I cybercriminali hanno cambiato bersaglio: ora puntano ai bonifici ordinari
I truffatori informatici hanno smesso di colpire le carte di pagamento. Oggi il loro obiettivo preferito è qualcosa che facciamo quasi ogni giorno: il comune bonifico bancario. Il telefono squilla, sullo schermo compare il numero della tua banca e nel giro di pochi minuti i risparmi di una vita svaniscono nel nulla.
Non si tratta di uno scenario da film. È la realtà quotidiana con cui banche e correntisti si confrontano ogni giorno. La cosa più inquietante? L’operazione avviene con il pieno “consenso” della vittima, senza carte rubate, senza computer violati.
Gli esperti di sicurezza informatica lanciano l’allarme su una tipologia di attacco completamente nuova. Mentre in passato i criminali puntavano ai numeri delle carte e ai codici di sicurezza, oggi sfruttano qualcosa di molto più sottile: la psicologia umana e le abitudini consolidate con il mobile banking. Il risultato sono perdite che si contano in centinaia di milioni di euro ogni anno.
Questo significa una cosa sola: nessuna telefonata proveniente dalla tua banca può essere presa sottogamba. Gli specialisti di sicurezza finanziaria sottolineano che la prevenzione parte dalla comprensione del meccanismo di queste truffe. Solo conoscendo il modus operandi dei criminali passo dopo passo, sei in grado di riconoscere i segnali d’allarme prima di premere il tasto “conferma bonifico”.
Dalle carte ai bonifici: come è cambiato il volto delle frodi bancarie
Per anni il bersaglio numero uno dei criminali è stato il numero della carta di pagamento con il relativo codice CVV. Bastava quello per svuotare un conto attraverso acquisti online o prelievi agli sportelli. Quel modello sta però cedendo sotto i colpi delle contromisure bancarie.
Gli istituti di credito hanno introdotto l’autenticazione forte, le app inviano notifiche in tempo reale e gli algoritmi individuano con maggiore precisione le transazioni anomale. Per i cybercriminali questo si traduce in un rapporto costi-benefici sempre meno vantaggioso. Lo schema si è quindi ribaltato: invece di faticare a scassinare i sistemi di sicurezza delle carte, le organizzazioni criminali hanno deciso di aggirare l’intero sistema.
Se non riesci più ad aprire la serratura con facilità, la strategia più efficace è convincere il proprietario ad aprire da solo, magari persuadendolo di star salvando i propri soldi. Lo strumento d’attacco è diventato il bonifico bancario, in particolare quello eseguito tramite l’app sul telefono.
Sembra innocuo: qualche clic, un’interfaccia familiare, la stessa banca, lo stesso dispositivo. La differenza sta nel fatto che la vittima agisce sotto la direzione del truffatore, che si spaccia per un dipendente della banca o del reparto sicurezza. I bonifici, poi, non hanno i limiti giornalieri tipici delle carte: una sola operazione può far sparire l’intero patrimonio, e annullare quel trasferimento è praticamente impossibile.
Statistiche che fanno gelare il sangue: centinaia di milioni svaniti con una telefonata
Nella prima metà del 2025, le frodi basate sulla manipolazione psicologica e sui bonifici bancari hanno generato perdite per circa 245 milioni di euro. Si tratta di un aumento superiore a un terzo rispetto all’anno precedente. In termini di volumi di denaro sottratto, il bonifico fraudolento ha già superato il classico abuso delle carte di pagamento.
Dietro questi numeri operano gruppi organizzati che funzionano come vere e proprie aziende: call center distribuiti in più paesi, copioni telefonici pronti all’uso, formazione in tecniche psicologiche, software specializzato per falsificare i numeri delle banche. Non si tratta più di un singolo truffatore improvvisato, ma di un’attività pianificata a freddo con logiche imprenditoriali.
I ricercatori di criminalità informatica segnalano che circa tre quarti delle somme sottratte transitano oggi proprio attraverso i bonifici. La diffusione capillare delle app bancarie, la disponibilità dei pagamenti istantanei e l’abitudine dei clienti a “risolvere tutto in pochi minuti” creano l’ambiente ideale per la manipolazione.
L’elemento chiave per i truffatori è che la vittima esegue l’intera operazione sul proprio dispositivo, nella propria app, con la propria conferma. Il sistema bancario registra quindi un “accesso regolare” e un “bonifico volontario”. Sul conto di destinazione si trova spesso una cosiddetta “testa di legno”, ovvero una persona che affitta o vende il proprio conto corrente e, su indicazione dei criminali, trasferisce rapidamente le somme ricevute.
Questi intermediari finiscono spesso per commettere un reato senza rendersene conto, convinti di partecipare a un’offerta di “lavoro da remoto” o a un “test dei sistemi di pagamento”. Non appena il denaro arriva sul conto del prestanome, fluisce immediatamente altrove — verso altri conti, spesso in paesi stranieri, e successivamente verso criptovalute. La traccia si dissolve e il correntista rimane solo con il conto vuoto e un senso di colpa per aver “confermato tutto da solo”.
Come funziona il trucco del falso consulente bancario
Il telefono squilla e sul display appare il numero del servizio clienti o della filiale della tua banca. Non è una coincidenza. I criminali si avvalgono di una tecnica chiamata spoofing del numero: sistemi specifici permettono loro di far comparire sullo schermo del destinatario qualsiasi numero desiderino.
Dall’altra parte del filo senti una voce calma e cordiale. Chi chiama si presenta come operatore del reparto sicurezza, a volte fornisce nome e cognome, persino un fittizio codice identificativo. La conversazione inizia con qualche domanda di cortesia e piccole digressioni, utili a costruire un clima di fiducia. Poi arriva la frase progettata per innescare il panico immediato: sul tuo conto starebbe in corso un attacco proprio in quel momento.
La narrazione è sempre simile: qualcuno sta tentando di effettuare un grosso bonifico, fare un pagamento con carta all’estero, o accedere ai risparmi. Per “bloccare l’intrusione”, il chiamante chiede di agire rapidamente sull’app bancaria. Non c’è tempo per riflettere, perché “ogni secondo conta”.
Sotto la pressione del tempo e della paura, il truffatore guida la vittima come un burattino. Ti chiede di accedere all’app bancaria sul telefono, di entrare nella sezione dei bonifici e aggiungere un nuovo beneficiario, ti detta un numero di conto presentandolo come “conto sicuro” o “conto tecnico della banca”. Ti spinge a trasferire tutto il denaro disponibile dal conto corrente o dal conto risparmio “per mettere al sicuro i fondi”, e ti chiede di inserire il codice ricevuto via SMS o di confermare la notifica push, sostenendo che si tratti della “conferma del blocco dell’attacco”.
A questo punto, formalmente, tutto sembra in regola: il cliente si è autenticato da solo, ha inserito autonomamente i dati del bonifico, ha confermato l’operazione di propria iniziativa. Dal punto di vista procedurale si configura come un trasferimento volontario, il che rende poi estremamente difficile trattare con la banca un eventuale rimborso. Il truffatore non ha bisogno di violare password né di accedere al tuo conto. Gli bastano pochi minuti di gestione efficace delle tue emozioni. Il resto lo fai tu, convinto di star proteggendo i tuoi risparmi.
I segnali d’allarme più comuni che molti non collegano ancora alla truffa
Chi ha ricevuto questo tipo di telefonata descrive schemi molto simili tra loro. Certi elementi ricorrono quasi in ogni chiamata, indipendentemente dalla “banca” da cui il criminale sostiene di chiamare:
- Urgenza e pressione ad agire immediatamente, senza possibilità di verifica
- Richiesta di effettuare un bonifico su un “conto sicuro” o “conto tecnico della banca”
- Richiesta di comunicare i codici di verifica ricevuti via SMS o di confermare operazioni nell’app
- Avviso di un attacco in corso sul tuo conto proprio in quel momento
- Istruzioni dettagliate su come procedere nell’app mobile, passo dopo passo
- Rassicurazioni che si tratti di una procedura di sicurezza standard della banca
- Invito a non riagganciare e a non chiamare nessun altro finché “l’attacco non è stato bloccato”
- Uso di terminologia tecnica e termini interni per conferire credibilità
Il denominatore comune di tutti questi trucchi è uno: fare leva sulle emozioni in modo potente. Paura, senso di minaccia, a volte anche vergogna (“qualcuno ha usato i suoi dati, forse ha cliccato su qualcosa in passato”) fanno sì che la razionalità passi in secondo piano. I ricercatori di psicologia comportamentale confermano che sotto stress le persone accettano con molto più facilità le istruzioni di una presunta figura autoritaria.
La difesa più semplice che può salvare il tuo conto: riattacca e richiama tu
Il riflesso più sicuro quando qualcuno ti sollecita telefonicamente a eseguire un bonifico o a comunicare un codice di autorizzazione è di una semplicità disarmante: chiudi la chiamata. Senza scuse, senza entrare in discussione, senza “verificare chi sei”.
Nessuna banca chiederà mai a un cliente di mettere al sicuro i propri fondi trasferendoli su un nuovo conto. Qualsiasi tentativo di imporre questa operazione è il segnale inequivocabile che stai parlando con un truffatore. Dopo aver riagganciato, vale la pena chiamare autonomamente la banca utilizzando il numero presente sul sito ufficiale o sull’estratto conto. Puoi anche controllare nell’app i messaggi di sicurezza: se sta accadendo qualcosa di realmente preoccupante, la banca di solito informa tempestivamente l’intera clientela.
Gli esperti di sicurezza finanziaria consigliano di darsi delle regole ferree riguardo alle telefonate che riguardano il denaro. Non effettuare mai bonifici su indicazione di qualcuno durante una telefonata. Considera qualsiasi pressione temporale come un campanello d’allarme. Non comunicare mai codici SMS o credenziali di accesso a chi chiama, indipendentemente da chi afferma di essere.
In famiglia è utile concordare che, in caso di “telefonate urgenti dalla banca”, il primo passo sia sempre riagganciare e contattare autonomamente l’istituto. Incoraggia i familiari anziani a consultare una persona di fiducia prima di cliccare su qualsiasi cosa nell’app. I criminali contano sulla fretta e sulla solitudine. Più persone intorno a te conoscono il meccanismo di questi trucchi, più è difficile attirare un’altra vittima nello stesso schema.
Cosa fare se sei stato manipolato
Se il bonifico è già partito, il tempo gioca contro di te, ma alcune azioni hanno ancora senso. Vale la pena chiamare immediatamente il servizio clienti della banca e segnalare il caso come frode, per poi presentare successivamente un reclamo formale. In molti paesi esistono anche piattaforme statali dedicate alla segnalazione di questi reati, il che aiuta le autorità a identificare i numeri e i conti dei prestanome che compaiono ripetutamente.
È utile anche riconoscere onestamente a se stessi il momento in cui si è ceduto alla pressione. Non per colpevolizzarsi, ma per orientarsi più rapidamente la prossima volta di fronte a uno schema simile. I cybercriminali si nutrono delle emozioni, ma il nostro vantaggio può essere imparare da storie come queste — proprie o altrui.
Il bonifico bancario resterà uno strumento di pagamento comodo, perché difficilmente rinunceremo all’app bancaria sul telefono. La chiave sta nel non permettere a uno sconosciuto di guidare le nostre mani nel momento in cui spostiamo il cursore su “conferma bonifico”. Un piccolo distacco dal “panico telefonico” vale spesso più di qualsiasi sofisticato sistema di sicurezza tecnica.
