Un messaggio arriva nel gruppo di famiglia: "Amazon regala buoni da 500€, basta compilare un breve questionario." Sembra un regalo. È una trappola. Questa guida ti mostra esattamente come funziona — e come uscirne senza danni.
01 — Il copione del buono regalo: come funziona dal primo messaggio all'ultimo clic
Il messaggio di solito arriva in un gruppo WhatsApp — la famiglia, i vicini di casa, le amiche del circolo. Lo ha mandato qualcuno di fidato: tua sorella, un'amica di lunga data. Il testo dice più o meno così: "Ho appena ricevuto il mio buono da 500€ Esselunga, devi essere veloce perché rimangono solo 13 posti!" Sotto c'è un link. Il link sembra credibile a prima vista.
Una volta cliccato il link, si apre una pagina che imita in modo quasi perfetto il sito del brand scelto. Ti viene chiesto di rispondere a quattro o cinque domande semplicissime — quante volte fai la spesa a settimana, come valuti il servizio — e alla fine ti dicono che hai vinto. Complimenti. Per ricevere il buono, però, devi inserire nome, cognome, indirizzo, numero di cellulare, e-mail. Poi, nella variante più aggressiva, anche i dati della carta di credito "per verificare la tua identità" o per pagare "le spese di spedizione" di 1-2 euro.
Quegli euro sono il primo danno economico diretto. Ma il danno maggiore è quello invisibile: i tuoi dati personali vengono raccolti e venduti a liste di telemarketing aggressivo, oppure usati per tentativi di truffa successivi molto più mirati. Il buono regalo, ovviamente, non arriva mai.
02 — Perché viaggia nei gruppi: la fiducia come motore di diffusione
Questa truffa sfrutta un principio psicologico ben preciso: la riprova sociale. Quando riceviamo qualcosa da una persona che conosciamo — e in un gruppo dove ci sono dieci, venti persone che non reagiscono con allarme — il nostro senso critico si abbassa. "Se lo ha mandato la Rosaria, non può essere una truffa." In realtà la Rosaria ci crede davvero, e lo ha condiviso in buona fede.
I gruppi WhatsApp amplificano questo effetto in modo esponenziale. Un solo messaggio in un gruppo da trenta persone genera trenta potenziali vittime e trenta potenziali re-condivisori. Bastano poche ore perché il link raggiunga migliaia di dispositivi in una città. I truffatori lo sanno benissimo: non devono fare pubblicità, ci pensano le vittime stesse.
C'è anche un secondo meccanismo: l'urgenza artificiale. "Solo 13 posti rimasti", "Offerta valida fino alle 23:59 di oggi", "Sei il 97° utente selezionato". Questi countdown e contatori sono falsi — spesso il numero cambia a ogni caricamento della pagina — ma creano una pressione emotiva reale che spinge ad agire prima di pensare. Tre secondi di pausa, invece, bastano a vedere le incongruenze.
03 — Le varianti per brand: Amazon, Esselunga, Coop, Lidl, Decathlon, IKEA
Il copione è lo stesso, il brand cambia a seconda della stagione e della zona geografica. Amazon è il più usato perché è conosciuto in tutta Italia e il suo logo è immediatamente riconoscibile. Esselunga e Coop vengono usati soprattutto nel Centro-Nord, dove la loro presenza è più radicata. Lidl compare con frequenza nelle settimane vicine al Natale e a Pasqua. Decathlon e IKEA appaiono in campagne più localizzate, spesso legate a fantomatici "anniversari aziendali".
I domini usati per questi siti-esca cambiano spesso, ma seguono schemi ricorrenti. Per Amazon vedrai indirizzi come amazon-buono-regalo.net, amazon-promo-it.info, amazon.regalo500.cc. Per Esselunga: esselunga-promozione.org, esselunga-buono.info. Per Coop: coop-premio.net, coop-regalo-clienti.cc. Il tratto comune è che il nome del brand appare NELLA PRIMA PARTE dell'indirizzo, mentre il dominio reale è diverso. Il dominio reale di Amazon è amazon.it e basta — senza trattini, senza parole aggiuntive dopo il punto.
Per verificare se un dominio è quello ufficiale puoi usare due metodi rapidi. Primo: cerca su Google il nome del brand seguito dalla parola 'sito ufficiale' (es. Esselunga sito ufficiale) e confronta l'indirizzo che vedi nei risultati con quello del link che hai ricevuto. Secondo: apri direttamente il sito ufficiale digitandolo tu stesso nella barra del browser (es. www.esselunga.it) e cerca nella sezione 'Promozioni' o 'Offerte'. Se la promozione non esiste lì, non esiste.
04 — Amazon, Coop ed Esselunga lo dichiarano: nessun buono via WhatsApp
Non è una nostra opinione: sono gli stessi brand a confermarlo nelle loro pagine ufficiali dedicate alla sicurezza. Amazon mantiene una pagina specifica sulle truffe che la riguardano: puoi trovarla su amazon.it/gp/help/customer/display.html?nodeId=GQL3N2JLHE7RGKEH — cerca su Google 'Amazon truffe phishing sito ufficiale' e sarà tra i primi risultati. Lì Amazon dichiara esplicitamente di non organizzare lotterie, concorsi o estrazioni via WhatsApp, SMS o e-mail non richiesti.
Esselunga ha una sezione dedicata alla sicurezza sul proprio sito. Cercando su Google 'Esselunga sicurezza promozioni false' trovi comunicati in cui l'azienda invita i clienti a diffidare di messaggi non provenienti dai canali ufficiali (app Esselunga, volantino in negozio, sito esselunga.it). Coop Italia, analogamente, pubblica avvisi periodici sulle proprie pagine ufficiali: cerca 'Coop promozione falsa WhatsApp' su Google per trovare gli avvisi più recenti.
La regola generale, valida per tutti i brand della grande distribuzione, è questa: i concorsi a premi reali sono regolamentati per legge in Italia dal Ministero delle Imprese e del Made in Italy. Devono essere depositati con un regolamento pubblico. Puoi verificare l'esistenza di un concorso legittimo cercando il nome del concorso sul sito mise.gov.it nella sezione concorsi a premio. Se non è depositato lì, non è un concorso legale italiano.
05 — Come riconoscere il sito di phishing: cinque segnali da guardare prima di toccare un campo del modulo
Il primo segnale è l'indirizzo nella barra del browser. Prima di fare qualunque cosa su una pagina che ti chiede dati personali, guarda l'URL in alto. Il dominio ufficiale di Amazon è amazon.it, non amazon-buono.net o amazon-it.gift. Il dominio di Esselunga è esselunga.it, non esselunga-premi.org. Se vedi trattini, parole extra, o un suffisso diverso da .it (come .cc, .info, .org, .net), fermati. Per verificare: digita il nome del brand seguito da 'sito ufficiale' su Google e confronta i caratteri dell'URL uno per uno.
Il secondo segnale riguarda il lucchetto HTTPS. Tutti i siti legittimi che raccolgono dati personali mostrano un lucchetto verde o grigio a sinistra dell'indirizzo e usano il prefisso https://. Se il lucchetto non c'è, o se il browser ti avverte che 'la connessione non è sicura', non inserire nulla. Attenzione, però: il lucchetto da solo non garantisce che il sito sia autentico — solo che la connessione è cifrata. Un sito truffa può avere il lucchetto. Il lucchetto ASSENTE è un segnale quasi certo di problema; il lucchetto PRESENTE non è una garanzia sufficiente da sola.
Il terzo segnale sono i dati che ti vengono chiesti. Un concorso per un buono spesa non ha bisogno del numero della tua carta di credito, del codice fiscale o del numero di documento d'identità. Se il modulo chiede più di nome, e-mail e numero di telefono, è quasi certamente un tentativo di raccolta dati illecita o un primo passo verso un addebito non autorizzato.
Il quarto segnale è la qualità visiva della pagina. I siti di phishing vengono costruiti in fretta: spesso trovi loghi leggermente sfumati, testi con errori di battitura o frasi grammaticalmente strane, layout che non si adatta bene allo schermo del telefono. Non è una prova definitiva — alcune truffe sono ben fatte — ma è un indizio utile.
Il quinto segnale è l'assenza di qualunque riferimento legale. Un sito legittimo ha sempre una sezione 'Privacy Policy', 'Note legali' e 'Informativa GDPR' funzionante, con una ragione sociale italiana o europea reale. Clicca su quei link: se portano a pagine vuote, a testi in inglese copiati da altri siti, o se i link non funzionano, sei su un sito fasullo.
06 — Hai inserito i tuoi dati: cosa fare nelle prossime 24 ore
La prima cosa da fare è non andare nel panico. Il danno potenziale dipende da quali dati hai condiviso. Se hai inserito solo nome, e-mail e numero di telefono, il rischio immediato è quello di ricevere chiamate di telemarketing aggressivo o nuovi messaggi phishing. Fastidioso, ma gestibile. Se hai inserito i dati della carta o hai fatto un pagamento — anche piccolo, anche solo 1 euro — il rischio è più serio e richiede azione immediata.
Se hai fornito i dati della carta di credito o di debito: chiama subito il numero di blocco carta della tua banca — lo trovi sul retro della carta stessa o sul sito ufficiale della tua banca, sezione 'Sicurezza' o 'Assistenza'. Chiedi il blocco temporaneo della carta e segnala l'operazione sospetta. La maggior parte delle banche italiane ha un numero verde attivo 24 ore su 24. Per Poste Italiane il numero è 803.160 (gratuito da rete fissa). Per verificare i numeri della tua banca, cerca su Google il nome della banca seguito da 'blocco carta numero verde'.
Se hai inserito la password del tuo account Amazon, Esselunga o altro: accedi immediatamente all'account dal sito ufficiale (digitandolo tu stesso nel browser, non usando link ricevuti) e cambia la password. Attiva l'autenticazione a due fattori, se non l'hai già fatto: su Amazon si trova in 'Account e liste → Accesso e sicurezza → Impostazioni di verifica in due passaggi'.
Cambia anche la password di qualunque altro account dove usi la stessa combinazione e-mail/password. È un'operazione scomoda ma necessaria: i dati rubati vengono spesso usati in attacchi 'a lista', dove si prova la stessa coppia su decine di siti diversi.
07 — Come segnalare: Polizia Postale e CERT-AgID
Segnalare non è solo utile a te — aiuta a bloccare il sito e a proteggere altri utenti. Il canale principale in Italia è il Commissariato di P.S. Online, gestito dalla Polizia Postale: puoi accedere al modulo di segnalazione su commissariatodips.it → sezione 'Segnalazioni'. Non serve andare fisicamente in commissariato per una segnalazione online. Puoi farlo dal computer o dal telefono, allegando uno screenshot del messaggio WhatsApp e del sito di phishing.
Il secondo canale è il CERT-AgID (Computer Emergency Response Team dell'Agenzia per l'Italia Digitale), che raccoglie segnalazioni di phishing e truffe digitali rivolte ai cittadini italiani. Il form di segnalazione è su cert-agid.gov.it → 'Segnala un incidente'. Anche in questo caso, uno screenshot del messaggio e l'URL del sito fasullo sono sufficienti.
Se il sito truffa usa il nome di un brand specifico (Amazon, Esselunga, Coop), puoi segnalarlo anche direttamente all'azienda. Amazon ha un indirizzo dedicato: stop-spoofing@amazon.com — puoi inoltrarvi il messaggio WhatsApp o l'URL del sito. Esselunga e Coop hanno form di contatto sul loro sito ufficiale, sezione 'Contattaci' o 'Segnalazioni'. Le aziende hanno interesse a far rimuovere questi siti e spesso collaborano con le autorità.
Infine, puoi avvisare i tuoi contatti nel gruppo WhatsApp dove hai ricevuto il messaggio. Non serve fare la morale a nessuno: basta un messaggio breve, come 'Ho controllato e questo link è una truffa. Meglio non cliccarci.' Chi lo ha condiviso in buona fede ti ringrazierà.
08 — La regola dei tre secondi prima di condividere
La truffa del buono regalo vive grazie alla condivisione impulsiva. Il meccanismo è semplice: vedi qualcosa di potenzialmente utile per le persone che ami, lo mandi prima che qualcun altro lo faccia. Tre secondi di pausa cambiano tutto. Prima di toccare il tasto 'Inoltra', chiediti: chi ha mandato questo messaggio originariamente? È un account che conosco davvero? L'offerta compare sul sito ufficiale del brand?
Una verifica rapida su Google — digita il nome del brand + 'buono regalo WhatsApp' — ti mostra in pochi secondi se esistono segnalazioni di truffa su quel messaggio. Spesso trovi articoli di Bufale.net, Butac.it o Polizia Postale che smontano esattamente quella campagna. Bufale.net e Butac.it sono siti italiani di fact-checking che archiviano le truffe circolanti: una ricerca veloce sul loro sito ti dice se quel messaggio è già stato segnalato.
Se non trovi nulla di sospetto ma hai ancora qualche dubbio, la regola più semplice rimane questa: vai direttamente sul sito del brand, digita l'indirizzo tu stesso nel browser. Se la promozione è reale, la troverai lì. Se non c'è, non esiste. Tre secondi. Fanno la differenza.