Garante Privacy

Lo Smishing (o phishing tramite SMS) è una forma di truffa che usa messaggi di testo e sistemi di messaggistica, inclusi quelli delle piattaforme social media, per rubare dati personali con l’obiettivo di usarli per finalità illecite, ad esempio, per poi sottrarre denaro da conti e carte di credito.

Il Garante per la protezione dei dati personali, in questa pagina informativa, fornisce una serie di suggerimenti utili per proteggersi dal phishing che sfrutta SMS e messaggistica.

COME FUNZIONA?

«I messaggi di smishing invitano i destinatari a compiere azioni (cliccare link, ecc.) o fornire informazioni con urgenza, per non rischiare danni (es: blocco di utenze, blocco della carta di credito o del conto) o sanzioni.

I truffatori (“smisher”) inviano ad esempio messaggi per chiedere ad esempio alle vittime di:

– cliccare un link che conduce a un form online in cui inserire dati personali, dati bancari o della carta di credito, ecc. Il link da cliccare può anche essere utilizzato per installare sullo smartphone della vittima programmi malevoli capaci di carpire dati personali conservati sul dispositivo o addirittura in grado di accedere alle app e ai programmi con cui si gestiscono Internet banking, carte di credito, ecc.;

– scaricare un allegato che può contenere programmi malevoli capaci di prendere il controllo dello smartphone o accedere ai dati in esso contenuti;

– rispondere ai messaggi ricevuti inviando dati personali (il codice fiscale, il PIN del Bancomat o quello utilizzato per l’Internet banking, il numero della carta, il codice di sicurezza della carta, i dati dell’OTP cioè della password temporanea per eseguire operazioni sul conto bancario e sulla carta di credito, ecc.);

– chiamare un numero di telefono, dove poi un finto operatore o un sistema automatizzato chiedono di fornire informazioni di vario tipo, compresi dati bancari e/o della carta di credito.

PERCHÉ LO SMISHING É COSÌ PERICOLOSO?

Gli smisher fanno leva sul timore legato a un rischio incombente per convincere le vittime ad abbassare il livello di prudenza e a reagire d’impulso.

Meglio quindi diffidare dei messaggi che hanno toni ultimativi e intimidatori o che spingono ad agire con fretta e urgenza.

Ecco alcuni esempi di messaggi da valutare con particolare attenzione e cautela:

• una banca o un gestore di carte di credito o una società di recupero creditiche segnalano un account compromesso, generici problemi tecnici o anomalie sul conto bancario o sulla carta di credito, da verificare urgentemente, ecc.;
• offerte di sconti straordinari su beni e servizi, o anche proposte di ricariche telefoniche da effettuare subito a costi incredibilmente vantaggiosi;
• fornitori di beni o servizi che segnalano bollette o rate non pagateda saldare con urgenza; pacchi, lettere o raccomandate da ritirare o che si ha difficoltà a consegnare, ecc.;
• amministrazioni pubbliche che segnalano la necessità di fornire dati, sanzioni da pagare (multe, cartelle esattoriali), anomalie da verificare, ecc.;
• piattaforme che offrono servizi di social media o di messagistica che segnalano una violazione dell’account personalee chiedono di fornire dati e/o compiere determinate azioni (cliccare link, compilare form, chiamare numeri o inviare messaggi, ecc.).

COME DIFENDERSI?

Non comunicare mai dati e informazioni personali o dati come codici di accesso, PIN, password, dati bancari e della carta di credito a sconosciuti. In ogni caso, occorre ricordare che istituzioni e banche non richiedono di fornire dati personali tramite SMS o messaggistica istantanea, specie se si tratta di informazioni come PIN, password, codici di autorizzazione, ecc., che, di solito, loro stessi ci invitano a mantenere strettamente riservate.

In generale, meglio NON conservare le credenziali (password, PIN, codici) di dati bancari o della carta di credito sullo smartphone. In caso di intrusioni informatiche sul dispositivo (tramite malware, ad esempio), questi dati potrebbero infatti essere facilmente sottratti.

Per proteggere i conti bancari e carte di credito è bene controllare spesso le movimentazioni ed eventualmente attivare sistemi di alert automatico che avvisano l’utente di ogni operazione effettuata.

Se si ha il dubbio di essere stati vittime di smishing, con il furto di credenziali del conto bancario o della carta di credito, è consigliabile contattare al più presto la banca o il gestore della carta di credito attraverso i canali di comunicazione conosciuti e affidabili per segnalare la truffa e chiedere di attivare le necessarie misure di protezione.

Se si ricevono messaggi da sconosciuti, non cliccare sui link in essi contenuti e non aprire eventuali allegati: potrebbero contenere virus o programmi capaci di prendere il controllo di computer e smartphone. Stessa accortezza con i messaggi che provengono da numerazioni anomale o particolari (ad esempio: numeri con poche cifre), oppure da utenze identificate da un nome con il numero nascosto. In questi casi è sempre bene fermarsi a riflettere, prestando la massima attenzione al contenuto e al mittente del messaggio.

Può anche capitare che il truffatore abbia preso il controllo del dispositivo e/o del numero di un nostro conoscente o di un soggetto (amministrazione, impresa, ecc.) con cui abbiamo rapporti o pratiche in corso (si parla in questo caso di “spoofing”) e che li usi per ingannarci. In questo caso si possono mettere in pratica alcune precauzioni:

– verificare se il testo presenta anomalie, come errori linguistici, grammaticali, lessicali, ecc., che spesso sono indizi di smishing;

– chiedersi se davvero un nostro conoscente o un soggetto con cui abbiamo rapporti (amministrazione, impresa, ecc.) farebbe certe richieste (ad esempio: richieste di soldi via SMS) e nel caso contattarlo su canali affidabili per chiedere conferma.

Se si ricevono messaggi che invitano a richiamare determinati numeri di aziende o istituzioni, controllare SEMPRE prima se tali numeri corrispondono a quelli ufficiali (ad esempio consultando i siti web istituzionali). Per estrema sicurezza, invece di contattare i numeri ricevuti, ci si può rivolgere al centralino o all’URP dell’azienda o dell’istituzione chiendendo di farsi mettere in contatto con l’ufficio che dovrebbe aver inviato il messaggio.

Se si ha il dubbio di essere stati di smishing (e in generale di phishing) riguardo dati bancari e/o della carta di credito, è consigliabile contattare immediatamente la banca o il gestore della carta di credito attraverso canali di comunicazione conosciuti e affidabili per segnalare l’accaduto e, in caso di sottrazione di denaro, richiedere il blocco delle transazioni. In questa seconda ipotesi, si può anche segnalare la truffa subita alle autorità di polizia.»

https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9873859

L'articolo Come difendersi dallo Smishing. I suggerimenti del Garante Privacy proviene da Rivista Cybersecurity Trends.

A partire dalla fine di maggio 2025, Meta – la società madre di Facebook e Instagram – inizierà ad addestrare i propri sistemi di intelligenza artificiale utilizzando i dati personali degli utenti che non si saranno opposti espressamente a questo trattamento. Lo ricorda il Garante per la protezione dei dati personali, che invita gli interessati ad agire per tempo, esercitando i propri diritti previsti dal GDPR.

Questo diritto, riconosciuto dal GDPR – il Regolamento europeo sulla protezione dei dati personali – è esercitabile anche nei confronti di altri sistemi di intelligenza artificiale come OpenAI, DeepSeek e Google.

Meta prevede di impiegare, per sviluppare e migliorare strumenti come il chatbot Meta AI o modelli linguistici come LLaMA, le informazioni contenute nei contenuti pubblici degli utenti maggiorenni: post, commenti, didascalie, fotografie e altro materiale condiviso sulle piattaforme. Inoltre, verranno utilizzati anche i dati generati direttamente durante l’uso dei servizi di intelligenza artificiale, come quelli forniti interagendo con l’agente conversazionale su WhatsApp.

Questo trattamento, però, non è automatico. Gli utenti hanno la possibilità di opporsi, esercitando il proprio diritto attraverso la compilazione di appositi moduli online messi a disposizione da Meta. L’opposizione, se espressa entro la fine di maggio, permetterà di sottrarre all’addestramento dell’intelligenza artificiale di Meta tutte le informazioni personali. Se invece esercitata successivamente, interesserà solo i contenuti pubblicati dopo la richiesta e non quelli già online.

In caso di mancata opposizione, Meta tratterà e utilizzerà tutti i predetti dati per addestrare le proprie intelligenze artificiali.

I moduli per esercitare il diritto di opposizione sono disponibili ai seguenti indirizzi:

Per gli utenti di Facebook: https://www.facebook.com/help/contact/712876720715583

Opposizione al trattamento per gli utenti Instagram: https://help.instagram.com/contact/767264225370182

Opposizione al trattamento per gli interessati che non utilizzano i prodotti Meta (senza login): https://www.facebook.com/help/contact/510058597920541

Il Garante invita tutti i cittadini a informarsi in modo approfondito sulle conseguenze e sugli effetti dell’uso dei dati personali per l’addestramento dei modelli di intelligenza artificiale, e a esercitare i propri diritti in maniera libera e consapevole.

Un capitolo a parte riguarda i minori: i dati pubblicati direttamente da utenti minorenni non sono trattati di default da Meta per l’addestramento dei propri sistemi di intelligenza artificiale. Tuttavia, non si può escludere che dati relativi a utenti o non utenti minorenni siano presenti nei contenuti pubblicati da maggiorenni. In questo caso, utenti e non utenti minorenni e chi esercita la responsabilità genitoriale dovrebbero valutare l’opportunità di esercitare il diritto di opposizione, utilizzando il modulo riservato ai non utenti dei servizi di Meta.

Nel frattempo, il Garante italiano sta lavorando con le altre Autorità europee per valutare se il trattamento annunciato da Meta sia effettivamente conforme alla normativa, in particolare alla luce del “legittimo interesse” invocato dalla società. L’attenzione si concentra in particolare sulla liceità complessiva della pratica, sull’effettività del diritto di opposizione e sulla compatibilità tra le finalità originarie del trattamento dei dati e il loro nuovo utilizzo per fini di intelligenza artificiale.

Le autorità hanno inoltre chiesto chiarimenti specifici a Meta sull’eventuale uso di immagini raffiguranti minori di diciotto anni, pubblicate da altri utenti.

https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10125702

L'articolo Meta userà da fine maggio i dati personali per addestrare l’IA: il Garante ricorda il diritto di opposizione proviene da Rivista Cybersecurity Trends.