Le truffe WhatsApp più diffuse in Italia nel 2026: come riconoscerle
PRIVACY — 22 Maggio 2026
👉 51.560 casi nel 2025. 27.000 frodi via phishing e messaggistica. Truffa del familiare: +900%. Questi sono gli schemi più diffusi in Italia e come riconoscerli in 30 secondi.
Nel 2026 le truffe WhatsApp non sembrano più truffe. I messaggi sono scritti bene, usano nomi reali, imitano banche, corrieri e familiari, e arrivano spesso nel momento in cui abbassiamo la guardia. In questa guida ho raccolto gli schemi più ricorrenti in Italia, i segnali pratici per riconoscerli e le azioni da fare subito se hai già cliccato un link, condiviso un codice o inviato denaro.
🚨 Hai un dubbio adesso? Fai solo questo:
Non cliccare. Non rispondere. Chiama il numero originale.
Se il messaggio dice che non puoi chiamare — è quasi certamente una truffa.
🚨 Le truffe WhatsApp più diffuse in Italia nel 2026:
1. Truffa del figlio/familiare in difficoltà — "Mamma, ho cambiato numero" — crescita 900% nel 2025
2. Codice OTP rubato — ti chiedono il codice a 6 cifre per "verificare l'account"
3. Lavoro da remoto falso — guadagna 200-300€ al giorno recensendo hotel
4. Truffa del dentista/emergenza medica — da numero noto compromesso
5. Link falso pacco/consegna — Poste Italiane o corriere con tassa di sdoganamento
6. Investimento crypto — piccoli guadagni iniziali per creare fiducia
7. Truffa INPS/banca — "attività sospetta sul tuo conto"
📅 Fonti: Polizia Postale 2025, CERT-AGID 2026, Rapporto Clusit marzo 2026
- ✔️ Dati reali sulla diffusione delle truffe WhatsApp in Italia
- ✔️ Come funziona ogni schema — nel dettaglio
- ✔️ I segnali che ti dicono "è una truffa" in 30 secondi
- ✔️ Cosa NON fare mai se ricevi un messaggio sospetto
- ✔️ Come segnalare a WhatsApp e alla Polizia Postale
A febbraio 2026 ho ricevuto un messaggio da un numero italiano non salvato in rubrica. Iniziava così: "Papà, ho rotto il telefono, questo è il mio nuovo numero provvisorio." La grammatica era corretta. Il tono era plausibile. La richiesta era precisa: 380 euro per riparare lo schermo. Il dettaglio che mi ha fermato: quando ho provato a chiamare, il presunto familiare ha risposto che non poteva parlare e ha insistito nel continuare solo via chat. Quel rifiuto della chiamata vocale è il segnale più forte da controllare sempre.
→ Numero: italiano, non in rubrica, prefisso fisso
→ Frase iniziale costruita bene — nessun errore grammaticale
→ Richiesta: 380 euro per riparazione schermo — cifra precisa e plausibile
→ Segnale decisivo: rifiuto della chiamata vocale, insistenza sulla chat
→ Risultato: truffa riconosciuta, nessun danno
✍️ Rocco Caiazza — Fondatore di ScelgoIo | 22 maggio 2026
Fonti: Polizia Postale — Rapporto 2025, CERT-AGID, CyberSecurity360, AECI 2026, Prothect
→ 51.560 casi di reati informatici gestiti dalla Polizia Postale nel 2025
→ 27.085 casi legati a frodi economico-finanziarie come phishing e smishing
→ 269 milioni di euro di danni complessivi nel 2025
→ 507 incidenti gravi nel 2025 — +42% rispetto al 2024 — Rapporto Clusit marzo 2026
→ Phishing e social engineering +75% nel 2025
→ Truffa del familiare: +900% nel 2025
| Dato | Fonte | Perché conta |
|---|---|---|
| 27.085 frodi via phishing e smishing | Polizia Postale — bilancio 2025 | Il problema non è teorico: è documentato in Italia |
| Campagne su Poste, INPS, banche italiane | CERT-AGID — bollettini 2025-2026 | I marchi imitati sono proprio quelli nei messaggi reali |
| +900% truffa del familiare | Prothect.it — febbraio 2026 (fonte secondaria) | Crescita esplosiva in un solo anno |
| Esperienza diretta ScelgoIo | Messaggio ricevuto — febbraio 2026 | Conferma che lo schema funziona esattamente come documentato |
Nota metodologica: i dati Polizia Postale si riferiscono all'ultimo bilancio pubblico disponibile. Dove il dato non proviene da una pagina istituzionale diretta, è indicata la fonte secondaria usata per la verifica.
Ho analizzato i report della Polizia Postale 2025, le campagne documentate da CERT-AGID, il Rapporto Clusit marzo 2026 e le analisi di CyberSecurity360, Prothect e Matrice Digitale. Ho ricevuto personalmente la truffa del familiare in difficoltà a febbraio 2026. Ho verificato i messaggi-esempio contro le campagne documentate da CERT-AGID per confermare la corrispondenza con casi reali italiani.
Perché le truffe WhatsApp funzionano — la psicologia
Prima di entrare nei singoli schemi, vale la pena capire perché funzionano. Non è stupidità. È psicologia.
Tutte le truffe via WhatsApp usano una o più di queste leve:
Urgenza — il messaggio crea una scadenza immediata. "Devo pagare entro un'ora". "Il conto viene bloccato oggi". Non c'è tempo per verificare.
Autorità — il mittente si presenta come banca, INPS, Polizia, corriere. O come un familiare in difficoltà — figura di massima fiducia.
Paura — perdere soldi, perdere l'account, perdere un pacco, deludere un figlio in difficoltà.
Fiducia — il messaggio arriva da un numero che conosci, perché quel numero è stato compromesso. O usa informazioni personali reali per sembrare legittimo.
Il Rapporto Clusit 2026 lo conferma: phishing e social engineering — tecniche che sfruttano queste leve psicologiche — sono cresciuti del 75% nel 2025. Non è un problema tecnico. È un problema umano.
Le 7 truffe WhatsApp più diffuse in Italia nel 2026
🔴 1. Truffa del figlio/familiare in difficoltà — la più diffusa
Il messaggio arriva da un numero sconosciuto. Testo tipico: "Mamma/Papà, questo è il mio nuovo numero. Ho rotto il telefono e ho bisogno di aiuto urgente." Segue una richiesta di denaro — solitamente tra 200 e 500 euro — per riparare il telefono, pagare una bolletta urgente o risolvere un'emergenza improvvisa.
Questa truffa ha registrato una crescita del 900% nel 2025 (fonte: Prothect.it, febbraio 2026). Funziona perché sfrutta il meccanismo più potente che esiste: la paura di un genitore per il proprio figlio in difficoltà. L'urgenza blocca la verifica — "non posso chiamarti perché il telefono è rotto, usa questo numero".
Segnali: numero sconosciuto, richiesta immediata di denaro, impossibilità di verificare con una chiamata, grammatica corretta ma tono leggermente diverso dal solito.
Non sentirti stupido se ci sei quasi cascato — questi schemi funzionano anche sulle persone più attente. La Polizia Postale documenta casi che coinvolgono professionisti, avvocati, imprenditori. Il meccanismo psicologico è costruito per aggirare il pensiero critico di chiunque.
Cosa fare: prima di qualsiasi risposta, chiama il numero originale del tuo familiare. Se non risponde, chiama qualcun altro che conosce quella persona. Non trasferire mai denaro senza verifica telefonica diretta.
🔴 2. Furto codice OTP — rubano l'account
Arriva un messaggio da un contatto noto: "Ciao, mi fai un favore? Ho bisogno del codice che ti arriva per SMS, ti spiego dopo." Oppure il messaggio arriva direttamente da WhatsApp — o da chi si spaccia per WhatsApp — dicendo che serve verifica.
Il codice OTP a 6 cifre che arriva via SMS è il codice di accesso al tuo account WhatsApp. Chi lo ottiene può trasferire il tuo account sul suo telefono in pochi secondi. Da quel momento ha accesso a tutte le tue conversazioni, ai tuoi contatti, ai tuoi gruppi — e può usare il tuo account per truffare le persone che conosci.
Il codice OTP di WhatsApp non va condiviso con nessuno: nessun servizio legittimo — WhatsApp, la tua banca, le forze dell'ordine — te lo chiederà mai.
→ Il truffatore usa il tuo account per scrivere ai tuoi contatti chiedendo denaro
→ Può leggere tutte le conversazioni passate — incluse quelle sensibili
→ Può accedere ai backup se non sono criptati end-to-end
→ Può restare attivo silenziosamente per giorni tramite WhatsApp Web — Fonte: Matrice Digitale, febbraio 2026
🔴 3. Lavoro da remoto — la truffa più lunga
Arriva un messaggio — spesso da un numero con prefisso estero — con un'offerta di lavoro: recensire hotel, prodotti o ristoranti su una piattaforma interna. Guadagni dichiarati: 200-300 euro al giorno, senza esperienza, da casa.
Le prime sessioni di "lavoro" portano piccoli pagamenti reali — per creare fiducia. Poi arrivano i compiti pagati, ma per ricevere il pagamento devi prima versare una "commissione" o ricaricare un wallet. La cifra cresce ogni volta. Il recruiter sparisce quando smetti di pagare.
Questa truffa è particolarmente insidiosa perché richiede settimane prima che la vittima realizzi. ScamAdviser descrive l'automazione di queste truffe con agenti AI che gestiscono conversazioni su larga scala, profilano vulnerabilità e aspettano il momento giusto per chiedere soldi.
🟠 4. Truffa del dentista/emergenza medica
Simile alla truffa del familiare — ma arriva da un numero che conosci davvero, perché quell'account è già stato compromesso. Il testo è: "Ho un problema con la carta, devo pagare il dentista urgentemente, ti restituisco stasera." La cifra è precisa, la richiesta è plausibile.
Tra i marchi più citati in Italia compare DentalPro, tanto da aver dovuto pubblicare avvisi ufficiali per mettere in guardia i pazienti. In questo caso la truffa usa nomi reali di studi odontoiatrici per sembrare ancora più legittima.
🟠 5. Pacco falso — Poste Italiane o corriere
Un link che sembra arrivare da Poste Italiane, BRT, DHL o Amazon: "Il tuo pacco è in giacenza per tassa di spedizione non pagata. Regolarizza ora per evitare il reso." Il link porta a un sito clonato dove vengono richiesti dati personali e dati della carta di pagamento.
Il CERT-AGID ha documentato diverse campagne di smishing a tema Poste: un falso avviso di consegna con link a un sito che riproduce il portale ufficiale e punta a sottrarre credenziali e dati di pagamento.
Segnale immediato: Poste Italiane, DHL e corrieri reali non chiedono mai pagamenti via link WhatsApp o SMS. Se hai un pacco in attesa, vai direttamente sul sito ufficiale del corriere.
→ Tieni premuto il link su mobile senza aprirlo — vedi l'URL completo
→ Controlla il dominio: deve essere esattamente poste.it, dhl.com, amazon.it — non "poste-delivery.net" o simili
→ Se hai dubbi, cerca il servizio direttamente su Google invece di cliccare il link ricevuto
🟡 6. Investimento crypto o rendite finanziarie
Parte come una conversazione normale — spesso da un contatto che sembra casuale o da qualcuno che si presenta come "ex collega". Dopo qualche giorno di chat, emerge l'opportunità: una piattaforma di investimento con rendimenti garantiti del 10-20% al mese. Le prime operazioni portano guadagni reali — piccoli ma visibili. Poi la piattaforma richiede un versamento minimo per "sbloccare" i prelievi. Quel versamento non si recupera più.
🟡 7. Truffa INPS o bancaria
Messaggio che sembra provenire dall'INPS o dalla tua banca: "Attività sospetta rilevata sul tuo conto. Verifica ora per evitare il blocco." Il link porta a un sito identico all'originale — logo, colori, layout — dove vengono rubate le credenziali di accesso.
Il CERT-AGID monitora questa campagna come evoluzione di frodi già note, potenziate dall'uso dell'urgenza per impedire verifiche razionali. Le campagne più recenti non si limitano a richiedere username e password — raccolgono anche dati reddituali e lavorativi.
Come riconoscere una truffa in 30 secondi
Tre domande da fare sempre prima di rispondere o cliccare:
1. Me lo aspettavo? — Se arriva un messaggio su un pacco che non hai ordinato, un'offerta di lavoro che non hai cercato, una richiesta di denaro improvvisa — fermati.
2. Posso verificare? — Chiama direttamente il familiare, vai sul sito ufficiale della banca, telefona al corriere. Se il messaggio ti dice che non puoi verificare — "non chiamare su questo numero" — è quasi sempre una truffa.
3. C'è urgenza artificiale? — "Entro un'ora", "prima che venga restituito", "oggi è l'ultimo giorno". L'urgenza è la leva principale. Rallenta deliberatamente.
| Schema | Leva usata | Segnale immediato |
|---|---|---|
| Familiare in difficoltà | Paura + urgenza | Numero sconosciuto + richiesta denaro immediata |
| Furto OTP | Fiducia | Richiesta codice SMS — mai legittima |
| Lavoro da remoto | Guadagno facile | Prefisso estero + commissioni da versare |
| Pacco falso | Urgenza | Link non ufficiale + pagamento via link |
| INPS/banca | Paura | Dominio non ufficiale — controlla l'URL |
Cosa NON fare mai se ricevi un messaggio sospetto
Queste sono le cose che le vittime fanno quasi sempre — e che peggiorano la situazione.
Non rispondere per "capire di più". Rispondere conferma che il numero è attivo e in uso. Il truffatore aumenta la pressione.
Non cliccare il link "per vedere dove porta". Alcuni link scaricano malware solo con l'apertura. Altri registrano che il link è stato aperto e intensificano il tentativo.
Non condividere il codice OTP. Mai. Neanche se chi lo chiede dice di essere il supporto WhatsApp, la tua banca, tuo figlio, chiunque.
Non fare bonifici senza verifica telefonica diretta. Anche se il messaggio arriva da un numero noto. Chiama prima.
Non vergognarsi di aver quasi ceduto. Questi schemi funzionano su persone intelligenti. La Polizia Postale documenta casi che coinvolgono avvocati, medici, imprenditori. Il meccanismo psicologico è costruito per aggirare il pensiero critico di chiunque.
Come proteggere il tuo account WhatsApp
Attiva la verifica in due passaggi
Vai in WhatsApp → Impostazioni → Account → Verifica in due passaggi. Imposta un PIN a 6 cifre. Questo impedisce a chiunque ottenga il tuo codice OTP di trasferire il tuo account su un altro dispositivo senza il PIN.
Controlla i dispositivi collegati
Vai in WhatsApp → Impostazioni → Dispositivi collegati. Se vedi sessioni WhatsApp Web che non riconosci, disconnettile immediatamente. Come ho scritto nell'articolo sull'account Google — le sessioni attive possono restare aperte anche dopo tentativi parziali di recupero.
Non condividere mai il codice OTP
Già detto — ma vale la pena ripeterlo. Il codice a 6 cifre che arriva via SMS quando qualcuno tenta di registrare il tuo numero su un nuovo dispositivo non va mai condiviso. Con nessuno. Mai.
Segnala i messaggi sospetti
Su WhatsApp: tieni premuto il messaggio → Segnala. Per farlo avere anche alla Polizia Postale: commissariatodips.it — il portale per le segnalazioni di reati informatici.
Cosa fare se hai già risposto o inviato denaro
Se hai già ceduto alla truffa — non aspettare.
Se hai inviato denaro: contatta immediatamente la tua banca per bloccare il bonifico o richiedere il chargeback se hai usato carta. Fai denuncia alla Polizia Postale — porta screenshot del messaggio e delle transazioni. La tempistica è critica: i fondi vengono trasferiti rapidamente.
Se hai condiviso il codice OTP: il tuo account WhatsApp è probabilmente già compromesso. Registra immediatamente il tuo numero su un altro dispositivo — questo disconnette l'account da chi lo controlla. Poi avvisa i tuoi contatti che il vecchio account è stato compromesso — evita che cadano nella stessa truffa.
Se hai cliccato un link sospetto: non inserire dati su nessuna pagina che si è aperta. Cambia le password dei servizi che usi (banca, Gmail, SPID) da un dispositivo diverso. Se hai inserito dati della carta, blocca la carta.
Checklist: cosa controllare prima di fidarti di un messaggio WhatsApp
Prima di rispondere a un messaggio sospetto, fai questa verifica in meno di un minuto. Nella maggior parte dei casi basta per evitare il danno.
1. Il numero è già salvato in rubrica?
2. Il tono è coerente con la persona che dice di essere?
3. Ti chiede soldi, codici, documenti o dati della carta?
4. Ti mette fretta — "entro un'ora", "oggi è l'ultimo giorno"?
5. Ti impedisce di verificare con una chiamata?
6. Il link porta davvero al dominio ufficiale del servizio?
7. La richiesta è arrivata in un momento insolito della giornata?
Se almeno due risposte ti sembrano strane, fermati. Non serve essere esperti di sicurezza. La difesa più efficace è rallentare. Le truffe funzionano perché ti portano a decidere in pochi secondi. Una chiamata, un controllo del dominio o un messaggio a un altro familiare possono evitare una perdita economica — e proteggere anche i tuoi contatti, che potrebbero ricevere lo stesso schema dal tuo account compromesso.
Le truffe WhatsApp colpiscono soprattutto chi non conosce gli schemi. Condividila con i tuoi contatti — in particolare con chi è meno familiare con la tecnologia.
👉 WhatsApp è davvero sicuro nel 2026? →
👉 Come attivare la 2FA su WhatsApp →
🚨 Truffe WhatsApp 2026 — cosa ricordare:
1. "Mamma/Papà, ho cambiato numero" → chiama prima il numero originale
2. Ti chiedono il codice SMS → non darlo mai, a nessuno
3. Link da corriere/banca → non cliccare, vai sul sito ufficiale
4. Offerta di lavoro da remoto → quasi sempre truffa
5. Se hai già inviato soldi → blocca la banca subito e denuncia su commissariatodips.it
📖 Guida completa: scelgoio.eu/2026/05/truffe-whatsapp-italia-2026.html
Ultima verifica: 22 maggio 2026. Dati Polizia Postale riferiti al 2025 — anno più recente con dati consolidati disponibili.
Domande frequenti — Truffe WhatsApp 2026
Autore: Rocco Caiazza – Fondatore di ScelgoIo
