Finto operatore della banca al telefono: come riconoscere la truffa

Risposta rapida: quando ricevi una chiamata da chi dice di essere l'ufficio antifrode della tua banca e ti viene chiesto di confermare codici, password, OTP o di "spostare i soldi su un conto sicuro", è quasi sempre una truffa di vishing. Una banca può contattarti per verifiche di sicurezza, ma non dovrebbe chiederti al telefono OTP, password, credenziali complete o bonifici verso "conti sicuri". Se la chiamata prende questa direzione, trattala come una truffa: riaggancia, richiama il numero ufficiale stampato sulla carta o indicato sul sito della banca e verifica.

Come funziona la chiamata del finto operatore

La telefonata del finto operatore segue uno schema ricorrente. Chi chiama si presenta con nome e cognome plausibili, qualifica ("addetto antifrode", "ufficio sicurezza", "back office carte") e dichiara un motivo urgente: un addebito sospetto, un tentativo di accesso da un'altra città, una transazione bloccata che richiede conferma.

Spesso la chiamata arriva preceduta da un SMS di "alert frode" inviato pochi minuti prima. È una preparazione che serve a rendere credibile la voce che chiama subito dopo. Il numero che appare sul display può sembrare quello reale della banca: si tratta di spoofing telefonico, una tecnica che permette al chiamante di mostrare un numero diverso da quello effettivo.

Un operatore reale non dovrebbe chiederti per telefono di leggere OTP, disinstallare l'app, installare software di assistenza remota o fare bonifici verso "conti di custodia" intestati a persone fisiche. La Polizia Postale descrive il phishing come una tecnica usata per sottrarre dati personali e bancari; nelle frodi bancarie, quei dati possono poi essere sfruttati anche in telefonate successive.

Lo script ricorrente: anatomia della telefonata

Nelle telefonate di vishing bancario ricorre spesso una struttura in tre fasi. Conoscerla aiuta a riconoscerla in tempo reale.

Fase 1: aggancio nei primi 30 secondi.

"Buongiorno, sono [nome] dell'ufficio antifrode di [nome banca]. La chiamo perché abbiamo rilevato un tentativo di bonifico di 1.480 euro verso un'utenza in Romania. Lei ha autorizzato questa operazione?"

L'apertura cita un importo preciso, spesso non tondo, e una destinazione presentata come sospetta. Serve a innescare l'allarme prima che tu abbia il tempo di pensare.

Fase 2: verifica dell'identità al contrario.

"Per bloccare l'operazione devo verificare che sia davvero il titolare. Le sto inviando un codice via SMS, me lo conferma per favore?"

Qui sta il trucco principale: il codice che arriva è un OTP reale generato dalla banca per autorizzare la frode in corso. Chi sta conducendo la frode sta generando quel codice mentre parla con te. Se lo leggi, potresti autorizzare tu stesso il pagamento o l'accesso.

Fase 3: pressione finale.

"Per sicurezza dobbiamo spostare temporaneamente i suoi fondi su un conto di custodia intestato alla banca. Le passo l'IBAN, lei deve fare il bonifico entro 10 minuti altrimenti il sistema riapre la finestra di frode."

L'IBAN dettato non è un conto di custodia della banca. Può essere un conto reale intestato a una persona usata come intermediario o vittima a sua volta. La fretta serve a evitare che tu richiami la banca o ne parli con qualcuno.

Segnali che è un finto operatore

• Ti chiede di leggere codici ricevuti via SMS, anche se "servono per bloccare l'operazione".
• Ti chiede di disinstallare l'app della banca o di installare app di assistenza remota, come AnyDesk, TeamViewer o QuickSupport.
• Ti dà un IBAN verso cui fare un bonifico "di sicurezza" o "di custodia".
• Mette urgenza con finestre di pochi minuti: "entro 10 minuti", "se non agiamo ora", "il sistema sta per sbloccare l'operazione".
• Conosce dati parziali, come nome, ultime 4 cifre della carta o nome della banca: non è una prova di legittimità, perché questi dati possono arrivare da phishing precedenti o data breach.
• Ti chiede di restare al telefono mentre fai operazioni e di non riagganciare per chiamare la banca.
• Il numero sul display combacia con quello ufficiale: lo spoofing rende il caller-ID inaffidabile.

Perché il vishing bancario funziona così bene

A differenza di un SMS o di un'email, una telefonata mette la vittima in uno stato di urgenza che rende difficile applicare i normali controlli. La voce umana, l'apparente competenza tecnica di chi chiama e la coincidenza con un SMS appena arrivato spostano l'asticella della verifica più in alto del solito.

Il vishing bancario è difficile da misurare con precisione perché spesso si combina con SMS, email, spoofing del numero e accessi fraudolenti all'home banking. Per questo è più corretto descriverlo come una componente ricorrente delle frodi bancarie multicanale, non come una categoria sempre isolabile nei dati pubblici. Banca d'Italia raccomanda nella guida alla sicurezza dei pagamenti digitali di usare due fattori di autenticazione di categorie diverse proprio per ridurre la superficie d'attacco di tecniche come questa.

Il problema è che lo schema del finto operatore non rompe il secondo fattore: lo aggira convincendo la persona chiamata a leggerlo ad alta voce.

Il vishing può essere preceduto o accompagnato da un attacco di SIM swap, che permette di intercettare gli SMS della banca, oppure da una campagna di phishing bancario via SMS usata per profilare la vittima.

Cosa fare nei primi 60 secondi della chiamata

Regola dei 10 secondi: se una chiamata bancaria ti chiede codici, app da installare o bonifici, non devi capire tutto subito. Devi solo interrompere la chiamata e richiamare la banca dal numero ufficiale.

• Non confermare nulla. Né nome, né indirizzo, né dati della carta, né codici. La banca, se serve davvero, ha già questi dati.
• Riaggancia. Non sentirti maleducato: una banca vera non si offende, chi sta tentando la frode sì.
• Richiama il numero stampato sul retro della carta o quello indicato nell'home banking ufficiale. Non usare il numero del display, che può essere stato falsificato.
• Non installare app suggerite dall'interlocutore, anche se dice che "serve per la verifica".
• Non fare bonifici verso IBAN dettati al telefono. Il "conto di custodia" non è una procedura di sicurezza da eseguire su richiesta telefonica.
• Se hai già letto un codice o autorizzato qualcosa, contatta immediatamente la banca dal canale ufficiale per bloccare carte, home banking e operazioni sospette.

Cosa fare se sei già caduto nella trappola

Se hai letto un OTP, autorizzato un'operazione o fatto un bonifico, agisci subito:

1. Blocca carte e home banking dall'app o dal numero ufficiale della banca.
2. Chiedi formalmente il disconoscimento dell'operazione. In caso di operazioni non autorizzate, la disciplina sui servizi di pagamento prevede tutele e tempi di rimborso, ma la banca può aprire un'istruttoria e rifiutare o riaddebitare il rimborso se prova dolo o colpa grave del cliente.
3. Sporgi denuncia alla Polizia Postale tramite commissariatodips.it, allegando SMS ricevuti, ricevute dei bonifici, screenshot e registrazione della chiamata se disponibile.
4. Conserva il numero del chiamante anche se è probabilmente stato falsificato: può essere utile nella ricostruzione dei fatti.
5. Cambia password dell'home banking e dell'email associata.

Nel caso di bonifici istantanei, i tempi di intervento sono particolarmente stretti: per questo conviene contattare subito la banca, senza aspettare di raccogliere tutti i documenti.

Quando usare controllatruffa.it

Se hai ricevuto un SMS di "alert frode" o un'email che dice di confermare un'operazione e poco dopo arriva una chiamata, puoi incollare il testo del messaggio nel modulo di analisi. Il tool segnala i pattern linguistici tipici delle campagne preparatorie del vishing bancario, come link mascherati, mittenti falsificati e pressione temporale, e ti aiuta a capire se il messaggio può essere la prima fase di una truffa più articolata.

Per approfondire come riconoscere queste campagne, vedi la guida al phishing bancario in Italia e l'analisi dello spoofing telefonico con numero clonato. Una panoramica più ampia delle frodi che colpiscono i conti correnti la trovi nella hub dedicata alle truffe bancarie.

Domande frequenti

La banca può davvero chiamare per un'operazione sospetta?

Sì, alcune banche italiane possono chiamare per verificare operazioni che il loro sistema antifrode segnala come anomale. Ma in quei casi non dovrebbero chiederti OTP, password o bonifici verso "conti di custodia". Se hai dubbi, riaggancia e richiama il numero stampato sul retro della carta o indicato nell'home banking ufficiale.

Il numero che vedo sul display è davvero quello della banca?

Non necessariamente. Lo spoofing telefonico permette al chiamante di mostrare un numero diverso da quello effettivo, incluso un numero che sembra appartenere alla tua banca. Il caller-ID non è una prova di identità: la verifica più sicura è richiamare la banca usando un numero ufficiale.

Se ho letto un OTP al finto operatore, sono perso?

Non per forza, ma devi agire in minuti, non in ore. Blocca subito carte e home banking, contatta la banca dal numero ufficiale, chiedi il disconoscimento dell'operazione e conserva tutto. La rapidità non garantisce il rimborso, ma riduce il rischio che altre operazioni vadano a buon fine e rende più solida la ricostruzione dei fatti.

Come fanno a sapere che sono cliente di quella banca?

Spesso da phishing precedenti, SMS o email a cui hai risposto, da data breach pubblici o dall'incrocio di dati ottenuti su altri canali. Il fatto che conoscano nome, banca o ultime 4 cifre della carta non è una prova di legittimità: può essere il risultato di una raccolta dati a monte.

Posso registrare la chiamata per usarla in denuncia?

In linea generale, la registrazione di una chiamata a cui partecipi può essere utilizzata per tutelare un tuo diritto, per esempio in una denuncia. Evita però di diffondere l'audio pubblicamente o sui social: conserva il file e consegnalo, se necessario, alla banca, alla Polizia Postale o al tuo legale.