Smishing assicurativo: come riconoscere e bloccare gli SMS truffa delle compagnie assicurative

Smishing assicurativo: come riconoscere e bloccare gli SMS truffa delle compagnie assicurative

Se hai ricevuto un SMS che dice: "La tua polizza RC Auto è sospesa. Clicca qui per attivarla subito", e hai quasi cliccato sul link, sei stato fortunato. Questo è lo smishing assicurativo - una truffa che sfrutta la tua fiducia nel telefono per rubarti dati, soldi e persino la tua identità. Non è un caso isolato. Nel 2023, quasi 1 italiano su 3 ha ricevuto almeno un SMS falso che sembrava provenire dalla propria assicurazione. E il 18% di loro ha cliccato sul link. Ecco cosa devi sapere per non cadere nella trappola.

Cos'è lo smishing assicurativo e perché funziona

Lo smishing è il phishing che arriva via SMS. Il nome viene da "SMS" e "phishing". Ma mentre il phishing ti colpisce con un'email che sembra legittima, lo smishing sfrutta qualcosa di più potente: la tua abitudine a fidarti dei messaggi sul cellulare. La gente pensa: "Se è un SMS, deve essere vero". E invece no. I truffatori sanno questo. Per questo hanno scelto il settore assicurativo come bersaglio principale.

Perché le assicurazioni? Perché paghi regolarmente, hai dati sensibili (codice fiscale, carta di credito, numero di polizza), e le compagnie ti contattano spesso. I truffatori creano messaggi che sembrano usciti direttamente da Generali, Allianz, Unipol o Mapfre. Testi come: "Hai diritto a un rimborso di 300 euro", "Il tuo pagamento è fallito. Aggiorna i dati ora", o "Accesso non autorizzato al tuo account. Clicca per bloccarlo". Sono progettati per creare urgenza. Ti fanno sentire che se non agisci subito, perdi qualcosa. E così, senza pensarci, clicchi.

Un studio dell'Università di Bologna ha trovato che il 72% di questi SMS usa un italiano perfetto, con riferimenti precisi alle polizze più comuni: RC Auto, vita, salute, animali domestici. Non è un messaggio generico scritto da un bot. È fatto su misura per te. E questo lo rende molto più efficace. Il tasso di successo dello smishing è del 7,8%, quasi il doppio del phishing via email (3,4%).

Come riconoscere un SMS truffa: i segnali d'allarme

Non tutti gli SMS sospetti sono uguali. Ma ci sono pattern ricorrenti che puoi imparare a riconoscere. Eccoli:

  • Numero sconosciuto o strano: i messaggi ufficiali arrivano da numeri registrati e verificati. Se vedi un numero con prefisso internazionale (es. +358, +44) o un numero a 10 cifre senza nome, è un segnale rosso. Le assicurazioni italiane non usano numeri stranieri.
  • Link abbreviati: bit.ly, t.co, tinyurl.com. I messaggi veri non li usano. Se il link è accorciato, non aprirlo. Può nascondere un sito falso identico a quello ufficiale.
  • Richiesta di dati sensibili: nessuna compagnia ti chiederà mai via SMS il tuo codice fiscale, la password del portale, il numero della carta di credito o il PIN. Mai. Se lo fa, è una truffa.
  • Errore di scrittura o linguaggio strano: anche se il testo sembra perfetto, a volte ci sono errori di punteggiatura, maiuscole sbagliate o frasi poco naturali. È un segno che il messaggio è stato generato da un tool automatico.
  • Pressione temporale: "Devi agire entro 24 ore" o "Il tuo account verrà chiuso tra 1 ora". È una tecnica psicologica. Ti fanno perdere la lucidità. La calma è la tua arma migliore.

Un esempio reale: un utente su Reddit ha ricevuto un SMS da "Generali" che diceva: "La tua polizza RC Auto è stata sospesa per mancato pagamento. Clicca qui per regolarizzare entro 24 ore". Il link lo ha portato a un sito identico a quello ufficiale, con logo, colori, persino il footer. Solo dopo aver inserito i dati ha capito che era falso. Ha perso 150 euro.

Cosa fare se ricevi un SMS sospetto

Non cliccare. Non rispondere. Non chiamare il numero nel messaggio. Queste sono le tre regole d'oro. Ecco cosa fare invece:

  1. Verifica il mittente: controlla il numero completo. Non fidarti del nome visualizzato. I truffatori possono falsificare il nome "Generali" ma non il numero reale. Cerca su Google il numero: se è segnalato come truffa da altri utenti, è confermato.
  2. Visita il sito ufficiale manualmente: apri il browser, digita l'indirizzo della tua assicurazione da solo. Non usare link. Vai su www.generali.it, non su un link abbreviato. Lì controlla se ci sono avvisi o notifiche nel tuo profilo cliente.
  3. Chiama con il numero ufficiale: trova il numero di assistenza clienti sul tuo contratto, sulla fattura o sul sito ufficiale. Chiama e chiedi: "Ho ricevuto questo SMS, è vero?". Non usare il numero del messaggio. Mai.
  4. Segnala il messaggio: invia l'SMS al numero 1122 (servizio del Garante per la protezione dei dati personali). È gratuito e serve a bloccare la truffa per altri utenti.

Il Garante per la protezione dei dati ha chiarito che le compagnie assicurative dovrebbero includere un codice di verifica univoco nei messaggi veri. Se non ce l'hai, non è un messaggio ufficiale.

Scena divisa: truffa a sinistra, azione sicura a destra, stile geometrico primario

Come le compagnie assicurative stanno reagendo (e perché non è abbastanza)

Le grandi compagnie stanno facendo qualcosa, ma troppo lentamente. Secondo Altroconsumo, solo il 35% delle principali assicurazioni italiane ha implementato un sistema di autenticazione a due fattori per le comunicazioni sensibili. Ciò significa che se un truffatore ruba il tuo numero, può inviare messaggi che sembrano veri, senza che tu possa verificarne l'autenticità.

Però c'è un progresso. Nel maggio 2023, il Ministero dello Sviluppo Economico ha lanciato il progetto "SMS Sicuri", in collaborazione con le principali telecomunicazioni e compagnie assicurative. Da ottobre 2023, i messaggi veri avranno un segnale visivo sul tuo telefono - un'icona verde o un timbro digitale - che conferma l'origine. Questo sistema usa la blockchain per garantire che il messaggio non sia stato falsificato.

Ma non è ancora diffuso. Nel 2022, solo il 22% delle assicurazioni lo usava. Nel 2024, si prevede che il 65% lo adotterà. Nel frattempo, tu sei il primo livello di difesa.

Il futuro: quando lo smishing diventa una chiamata

Le truffe non si fermano. I truffatori stanno già passando allo "vishing" - il phishing via chiamata vocale. Un report di Secure Network ha rilevato che il 38% degli attacchi di smishing nel 2023 includeva un messaggio vocale generato da intelligenza artificiale. Ti chiama, e la voce è quella del tuo agente assicurativo. Ti dice: "Salve, sono Marco da Unipol. Abbiamo rilevato un problema con la tua polizza. Mi confermi il suo codice fiscale?"

È spaventoso. L'IA può imitare il tono, il ritmo, persino gli accenti regionali. Il professor Marco Cremonini prevede che entro il 2025, il 55% degli attacchi nel settore assicurativo saranno vishing. Non ci saranno più link da cliccare. Saranno chiamate che sembrano reali. E tu, se non sei preparato, rispondi.

La buona notizia? Il settore sta investendo. Le assicurazioni italiane hanno aumentato del 78% il budget per la cybersecurity nel 2023. Ma l'investimento più importante che puoi fare è imparare a dire "no".

Schermo di telefono con timbro di verifica verde e messaggi falsi che si dissolvono

Come proteggerti: la checklist pratica

Qui sotto trovi una guida rapida da stampare o salvare sul telefono. Seguila ogni volta che ricevi un SMS da un'assicurazione:

  • ✅ Non cliccare mai link in SMS, anche se sembrano legittimi
  • ✅ Non rispondere mai a messaggi che chiedono dati personali
  • ✅ Controlla il numero del mittente: se non è noto, bloccalo
  • ✅ Vai sempre sul sito ufficiale digitando l'indirizzo a mano
  • ✅ Chiama con il numero ufficiale (non quello nel messaggio)
  • ✅ Segnala l'SMS a 1122
  • ✅ Impara a riconoscere i messaggi con urgenza artificiale
  • ✅ Parla con familiari o amici prima di agire - chiedi: "Cosa ne pensi?"

Non serve essere esperti di tecnologia. Serve solo un po' di attenzione. E un po' di scetticismo. Perché se qualcuno ti dice "Agisci subito", la risposta giusta è sempre: "Aspetto".

Se sei già stato truffato: cosa fare

Se hai cliccato su un link e inserito dati, non perdere la calma. Agisci subito:

  1. Blocca la carta: chiama subito la tua banca o la tua assicurazione con il numero ufficiale. Chiedi di bloccare la carta di credito o il conto collegato.
  2. Modifica le password: cambia tutte le password dei tuoi account online, specialmente quelli legati a finanze o assicurazioni.
  3. Contatta il Garante: segnala l'incidente su www.garanteprivacy.it. Puoi anche chiedere assistenza legale gratuita.
  4. Monitora il tuo conto: controlla le transazioni per i prossimi 30 giorni. Se vedi addebiti sospetti, segnalali subito.

Non è colpa tua. I truffatori sono sempre più bravi. Ma puoi fermarli - se agisci in tempo.

Posso fidarmi del nome "Generali" che appare sullo SMS?

No. I truffatori possono falsificare il nome del mittente per far sembrare che l'SMS venga da Generali, Allianz o Unipol. Il nome visualizzato non è affidabile. Devi controllare sempre il numero di telefono completo. Se non lo riconosci, è una truffa.

Le assicurazioni inviano mai SMS per chiedere aggiornamenti dei dati?

No. Le compagnie assicurative non chiedono mai dati sensibili come codice fiscale, PIN, o numero di carta tramite SMS. Se ti chiedono di aggiornare informazioni, lo fanno solo attraverso il tuo portale cliente sicuro, accessibile con username e password. Se ricevi un SMS su questo, è falso.

Cosa significa se il link nell'SMS sembra un sito vero?

I truffatori creano siti falsi identici a quelli ufficiali. Hanno lo stesso logo, gli stessi colori, persino la stessa struttura. Ma l'indirizzo web è diverso. Controlla l'URL: se non inizia con "https://www.nomeazienda.it", è falso. Anche un solo carattere sbagliato (es. "generalli.it" invece di "generali.it") è un segnale di truffa.

Ho cliccato sul link ma non ho inserito dati. Sono al sicuro?

Non è detto. Alcuni link contengono malware che si installa automaticamente sul tuo telefono, anche senza cliccare "conferma". Esegui una scansione antivirus, cambia le password dei tuoi account, e monitora il tuo telefono per comportamenti strani (es. batteria che si scarica più velocemente, app che si aprono da sole).

Esistono app che bloccano gli SMS di smishing?

Sì, alcune app come Truecaller o Whoscall possono riconoscere e bloccare numeri segnalati come truffa. Ma non sono infallibili. Il metodo più sicuro rimane: non cliccare mai, verificare sempre, e contattare la compagnia con il numero ufficiale. Le app sono un aiuto, non una protezione totale.