Vishing bancario: in 15 minuti svuotano il conto, come difendersi

Nel pomeriggio del 27 novembre, Bianca M., professionista della comunicazione a Milano, riceve una telefonata da un numero fisso con prefisso “02” che sembra riconducibile alla sua banca, UniCredit. All’altro capo una voce ferma e rassicurante si presenta come operatore dell’ufficio antifrode, segnalando transazioni anomale su eBay da Taranto proprio mentre sul suo telefono iniziano ad arrivare SMS che riportano pagamenti da 980, 970 e 860 euro. In realtà, quella chiamata è l’inizio di una trappola perfettamente congegnata che, sfruttando spoofing del numero, pressione psicologica e codici di sicurezza letti a voce, innescherà una serie di operazioni per un totale di 28.010 euro, compreso il trasferimento di fondi verso una carta Revolut collegata a Dublino.​

Cos’è il vishing bancario

Il caso di Bianca è un esempio emblematico di vishing, la variante “telefonica” del phishing in cui la trappola non arriva via email o link malevoli, ma attraverso una voce apparentemente autorevole. I truffatori manipolano il numero che appare sul display (caller ID spoofing) per far credere alla vittima di parlare davvero con la banca o con un reparto antifrode ufficiale, spesso affiancando alla chiamata SMS che appaiono nello stesso thread dell’istituto per rafforzare la credibilità. La Polizia Postale ricorda che né banche né forze dell’ordine richiedono mai OTP, credenziali o bonifici “di sicurezza” via telefono, WhatsApp o SMS: quando succede, è quasi sempre il segnale di una frode in corso.​

Come i truffatori aggirano la SCA

La vicenda mette in luce il punto debole della Strong Customer Authentication (SCA), introdotta con la PSD2 e divenuta standard dal 2020: la tecnologia funziona, ma non protegge quando è l’utente, manipolato, ad autorizzare in prima persona le operazioni. Nel caso di Bianca, i criminali costruiscono fiducia citando dati personali, chiedono di “certificare il dispositivo” leggendo i codici OTP e arrivano perfino a farle disinstallare l’app di home banking con la scusa di una nuova installazione “in sicurezza”, mentre nel frattempo operano sul conto come se fossero la titolare. Così, pur con tutti i passaggi tecnici rispettati, la banca può classificare i movimenti come operazioni “autorizzate”, rendendo molto più complesso l’accesso al rimborso automatico previsto per le transazioni chiaramente non autorizzate.​​​

Come riconoscere il vishing e difendersi

La storia di Bianca mostra come il fattore psicologico sia il vero “grimaldello” delle nuove truffe bancarie: urgenza, allarme e apparente competenza tecnica spingono la vittima a compiere azioni che, a mente fredda, non accetterebbe mai. Le regole fondamentali restano

• non comunicare OTP o credenziali per telefono,
• non seguire indicazioni per disinstallare o reinstallare l’app su richiesta di chi chiama,
• non impostare inoltri di chiamata
• non eseguire bonifici presentati come “messa in sicurezza” dei fondi. ​