La truffa della “verifica identità” che cambia banca ma non cambia copione: ora tocca a Tinaba (e Banca Profilo)
Febbraio 2026 – Ancora una volta, le email di phishing sfruttano il nome di un istituto finanziario reale per rubare credenziali e dati sensibili. Questa volta il bersaglio è Tinaba (il conto digitale in collaborazione con Banca Profilo), ma il meccanismo è identico a quello visto con PostePay, Nexi, Intesa Sanpaolo, Unicredit, Revolut e decine di altre banche negli ultimi anni.
Il contenuto della mail incriminata
Il messaggio arriva da un indirizzo sospetto (postmaster@…nxcl.io o simili domini dinamici/usa-e-getta), con oggetto tipo “Completare la procedura di verifica dell’identità”.
Nel corpo:
- Logo arancione Tinaba + scritta “con Banca Profilo”
- Frasi allarmanti: “Abbiamo notato che non ha ancora completato la procedura di verifica dell’identità online che Le abbiamo recentemente richiesto.” “Questo passaggio è necessario per continuare a utilizzare i servizi di internet banking.” “Importante: se la procedura non viene completata, rischi di perdere l’accesso.”
- Pulsante arancione ben visibile: “Accedi ora”
Footer con indirizzo fittizio/vero di Banca Profilo (“Via Cerva 28, 20122 Milano”) per dare credibilità, e anno © 2026 per sembrare aggiornata.
Perché è una truffa classica (e perché funziona ancora)
Questa è la variante 2026 della solita truffa phishing di “verifica urgente” o “aggiornamento dati”:
- Mittente falso – Poste Italiane/Tinaba/Banca Profilo non usano mai domini come @nxcl.io, @dedyn.io, @gmail.com o simili per comunicazioni ufficiali. Le email legittime arrivano da @tinaba.it, @bancaprofilo.it o @pec.bancaprofilo.it (solo PEC per questioni formali).
- Urgenza + minaccia – Creano panico (“rischi di perdere l’accesso”) per spingere al clic impulsivo senza riflettere.
- Pulsante “Accedi ora” – Porta quasi certamente a un sito clone (phishing page) che imita l’app/login Tinaba o Banca Profilo. Lì ti chiedono:
- Username / password / PIN
- Codice dispositivo / OTP (se avanzato, intercettano anche quelli in real-time)
- A volte dati anagrafici extra o foto documento per “verifica KYC”
- Dati rubati → I truffatori accedono al conto reale, svuotano il saldo, fanno bonifici, comprano cripto/gift card o vendono le credenziali sul dark web.
- Cambio “vittima” periodico – I criminali ruotano il brand (da PostePay a Tinaba, da Nexi a Hype, da Wise a Revolut) per evitare filtri antispam e sfruttare utenti di banche diverse. Il template è lo stesso da anni: solo logo, colori e nome cambiano.
Tinaba stessa avverte sul proprio sito ufficiale (bancaprofilo.tinaba.it/sicurezza):
“Sii prudente, a volte gli SMS e le email inviati dai truffatori possono sembrare davvero provenienti da Tinaba o da Banca Profilo. Non troverai mai link da cliccare in comunicazioni ufficiali.”
Come difendersi (regole valide per qualsiasi banca nel 2026)
- Mai cliccare link da email/SMS sospetti. Apri tu il browser → vai direttamente su https://bancaprofilo.tinaba.it o sull’app ufficiale Tinaba → fai login normalmente e verifica se c’è davvero una richiesta di verifica.
- Controlla l’indirizzo email reale del mittente (non il nome visualizzato).
- Nessuna banca chiede credenziali, OTP o dati sensibili via email/SMS per “verifica identità”.
- Segnala:
- Inoltra l’email completa (con header) a sicurezza@tinaba.it o phishing@bancaprofilo.it (se esiste).
- Segnala come phishing nel tuo client email.
- Se hai già cliccato/inserito dati:
- Blocca subito il conto dall’app o chiama il servizio clienti Tinaba (800.694.950 o +39 02 98670060 dall’estero).
- Cambia password da un dispositivo pulito.
- Monitora movimenti e, se serve, denuncia (online su commissariatodips.it o in Questura).
In sintesi
La truffa non è nuova: cambia solo la “vittima” di turno (oggi Tinaba/Banca Profilo, domani chissà chi). Il template è collaudato perché sfrutta la paura di perdere accesso al conto. Nel 2026 le banche migliorano i filtri, ma i truffatori migliorano i cloni grafici – la difesa resta sempre umana: dubita, verifica manualmente, non cliccare.