Truffa WhatsApp finta banca 2026: 5 segnali e cosa fare

La truffa WhatsApp finta banca è uno schema di phishing in cui un messaggio in chat finge di arrivare dall’istituto di credito o da un contatto conosciuto e chiede di trasmettere codici OTP, password o di cliccare un link per “sbloccare” la carta. La regola difensiva è una sola e non ammette eccezioni: nessuna banca italiana chiede mai codici via WhatsApp, SMS o telefono. Di fronte a un messaggio del genere la risposta corretta è non rispondere, non cliccare e richiamare il numero verde stampato sul retro del bancomat.

Capita così. Una pensionata romana riceve un messaggio in chat: “Ciao, sono Maria del servizio antifrode della tua banca, abbiamo bloccato la carta per operazioni sospette, manda subito il codice che ti arriva via SMS o perdi i soldi”. Il tono è urgente, il nome suona familiare, il messaggio sembra arrivare da un numero italiano. È esattamente la sceneggiatura che la scheda Smishing della Polizia Postale descrive come tecnica più diffusa del 2026: il truffatore non forza il sistema bancario, forza la persona.

Perché questi messaggi sembrano veri

I truffatori usano due leve di social engineering ben note alla Polizia Postale: l’urgenza e la familiarità. Il messaggio sembra provenire da una fonte affidabile — la banca, Poste, un numero conosciuto — e chiede un’azione immediata, di solito entro pochi minuti, pena la perdita dell’accesso o dei soldi. Questa pressione temporale spinge anche persone normalmente prudenti a saltare la verifica, soprattutto se il messaggio arriva la sera, durante il pasto o in un momento di distrazione.

Il phishing via WhatsApp è il cugino più pericoloso del phishing via email, ovvero un tentativo di carpire credenziali sfruttando un canale che il destinatario considera privato e fidato. Diversamente dalla mail, dove il filtro antispam intercetta molti tentativi, in chat ogni messaggio arriva a destinazione e il mittente sembra “uno della rubrica” anche quando non lo è. La stessa logica vale per le telefonate: il caso classico della finta chiamata dell’INPS al pensionato gira sulla stessa leva — un ente conosciuto che parla con tono di urgenza.

Quali sono i segnali che rivelano un messaggio WhatsApp truffa?

• Richiesta di codici o password. Le banche e Poste non chiedono mai codici di verifica, OTP o password via WhatsApp, SMS o telefono. Mai. La sola richiesta è già la prova della truffa.
• Urgenza estrema. Frasi come “rispondi entro 5 minuti o perdi i soldi” o “la carta verrà bloccata definitivamente” sono il marchio di fabbrica dello smishing.
• Messaggio da un contatto conosciuto con richieste anomale. Se un parente chiede improvvisamente denaro, codici o vuole che clicchi un link, l’account è probabilmente compromesso: verifica con una telefonata.
• Link che porta a domini sospetti. Un URL che contiene il nome della banca seguito da parole come verifica, sblocco, sicurezza o un dominio diverso da quello ufficiale è quasi sempre una pagina-trappola.
• Italiano impreciso o numeri esteri. Errori di sintassi, prefissi internazionali insoliti, mittenti non salvati che si presentano come “dipendenti” della banca.

Cosa fare subito se non hai cliccato

1. Non rispondere e non cliccare. Chiudi la chat o blocca il numero. Ogni interazione conferma al truffatore che il numero è attivo e ti porta dentro la lista dei “rispondenti”, quelli a cui torneranno con tentativi più mirati.
2. Contatta la persona che sembra aver inviato il messaggio usando un canale diverso: una telefonata al numero salvato in rubrica, mai una risposta in chat. Se il messaggio sembra venire da un parente, è il modo più rapido per scoprire che il suo account è stato compromesso.
3. Se il messaggio dice di provenire dalla banca, chiama il servizio clienti al numero stampato sul retro del bancomat o pubblicato sul sito ufficiale dell’istituto. Non usare mai numeri o link presenti nel messaggio: anche un numero verde “ufficiale” copiato dalla chat può essere stato spoofato.
4. Fai uno screenshot del messaggio e salvalo prima di bloccare il numero. Servirà per la segnalazione e per l’eventuale reclamo. Includi nello screenshot l’intestazione con il numero del mittente: la Polizia Postale ne ha bisogno per l’analisi tecnica.
5. Segnala alla Polizia Postale. Usa il modulo “Segnala online” sul portale del Commissariato di P.S. online; in caso di pericolo immediato chiama il 112.

Se hai cliccato o hai dato informazioni: cosa fare nelle prime 24 ore

La velocità è tutto. Le truffe finanziarie via WhatsApp si concretizzano nei primi minuti dopo che la vittima ha trasmesso un OTP: ogni minuto guadagnato sul truffatore è denaro che resta sul conto, e dopo le prime due ore il bonifico può già aver lasciato il sistema italiano.

1. Niente panico, ma azione immediata. Più rapidi sono i passi, più alta la probabilità di limitare il danno o annullare l’operazione.
2. Blocca carte e home banking. Chiama il numero ufficiale della banca (sito o retro carta) e chiedi il blocco temporaneo di carta, app e operazioni di pagamento. Se hai una carta prepagata Postepay, il blocco si attiva anche dall’app o chiamando l’808.160.
3. Cambia tutte le password coinvolte e attiva la verifica in due passaggi su WhatsApp, sull’app della banca, sull’email collegata e sull’identità digitale (SPID, CIE). Non riutilizzare la stessa password.
4. Comunica esattamente cosa è successo alla banca: indica orari, numero del messaggio, importi sospetti. Conserva screenshot, ricevute e ogni traccia. Questa documentazione è la base del reclamo formale e dell’eventuale ricorso.
5. Segnala alla Polizia Postale con il modulo online. Se c’è stato un trasferimento di denaro, presenta anche denuncia formale in un Commissariato fisico o presso i Carabinieri: senza denuncia, l’iter di indagine non parte e la banca difficilmente procede al rimborso.

Cosa può fare la banca e cosa non è automatico

Le banche italiane applicano le regole della direttiva europea sui servizi di pagamento PSD2, recepita in Italia con il decreto legislativo 27 gennaio 2010, n. 11 e poi aggiornata dal decreto legislativo 15 dicembre 2017, n. 218: il cliente che subisce un’operazione non autorizzata deve essere rimborsato dal prestatore di servizi di pagamento, salvo il caso di dolo o colpa grave. È proprio sulla “colpa grave” che si gioca la partita del rimborso quando la vittima ha consegnato un OTP al truffatore.

La Banca d’Italia raccomanda di avvisare immediatamente il prestatore di servizi di pagamento al sospetto di un uso non autorizzato dello strumento di pagamento. Il rimborso però non è automatico: dipende dalle circostanze concrete e in particolare dal grado di disattenzione dell’utente. Per questo conviene segnalare subito, conservare ogni prova e formalizzare un reclamo scritto entro pochi giorni.

Prima di rivolgersi all’Arbitro Bancario Finanziario è necessario aver presentato un reclamo formale alla banca e attendere la risposta o lasciare decorrere 60 giorni senza risposta. L’ABF interviene solo dopo questo passaggio, valuta la documentazione e decide entro tempi certi senza i costi e i tempi del giudizio civile. Non promette il rimborso: ogni caso è diverso, ma la decisione è vincolante per la banca se le dà torto. Le pronunce ABF sui casi di OTP consegnato dal cliente non sono uniformi e ruotano attorno a due elementi: la qualità delle istruzioni di sicurezza che la banca ha dato al cliente e la concreta riconoscibilità della trappola da parte del titolare del conto.

Come e dove segnalare

• Polizia Postale. Modulo “Segnala online” sul portale del Commissariato di P.S. online. La segnalazione non equivale a una denuncia: se serve l’avvio formale dell’indagine, occorre denuncia presso un Commissariato fisico o una stazione dei Carabinieri.
• Numero unico di emergenza 112 in caso di pericolo immediato o di trasferimenti di denaro in corso che la banca non riesce a fermare.
• Banca o emittente della carta ai recapiti ufficiali del sito istituzionale o sul retro della carta. Il numero del messaggio sospetto non è mai un recapito ufficiale, anche quando si presenta come “antifrode” o “ufficio sicurezza”.

A chi spetta proteggere un familiare anziano?

Se assisti una persona anziana o fragile, la prevenzione conta più della reazione. La stessa dinamica di pressione vista qui ricompare in forme diverse di truffa al telefono, dove i truffatori fingono di essere carabinieri o magistrati. Tre regole pratiche che funzionano in famiglia:

• Mantieni la calma e parla con chiarezza: la persona truffata si vergogna spesso, e questo blocca la richiesta di aiuto.
• Offriti di verificare con la banca al posto suo, usando solo numeri e indirizzi ufficiali. Imposta sul suo telefono i contatti rapidi al numero verde dell’istituto.
• Chiedi di non cancellare i messaggi sospetti e di mandarti gli screenshot prima di bloccare. Se possibile, accompagna la persona nella chiamata al servizio clienti e nella segnalazione alla Polizia Postale.

Un ultimo consiglio pratico

C’è una precauzione semplice che fa davvero la differenza: scrivi su un foglietto di carta il numero ufficiale del servizio clienti della banca, il 112 e il numero di un familiare di fiducia, e tienilo accanto al telefono. Nei momenti di panico si pensa peggio: avere i contatti giusti già pronti, scritti su carta e non in un’app, può evitare un errore costoso. La scheda Phishing della Polizia Postale ricorda lo stesso principio in forma generale: nessun ente serio risolve emergenze in chat o per telefono in cinque minuti, e il tempo guadagnato per richiamare un numero verificato è quasi sempre tempo guadagnato sui truffatori.

Approfondimenti

• Come riconoscere uno smishing in 10 minuti e cosa fare subito
• La truffa del finto operatore bancario al telefono: come riconoscerla e come tentare il rimborso
• Tutte le allerte e le truffe monitorate dalla redazione
• Finti bonus bollette dal Comune: come riconoscere la truffa telefonica