Truffa Nexi via SMS o WhatsApp: come riconoscerla subito

Hai ricevuto un SMS Nexi che segnala un pagamento sospetto, un blocco della carta o una verifica urgente?

In molti casi si tratta di phishing: un tentativo di farti inserire i dati della carta su un sito falso per poi usarli per operazioni fraudolente.

Cos’è la truffa Nexi

La truffa Nexi è un attacco di phishing che impersona Nexi — la principale società italiana di pagamenti digitali, che gestisce milioni di carte di credito e debito emesse da banche come Intesa Sanpaolo, BNL, UniCredit e molte altre — per rubare le credenziali della carta o spingere a confermare un finto pagamento. I messaggi arrivano via SMS o WhatsApp e tipicamente segnalano un blocco della carta, un addebito non autorizzato, un accesso sospetto o un pagamento da confermare. Il link nel messaggio porta a una pagina clone del sito Nexi che cattura i dati inseriti.

Il pattern è in circolazione almeno dal 2022 e riemerge con cadenza ricorrente, soprattutto in concomitanza con festività e periodi di shopping intenso (Natale, Black Friday, saldi estivi), quando aumenta il volume di transazioni reali e la guardia degli utenti si abbassa. Nexi è target frequente proprio perché il suo nome è noto a moltissimi italiani: inviando messaggi a numeri casuali, i truffatori hanno alta probabilità di colpire qualcuno che ha effettivamente una carta collegata al circuito.

Per ogni dubbio sull’autenticità di un messaggio, il riferimento ufficiale è la pagina di sicurezza Nexi o la propria app bancaria.

Come funziona la truffa

1. Ricevi un messaggio apparentemente ufficiale
2. Ti viene segnalato un problema urgente
3. Clicchi su un link
4. Inserisci i dati su un sito che imita Nexi
5. I dati vengono usati per pagamenti fraudolenti o accessi non autorizzati

Esempio tipico

"Pagamento sospetto rilevato. Verifica subito la tua carta: [link]"

Oppure:

"Carta temporaneamente bloccata. Riattivala ora: [link]"

Perché funziona

Queste truffe sfruttano la paura di:

• pagamenti non autorizzati
• blocco della carta
• impossibilità di usare i propri soldi

L’urgenza porta a cliccare senza verificare.

Come verificare in sicurezza

• Apri direttamente l’app Nexi o digita manualmente il sito ufficiale
• Controlla i movimenti reali della carta
• Non usare mai il link ricevuto via SMS
• Non richiamare numeri presenti nel messaggio
• Contatta l’assistenza ufficiale in caso di dubbio

Cosa fare subito

• Non cliccare sul link
• Non inserire dati
• Non condividere codici o informazioni personali
• Elimina il messaggio dopo aver verificato

Se hai cliccato o inserito dati

• Blocca o sospendi la carta immediatamente
• Cambia password e codici di accesso
• Contatta assistenza Nexi
• Controlla movimenti e segnala operazioni sospette

Quando usare ControllaTruffa

Se hai ricevuto un SMS o uno screenshot sospetto, puoi analizzarlo per capire se contiene segnali tipici di phishing prima di prendere decisioni.

Come riconoscere un messaggio Nexi falso: 6 segnali da controllare

I falsi messaggi Nexi seguono pattern molto precisi e ricorrenti. Quando due o più di questi sei segnali sono presenti nello stesso messaggio, la probabilità che sia una truffa è altissima. Le comunicazioni ufficiali Nexi non richiedono mai dati sensibili via SMS o email — il riferimento autorevole è la pagina di sicurezza Nexi.

1. Il testo crea urgenza immediata

Frasi come "operazione sospetta rilevata", "la tua carta è temporaneamente sospesa", "verifica richiesta entro 24 ore" o "ultimo avviso prima del blocco" sono costruite per farti reagire senza pensare. L’urgenza artificiale è il meccanismo psicologico più sfruttato dal phishing perché impedisce di fermarsi a controllare. I messaggi reali di Nexi non impongono mai scadenze così strette né minacciano di perdere accesso ai fondi se non agisci entro poche ore.

2. Il link non porta al dominio ufficiale nexi.it

Il sito ufficiale di Nexi è nexi.it. Qualunque link che usa varianti come nexi-secure.com, nexi-verifica.it, clientinexi.com, nexi-pay.online, oppure sottodomini fasulli come verifica.nexi-account.net è falso. Spesso nei messaggi SMS il dominio è nascosto dietro un URL shortener (bit.ly, tinyurl, t.co) proprio per impedirne la lettura prima del clic. Se il link non termina esattamente con nexi.it/..., è phishing.

3. Viene richiesta un’azione sui dati della carta

I messaggi truffa chiedono di inserire numero completo della carta, CVV, data di scadenza, codice OTP di conferma o credenziali di accesso all’area personale. Nexi non richiede mai questi dati tramite un link ricevuto via SMS o email. Una richiesta di OTP per "confermare il blocco" è un controsenso — e una bandiera rossa: serve solo al truffatore per autorizzare un pagamento al posto tuo.

4. Il mittente sembra autentico ma non lo è

I truffatori usano la tecnica dello "SMS sender spoofing" per far apparire il mittente come "Nexi", "Nexi Pay" o numeri simili a quelli del servizio clienti ufficiale. Su molti smartphone il messaggio finisce nella stessa conversazione di SMS legittimi precedenti — questo aumenta la fiducia. Il nome del mittente da solo non è mai una garanzia di autenticità: contano contenuto e link, non il sender ID.

5. Nessun riscontro nell’app Nexi o nel sito ufficiale

Se il messaggio segnala un blocco o un’operazione anomala, basta aprire l’app Nexi (oppure quella della tua banca) o digitare manualmente nexi.it nel browser. Se nell’app non c’è alcuna notifica, alcun blocco e nessuna operazione corrispondente, il messaggio è quasi certamente falso. Le comunicazioni reali sono sempre riflesse anche nei canali ufficiali, non solo via SMS.

6. Il messaggio non fa riferimento a una transazione reale

Le notifiche autentiche di Nexi citano dettagli specifici: importo, esercente, ora dell’operazione, ultime cifre della carta. I messaggi truffa restano vaghi ("operazione sospetta", "addebito non autorizzato") perché non sanno se hai davvero pagato qualcosa. Se non riconosci nessuna delle informazioni elencate — o se non c’è alcun dettaglio — è il segnale che il messaggio è generico, inviato a milioni di numeri sperando di colpirne qualcuno con timing sfortunato.

Se uno di questi sei segnali è presente, sospetta. Se due o più sono presenti, è quasi certamente una truffa: non aprire il link, non rispondere, e verifica direttamente dall’app o dal sito ufficiale digitato a mano.

Domande frequenti

Cos’è un messaggio Nexi truffa? Un messaggio Nexi truffa è un tentativo di phishing in cui truffatori inviano SMS o WhatsApp che imitano comunicazioni ufficiali di Nexi per rubare dati della carta o credenziali di accesso. Il messaggio finge tipicamente di segnalare un’operazione sospetta, un blocco della carta o un addebito non autorizzato e invita a cliccare su un link che porta a una pagina clone di nexi.it. La pagina raccoglie numero carta, CVV, OTP o credenziali e li trasmette al truffatore. Per ogni dubbio sull’autenticità di un messaggio, il riferimento ufficiale è la pagina di sicurezza Nexi.

Come riconoscere un messaggio Nexi falso? Un messaggio Nexi è quasi certamente falso se presenta almeno due di questi sei segnali: urgenza artificiale ("verifica entro 24 ore"), link che non punta a nexi.it, richiesta di dati carta o OTP, mittente che imita "Nexi" via spoofing, nessun riscontro nell’app ufficiale, riferimento generico a un’operazione che non hai effettuato. La spiegazione completa di ciascun segnale, con esempi concreti, è nella sezione [Come riconoscere un messaggio Nexi falso: 6 segnali](#come-riconoscere-un-messaggio-nexi-falso-6-segnali-da-controllare) di questa pagina.

Nexi manda SMS ai clienti? Nexi può inviare SMS o notifiche push per comunicare transazioni reali (autorizzazioni di pagamento, accessi all’app), ma non chiede mai di cliccare su un link per inserire dati sensibili come numero carta, CVV, OTP o credenziali. Le notifiche reali contengono dettagli specifici dell’operazione — importo, esercente, ultime cifre della carta — non un generico "operazione sospetta, verifica subito". Se il messaggio ti porta a una pagina che chiede dati, è una truffa, indipendentemente dal nome del mittente.

Ho ricevuto un messaggio Nexi con operazione sospetta: è vero? Non necessariamente. I messaggi su "operazione sospetta" sono uno degli schemi più diffusi nelle truffe Nexi. Verifica sempre aprendo l’app Nexi ufficiale o digitando manualmente nexi.it nel browser — non usare il link nel messaggio. Se nell’app non c’è alcun alert, alcun blocco né operazione corrispondente, il messaggio è quasi certamente falso. Le comunicazioni reali di Nexi sono sempre riflesse anche nei canali ufficiali, non solo via SMS.

Il messaggio Nexi è truffa se non ho una carta Nexi? Sì. I truffatori inviano messaggi a numeri di telefono casuali senza sapere se la persona abbia effettivamente una carta Nexi. Ricevere un SMS Nexi non significa che i tuoi dati siano stati compromessi: significa solo che il tuo numero era nella lista di destinatari del tentativo di phishing. Se non hai una carta Nexi, il messaggio è ovviamente falso. Se ce l’hai, vale la regola universale: verifica sempre dall’app, mai dal link nel messaggio.

Cosa fare se ho cliccato sul link di un messaggio Nexi sospetto? Il primo passo è capire se hai inserito dati o solo aperto la pagina. Se hai solo aperto il link senza inserire nulla, chiudi la pagina, elimina il messaggio e tieni d’occhio i movimenti della carta nei giorni successivi. Se hai inserito numero carta, CVV o un OTP, agisci immediatamente: contatta la tua banca o il numero antifrode Nexi per bloccare la carta, conserva screenshot del messaggio e della pagina come prova, e presenta denuncia alla Polizia Postale tramite il portale del Commissariato di P.S. online. Più rapida la reazione, maggiore la probabilità di bloccare un addebito fraudolento prima che vada a buon fine.

Come segnalare una truffa Nexi? Per segnalare un messaggio o un sito che imita Nexi puoi usare due canali in parallelo. Da un lato, scrivi all’indirizzo [email protected] o usa la sezione contatti del sito ufficiale Nexi — la segnalazione aiuta a bloccare la campagna e proteggere altri utenti. Dall’altro, presenta denuncia alla Polizia Postale anche se non hai subito perdite economiche: è la base per ricostruire la rete di numeri e domini coinvolti. Conserva sempre screenshot del messaggio originale e dell’eventuale pagina visitata.

È pericoloso cliccare senza inserire dati? Sì, anche se in misura minore rispetto all’inserimento dei dati. Aprire il link conferma ai truffatori che il tuo numero è attivo, esponendoti a campagne future. Alcune pagine di phishing tentano anche download automatici (drive-by download) o caricano script di tracking che raccolgono informazioni del dispositivo. Se hai aperto il link per errore, chiudi la pagina, non scaricare nulla, ed elimina il messaggio. La regola è semplice: non cliccare mai su link in messaggi non sollecitati, anche se sembrano provenire da brand affidabili.

Posso recuperare i soldi se ho subito un addebito da una truffa Nexi? Dipende dalla rapidità con cui blocchi la carta e segnali l’accaduto. Le banche italiane applicano la procedura di "chargeback" per le operazioni non autorizzate da phishing, ma i tempi di risposta possono variare in base al circuito (Visa, Mastercard) e all’istituto emittente. Il primo passo è bloccare la carta dall’app o chiamando il numero antifrode; il secondo è presentare denuncia alla Polizia Postale; il terzo è inviare alla banca la documentazione (screenshot del messaggio, della pagina, copia della denuncia) per attivare la richiesta di rimborso. Per dettagli sulle tutele per i pagamenti online vedi le linee guida Banca d’Italia sulla sicurezza dei pagamenti.

Approfondimenti utili

• Come verificare un link sospetto
• Email phishing: esempi reali
• Phishing bancario in Italia: guida pratica
• Messaggio UniCredit sospetto