Phishing OTP: cos'è e perché è pericoloso

Risposta rapida: se ricevi un codice OTP senza averlo richiesto — o qualcuno ti chiede di condividerlo subito — si tratta quasi certamente di un tentativo di phishing. I codici OTP trasformano un sistema di sicurezza in uno strumento di truffa: non vanno mai comunicati a nessuno, in nessun contesto.

Cos'è questa truffa

Il phishing OTP è una tecnica di ingegneria sociale in cui il truffatore cerca di ottenere un codice temporaneo inviato via SMS, app o chiamata automatica.

Quel codice non è un dettaglio innocuo. Serve per confermare accessi, recuperi password, pagamenti o operazioni sensibili. Se lo comunichi alla persona sbagliata, puoi facilitare direttamente il furto dell'account o la conferma di un'azione che non volevi autorizzare.

Questo schema compare in molte varianti: può arrivare in una chat, in un falso supporto tecnico, in una finta chiamata bancaria o in una richiesta apparentemente amichevole. Su WhatsApp, per esempio, il meccanismo è spiegato bene nella guida sul codice di verifica WhatsApp.

Come funziona

1. Il truffatore avvia un accesso, un recupero account o una procedura che fa partire un OTP verso il tuo numero.
2. Subito dopo ti contatta con un pretesto credibile: errore tecnico, verifica urgente, favore veloce o conferma di sicurezza.
3. Ti chiede di leggere, copiare o inoltrare il codice appena ricevuto.
4. Se glielo comunichi, usa quel codice per completare l'accesso o autorizzare l'operazione.
5. A quel punto può prendere il controllo dell'account, cambiare impostazioni o proseguire con altre richieste.

Segnali da controllare

• Ricevi un OTP quando non stavi effettuando alcun accesso.
• Qualcuno ti chiede il codice subito dopo che lo hai ricevuto.
• La richiesta viene presentata come un passaggio banale o velocissimo.
• C'è pressione a rispondere subito, prima che il codice scada.
• La spiegazione è vaga: "mi è arrivato per errore", "serve solo per verificarti", "te lo spiego dopo".
• La conversazione include anche link o schermate sospette, come spesso accade nei casi di link sospetto.

Cosa fare subito

Quando arriva un OTP che non hai richiesto o qualcuno ti chiede di comunicarti un codice, la regola è una: non condividerlo, anche se la richiesta sembra ragionevole. La rapidità con cui i truffatori sfruttano un OTP rubato si misura in secondi, non in minuti.

Nei primi secondi:

• Non condividere mai un OTP con nessuno, nemmeno con chi sostiene di essere un operatore della tua banca, di un servizio o di una piattaforma social.
• Leggi con attenzione il messaggio che accompagna il codice: i provider seri scrivono esplicitamente "non condividere questo codice con nessuno" o frasi equivalenti.
• Se sei al telefono, interrompi subito la chiamata. Nessun operatore legittimo ti chiederà di leggere ad alta voce un OTP.

Nei minuti seguenti:

• Identifica a quale account o servizio appartiene il codice ricevuto (la stringa di testo dell'SMS lo dice quasi sempre: "Il tuo codice di verifica per X è...").
• Apri direttamente l'app o il sito ufficiale del servizio coinvolto — non da link ricevuti — e controlla la sezione "accessi recenti" o "attività sospetta".
• Se vedi un tentativo di accesso che non riconosci, cambia subito la password e abilita l'autenticazione a due fattori se non era già attiva.

Se hai già condiviso il codice:

• Cambia immediatamente la password dell'account interessato. Più tempo passa, più alta è la probabilità che il truffatore completi l'operazione che il codice autorizzava.
• Controlla email e movimenti bancari delle ultime ore: il codice OTP poteva autorizzare un pagamento, un cambio password o un trasferimento.
• Se l'account compromesso è bancario, contatta direttamente la banca chiamando il numero stampato sulla tua carta (non quello di chi ti ha contattato) e segnala l'incidente. Un esempio concreto del pattern OTP applicato a una carta di credito è descritto nella scheda messaggio Nexi sospetto.
• Se la richiesta arrivava via chat, confrontala con altri schemi di takeover come la truffa del codice di verifica WhatsApp.
• Se pensi di aver perso l'accesso a WhatsApp, segui anche la guida su WhatsApp hackerato: cosa fare.

Cosa NON fare

• Non leggere il codice ad alta voce al telefono.
• Non inoltrarlo via SMS, WhatsApp o email.
• Non pensare che sia sicuro solo perché chi lo chiede sembra gentile o urgente.
• Non ignorare un OTP inatteso: è spesso il segnale iniziale del tentativo di truffa.

Quando usare controllatruffa.it

Se ricevi una richiesta di codice e non capisci se sia legittima, analizza subito il messaggio prima di rispondere. Controllatruffa.it è utile soprattutto quando il testo prova a normalizzare una richiesta pericolosa, facendola sembrare veloce e innocua.

Puoi incollare il contenuto del messaggio, confrontare il tono con altri schemi di impersonazione e capire se rientra in un tentativo di phishing più ampio.

Leggi anche

• Guida al phishing: come riconoscerlo
• Phishing bancario in Italia: guida pratica

Domande frequenti

Un OTP può essere chiesto da un operatore o da un contatto fidato? No. Un codice OTP personale non va comunicato a nessuno, nemmeno a chi sostiene di dover fare una verifica.

Cosa succede se ho già inviato il codice? Dipende dal contesto, ma potresti aver autorizzato un accesso o un'operazione. Conviene controllare subito l'account coinvolto e cambiare le credenziali.

È una truffa comune? Sì. È uno dei meccanismi più usati perché sfrutta un codice reale e lo inserisce in una richiesta apparentemente normale.

Come verifico se la richiesta è reale? Non usare il canale con cui ti è stata fatta la richiesta. Controlla direttamente dall'app o dal sito ufficiale del servizio coinvolto.