Truffa del falso corriere (Poste, SDA, DHL): come riconoscerla

I 6 passi per difenderti

1. 1

   Riconosci i segnali del falso SMS corriere

   Caratteristiche tipiche: mittente 'Poste-Italiane', 'SDA-Info', 'DHL-Express' con trattini o numeri inseriti (il vero mittente Poste è 'PosteInfo' singola parola); richiesta di pagamento minimo (1-2 euro per 'sbloccare consegna' o 'dogana'); link accorciato (bit.ly, tinyurl, t.co) o dominio quasi-identico a quello vero (poste-italiane.com, sda-tracking.net invece di poste.it, sda.it); urgenza ('entro 24h o pacco distrutto').

2. 2

   NON cliccare il link, NON inserire dati carta

   Il link porta a una pagina perfettamente clonata del corriere (loghi, font, layout) dove ti chiede dati carta + OTP per 'pagare i 2 euro di giacenza'. In realtà i tuoi dati vengono salvati e usati per drenare il conto via bonifici istantanei. Non cliccare nemmeno per 'curiosità': alcuni link sfruttano vulnerabilità di Safari/Chrome per drive-by download su Android. Se hai già cliccato senza inserire dati: chiudi il browser e cancella la cronologia.

3. 3

   Verifica sempre con l'app ufficiale del corriere

   Apri direttamente l'app ufficiale (Poste Italiane, SDA-Tracker, DHL Express) dallo store o digita manualmente il sito ufficiale (poste.it, sda.it, dhl.com): inserisci il codice di tracking che ti aspetti di ricevere. Se non c'è alcun pacco in tracking: l'SMS è truffa al 100%. Se c'è un pacco reale: verifica che lo stato corrisponda a quello dell'SMS — i corrieri legittimi NON chiedono mai pagamenti per la consegna ordinaria.

4. 4

   Denuncia smishing — art. 494 c.p. + art. 640-ter c.p.

   Lo smishing del finto corriere configura: art. 494 c.p. (Sostituzione di persona, reclusione fino a 1 anno) per la falsa identità del mittente; art. 640-ter c.p. (Frode informatica, reclusione 6 mesi-3 anni) se hai inserito dati carta o subito danno; art. 615-ter c.p. se hanno usato i dati per accesso abusivo al tuo home banking. Denuncia presso Polizia Postale: commissariatodips.it/segnalazioni. Allega screenshot SMS, URL del finto sito, eventuali movimenti bancari fraudolenti.

   Genera denuncia smishing
5. 5

   Blocca numero mittente + cancella SMS

   iPhone: tieni premuto sull'SMS → 'Segnala come indesiderato' → blocca contatto. Android: tap sull'SMS → menu → blocca + segnala spam. Inoltra il messaggio sospetto a Poste Italiane (numero ufficiale 4747 per segnalazioni anti-phishing). Per WhatsApp falsi corrieri: tap sul contatto → segnala → blocca. NON eliminare l'SMS prima di averlo screenshottato — la prova originale serve per la denuncia.

6. 6

   Segnala ad AGCOM e all'operatore mobile

   AGCOM gestisce il database delle segnalazioni smishing su agcom.it. Compila il modulo con: numero mittente, contenuto, data/ora. Inoltre: il tuo operatore (TIM, Vodafone, WindTre, Iliad) ha sistemi anti-spam SMS — segnala il messaggio al numero 4747 (Poste anti-phishing) o 175 (servizio reclami operatore). Ogni segnalazione contribuisce al blocco automatico del numero per altri utenti. Per pattern ripetuti: Postel/SkyTel filtrano l'intera batch.

Domande frequenti

Poste Italiane richiede mai pagamento per la consegna?

Mai via SMS o link esterni. I costi legittimi (1) spese di giacenza dopo 30 giorni di mancato ritiro si pagano fisicamente all'ufficio postale al momento del ritiro; (2) dazi doganali per pacchi extra-UE si pagano via app Poste Italiane ufficiale o all'ufficio postale, con ricevuta dell'Agenzia delle Dogane. Nessuna comunicazione legittima di Poste richiede mai dati carta via SMS o link generico.

Il link è poste-italiane.com o sda-tracking.net: è falso?

Sì, sono domini truffa. I domini ufficiali sono SOLO: poste.it (Poste Italiane), sda.it (SDA), dhl.com / dhl.it (DHL), brt.it (BRT), gls-italy.com (GLS), ups.com (UPS), fedex.com (FedEx). Qualsiasi variazione con trattini ('poste-italiane', 'sda-tracking'), TLD diverso ('.net', '.online', '.shop') o subdomain anomalo ('poste.it-tracking.com') è falsificazione. Verifica sempre il dominio prima del primo slash dell'URL.

Ho dato dati carta sul finto sito — cosa faccio?

Azione immediata (prossimi 60 minuti): (1) Chiama il numero anti-frode della tua banca emittente carta (cerca sul retro della carta o sito ufficiale banca, NON sull'SMS truffa) per blocco carta + tentativo di blocco transazioni in corso. (2) Cambia password home banking. (3) Abilita 3DS / OTP obbligatorio per ogni transazione. (4) Denuncia presso Polizia Postale entro 24h. (5) Apri chargeback Visa/Mastercard per eventuali addebiti — finestra utile 120 giorni dalla scoperta, max 540 dalla transazione.

Lo smishing del falso corriere è penalmente perseguibile?

Sì. Configura: art. 494 c.p. (Sostituzione di persona, reclusione fino a 1 anno); art. 640-ter c.p. (Frode informatica, reclusione 6 mesi-3 anni, pene aumentate se commesso in danno di Stato/ente pubblico, fino a 5 anni); art. 615-ter c.p. se i dati ottenuti sono stati usati per accesso abusivo al tuo home banking; aggravante art. 61 n. 5 c.p. per minorata difesa della vittima. Le pene si cumulano e la denuncia è formalmente perseguibile d'ufficio (art. 640-ter è procedibile d'ufficio).

Perché ricevo SMS finti del corriere se non aspetto pacchi?

Le truffe smishing del finto corriere sono inviate a database di numeri rubati nei data breach (verifica su haveibeenpwned.com) o ottenuti da liste commerciali illegali. Statisticamente nel 2026 il 15-20% degli italiani aspetta un pacco in qualsiasi giorno, quindi la truffa funziona anche su batch random. Non significa che ti hanno preso di mira: è invio massivo. Continua a non cliccare, bloccare numero, e segnalare.

Posso recuperare i soldi se ho pagato i 2 euro?

I 2 euro NON sono il danno reale: sono l'esca per ottenere dati carta. Una volta che hanno i dati, le transazioni reali (in genere 200-2000€) avvengono nelle 24-48h successive. Procedura: blocco carta IMMEDIATO + denuncia + chargeback per OGNI transazione fraudolenta (non solo i 2 euro). Tasso di successo chargeback per smishing con denuncia depositata: 60-80% delle volte. Vedi guida: /it/phishing-come-recuperare-soldi.

Quanto è veloce LegalAudit a generare denuncia smishing?

Mythos genera il PDF in 5-10 minuti: descrivi in chat l'SMS ricevuto (mittente, contenuto, link), eventuali transazioni fraudolente subite, e ricevi denuncia con articoli 494 + 640-ter c.p., analisi tecnica dell'URL fraudolento, ricostruzione cronologica, segnalazione AGCOM precompilata, lista evidenze. Il primo dossier è gratuito.