indizio.
Se anche uno solo di questi segnali è presente, non cliccare. Conserva il messaggio, fai uno screenshot e segnalalo. La prudenza in più non costa nulla; il danno di un click sbagliato può essere significativo.
Smishing 2026: cosa fare nei primi 10 minuti se hai cliccato
La cosa più importante è non farsi prendere dal panico. Ci sono azioni concrete da fare subito per limitare i danni nei primi dieci minuti.
1. Non cancellare l’SMS. Fai subito uno screenshot: ti servirà per la segnalazione. Annota anche data, ora e numero del mittente.
2. Chiama immediatamente la tua banca. Se hai inserito un codice OTP, la password o i dati della carta, considera quei dati compromessi. Chiama il servizio clienti e di’ queste parole esatte:
“Ho ricevuto un SMS sospetto e ho inserito un codice. Voglio bloccare la carta e sospendere qualsiasi pagamento.”
Il numero da chiamare lo trovi sul retro della tua carta o sul sito ufficiale della banca — non usare mai il numero indicato nell’SMS sospetto. Se non riesci a parlare con un operatore, chiama il numero verde stampato sul cedolino della pensione INPS o sulla carta postale, e chiedi il reindirizzamento.
3. Cambia la password dell’online banking. Fallo da un dispositivo diverso da quello su cui hai aperto il link (un altro cellulare, un tablet, il computer di un familiare). Se puoi, metti in modalità aereo il dispositivo su cui hai cliccato.
4. Monitora i movimenti del conto. Nei giorni successivi controlla estratto conto, notifiche app, SMS di addebito. Se vedi addebiti non autorizzati, segnalalo subito alla banca e chiedi l’annullamento o il disconoscimento secondo la procedura prevista dalla normativa sui pagamenti elettronici.
5. Segnala alla Polizia Postale. Puoi farlo online tramite Polizia di Stato — segnala un reato, allegando lo screenshot dell’SMS. Se sospetti un furto di denaro in corso, chiama il 112.
6. Chiedi aiuto se ne hai bisogno. Se non ti senti sicuro nel compilare la segnalazione online, rivolgiti a un familiare di fiducia, al tuo patronato o allo sportello del Comune. Le associazioni di consumatori (Federconsumatori, Adiconsum, Altroconsumo) offrono assistenza per le pratiche di rimborso.
Come denunciare: passi pratici
La segnalazione alla Polizia Postale per uno smishing 2026 si fa online in pochi passaggi:
- Vai su Polizia di Stato — segnala un reato.
- Compila il modulo indicando: data e ora dell’SMS, testo del messaggio, se hai cliccato e quali dati hai eventualmente inserito.
- Allega lo screenshot dell’SMS.
- Se non riesci a usare il sito, puoi recarti di persona in una stazione di Polizia o farti aiutare da un patronato.
Per segnalazioni anche su tentativi senza danno effettivo, è utile il Commissariato di P.S. online, che pubblica anche notizie aggiornate sulle ondate di smishing in corso e sui domini più recenti usati dai truffatori.
Testo modello per la segnalazione (adattalo con i tuoi dati):
“Io sottoscritto/a [Nome Cognome], nato/a il [GG/MM/AAAA], residente in [Indirizzo], documento [tipo e numero], segnalo di aver ricevuto in data [data] un SMS con il seguente testo: ‘[inserire testo dell’SMS]’. Ritengo si tratti di un tentativo di truffa. Ho cliccato sul link: [sì/no]. Ho inserito: [OTP / dati carta / nessuno]. Allego screenshot del messaggio. Chiedo di procedere con la segnalazione.”
Numeri e contatti utili
| Servizio | Contatto |
|---|---|
| Polizia Postale — segnalazioni online | poliziadistato.it/servizi-online/segnala-un-reato |
| Commissariato P.S. online — notizie e segnalazioni | commissariatodips.it/segnalazioni.html |
| Emergenze | 112 |
| ABI — Associazione Bancaria Italiana | abi.it |
| Poste Italiane — servizio clienti | poste.it (verifica il numero aggiornato sul sito) |
Per i numeri verdi delle singole banche (Intesa Sanpaolo, Unicredit, Banco BPM, BPER, Crédit Agricole, Banca Sella, ecc.), cerca sempre il numero ufficiale sul sito della tua banca o sul retro della carta. Non fidarti mai di numeri trovati nei messaggi sospetti o dettati al telefono da chi si presenta come “operatore antifrode”.
Cosa non fare (e come parlarne con chi ami)
Non fare:
- Non cancellare l’SMS prima di aver fatto lo screenshot.
- Non rispondere al messaggio con i tuoi dati o con “STOP”.
- Non cercare il numero della banca tramite il link ricevuto: potresti essere reindirizzato su un sito falso.
- Non fare bonifici o trasferimenti su conti che non conosci, anche se ti dicono che è l’unico modo per “recuperare” i soldi: è la fase successiva della truffa.
Come parlarne con familiari o persone fragili: usa frasi semplici e ripetile spesso.
“Se ricevi un SMS che ti chiede un codice o un numero di carta, non rispondere: chiamami prima.”
Una cosa pratica che puoi fare oggi: scrivi su un foglio di carta il numero ufficiale della tua banca, il 112 e il numero di un familiare di fiducia. Tienilo vicino al telefono. Nelle situazioni di pressione — che sono quelle in cui il truffatore vuole costringerti ad agire — un foglio scritto in grande spesso fa la differenza.
In sintesi
Lo smishing 2026 sfrutta tre leve: il nome della banca, l’urgenza, il codice da inserire. Riconoscerlo è una questione di abitudine: non si clicca su link arrivati via SMS, non si inseriscono codici fuori dall’app ufficiale, e davanti a qualsiasi dubbio si telefona alla banca dal numero sul retro della carta. Se hai cliccato, i primi dieci minuti contano: screenshot, telefonata alla banca, blocco carta, segnalazione alla Polizia Postale.
Le banche, le Poste e gli enti pubblici non chiedono mai codici via SMS. Tenerlo a mente — e dirlo ad alta voce a chi ci sta intorno — è la difesa più efficace che esista.
Approfondimenti
- WhatsApp, il messaggio che finge la banca: come non cadere nella truffa e cosa fare subito
- Truffa del finto operatore bancario: come riconoscerla e cosa fare per tentare il rimborso
- Tutte le allerte e le truffe per pensionati
- Ti chiamano dall’INPS? Potrebbe essere una truffa: come riconoscerla e cosa fare subito