La Confederazione allerta L’SMS del pacco bloccato, poi la chiamata della «banca»: una nuova truffa ti svuota il conto
In Svizzera si diffonde un nuovo metodo fraudolento che combina falsi messaggi di consegna con telefonate ingannevoli.
11.05.2026, 06:00
Hai fretta? blue News riassume per te
- La Confederazione mette in guardia da una nuova ondata di truffe legate ai falsi pacchi bloccati.
- I criminali inviano SMS o e-mail a nome di corrieri come Posta Svizzera, DHL o DPD, chiedendo pochi franchi per sbloccare una consegna.
- Il link porta però a un sito falso, dove la vittima inserisce i dati della carta di credito.
- Subito dopo arriva una telefonata da un finto addetto della banca, che chiede un codice SMS o una conferma nell’app per «bloccare» un pagamento sospetto.
- In realtà quel codice serve ad autorizzare un nuovo addebito, motivo per cui l’UFCS invita a non cliccare sui link sospetti e a non comunicare mai codici di sicurezza.
Un SMS, una mail, pochi franchi da pagare. Sembra la solita seccatura legata a un pacco fermo da qualche parte. In realtà può essere l’inizio di una truffa ben più pesante.
L’Ufficio federale della cibersicurezza mette in guardia da una nuova ondata di messaggi fraudolenti inviati a nome di corrieri noti, tra cui la Posta Svizzera, DHL e DPD.
Il trucco, come riportato anche da «Watson», è ormai rodato: i criminali fingono che una consegna sia bloccata per spese di sdoganamento, costi di porto non saldati o dati dell’indirizzo da verificare.
Alla vittima viene chiesto di cliccare su un link e di pagare una piccola somma, spesso solo pochi franchi, per «sbloccare» il pacco.
Ma il sito che si apre non ha nulla a che vedere con il vero servizio di consegna. È una copia fasulla, costruita per sembrare credibile.
Qui la persona inserisce i dati della carta di credito. E a quel punto la prima parte del colpo è riuscita.
La nuova tecnica del doppio phishing
Il problema, per i truffatori, è che oggi molti pagamenti con carta richiedono un passaggio di sicurezza in più: un codice via SMS, una conferma nell’app bancaria o sistemi come il 3-D Secure. Avere i dati della carta, quindi, spesso non basta.
Ed è qui che scatta il nuovo inganno, definito «double phishing».
Poco dopo aver compilato il falso modulo online, la vittima riceve una telefonata. Dall’altra parte c’è una persona che si presenta come un collaboratore del servizio sicurezza della banca o dell’emittente della carta di credito.
Il tono è urgente, professionale, rassicurante. E il numero che compare sul display può persino sembrare quello autentico della banca, grazie alla tecnica dello spoofing.
Il finto impiegato sostiene che è appena stata rilevata una transazione sospetta. Per bloccarla, dice, bisogna comunicare subito il codice ricevuto via SMS oppure confermare l’operazione nell’app.
Ma è una menzogna.
In quel preciso momento i truffatori stanno avviando un pagamento usando i dati rubati poco prima. Il codice o la conferma non servono a fermare l’operazione: servono ad autorizzarla. È la vittima stessa, convinta di proteggersi, a dare il via libera al prelievo.
Per l’UFCS, questa evoluzione della truffa è «particolarmente perfida».
Come evitare il tranello
La regola numero uno: non cliccare sui link contenuti in SMS o e-mail sospetti, soprattutto quando parlano di pacchi bloccati e piccole tasse da pagare.
In caso di dubbio, meglio contattare direttamente il servizio clienti ufficiale del corriere o della banca, senza usare i link ricevuti nel messaggio.
E soprattutto: nessuna banca chiede al telefono o via e-mail password, codici di sicurezza o conferme per «bloccare» un pagamento.
Chi ha già inserito i dati della carta deve contattare immediatamente l’istituto emittente e farla bloccare. Se sono state comunicate anche password, vanno cambiate subito su tutti i servizi in cui sono utilizzate, scegliendo credenziali diverse e sicure.
In caso di danno finanziario, l’UFCS raccomanda di sporgere denuncia alla polizia. E per ridurre i rischi, quando disponibile, va sempre attivata l’autenticazione a due fattori.
