Vishing: un uomo al cellulare come simbolo del voice phishing

Vishing

Come smascherare il voice phishing

I truffatori che impiegano il vishing chiamano con un numero contraffatto e manipolano le loro vittime sfruttando in modo mirato emozioni quali la paura, il rispetto dell’autorità, la compassione e la fretta per impossessarsi di dati di accesso e informazioni sulle carte di credito. Questa guida illustra i trucchi utilizzati dai truffatori e i modi in cui ci si può proteggere.

  •  Tempo di lettura: 11 minuti
  • Ultimo aggiornamento: aprile 2026
  • 1
    Nuovo contributo

L'essenziale in breve

  • Il vishing (voice phishing) è una forma di phishing: i truffatori cercano di impossessarsi di dati di accesso e informazioni sulle carte di credito tramite una telefonata o un messaggio vocale. Per raggiungere l’obiettivo manipolano le proprie vittime sfruttando emozioni quali la paura, il rispetto dell’autorità, la compassione e la fretta.
  • I truffatori che impiegano il vishing si spacciano, ad esempio, per rappresentanti di banche o autorità e falsificano di conseguenza il numero di telefono visualizzato (spoofing dell’ID chiamante). Se la vittima nutre dubbi sulla veridicità del numero visualizzato, viene invitata a verificarlo su Google.
  • In caso di sospetto basta interrompere la telefonata e richiamare il numero visualizzato. Non rivelare mai dati sensibili al telefono, in particolare nessun codice di verifica. Raccomandiamo di non far mai installare da persone estranee un software di assistenza remota sul proprio computer o smartphone.
 Su questa pagina
Che cos’è il vishing?
Esempi
Assicurazione
Come proteggersi dal vishing?
Domande e risposte

Voice phishing: che cos’è il vishing?

Il voice phishing, abbreviato «vishing», viene utilizzato dai truffatori che, con una telefonata o un messaggio vocale, tentano di impossessarsi di dati sensibili oppure di indurre la vittima a compiere una determinata azione. Gli attacchi di vishing mirano spesso ai dati di accesso, ai codici di verifica validi per poco tempo oppure alle informazioni sulle carte di credito. I truffatori cercano frequentemente anche di indurre le loro vittime ad approvare una transazione fraudolenta, a installare un software di assistenza remota o a richiamare un numero a pagamento.

Quali sono gli stratagemmi di questa forma di phishing? I truffatori sfruttano l’effetto fiducia della voce umana. Con i dati rubati, ad esempio, fanno piazza pulita sui conti della vittima, abusano della sua identità per effettuare acquisti o stipulare contratti oppure vendono con profitto le informazioni nel Dark Web.

Il termine «vishing» è composto dalle due parole inglesi «voice» e «phishing». Viene pronunciato con la «v» sonora, come nella parola «vaso», e in italiano si traduce spesso con «truffa telefonica».

Questa traduzione è però imprecisa, poiché il vishing può essere perpetrato anche tramite messaggi vocali. Inoltre, in senso stretto il vishing tramite chiamata è solo una sottocategoria della truffa telefonica. Al telefono vengono sottratti i dati con un pretesto, mentre la truffa vera e propria ha luogo di norma solo poco dopo con l’aiuto dei dati rubati.

La classica truffa telefonica, invece, prevede che gli impostori sfruttino il pretesto perlopiù per accedere direttamente al denaro della vittima. In altre parole, ogni forma di vishing tramite chiamata è una truffa telefonica, ma non ogni truffa telefonica è una forma di vishing.

A seconda della tecnica utilizzata, il vishing si può suddividere nelle categorie riportate di seguito (in basso sono disponibili esempi concreti).

Chiamata con numero contraffatto o «spoofing dell’ID chiamante»: con lo spoofing dell’ID chiamante gli impostori manipolano la segnalazione della chiamata in modo tale che sul display del telefono della vittima appaia un numero di chiamata contraffatto, ad esempio il numero ufficiale della polizia (117), della banca o di un’autorità. Se si richiama il numero visualizzato, spesso risponde una persona sorpresa che afferma di non aver mai effettuato alcuna telefonata alla vittima.

Chiamate automatizzate, dette anche «robocall» o «war dialing»: i sistemi automatizzati chiamano grandi quantità di numeri e tramite messaggi registrati invitano la vittima a richiamare o a inserire dati attraverso la tastiera.

Clonazione vocale tramite IA, detta anche «truffa della clonazione vocale» o «truffa della voce clonata»: con l’aiuto dell’intelligenza artificiale viene contraffatta, con una sorprendente somiglianza, la voce di un parente o di un superiore (ad esempio: frode del CEO). Prima di raggirare la vittima, i truffatori raccolgono informazioni quanto più dettagliate possibile sul suo conto.

Poiché nella maggior parte dei casi la truffa della clonazione vocale viene impiegata per frodi patrimoniali e non per impossessarsi di un qualche tipo di dati, di norma non viene considerata una forma di vishing, ma di truffa telefonica. Tuttavia, la clonazione vocale potrebbe essere utilizzata anche per il vishing.

Squillo telefonico, detto anche «Wangiri» o «ping call»: un computer seleziona in massa dei numeri di telefono e li fa squillare una sola volta. Sul display della vittima viene così visualizzata una chiamata persa. Per curiosità, la vittima richiama quindi il numero a valore aggiunto straniero, spesso costoso. Anche il Wangiri non rientra nella categoria del vishing, poiché non mira ad accedere ai dati della vittima. Le richiamate possono però fungere da apriporta per il vishing.

Curiosità: il termine «Wangiri» deriva dal giapponese e significa letteralmente «squillo e riaggancio». Questo trucco è stato utilizzato per la prima volta alla fine degli anni Novanta in Giappone, dove divenne un fenomeno di massa. Le autorità di sicurezza e gli operatori di telefonia mobile hanno successivamente fatto loro questo termine in tutto il mondo.

Secondo l’Ufficio federale della cibersicurezza UFCS, nel 2024 il numero di chiamate fraudolente segnalate è triplicato rispetto all’anno precedente. Dei 63 000 cyber eventi denunciati nel complesso, circa un terzo era riconducibile a vishing o truffa telefonica.

Anche se nel 2025 il numero assoluto dei casi segnalati nell’ambito del vishing e delle truffe telefoniche è leggermente diminuito, gli attacchi si sono rivelati più pericolosi, poiché gli impostori hanno proceduto in maniera più personalizzata. In singoli casi sono pertanto riusciti a rubare diverse centinaia di migliaia di franchi.

Maggiori informazioni sono disponibili nel «Rapporto: Truffe telefoniche nel ciberspazio» dell’UFCS.

Come funziona il vishing?

In caso di vishing al telefono, i truffatori si spacciano per rappresentanti di un’autorità o di un’organizzazione affidabile per guadagnarsi la fiducia della vittima e tentano poi di indurre quest’ultima a rivelare dati sensibili oppure a compiere determinate azioni. A tale scopo trovano un pretesto plausibile, manipolano la vittima, sfruttando emozioni come paura, rispetto dell’autorità o compassione, oppure le mettono fretta.

Di solito per i truffatori è più semplice instaurare un rapporto di fiducia con la voce umana e la comunicazione telefonica diretta che con i messaggi di testo. Inoltre, telefonano spesso utilizzando un numero contraffatto, facendo sembrare la chiamata davvero attendibile (cosiddetto spoofing dell’ID chiamante).

Se durante la telefonata di vishing la vittima esprime preoccupazione, il più delle volte i truffatori fanno riferimento al numero, tecnicamente contraffatto, e affermano ad esempio: «Vede dal mio numero sul suo display che chiamo davvero dalla banca». In seguito incoraggiano la vittima a verificare su Google il numero visualizzato.

Qui sono riportati alcuni casi esemplificativi di vishing realmente accaduti.

Chiamata con numero contraffatto (spoofing dell’ID chiamante)

FINMA (agosto 2025): i truffatori hanno chiamato aziende in Svizzera con il vero numero dell’Autorità federale di vigilanza sui mercati finanziari FINMA (031 327 91 00). L’attacco di vishing mirava al furto di dati sensibili con il pretesto di effettuare un controllo antiriciclaggio.

Viseca (marzo 2025): utilizzando il numero ufficiale del servizio di supporto dell’emittente di carte Viseca, i truffatori hanno tentato di indurre la clientela di Viseca a leggere ad alta voce al telefono i codici di conferma per i pagamenti con carta di credito.

Chiamate automatizzate (robocall o war dialing)

Ufficio federale della cibersicurezza UFCS (febbraio 2026): l’Ufficio federale della cibersicurezza UFCS ha registrato un’ondata di chiamate automatizzate, durante le quali un messaggio registrato dava a intendere che provenissero dall’UFCS. Gli impostori volevano indurre le vittime a installare un software di assistenza remota, per ottenere così accesso diretto al relativo e-banking.

Polizia (2024): nel 2024 sono state effettuate ripetutamente robocall in lingua inglese a nome dell’autorità di polizia. I truffatori affermavano in un messaggio vocale che la carta d’identità della persona chiamata risultava collegata a un reato e minacciavano un arresto per indurla a pagare «prestazioni di garanzia» sotto forma di criptovalute.

Truffa della voce clonata tramite IA (clonazione vocale)

Frode del CEO (gennaio 2026): servendosi della voce di un partner commerciale generata dall’IA, i truffatori sono riusciti a indurre un imprenditore del Cantone di Svitto a versare diversi milioni di franchi su un conto bancario in Asia.

Truffa del nipote 2.0 (2025): i truffatori hanno clonato le voci di persone dai video sui social media e tentato così di indurre i nonni di queste persone a consegnare elevati importi in oro o contanti ai corrieri.

Squillo telefonico (Wangiri o ping call)

Squillo telefonico da Tunisia e Burundi (2024): nella Svizzera occidentale sono stati registrati numerosi squilli telefonici provenienti da Tunisia (+216) e Burundi (+257). Con le richiamate a tali numeri i gestori hanno generato entrate elevate, poiché si trattava di costosi numeri a valore aggiunto, conteggiati al minuto.

Spam dall’Albania (2024): nell’ambito di una vasta ondata di squilli telefonici da numeri con prefisso albanese (+355), in occasione delle richiamate, a pagamento, le vittime sono state tenute il più possibile in linea con messaggi registrati automatizzati.

Per il vishing vengono spesso utilizzate tecniche di manipolazione psicologica. Due di queste sono il social engineering e il pretexting.

Social engineering: mentre il classico hacking sfrutta le vulnerabilità tecniche, il social engineering mira alla manipolazione delle persone. Alle vittime vengono sottratte le informazioni facendo leva su paura, rispetto dell’autorità, compassione e fretta. In alternativa, i truffatori cercano di indurre le loro vittime a compiere determinate azioni.  

Gli impostori che impiegano il vishing si spacciano, ad esempio, per poliziotti, collaboratori di una banca o rappresentanti di un’autorità. Con questa presunta autorevolezza provano a ottenere la fiducia delle loro vittime.

Pretexting: simulando una situazione d’emergenza plausibile che richiede un’azione urgente, i truffatori riescono spesso a sottrarre dati sensibili alle loro vittime sotto stress. Un pretesto frequente degli attacchi di vishing è la volontà di un presunto collaboratore bancario di accertare un cyber attacco in corso sul conto di un cliente e di proteggere tale conto, operazione per la quale ha bisogno immediatamente dei dati di accesso.

Oltre alla manipolazione psicologica, i truffatori che si avvalgono del vishing utilizzano anche mezzi tecnici come lo spoofing dell’ID chiamante per la contraffazione dei numeri di chiamata, le robocall per le chiamate automatizzate di massa e il Wangiri che induce a effettuare richiamate costose.

Con l’aiuto della clonazione vocale basata sull’IA, i truffatori potrebbero inoltre imitare le voci per aumentare la credibilità del loro raggiro. Fino a oggi, però, la clonazione vocale è stata impiegata solo per le truffe patrimoniali al telefono e non per il furto di dati.

Sempre al sicuro con la cyber assicurazione della Mobiliare

La cyber assicurazione della Mobiliare entra in gioco se si rimane vittima di phishing. Qui è possibile scoprire di più sulla cyber assicurazione, calcolare senza impegno il premio assicurativo e decidere in seguito in tutta tranquillità.

La cyber assicurazione per la vita digitale di tutti i giorni
Prodotto

Cyber assicurazione

L'hard disk esterno con tutte le foto di famiglia non è sopravvissuto a un bagno di cola accidentale? L'assicurazione informatica della Mobiliare vi aiuta a recuperare i vostri dati e a ottenere il vostro denaro in caso di frode. 
Calcolare il premio

Come proteggersi dal vishing?

Raccomandiamo di non rivelare mai dati sensibili al telefono. Nessuna banca, autorità o azienda seria chiederebbe al telefono password, PIN o codici di conferma. Inoltre, non si deve mai consentire a persone sconosciute di installare sul proprio computer o smartphone software di assistenza da remoto come AnyDesk o TeamViewer. Consigliamo di terminare la telefonata se un interlocutore fa pressione o invita a confermare un pagamento in un’app.

Suggeriamo di non fidarsi mai di un numero o di un nome che viene visualizzato sul display del proprio telefono o smartphone. Lo spoofing dell’ID chiamante permette infatti di contraffare praticamente qualsiasi visualizzazione. Non bisogna neppure farsi ingannare dal suono di una voce, poiché questa potrebbe essere stata falsificata con l’aiuto dell’intelligenza artificiale. Non bisogna neppure farsi ingannare dal suono di una voce, poiché questa potrebbe essere stata falsificata con l’aiuto dell’intelligenza artificiale. Proponiamo di concordare con i familiari stretti o i colleghi dell’azienda una «password di sicurezza» da poter chiedere in caso di emergenza. L’IA non la conosce di certo.

Nell’eventualità di chiamate perse da numeri sconosciuti esteri è meglio non richiamare. Se si tratta di una cosa importante, la persona lascerà un messaggio o telefonerà di nuovo. Le piattaforme Cybercrimepolice.ch e il sito web dell’Ufficio federale della cibersicurezza (UFCS) offrono avvisi e informazioni aggiornati sulla criminalità informatica.

Sta diventando sempre più difficile riconoscere le voci generate dall’IA (deepfake audio), dato che negli ultimi anni la tecnologia ha fatto passi da gigante. La cosa più sicura è quindi terminare la telefonata e richiamare la persona al numero noto e salvato.

Si può altrimenti fare attenzione ai seguenti segnali: toni metallici, una strana regolarità, priva di pause per respirare ed emozioni, nonché ritardi nella reazione. È inoltre consigliabile porre una domanda personale al chiamante su un evento comune, alla quale l’intelligenza artificiale non potrebbe rispondere senza conoscenze pregresse.

In Svizzera i numeri con i prefissi 0900, 0901 e 0906 sono a pagamento (fino a 10 franchi al minuto). Per i numeri con il prefisso 084x i costi possono invece arrivare fino a 8.07 centesimi al minuto. Anche determinati numeri brevi, ad esempio quelli 18xx per la richiesta di informazioni, possono essere a pagamento.

Poiché non esiste una classificazione unitaria in tutto il mondo, è complicato riconoscere i numeri a valore aggiunto stranieri. Consigliamo pertanto di non richiamare i numeri sconosciuti provenienti dall’estero. Se è importante, si verrà richiamati.

Domande e risposte

Se sono stati rivelati dati sensibili occorre far bloccare immediatamente le carte, i conti e i servizi online interessati, ad esempio Twint o Revolut. Qualora il proprio istituto finanziario non fosse raggiungibile, basta immettere il PIN o la password sbagliati finché la carta e il conto non vengono bloccati.

Se vengono colpiti il conto e-banking o l’account di un servizio di pagamento online, vanno verificate le caratteristiche di sicurezza archiviate come indirizzo e-mail, numero di telefono, cellulari registrati e app. Bisogna controllare se, quando e da quale dispositivo è stato effettuato il login abusivo oppure è stata approvata una transazione indebita. Raccomandiamo di farsi confermare per iscritto le informazioni sulle caratteristiche di sicurezza archiviate dall’operatore finanziario interessato o dall’emittente della carta di credito ed eventualmente di farle modificare.

Se ai truffatori è stato consentito l’accesso remoto al proprio computer o cellulare, occorre scollegare immediatamente il relativo dispositivo da Internet. Consigliamo di modificare le password per tutti i propri conti online da un «dispositivo sicuro» e di impostare ovunque l’autenticazione a due fattori. Il dispositivo interessato andrebbe poi fatto esaminare da un tecnico per verificare la presenza di eventuali malware.

Il caso va notificato all’Ufficio federale della cibersicurezza UFCS perché la stessa cosa non accada ad altre persone. In caso di danno finanziario, sporgere denuncia alla polizia.

  1. 1. Il numero visualizzato potrebbe essere contraffatto (spoofing dell’ID chiamante).
  2. La voce potrebbe essere contraffatta (clonazione vocale tramite IA).
  3. Mai rivelare password o codici.
  4. Terminare la chiamata se viene fatta pressione.
  5. Non concedere l’accesso remoto al computer o allo smartphone.
  6. Non richiamare i numeri esteri sconosciuti.
  7. Prima di effettuare un versamento richiesto al telefono, accertarsi con precisione che sia legittimo.

Se si verifica un caso assicurato di truffa informatica e la protezione giuridica non riesce a ottenere la restituzione del denaro, la cyber assicurazione della Mobiliare prende in esame un indennizzo di al massimo 20 000 franchi. Di più sulla cyber assicurazione della Mobiliare

Importante: non sono coperti i danni finanziari causati dal furto fisico di carte o dispositivi e derivanti da truffe come quella del finto nipote o dell’amore, dell’usurpazione di funzioni pubbliche o del finto supporto IT.

Nella classica truffa telefonica la vittima viene raggirata al telefono per ottenere denaro. Al contrario, nella maggior parte dei casi il vishing mira a carpire dati sensibili che in un secondo momento vengono utilizzati abusivamente ai fini della truffa. Il vishing potrebbe dunque essere descritto come la preparazione per una truffa. Di solito, la frode vera e propria non ha luogo al telefono. Ciò nonostante, il vishing viene considerato una forma di truffa telefonica.

«Phishing» è il termine generico che indica i tentativi di inganno mediante messaggi (e-mail) fraudolenti e siti web contraffatti che mirano ad accedere a dati sensibili. Il vishing (voice phishing) si riferisce invece soltanto ai tentativi di phishing tramite telefono o messaggio vocale. Per «smishing» (SMS phishing) si intendono i tentativi di phishing tramite SMS e servizi di messaggistica (WhatsApp, Signal ecc.).

Mentre in origine tutti i tipi di phishing erano diretti a un gran numero di destinatari, oggi si delinea una tendenza verso truffe di phishing personalizzate, chiamate «spear phishing». Un tipico esempio è il phishing su piattaforme di vendita come Tutti, Ricardo o Facebook Marketplace. Durante la procedura di pagamento i truffatori tentano di impossessarsi dei dati di accesso ai servizi di pagamento online come Twint.

È interessato alla cyber assicurazione?

Calcolo del premio

Calcolare il premio senza impegno

Consulenza personale

Richiedere una consulenza
Ha trovato le informazioni che cercava?

Temi correlati

Le seguenti guide potrebbero interessarti.

Person bedient einen Laptop auf dem Tisch. Daneben liegen ein Stapel Papier und eine Tasse Kaffee.
Guida

Che cos’è il phishing?

Qui è possibile scoprire come funziona il phishing e come proteggersi in maniera efficace.
Junger Mann im Zug, hält sein Smartphone in der Hand. Er ist zufrieden.
Guida

Come si riconoscono le e-mail di phishing?

Come riconoscere le e-mail di phishing, che cosa fare e qual è il comportamento corretto se si è stati ingannati da un’e-mail falsa.
Riconoscere le truffe online: esempio mail di phishing
Guida

Riconoscere le truffe online e agire correttamente

Internet offre innumerevoli possibilità. Possiamo ordinare prodotti, pagare fatture online o mantenere i contatti con amici. Ma c’è anche un altro lato della medaglia: le truffe online. Illustriamo come si presenta una truffa online, come proteggersi e a chi rivolgersi.
Truffa su Twint
Guida

Come funziona precisamente una truffa su Twint?

Qui è disponibile una panoramica dei vari tentativi di truffa su Twint e dei modi in cui è possibile proteggersi.