«Mi hanno “svuotato” il conto in una telefonata»: in 15 minuti le bruciano 28.010 euro

Alle 15:15 di un pomeriggio d’inverno il telefono squilla. Sul display compare un fisso con prefisso “02”, un numero che sembra quello della banca. Dall’altro capo una voce calma, educata, senza esitazioni: «Buongiorno, sono dell’ufficio antifrode di UniCredit. Notiamo transazioni anomale su eBay da Taranto. Le risulta?» Nello stesso istante arrivano SMS che “confermano” quei pagamenti: 980, 970, 860 euro. La cliente — chiamiamola Bianca M., professionista della comunicazione a Milano — non sa ancora di essere entrata nella trappola. In meno di un’ora, una combinazione di spoofing del numero, manipolazione psicologica e codici di certificazione le farà sparire 28.010 euro tra carte e prelievi, con un innalzamento lampo del plafond e trasferimenti su una carta Revolut collegata a Dublino. È successo il 27 novembre; la portata del danno emergerà soltanto il 1° dicembre, quando un pagamento di poche decine di euro viene rifiutato alla cassa. È la cronaca di un raggiro ricostruito nei passaggi chiave: una telefonata apparentemente lecita, una finta procedura di “messa in sicurezza”, l’inoltro delle chiamate impostato a sua insaputa, i codici OTP letti a voce, l’app di home banking disinstallata e poi “da reinstallare” su istruzione del falso addetto; nel frattempo, dall’altra parte, il conto viene operato come se fosse in mano a chi sta truffando. Il bilancio è netto e numerico: 4 operazioni Bancomat per 9.660 euro, 6 operazioni carta di credito per 18.350 euro, un disinvestimento da 694 euro e, sullo sfondo, la scoperta che un bonifico da 5.000 euro di una terza azienda — anche quella raggirata — è transitato sul conto di Bianca per poi essere dirottato sulla solita carta estera. Tutto mentre il suo telefono risultava “dirottato”. Il caso è finito in denuncia alla Polizia e in un reclamo a UniCredit, che inizialmente ha contestato la responsabilità sostenendo che le operazioni risultavano “autorizzate” dal cliente.

La parola che tiene insieme questa storia è vishing: non c’è un virus da scaricare e spesso nemmeno un link da cliccare. La trappola è la voce, e la capacità di far compiere alla vittima azioni presentate come prudenti, urgenti, “di sicurezza”, che in realtà consegnano il controllo del conto. Il primo mattone è lo spoofing dell’ID chiamante, la manipolazione del numero che compare sul display per far credere che la chiamata provenga davvero dall’istituto. È una dinamica già vista in ondate recenti: SMS che avvisano di “movimenti sospetti”, seguiti da chiamate su WhatsApp o su rete mobile, a volte con foto profilo e simboli “istituzionali” pensati per dare autorevolezza. La Polizia Postale lo ripete da tempo: né le banche né la Polizia contattano via WhatsApp/SMS per chiedere OTP o credenziali, e non invitano a trasferire denaro su conti “sicuri”. Quando succede, non è prudenza: è il segnale della frode.

Il grimaldello vero, però, è psicologico: l’urgenza. «Dobbiamo bloccare ora. Ci legga i codici per certificare il dispositivo. Reinstalleremo l’app lunedì». In quel “certificare” c’è la chiave: quei codici servono a validare da remoto l’accesso o a legare l’app a un dispositivo sotto controllo dei truffatori. UniCredit, nelle sue pagine di sicurezza, è esplicita: nessun operatore chiederà mai di leggere OTP, di impostare inoltri di chiamata o di effettuare bonifici istantanei “per mettere al sicuro” i fondi. Eppure, quando la voce al telefono conosce dettagli personali — indirizzo, risposta segreta, ultime cifre della carta — la fiducia si costruisce in pochi secondi e diventa leva.

Qui entra in gioco un paradosso contemporaneo: la Strong Customer Authentication (SCA), introdotta dalla PSD2 e diventata standard dal 2020, funziona e riduce le frodi tecniche, ma non è un vaccino universale. Perché esiste una categoria più insidiosa: la manipolazione del pagatore. In questi casi è l’utente — convinto, spaventato, di fatto guidato passo dopo passo — ad autorizzare operazioni fraudolente con SCA pienamente rispettata. È la differenza tra “furto” e “persuasione”, tra attacco ai sistemi e attacco alla persona. Il risultato pratico è che i meccanismi di rimborso automatico non si attivano, e gran parte delle perdite resta sulle spalle di utenti e imprese. In Italia, i numeri vanno letti così: tassi bassi, danni in crescita, truffe più “umane” e meno “tecniche”. La Banca d’Italia ha rilevato che nel secondo semestre 2024 il valore delle frodi sui bonifici è salito a circa 65,5 milioni di euro (+61% su base annua), mentre calano quelle su carte e moneta elettronica. Traduzione: il terreno di caccia si sposta dove la vittima può essere convinta a “collaborare”.

Nella truffa di Bianca M. la sequenza è precisa, e proprio per questo replicabile. C’è una chiamata “credibile” dall’ufficio antifrode UniCredit, con una voce che snocciola informazioni personali e crea fiducia. Ci sono gli SMS che arrivano nello stesso thread della banca, effetto di spoofing sugli header, con “storni in corso” e codici “di certificazione”. C’è l’ordine di disinstallare l’app e reinstallarla dopo il week-end, una mossa che impedisce di monitorare il conto mentre dall’altra parte si opera. C’è l’inoltro di chiamata attivato a insaputa dell’utente: chi prova a contattarla non riesce ad avvertirla. E poi c’è la leva più concreta: il rialzo “istantaneo” dei massimali, da 1.500 a 9.500 euro al mese, con sfruttamento del fido su più mensilità. Nel giro di due giorni arrivano dieci movimenti: 4 operazioni Bancomat, 6 transazioni carta verso la stessa carta Revolut collegata a Dublino, più il disinvestimento e il transito del bonifico da 5.000 euro proveniente da una terza impresa raggirata. Un dettaglio, quest’ultimo, che pesa anche sul piano giudiziario: quando fondi “sporchi” transitano su un conto di un correntista ignaro, esiste il rischio di finire temporaneamente in verifiche per presunto concorso, prima che la ricostruzione chiarisca ruoli e responsabilità. Da qui l’importanza della denuncia immediata, della tracciabilità delle contestazioni e di una ricostruzione puntuale dei contatti.

Il nodo che arriva dopo è sempre lo stesso: responsabilità e rimborsi. Se l’operazione è “non autorizzata” — clonazione, furto dei dati, uso di carta senza consenso — il rimborso tende a essere rapido. Se invece siamo nell’area delle Authorized Push Payment e della manipolazione del pagatore, la storia cambia: formalmente è stato il cliente ad autorizzare, anche se ingannato, e quindi il rimborso non è garantito. È qui che si consuma il cortocircuito: una procedura che “sulla carta” rispetta i presidi di sicurezza, ma “nei fatti” nasce da una pressione psicologica costruita ad arte.

Una novità, però, sta entrando nei controlli strutturali: dal 9 ottobre 2025 diventa obbligatoria per i prestatori di servizi di pagamento la verifica in tempo reale tra IBAN e nome del beneficiario anche per i bonifici tradizionali, con segnalazione di eventuali discrepanze prima dell’autorizzazione. Non è una soluzione totale, ma riduce il rischio di trasferimenti verso conti-esca intestati a terzi. Resta il punto centrale: quando il denaro finisce su circuiti esteri o su carte di moneta elettronica, come nel caso di Revolut, il recupero diventa una corsa contro il tempo. Le stesse indicazioni operative, per chi subisce un raggiro, convergono su pochi gesti immediati: bloccare carte e profili, interrompere ogni contatto con chi chiama, segnalare la transazione sospetta e formalizzare la denuncia. E, se si tratta di bonifici non istantanei, chiedere il recall attraverso la banca mittente.

Le regole base che le banche ripetono nei loro avvisi — e che in queste truffe vengono sistematicamente capovolte — sono sempre le stesse: non leggere OTP al telefono, non seguire istruzioni per reinstallare l’app, non impostare inoltri di chiamata, non autorizzare bonifici “di sicurezza” su richiesta di un presunto addetto. Il problema è che i truffatori contano proprio su ciò che non viene detto ad alta voce: la vergogna dopo, il dubbio di essere giudicati, l’idea di “averci messo del proprio”. È il motivo per cui molti non denunciano subito, regalando tempo e impunità a chi li ha colpiti.

Il quadro complessivo non è allarmismo, è evoluzione. I tassi restano bassi, ma il fenomeno si fa più sofisticato e più efficace. Un dato della Banca d’Italia fotografa bene la proporzione: nel 2024 l’incidenza sulle carte è stata di 13 transazioni fraudolente ogni 100.000 e di 18 euro sottratti ogni 100.000 euro di pagamenti. Valori bassi, ma su una base di utilizzo molto più ampia rispetto a dieci anni fa. Tradotto: la probabilità di imbattersi almeno una volta nella frode aumenta con la diffusione dei pagamenti digitali, perché cresce la platea e cresce la superficie di contatto.

Per questo, quando si parla di prevenzione, non basta l’“ABC” ripetuto in fondo a una pagina. Servono presidi che tengano conto della manipolazione: controlli preventivi sui beneficiari dei bonifici, segnali di allerta nelle app quando si chiede un aumento massimale e subito dopo partono transazioni ripetute verso nuovi destinatari, canali d’emergenza realmente rapidi per parlare con un operatore e fermare l’emorragia nelle prime ore. Serve anche una collaborazione più veloce tra banche tradizionali e fintech, perché il tempo è la variabile che decide se i fondi restano tracciabili o evaporano.

La lezione, alla fine, è brutale e semplice: la storia di Bianca M. non è un’anomalia, è il ritratto di frodi low-tech ad alta efficacia che sfruttano il punto più debole del sistema, cioè noi. Il telefono diventa lo sportello del crimine: chi chiama spesso sa già abbastanza per sembrare credibile, inserisce messaggi nello stesso thread della banca, simula procedure tecniche, ti spinge a fare in prima persona ciò che non faresti mai via email. Le statistiche tranquillizzano sui tassi, non sulle conseguenze: quando il colpo va a segno, il rimborso non è automatico e il danno resta lì, numerico, immediato.

E se dovesse succedere, la differenza la fanno i primi minuti. Chiudere la chiamata, tornare ai canali ufficiali, bloccare tutto, attivare subito la catena di contestazioni e revoche: non è paranoia, è la nuova educazione finanziaria nell’era del vishing.