Un messaggio di poche righe, un link, un invito ad agire. Oggi basta questo per innescare una frode digitale: le truffe via SMS sono entrate in una dimensione industriale, alimentata da automazione e intelligenza artificiale. Nel 2024, solo negli Stati Uniti, le perdite legate ai messaggi fraudolenti hanno toccato i 470 milioni di dollari, con un balzo del 434% rispetto al 2020 .
Il fenomeno, noto come smishing, si sta consolidando come uno dei vettori più efficaci dell’ingegneria sociale mobile. La pervasività dello smartphone, la percezione di affidabilità del canale SMS e l’uso dell’AI generativa per costruire testi coerenti con il linguaggio di banche, corrieri o piattaforme digitali stanno alzando l’asticella della minaccia. Il risultato, secondo un recente report realizzato da Panda Security, è un ecosistema di attacchi sempre più credibili e mirati, capaci di intercettare l’utente nel momento di maggiore vulnerabilità.
Indice degli argomenti
I 20 schemi più diffusi: così agiscono i truffatori
Il report analizza 20 esempi di SMS truffa nel 2026, offrendo uno spaccato dettagliato delle tecniche più utilizzate. Gli schemi ricorrono a leve psicologiche precise: urgenza, paura, senso di colpa o promessa di un vantaggio economico immediato.
Tra i casi più comuni emergono i finti problemi di consegna, con messaggi come: “USPS: Il tuo pacco è in attesa di consegna per una tassa di spedizione non pagata. Aggiorna i tuoi dati qui per evitare il reso: [link sospetto]”. L’obiettivo è intercettare chi sta aspettando un pacco e convincerlo a inserire dati personali o di pagamento.
Molto diffuse anche le notifiche di pedaggi non pagati: “Avviso Telepass: hai un pedaggio non pagato di 3,25 euro. Paga ora per evitare costi aggiuntivi: [link sospetto]”. L’importo ridotto rende la richiesta plausibile e favorisce una reazione impulsiva.
Sul fronte bancario spiccano i falsi alert di sicurezza: “Avviso della banca: rilevata attività insolita. Verifica subito il tuo account per evitare la sospensione: [link sospetto]”. In altri casi il tono è più neutro, con richieste di aggiornamento amministrativo costruite per ottenere credenziali e informazioni sensibili.
Il documento segnala anche le truffe legate al lavoro da remoto, come nel messaggio: “Congratulazioni! Sei stato selezionato per un lavoro da remoto. Guadagna ogni giorno valutando hotel. Inizia subito!“. Dopo un primo contatto, viene richiesto il versamento di commissioni per accedere a presunti guadagni più elevati.
Non mancano le false emergenze familiari, che puntano sull’emotività: “Ciao nonna, sono tuo nipote. Ho avuto un incidente e ho bisogno di soldi per l’ospedale, per favore mandami 500 euro su Satispay a questo numero. Grazie“.
Tra gli schemi più sofisticati figura lo spoofing del numero di telefono, tecnica con cui il messaggio sembra provenire dallo stesso numero della vittima, generando confusione e allarme. È il segnale di un’evoluzione tecnologica che rende il fenomeno ancora più insidioso.
L’AI generativa al servizio delle frodi digitali
Un elemento centrale dell’evoluzione dello smishing riguarda l’impiego dell’intelligenza artificiale. Il documento evidenzia che oggi i criminali informatici usano tecniche sofisticate e l’intelligenza artificiale generativa, aumentando il livello di realismo dei messaggi.
I testi risultano coerenti con il linguaggio dei brand imitati, con formattazioni curate e riferimenti plausibili. Gli errori grammaticali, un tempo campanello d’allarme evidente, lasciano spazio a comunicazioni più rifinite. Questo salto di qualità rende fondamentale una maggiore attenzione al contesto e alla verifica delle fonti.
I segnali da riconoscere per proteggere dati e conti
Il report individua alcuni indicatori ricorrenti utili a intercettare una truffa. Tra questi il messaggio fuori contesto, che cita servizi o operazioni mai effettuate, e la creazione artificiale di urgenza per spingere a un’azione immediata.
Un altro elemento riguarda il numero del mittente, spesso sconosciuto o anomalo, insieme alla presenza di link sospetti o accorciati che imitano domini ufficiali con lievi variazioni.
La regola chiave resta la verifica diretta attraverso i canali ufficiali del servizio coinvolto, evitando di cliccare sui link contenuti nei messaggi e accedendo invece ai siti digitando manualmente l’indirizzo nel browser o utilizzando l’app ufficiale.
Segnalazione e prevenzione: il ruolo degli utenti
Per contrastare il fenomeno, il documento indica la Polizia Postale come primo riferimento per le segnalazioni, invitando a fornire il testo del messaggio e il numero del mittente. Sono inoltre disponibili le funzioni di blocco integrate negli smartphone iOS e Android.
La segnalazione sistematica dei numeri utilizzati nelle campagne fraudolente consente agli operatori di intercettare e bloccare più rapidamente le attività criminali, contribuendo a ridurre l’impatto complessivo delle truffe.
Sul piano della prevenzione, il documento richiama comportamenti prudenti: evitare di rispondere a messaggi inattesi, non condividere dati personali o finanziari con sconosciuti, prestare attenzione alle richieste di inserimento del numero di cellulare in contesti promozionali e aggiornare regolarmente le impostazioni di sicurezza del dispositivo.
Una priorità strategica per l’ecosistema mobile
L’evoluzione dello smishing impone un rafforzamento della cultura della sicurezza digitale. Il canale SMS, storicamente percepito come affidabile, è diventato uno dei vettori privilegiati delle frodi online. Automazione, AI e campagne massive amplificano la portata del fenomeno.
In questo scenario, la consapevolezza degli utenti, il presidio tecnologico degli operatori tlc e la collaborazione con le autorità rappresentano i pilastri per contenere l’escalation delle truffe via messaggio.
