La truffa della finta chiamata INPS è un attacco di ingegneria sociale in tre mosse: una voce autorevole al telefono, il furto delle credenziali SPID, il dirottamento della pensione su un conto di complici. Nel 2026 ha già colpito migliaia di pensionati italiani. Sapere esattamente come funziona — nel dettaglio — è il modo più efficace per non caderne vittima.
Come funziona il meccanismo: tre mosse, schema fisso
I truffatori hanno affinato la tecnica nel corso degli anni. Lo schema si ripete quasi identico in ogni caso segnalato alla Polizia Postale.
Prima mossa — la chiamata. Un finto operatore INPS contatta la vittima sul cellulare con tono autorevole e allarmista: c’e un problema con il pagamento, una variazione nell’importo della pensione, un documento mancante che impedisce l’accredito del mese successivo. Tutto richiede verifica immediata. La pressione temporale e deliberata: non lascia spazio per ragionare, per parlare con un familiare, per richiamare il numero ufficiale e chiedere conferma.
Seconda mossa — il furto delle credenziali SPID. Il truffatore guida la vittima a fornire nome utente, password e codice OTP dello SPID — ovvero il sistema pubblico di identità digitale — con la scusa di “verificare l’identità” o “accedere al fascicolo previdenziale”. In alcuni casi chiede di installare un’app di assistenza remota che consente l’accesso diretto al dispositivo. La logica è la stessa della truffa del finto operatore bancario: il truffatore non viola alcun sistema tecnico, ma convince il titolare a consegnare spontaneamente le chiavi.
Terza mossa — il dirottamento della pensione. Con le credenziali SPID in mano, il truffatore accede al portale INPS, individua la sezione di modifica dell’IBAN di accredito, e sostituisce il conto corrente della vittima con quello di un complice. Il Sole 24 Ore ha documentato casi in cui la pensione è stata dirottata per più mesi consecutivi prima che la vittima si accorgesse del problema — spesso perché l’importo atteso sembrava “in ritardo” e non immediatamente riconducibile a una frode.
Cosa rende questa truffa diversa dallo smishing e dal phishing classico?
Lo smishing e la truffa WhatsApp finta banca arrivano via messaggio scritto: il truffatore spera che la vittima clicchi un link in autonomia. La finta chiamata INPS è un attacco vocale, ovvero un raggiro condotto in tempo reale con una voce umana che risponde alle domande, gestisce le obiezioni e adatta il tono alla reazione della vittima. L’effetto psicologico è sensibilmente più forte: è molto più difficile riconoscere la frode mentre si sta parlando con qualcuno che sembra sapere chi sei e cosa hai con l’INPS.
I 5 segnali che rivelano la truffa
L’INPS non chiede mai le credenziali SPID al telefono. Mai. Nessun ente pubblico italiano ha bisogno delle tue password per fare verifiche: i dati li hanno già nei loro sistemi. Il vademecum antitruffa dell’INPS lo ribadisce in modo esplicito da anni, eppure lo schema funziona ancora perché la chiamata arriva in un momento di guardia abbassata.
Ecco i cinque segnali da riconoscere nell’arco di pochi secondi, indipendentemente da quello che dice chi chiama:
- Ti chiedono la password o il codice OTP: stop immediato. Nessun operatore legittimo — né INPS, né Poste, né banca — ha mai bisogno di queste informazioni perché non possono servire a un’operazione di verifica interna.
- C’è urgenza dichiarata: “Se non lo fa adesso perde il diritto…” è una tecnica di pressione psicologica classica delle truffe. L’urgenza artificiale chiude la finestra di ragionamento critico. È sempre un segnale di frode.
- Ti chiedono di installare un’app sul telefono o sul computer per “assistenza remota” o “supporto tecnico”: non farlo mai. Un’app del genere consente accesso completo al dispositivo.
- Il numero chiamante sembra quello ufficiale INPS (803 164 da rete fissa o 06 164 164 da cellulare), ma la richiesta e strana: i truffatori usano tecniche di spoofing — ovvero la falsificazione del numero visualizzato — per far apparire sul display numeri identici a quelli ufficiali. Il numero che vedi sullo schermo non e mai prova di autenticita.
- Ti chiedono di non dire niente a nessuno, di non parlare con familiari o con la banca: segnale inequivocabile. Un operatore INPS legittimo non avrebbe mai ragione di chiederlo.
Come fermare la chiamata in 10 secondi
Basta un gesto: riagganciare. Senza spiegazioni, senza cortesia eccessiva, senza aspettare la fine del discorso. Poi non richiamare il numero da cui hai ricevuto la chiamata. Se hai dubbi su un eventuale problema reale con la tua pensione, chiama direttamente l’INPS al 803 164 — da rete fissa, numero gratuito — e quella e la verifica legittima. Il personale INPS non ti chiiedera mai le credenziali SPID nemmeno in quella chiamata.
Cosa fare se hai già risposto e fornito i dati
Agire nelle prime ore è l’unica variabile che conta. Più velocemente si interviene, maggiori sono le possibilità di bloccare il dirottamento prima che i soldi escano dal circuito bancario.
I passi da seguire nell’ordine corretto
- Cambia immediatamente la password SPID sul sito del tuo provider — Poste Italiane, TIM, Aruba, InfoCert. Non aspettare: finché la password è invariata, il truffatore può rientrare nel portale INPS in qualsiasi momento.
- Accedi al portale MyINPS e vai alla sezione di gestione dell’IBAN di accredito della pensione. Se e stato modificato con un IBAN sconosciuto, annotalo e segnalalo subito — quella e la prova della frode.
- Chiama l’INPS al numero ufficiale 803 164 e segnala l’accaduto chiedendo il blocco preventivo di qualsiasi modifica al tuo fascicolo previdenziale fino a quando non si chiarisce la situazione.
- Vai alla Polizia Postale per sporgere denuncia. È fondamentale per tracciare i truffatori, per documentare il danno in modo formale e per qualsiasi successiva richiesta di rimborso alla propria banca.
- Avvisa la tua banca immediatamente se ritieni che siano stati compromessi anche altri dati finanziari — carta di credito, conto corrente, codici bancari.
Se la pensione non arriva: come capire se è stato già dirottata
La truffa spesso passa inosservata per il primo mese perché la vittima attribuisce il mancato accredito a un ritardo tecnico. Il segnale da tenere sotto controllo: accedi a MyINPS, entra nella sezione “Cedolino pensione” e verifica se l’importo risulta emesso ma non accreditato sul tuo conto. Se l’IBAN registrato non corrisponde al tuo, la modifica fraudolenta è già avvenuta.
Perche i pensionati sono il bersaglio principale
I truffatori scelgono i pensionati con una logica precisa, non casuale. Un reddito fisso e prevedibile, accreditato ogni mese sulla stessa data e sullo stesso IBAN modificabile dall’interno del portale INPS: è esattamente il profilo che massimizza il rendimento dell’attacco con il minimo sforzo. A questo si aggiunge, in molti casi, una minore familiarità con lo SPID e con il funzionamento dei servizi digitali pubblici — fattori che rendono più difficile riconoscere il meccanismo della truffa in tempo reale, soprattutto sotto pressione emotiva.
La difesa più efficace non è tecnologica: è la conoscenza anticipata del meccanismo. Chi sa già, prima che arrivi la chiamata, che l’INPS non chiederà mai le credenziali SPID — e che un’urgenza dichiarata al telefono è sempre un segnale di frode — riaggancia nel momento stesso in cui arriva la prima richiesta strana. Senza bisogno di ragionare, senza la paura di perdere la pensione. Quella paura è l’arma del truffatore.
Se ti occupi di un genitore anziano o sei un caregiver, la guida sullo SPID Poste 2026 per caregiver spiega anche come attivare le deleghe INPS per gestire in sicurezza i servizi digitali al posto di chi è a rischio — riducendo la superficie di attacco disponibile ai truffatori.