Nell’epoca in cui viviamo, lo scenario della sicurezza informatica continua a evolvere a una velocità che merita la massima attenzione per non essere “fregati”. Se un tempo i tentativi di truffa via SMS, noti come smishing, erano facilmente individuabili grazie a errori grammaticali grossolani o formattazioni approssimative, oggi i cybercriminali utilizzano strumenti di intelligenza artificiale generativa per confezionare messaggi impeccabili.
I nuovi raggiri non mirano più solo a sottrarre credenziali, ma sfruttano tecniche psicologiche avanzate per manipolare la percezione della realtà degli utenti, rendendo il phishing bancario una minaccia estremamente sofisticata e capillare.
In questo articolo parliamo di:
L’ascesa dello smishing basato su intelligenza artificiale
Il salto di qualità tecnologico registrato negli ultimi mesi è impressionante. Secondo i dati del CERT-AgID e delle principali autorità di cyber-intelligence, oltre la metà delle campagne malevole attive nel 2026 utilizza l’intelligenza artificiale per personalizzare i testi.
I messaggi non sono più generici, ma riflettono il tono di voce e lo stile comunicativo dei reali istituti di credito italiani, come Intesa Sanpaolo, Poste Italiane o Unicredit. L’AI permette ai truffatori di generare migliaia di varianti di un singolo messaggio in pochi secondi, evitando i filtri antispam tradizionali e adattando il linguaggio al profilo della vittima.
Gli SMS appaiono spesso all’interno delle conversazioni autentiche già avviate con la propria banca. Grazie a una tecnica nota come “SMS spoofing“, i criminali riescono a falsificare l’ID del mittente, facendo sì che il telefono cellulare raggruppi il messaggio truffaldino insieme a quelli legittimi ricevuti in precedenza.
Tale elemento di coerenza visiva abbassa drasticamente la soglia di attenzione dell’utente, che si ritrova a cliccare su link malevoli convinto di interagire con un canale di comunicazione già verificato.
Le nuove esche: dai pedaggi autostradali ai falsi avvisi di frode
Le tematiche utilizzate per adescare le vittime si sono diversificate, andando oltre il classico “conto bloccato“. Una delle tendenze più aggressive del 2026 riguarda le finte notifiche di pedaggi autostradali o multe non pagate.
Messaggi che citano enti come Telepass o l’Agenzia delle Entrate avvisano l’utente di un debito di pochi euro, spingendolo a cliccare su un link per “evitare sanzioni amministrative”. La cifra esigua richiesta non desta sospetto, ma il portale di pagamento a cui si approda è un clone perfetto dell’originale, progettato esclusivamente per acquisire i dati della carta di credito.
Parallelamente, rimane centrale la tecnica dell’urgenza artificiale legata alla sicurezza bancaria. L’utente riceve un SMS che segnala un “accesso non autorizzato da un nuovo dispositivo” o un “bonifico sospetto in corso”. Il messaggio invita a cliccare immediatamente su un link per bloccare l’operazione. È proprio in questo momento di panico indotto che il cervello smette di analizzare i dettagli tecnici, portando la vittima a inserire le proprie credenziali di home banking e, in molti casi, a fornire anche il codice OTP (One Time Password) o a autorizzare notifiche push che consegnano il controllo del conto ai truffatori.
Lo spoofing telefonico e l’inganno dell’operatore umano
Una delle evoluzioni più pericolose del phishing moderno è la combinazione tra SMS e chiamata vocale. Dopo aver inviato il messaggio e aver ottenuto i primi dati, i criminali possono effettuare una chiamata che sul display appare provenire dal numero verde ufficiale della banca.
In questo caso, un finto operatore – talvolta una voce sintetica generata dall’AI indistinguibile da quella umana – guida la vittima attraverso una procedura di sicurezza fasulla. L’obiettivo è convincere l’utente a stornare fondi verso un “conto tecnico sicuro” o a rivelare codici dispositivi che permettono di svuotare il deposito in tempo reale.
Le autorità sottolineano che nessun istituto di credito chiederà mai, né via SMS né telefonicamente, di comunicare password, codici PIN o di effettuare trasferimenti di denaro verso conti terzi per motivi di sicurezza. La presenza di un operatore gentile e professionale che sembra conoscere i dettagli del vostro conto non deve essere considerata una prova di autenticità, poiché i dati preliminari sono stati spesso già sottratti attraverso il link contenuto nell’SMS iniziale.
Strategie di difesa e responsabilità degli istituti
Per proteggersi da queste minacce, la regola d’oro rimane quella di non cliccare mai sui link contenuti negli SMS, anche se sembrano provenire da una fonte affidabile. La procedura corretta prevede di ignorare il messaggio e accedere alla propria area riservata esclusivamente tramite l’applicazione ufficiale della banca o digitando manualmente l’indirizzo del sito nel browser.
È inoltre fondamentale attivare l’autenticazione a due fattori basata su dati biometrici o app certificate, che offrono una protezione superiore rispetto al semplice SMS OTP, ormai facilmente intercettabile tramite tecniche di SIM Swap.
Le implicazioni legali
Dal punto di vista legale, la giurisprudenza ha iniziato a delineare responsabilità più nette per gli istituti di credito. Secondo quanto stabilito dall’Arbitro Bancario Finanziario e in linea con le direttive europee, se la truffa è stata realizzata con tecniche di spoofing talmente avanzate da rendere impossibile per un utente medio riconoscere l’inganno, la banca può essere chiamata a rimborsare le somme sottratte, a meno che non provi il dolo o la colpa grave del cliente.
In ogni caso, è sempre consigliato segnalare tempestivamente ogni tentativo di smishing alla Polizia Postale e alla propria banca, in quanto questo piccolo gesto non è solo un atto di autotutela, ma contribuisce a mappare le nuove campagne criminali e a rafforzare le difese collettive di un sistema finanziario sempre più digitale e, di conseguenza, più esposto.
