Settimana 18: Il phishing dei pacchi dal seguito perfido – La truffa del «double phishing»

Service navigation

Ricerca

Navigazione

Settimana 18: Il phishing dei pacchi dal seguito perfido – La truffa del «double phishing»

05.05.2026 - La scorsa settimana, l’Ufficio federale della cibersicurezza (UFCS) ha nuovamente ricevuto un numero crescente di segnalazioni concernenti messaggi fraudolenti a nome di noti fornitori di servizi di spedizione pacchi, come la Posta Svizzera, DHL o DPD. Tuttavia, questa truffa ha conosciuto uno sviluppo particolarmente perfido: il cosiddetto «double phishing», in cui i criminali contattano le vittime anche telefonicamente dopo aver rubato i loro dati.

La truffa inizia con un classico SMS o un’e-mail, che comunicano che un pacco è bloccato o non può essere consegnato a causa di spese in sospeso (ad esempio, di sdoganamento o di porto) o di una verifica necessaria dei dati dell’indirizzo. Per sblocccare la consegna è sufficiente pagare una modesta somma di pochi franchi o aggiornare i dati.

Chiunque faccia clic sul link contenuto nel messaggio viene reindirizzato a un sito web fittizio ma ingannevolmente simile al sito web reale dei legittimi operatori. In questa pagina, alle vittime viene chiesto di inserire i dati della carta di credito per pagare la presunta tassa dal modesto importo. I truffatori hanno così raggiunto la prima parte del loro obiettivo: sono ora in possesso dei dati della carta di credito.

Esempi di presunte notifiche di pacchi via e-mail o SMS.
Esempi di presunte notifiche di pacchi via e-mail o SMS.

Il «double phishing» per telefono

Poiché oggi quasi tutti i pagamenti con carta di credito sono protetti da una misura di sicurezza aggiuntiva (come il 3-D Secure, il codice SMS o la conferma in-app), il semplice possesso dei dati della carta di solito non è sufficiente ai truffatori per addebitare importi elevati. È qui che entra in gioco il «double phishing».

Poco dopo aver inserito i dati, il telefono della vittima squilla. Al telefono risponde una persona eloquente, che si spaccia per un dipendente del reparto sicurezza o frodi della banca (o dell’emittente della carta di credito). Grazie al cosiddetto «spoofing», il vero numero della banca appare talvolta sul display del telefono.

Il presunto impiegato della banca informa la vittima che è stato appena rilevato un addebito sospetto sulla carta di credito. Per «bloccare» o «annullare» questa transazione, la vittima deve ora leggere urgentemente un codice di sicurezza, che arriverà a breve via SMS, o confermare la transazione nell’app bancaria.

In realtà, i truffatori attivano un pagamento in background proprio in questo momento, utilizzando i dati della carta precedentemente rubati. Se la vittima rivela il codice SMS o conferma il pagamento nell’app, lo stesso non viene bloccato ma autorizzato.

Raccomandazioni

  • Non cliccate sui link contenuti negli SMS sospetti.
  • Se avete fornito i dati della carta di credito, contattate immediatamente l’istituto emittente per farla bloccare.
  • Se avete fornito la vostra password, modificatela immediatamente su tutti i servizi per cui la utilizzate. Utilizzate una password diversa e sicura per ogni servizio online.
  • Se si tratta della password di un account e-mail, cambiate anche tutte le password relative ai fornitori di servizi Internet associati all’account.
  • Se avete subìto un danno finanziario, l’UFCS vi consiglia di sporgere denuncia presso la polizia locale. Potete trovare la stazione di polizia più vicina a voi tramite il sito Suisse ePolice.
  • Ignorate le notifiche dei pacchi che vi invitano a pagare una tassa.
  • In caso di dubbi e se state aspettando un pacco, chiamate l’assistenza telefonica del relativo servizio postale/di corriere (non cliccate sul link).
  • L’autenticazione a due fattori va assolutamente attivata per i servizi che offrono questa possibilità: in tal modo aumentate in modo significativo la sicurezza dei vostri dati.
  • Nessuna banca e nessun istituto emittente di carte di credito vi chiederà mai via e-mail di rivelare una password o di verificare i dati della carta di credito.
  • Non inserite mai dati personali come password o dati della carta di credito su un sito Internet aperto tramite un link ricevuto via e-mail o con un messaggio di testo.
  • Ricordatevi che è facile falsificare il mittente di un’e-mail o di un messaggio di testo.
  • Siate sempre diffidenti nei confronti di e-mail o messaggi di testo in cui venite minacciati con eventuali conseguenze (perdita di denaro, denuncia penale, blocco del conto o della carta ecc.).

Ulteriori informazioni

Truffa del pacco «bloccato»: Quando 1,99 CHF diventano una trappola costosa

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 05.05.2026

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2026/wochenrueckblick_18.html