Arriva un messaggio: "Il tuo pacco è fermo al deposito, clicca qui per sbloccarlo." Il link sembra innocuo — tre lettere, un punto, una sigla. Eppure dietro quel clic può nascondersi una pagina falsa costruita per rubare dati. Questa guida ti insegna a valutare un link prima ancora di toccarlo.
01 — Come funziona la truffa del pacco in giacenza
Il meccanismo è semplice e collaudato. Ricevi su WhatsApp un messaggio che finge di arrivare da un corriere — SDA, BRT, GLS, DHL, Poste Italiane — e ti avvisa che un tuo pacco è fermo al deposito. Per sbloccarlo bastano pochi secondi: clicca il link, inserisci nome e indirizzo, a volte paga un piccolo importo (1,99 €, 2,50 €) per le spese di gestione. La cifra è volutamente bassa: non sembra una rapina, sembra una scocciatura da risolvere in fretta.
Il problema non è quel piccolo importo. Il problema è che la pagina su cui arrivi è falsa, costruita apposta per raccogliere i tuoi dati — numero di carta, indirizzo, codice fiscale — oppure per installare un software dannoso sul telefono non appena la pagina si carica. In Italia, la Polizia Postale segnala questa tipologia di smishing (phishing via SMS/WhatsApp) come una delle più frequenti: puoi leggere gli avvisi aggiornati su commissariatodips.it, nella sezione 'Ultime notizie'.
La truffa funziona perché quasi tutti aspettiamo un pacco. Gli acquisti online sono cresciuti moltissimo, e i corrieri veri mandano davvero messaggi. I truffatori sfruttano questa abitudine: quando sei in attesa di una consegna, la guardia si abbassa. Questa guida ti dà gli strumenti per alzarla di nuovo, senza doverci rinunciare ogni volta.
02 — Shortener: perché i truffatori accorciano i link
Un link 'corto' è un indirizzo web ridotto a poche lettere. Servizi come bit.ly, TinyURL, e tanti altri trasformano un indirizzo lungo e complicato in qualcosa di compatto come bit.ly/3xKpQm. L'idea di partenza era pratica: i link lunghi erano difficili da copiare o condividere. Ma questa comodità ha creato un problema di sicurezza preciso: il link corto nasconde la destinazione reale.
Quando un messaggio WhatsApp ti manda su bit.ly/paccoSDA non hai modo di capire, guardandolo, se finisci sul sito autentico di SDA oppure su una pagina truffa ospitata in Romania. Il nome visibile non dice nulla sulla destinazione. Questo è esattamente il motivo per cui i truffatori li usano: spezzano il collegamento visivo tra ciò che leggi e ciò che visiti.
Nel phishing italiano circolano principalmente cinque tipi di shortener. bit.ly e TinyURL sono i più noti a livello globale. wa.me è un link diretto di WhatsApp che apre una chat con un numero: spesso usato per far credere che si stia 'confermando' una consegna con un operatore. t.me è il prefisso di Telegram, usato per dirottare su canali truffaldini. Infine ci sono i domini personalizzati usa-e-getta: indirizzi come sda-consegna.info o corriere-it.net che sembrano ufficiali ma durano qualche giorno prima di essere oscurati. Questi ultimi sono i più insidiosi, perché non sembrano abbreviazioni.
03 — Come espandere un link prima di cliccare
Espandere un link significa scoprire la destinazione reale prima di visitarla. È come chiedere a qualcuno di aprire una busta al posto tuo e dirti cosa c'è dentro, senza toccarla. Esistono strumenti gratuiti pensati proprio per questo, e usarli richiede meno di trenta secondi.
Il primo strumento da conoscere è CheckShortURL.com (checkshorturl.com). Funziona così: copi il link ricevuto su WhatsApp, lo incolli nella barra di ricerca del sito, e in pochi secondi ti mostra l'indirizzo completo di destinazione. Se il link corto puntava a poste-spedizioni-it.cc/tracking, lo vedrai scritto chiaramente — e già il dominio .cc (Isole Cocos) dovrebbe farti alzare un sopracciglio: Poste Italiane usa esclusivamente il dominio poste.it.
Il secondo strumento è Unshorten.It (unshorten.it). Fa la stessa cosa con un'interfaccia leggermente diversa, e in alcuni casi mostra anche un punteggio di reputazione del dominio finale. Entrambi i siti sono sicuri da usare: non visitano la pagina per conto tuo in modo che possa danneggiarti, si limitano a 'risolvere' il reindirizzamento e mostrartelo come testo. L'importante è copiare solo il link, non cliccarci sopra prima di aver controllato.
Come si copia il link senza aprirlo? Su WhatsApp, tieni premuto il dito sul messaggio che contiene il link finché appare un menu. Seleziona 'Copia' o 'Copia testo'. Poi apri il browser del telefono, vai su checkshorturl.com e incolla. Il dito che tieni premuto — invece di toccare e aprire — è la differenza tra controllare e cadere nella trappola.
04 — Riconoscere un dominio sospetto dopo l'espansione
Hai espanso il link e ora hai davanti un indirizzo completo. Come capisci se è affidabile? La prima cosa da guardare è il dominio principale — quella parte dell'indirizzo che si trova tra l'ultimo punto e la prima barra. In poste-spedizioni-rimborso.info/tracking/12345, il dominio principale è poste-spedizioni-rimborso.info. Non è poste.it. Poste Italiane usa solo poste.it: puoi verificarlo aprendo il sito ufficiale poste.it e guardando la barra degli indirizzi del browser.
I corrieri italiani principali usano domini precisi: SDA è sda.it, BRT è brt.it, GLS è gls-italy.com, DHL è dhl.com. Se il dominio che hai trovato espandendo il link non coincide esattamente con uno di questi, non cliccare. Cerca il nome del corriere su Google — es. 'sito ufficiale SDA corriere' — e confronta l'indirizzo che appare nel primo risultato con quello che hai trovato espandendo il link. Se non coincidono, ferma tutto.
Un secondo strumento utile è whois.com (whois.com/whois). Inserisci il dominio sospetto — solo la parte principale, es. poste-spedizioni-rimborso.info — e vedrai quando è stato registrato e da chi. I domini truffa vengono registrati pochi giorni prima dell'invio dei messaggi: se il dominio è nato la settimana scorsa, non può appartenere a un corriere storico. Questa informazione è pubblica e gratuita.
Un terzo strumento è VirusTotal (virustotal.com). È un servizio gratuito di Google che analizza un URL o un file confrontandolo con decine di motori antivirus. Incolla l'indirizzo espanso nella barra di ricerca di VirusTotal e guarda se compare qualche segnalazione rossa. Anche solo una segnalazione su settanta motori è un motivo sufficiente per non procedere. Non è infallibile, ma è uno strato di controllo in più che non ti costa nulla.
05 — Anteprima sicura: vedere il sito senza visitarlo
Esiste un modo per 'sbirciare' dentro un sito sospetto senza mai aprirlo sul tuo telefono o computer. Si chiama sandbox di anteprima, e il servizio più accessibile in questo campo si chiama urlscan.io.
Come funziona urlscan.io? Il servizio visita la pagina al posto tuo, da un computer separato e isolato, e ti restituisce uno screenshot di come appare il sito, insieme a molte informazioni tecniche: quali script carica, da dove vengono le immagini, se ci sono reindirizzamenti verso altri domini. Tu vedi il risultato visivo senza che il tuo dispositivo abbia mai 'toccato' quella pagina. Vai su urlscan.io, incolla il link sospetto nella barra e clicca su 'Scan'. Dopo qualche secondo, vedrai uno screenshot del sito insieme a un riepilogo.
Cosa cercare nello screenshot? Se la pagina replica il logo di Poste Italiane, di SDA o di un'altra azienda ma l'indirizzo mostrato accanto allo screenshot NON è il dominio ufficiale, hai la conferma visiva che si tratta di una contraffazione. I truffatori copiano graficamente i siti reali con precisione, ma non possono usare il dominio reale. È lì che tradiscono se stessi.
urlscan.io è usato anche da professionisti della sicurezza informatica, ma la sua interfaccia base è leggibile da chiunque. Non serve capire i dati tecnici: basta guardare lo screenshot e confrontare il dominio visibile. Se non coincide con quello del corriere reale che si suppone abbia inviato il messaggio, la risposta è no.
06 — La regola dei tre secondi: pausa, valuta, verifica
Tutti gli strumenti che abbiamo descritto sono utili, ma richiedono di aprire un browser, copiare un link, visitare un sito esterno. Non sempre si ha voglia o tempo. Per questo esiste una regola operativa più semplice, che funziona anche quando non hai voglia di fare analisi tecniche: la regola dei tre secondi.
Il primo secondo è la pausa. Prima di toccare qualunque link ricevuto su WhatsApp da un numero sconosciuto — o da un numero che conosci ma che ti manda qualcosa di insolito — fermati. Letteralmente: non muovere il pollice. Questo momento di arresto interrompe il riflesso automatico che porta a cliccare per abitudine.
Il secondo secondo è la valutazione. Chiediti tre cose rapidamente: Aspetto davvero un pacco? Ho riconosciuto questo numero? Il messaggio mi chiede soldi o dati? Se la risposta alla terza domanda è 'sì', già questo basta per non procedere. I corrieri italiani non chiedono pagamenti o dati personali via WhatsApp. SDA lo dichiara esplicitamente su sda.it nella sezione 'Attenzione alle truffe'. Lo stesso vale per BRT (brt.it/sicurezza) e per Poste (poste.it/sicurezza).
Il terzo secondo è la verifica alternativa. Invece di cliccare il link, vai direttamente sul sito ufficiale del corriere — digitandolo tu stesso nella barra del browser, non copiando nessun link dal messaggio — e usa il tracking ufficiale con il numero di spedizione. Se non hai un numero di spedizione, non hai un pacco in giacenza. Fine della storia.
07 — Casi pratici: come si presenta il link trappola
Per rendere tutto concreto, ecco come si presenta un messaggio truffa tipico in Italia. Il testo recita qualcosa del tipo: 'SDA: il tuo pacco #IT8823041 non è stato consegnato. Riprogramma la consegna: bit.ly/sdaIT22'. Il numero di tracciamento è inventato ma realistico, il nome del corriere è quello giusto, il tono è burocratico. L'unica anomalia è il link abbreviato — e il fatto che nessun numero SDA ufficiale risulterebbe nella rubrica del destinatario.
Una variante più sofisticata usa i domini personalizzati: 'BRT Corriere: tentativo di consegna fallito. Conferma il tuo indirizzo su brt-italia-consegna.com'. Qui non c'è nemmeno un link abbreviato visibile. Sembra un indirizzo diretto. Ma brt-italia-consegna.com non è brt.it — è un dominio registrato apposta per la truffa, probabilmente la settimana prima. Cercando 'brt.it sito ufficiale' su Google, il primo risultato è il sito reale del corriere: il confronto rivela immediatamente la differenza.
Una terza variante usa wa.me: il link apre direttamente una chat WhatsApp con un numero sconosciuto, che finge di essere un operatore del corriere. L'obiettivo è costruire una conversazione che sembra autentica, durante la quale ti viene chiesto di confermare dati personali o di pagare una piccola somma tramite PayPal o ricarica telefonica. Nessun corriere italiano usa WhatsApp come canale di assistenza per sbloccare pacchi: verifica questo punto sui loro siti ufficiali nelle sezioni 'Contatti' o 'Servizio clienti'.
08 — Cosa fare se hai già cliccato
Capita. Il link era convincente, l'aspettativa di un pacco reale era alta, il messaggio è arrivato in un momento di distrazione. Se hai cliccato un link sospetto, la prima cosa da fare è non inserire nessun dato — né nome, né indirizzo, né numero di carta — nella pagina che si è aperta. Chiudi immediatamente il browser. Il semplice atterraggio su una pagina, nella maggior parte dei casi, non installa nulla senza ulteriori azioni da parte tua.
Se hai inserito dati della carta di credito o di debito, contatta subito la tua banca o l'emittente della carta. Il numero verde è solitamente stampato sul retro della carta stessa. Chiedi il blocco preventivo della carta e la sostituzione. Molte banche italiane dispongono di un servizio di blocco immediato anche dall'app: cerca la voce 'Blocca carta' o 'Sospendi carta' nell'app della tua banca prima ancora di telefonare, così fermi eventuali transazioni in corso.
Se hai inserito dati personali (codice fiscale, indirizzo, numero di telefono), vale la pena presentare una segnalazione alla Polizia Postale. Puoi farlo online su commissariatodips.it nella sezione 'Reati informatici / Segnalazioni', oppure recandoti di persona al più vicino ufficio di Polizia. La segnalazione non risolve il danno già fatto, ma contribuisce a tracciare il fenomeno e a chiudere i siti truffa più rapidamente.
Infine, se hai scaricato un file allegato al messaggio o alla pagina, porta il dispositivo a un tecnico di fiducia per un controllo. Un file .apk (installazione app Android) scaricato da una fonte non ufficiale può contenere software malevolo. In questo caso agire in fretta fa davvero la differenza.
09 — Fonti ufficiali italiane da tenere a portata di mano
Avere a portata di mano i riferimenti giusti è metà del lavoro. Quando ricevi un messaggio sospetto da un presunto corriere, la verifica più rapida è andare direttamente sul sito ufficiale di quell'azienda — digitandone il nome su Google e scegliendo il primo risultato non sponsorizzato — e usare il tracking con il numero di spedizione. Ecco i siti ufficiali dei principali corrieri italiani: SDA su sda.it, BRT su brt.it, GLS su gls-italy.com, DHL su dhl.com, Poste Italiane (per i pacchi PosteDelivery) su poste.it.
Per segnalare una truffa o leggere gli avvisi più recenti, il punto di riferimento istituzionale è la Polizia Postale: commissariatodips.it. Il sito pubblica regolarmente comunicati sulle campagne di smishing in corso in Italia, con esempi dei messaggi che circolano. Controllarlo prima di Natale, durante i saldi e nei periodi di picco degli acquisti online può aiutarti a riconoscere la truffa del momento prima che arrivi nel tuo telefono.
Un secondo riferimento tecnico è CERT-AgID (cert-agid.gov.it), l'agenzia governativa che monitora le campagne di phishing in Italia. Il sito pubblica report settimanali con i brand più impersonati e i domini truffa identificati. Non è necessario capire il linguaggio tecnico dei report: basta cercare il nome del corriere o dell'ente che ti ha scritto nella barra di ricerca del sito per vedere se è in corso una campagna che lo riguarda.
10 — Metti in pratica: la palestra WhatsApp ti aspetta
Leggere una guida è il primo passo. Ma la vera memoria si costruisce con la pratica: quando hai visto dieci messaggi truffa e cinque messaggi autentici, il tuo occhio impara a distinguerli in modo quasi automatico. È lo stesso principio con cui si impara a guidare — a un certo punto non pensi più ai singoli gesti, li fai.
La palestra WhatsApp di FermoUnAttimo è costruita esattamente per questo: una serie di messaggi — alcuni falsi, alcuni veri — da analizzare uno alla volta. Ogni risposta ti dà un riscontro immediato con la spiegazione del perché. Non ci sono penalità, non ci sono giudizi: solo allenamento.
Tre secondi. Fanno la differenza.