← Tutte le situazioni Urgente — agisci subito
Ho cliccato su un link o un SMS falso. Che faccio?
Prima di tutto: respira. Aver cliccato su un link non significa automaticamente aver perso qualcosa. Nella maggior parte dei casi il pericolo arriva solo se inserisci dei dati o installi qualcosa. Hai il tempo di fare i passi qui sotto con calma, uno alla volta.
I primi passi, subito
- Non inserire più niente nella pagina che si è aperta. Chiudila. Se hai fatto in tempo a scrivere dei dati, passa subito al punto successivo.
- Se hai inserito i dati della carta o le credenziali della banca: chiama subito la banca al numero sul retro della carta e fai bloccare la carta. Per PostePay/BancoPosta il numero è 800.00.33.22 (dall'estero +39.02.82.44.33.33), attivo 24 ore su 24. Non chiamare il numero scritto nel messaggio.
- Se hai inserito una password di un account (e-mail, Facebook, ecc.): cambiala subito dall'app ufficiale e attiva la verifica in due passaggi.
- Se hai inviato foto di un documento o un selfie col documento (per esempio su un finto sito INPS): con quei dati si può aprire uno SPID falso a tuo nome, sul tuo codice fiscale. Presenta denuncia e tieni d'occhio i tuoi accessi ai portali pubblici.
- Controlla i conti che ti preoccupano solo dall'app ufficiale o digitando tu l'indirizzo nel browser — mai dal link del messaggio.
- Cancella il messaggio. Se finge di essere di Poste o PostePay, prima inoltralo a [email protected]; poi segnalalo come spam/phishing (SMS, WhatsApp ed e-mail hanno l'opzione).
Cosa NON fare
- Non chiamare e non scrivere ai numeri o agli indirizzi del messaggio sospetto.
- Non dare a nessuno i dati della carta, il codice ricevuto via SMS o la password — per quanto ufficiale sembri il messaggio. Poste e la tua banca non li chiedono mai, su nessun canale.
- Non installare nessuna app richiesta dal link (soprattutto quelle di «verifica» o di «accesso remoto»).
Come riconoscerlo la prossima volta
- Fretta e paura: «la carta verrà bloccata», «il pacco è in giacenza, agisci entro 48 ore». La pressione sul tempo è il segnale principale.
- L'indirizzo non torna: il link somiglia a quello vero, ma ha lettere in più, trattini o un dominio strano — e spesso nemmeno il lucchetto HTTPS.
- Ti chiedono dati che la banca vera non chiede mai tramite link: PIN, password completa, codice CVV, codice OTP ricevuto via SMS.
- Errori di lingua, tono ufficiale forzato.
- Esempi frequenti adesso: SMS «PosteInfo» che minaccia il blocco della carta, SMS «il tuo pacco sta arrivando» con una «tassa di sblocco», SMS «INPS» che chiede di aggiornare i dati con documento e selfie. Tutti falsi — gli SMS veri dell'INPS non contengono mai link; verifichi solo entrando tu sul sito ufficiale.
Questa guida ti aiuta ad agire in fretta. Non sostituisce le istruzioni ufficiali della tua banca, della polizia o delle autorità. Nel dubbio, chiama i numeri qui sopra.