← Tutte le situazioni
Urgente — agisci subito

Ho cliccato su un link o un SMS falso. Che faccio?

Prima di tutto: respira. Aver cliccato su un link non significa automaticamente aver perso qualcosa. Nella maggior parte dei casi il pericolo arriva solo se inserisci dei dati o installi qualcosa. Hai il tempo di fare i passi qui sotto con calma, uno alla volta.

I primi passi, subito

  1. Non inserire più niente nella pagina che si è aperta. Chiudila. Se hai fatto in tempo a scrivere dei dati, passa subito al punto successivo.
  2. Se hai inserito i dati della carta o le credenziali della banca: chiama subito la banca al numero sul retro della carta e fai bloccare la carta. Per PostePay/BancoPosta il numero è 800.00.33.22 (dall'estero +39.02.82.44.33.33), attivo 24 ore su 24. Non chiamare il numero scritto nel messaggio.
  3. Se hai inserito una password di un account (e-mail, Facebook, ecc.): cambiala subito dall'app ufficiale e attiva la verifica in due passaggi.
  4. Se hai inviato foto di un documento o un selfie col documento (per esempio su un finto sito INPS): con quei dati si può aprire uno SPID falso a tuo nome, sul tuo codice fiscale. Presenta denuncia e tieni d'occhio i tuoi accessi ai portali pubblici.
  5. Controlla i conti che ti preoccupano solo dall'app ufficiale o digitando tu l'indirizzo nel browser — mai dal link del messaggio.
  6. Cancella il messaggio. Se finge di essere di Poste o PostePay, prima inoltralo a [email protected]; poi segnalalo come spam/phishing (SMS, WhatsApp ed e-mail hanno l'opzione).

Cosa NON fare

  • Non chiamare e non scrivere ai numeri o agli indirizzi del messaggio sospetto.
  • Non dare a nessuno i dati della carta, il codice ricevuto via SMS o la password — per quanto ufficiale sembri il messaggio. Poste e la tua banca non li chiedono mai, su nessun canale.
  • Non installare nessuna app richiesta dal link (soprattutto quelle di «verifica» o di «accesso remoto»).

Come riconoscerlo la prossima volta

  • Fretta e paura: «la carta verrà bloccata», «il pacco è in giacenza, agisci entro 48 ore». La pressione sul tempo è il segnale principale.
  • L'indirizzo non torna: il link somiglia a quello vero, ma ha lettere in più, trattini o un dominio strano — e spesso nemmeno il lucchetto HTTPS.
  • Ti chiedono dati che la banca vera non chiede mai tramite link: PIN, password completa, codice CVV, codice OTP ricevuto via SMS.
  • Errori di lingua, tono ufficiale forzato.
  • Esempi frequenti adesso: SMS «PosteInfo» che minaccia il blocco della carta, SMS «il tuo pacco sta arrivando» con una «tassa di sblocco», SMS «INPS» che chiede di aggiornare i dati con documento e selfie. Tutti falsi — gli SMS veri dell'INPS non contengono mai link; verifichi solo entrando tu sul sito ufficiale.

Questa guida ti aiuta ad agire in fretta. Non sostituisce le istruzioni ufficiali della tua banca, della polizia o delle autorità. Nel dubbio, chiama i numeri qui sopra.