Premessa
Nel 2025 si è registrato un forte aumento delle truffe bancarie basate sulla clonazione delle utenze di comunicazione della banca, una tecnica particolarmente insidiosa perché non richiede la violazione dei sistemi informatici dell’istituto di credito, ma sfrutta esclusivamente la fiducia del cliente.
SMS e telefonate appaiono autentici, provengono – almeno in apparenza – dai numeri ufficiali della banca e si inseriscono nei normali canali di comunicazione già utilizzati dal correntista. È proprio questa continuità visiva e percettiva a rendere la truffa estremamente efficace.
Comprendere il funzionamento di questi raggiri è essenziale sia per prevenire il danno, riconoscendo i segnali di allarme, sia per tutelare i diritti delle vittime, che in molti casi hanno diritto al rimborso delle somme sottratte ai sensi del D.lgs. 11/2010.
Cos’è la clonazione delle utenze bancarie
La clonazione delle utenze bancarie consiste nella falsificazione dell’identità comunicativa della banca attraverso due tecniche principali, spesso utilizzate in modo combinato.
La prima è la clonazione dell’utenza SMS. Il cliente riceve un messaggio che sembra provenire dal numero ufficiale della banca e che si inserisce nello stesso thread degli SMS autentici ricevuti in passato. Questo dettaglio rende l’allarme estremamente credibile.
La seconda è la clonazione del numero telefonico. La vittima riceve una chiamata che sul display appare come proveniente dal centralino o dalla filiale della propria banca. In realtà il numero è stato falsificato tramite tecniche di spoofing del caller ID.
L’attacco combinato di smishing e vishing consente ai truffatori di manipolare la fiducia dell’utente senza dover forzare alcun sistema di sicurezza.
Come funziona l’attacco: le fasi della truffa
Il messaggio SMS “civetta”
La truffa inizia quasi sempre con un SMS allarmante che segnala presunte operazioni sospette, tentativi di pagamento non autorizzati o blocchi imminenti del conto corrente.
Il messaggio utilizza un linguaggio allarmante ed invita a contattare un numero o a intervenire immediatamente per evitare conseguenze gravi. Nessuna banca opera in questo modo, ma la paura indotta porta molte vittime ad agire d’impulso.
La telefonata dal numero bancario clonato
A breve distanza dall’SMS, arriva la telefonata. Il numero visualizzato è quello reale della banca, del centralino o della filiale di riferimento.
L’interlocutore si presenta con autorevolezza e conoscenza della materia, spesso come direttore di filiale o responsabile antifrode, e descrive anomalie sul conto: pagamenti sconosciuti, bonifici in uscita, assegni irregolari o, nei casi più gravi, la presenza di un dipendente bancario infedele.
In alcune varianti, l’attacco viene rafforzato dall’intervento di finti Carabinieri, che confermano l’esistenza di un’indagine in corso e la necessità di agire con riservatezza assoluta.
L’attacco vero e proprio
Una volta conquistata la fiducia della vittima, i truffatori passano alla fase decisiva. Al cliente viene chiesto di:
- comunicare telefonicamente codici OTP ricevuti via SMS;
- disporre bonifici verso conti correnti sconosciuti;
- effettuare trasferimenti urgenti o istantanei, anche di importi molto elevati;
- recarsi in filiale per eseguire operazioni “di messa in sicurezza” dei fondi.
La vittima è così convinta di proteggere il conto e mettere al riparo il proprio denaro, ma in realtà sta eseguendo personalmente le operazioni che consentono ai truffatori di appropriarsene.
Dal punto di vista giuridico, questo passaggio è cruciale, perché l’operazione è formalmente autorizzata dal cliente, ma viziata da un grave inganno.
I segnali rivelatori della truffa
Esistono alcuni indicatori ricorrenti che devono immediatamente far sospettare una frode.
Un primo segnale è l’urgenza ingiustificata: richieste di agire entro pochi minuti, minacce di blocco del conto o di perdita definitiva dei fondi.
Altro elemento tipico è la richiesta di comunicare codici OTP o di effettuare bonifici verso conti sconosciuti, talvolta presentati come “conti sicuri” o addirittura intestati ad autorità di sicurezza.
È inoltre sospetta qualsiasi telefonata nella quale l’operatore fornisce dati personali o bancari senza effettuare verifiche preliminari sull’identità del cliente.
Infine, è sempre un segnale gravissimo la pressione a non contattare la filiale, il consulente o altri canali ufficiali.
In presenza anche di un solo dubbio, l’unica condotta corretta è chiudere la chiamata e digitare manualmente il numero ufficiale della banca o della propria filiale.
Conclusioni
Il boom di truffe bancarie basate sulla clonazione di SMS e numeri telefonici dimostra come il phishing moderno sia sempre più una truffa psicologica prima ancora che tecnologica.
La consapevolezza dei meccanismi utilizzati dai criminali è il primo strumento di difesa per evitare danni patrimoniali che, in molti casi, possono essere rilevantissimi.
