Fineco : Alla ricerca delle credenziali

Pubblicato il di 
────────────────────────────────────
FinecoBank S.p.A. | Comunicazione di Servizio
────────────────────────────────────

Gentile Cliente,

per garantire la coerenza e la sicurezza degli accessi ai servizi FinecoBank,  
vengono effettuati controlli periodici sulle modalità di autenticazione associate ai conti.

A seguito di tali verifiche, risulta che **la password del tuo conto non è stata aggiornata da oltre sei mesi**,  
rendendo necessaria una verifica delle credenziali di accesso.

────────────────────────────────────
■ Obiettivo della verifica
────────────────────────────────────
• Garantire la coerenza delle impostazioni di accesso  
• Mantenere la regolare disponibilità dei servizi  
• Prevenire anomalie nei processi di autenticazione  

────────────────────────────────────
■ Azione richiesta
────────────────────────────────────
Per completare la verifica,  
accedi all'area clienti tramite il collegamento ufficiale seguente  
e aggiorna la password:

▼ Area riservata FinecoBank  
https://it-fineco.5x9q7688s3f5.com/login/?login=Us0V3WShvHl73BqA2BH6bVgr

────────────────────────────────────
■ Informazione operativa
────────────────────────────────────
In assenza di verifica,  
**alcune funzionalità potrebbero essere temporaneamente limitate**  
per garantire la sicurezza complessiva del sistema di accesso.

────────────────────────────────────
La presente comunicazione è inviata  
nell'ambito delle procedure di sicurezza FinecoBank.

© FinecoBank S.p.A. Tutti i diritti riservati.

Il Classico Phishing “Aggiorna la Password”: Analisi di un Tentativo di Truffa FinecoBank del 2026

In un’epoca in cui le banche italiane inviano sempre più spesso comunicazioni solo tramite app, area clienti protetta o PEC certificata, arrivano ancora email come questa:

«Gentile Cliente, […] la password del tuo conto non è stata aggiornata da oltre sei mesi, rendendo necessaria una verifica delle credenziali di accesso.»

Seguita dall’immancabile link sospetto: https://it-fineco.5x9q7688s3f5.com/login/?login=Us0V3WShvHl73BqA2BH6bVgr

Questa è una delle varianti più diffuse e longeve del phishing bancario in Italia nel 2026. Analizziamola punto per punto per capire perché è una truffa evidente – e pericolosissima – nonostante il testo sembri scritto in un italiano quasi corretto.

1. Il dominio del link è la prova schiacciante

FinecoBank (società del gruppo Intesa Sanpaolo) utilizza esclusivamente domini ufficiali:

  • finecobank.com
  • fineco.it
  • mobile.finecobank.com (per l’app)

Qualsiasi URL che inizia con it-fineco. seguito da una stringa casuale di lettere e numeri (5x9q7688s3f5.com) è un sito falso creato appositamente per rubare username, password e – molto spesso – codici OTP o token di conferma. Nel momento in cui inserisci le credenziali su quella pagina, i truffatori le ricevono in tempo reale e possono accedere al tuo conto reale in pochi minuti.

2. Le banche serie non chiedono mai di aggiornare la password via email

FinecoBank, come tutte le banche regolamentate in Italia (Banca d’Italia + CONSOB + PSD2), non invia mai email non richieste chiedendo di:

  • aggiornare la password
  • verificare le credenziali
  • cliccare su un link per “completare una verifica periodica”

Le uniche comunicazioni che richiedono azioni riguardano:

  • Conferma di operazioni sospette (tramite push notification nell’app o chiamata dal numero ufficiale)
  • Cambio di condizioni contrattuali (con largo preavviso e senza link diretti al login)
  • Richieste di autenticazione forte solo all’interno dell’app o del sito ufficiale

Se c’è davvero un problema di sicurezza, la banca blocca preventivamente l’accesso e ti contatta tramite canali verificati, mai chiedendoti di cliccare un link ricevuto via posta elettronica.

3. Gli elementi psicologici classici del social engineering

Il messaggio usa tecniche collaudate per generare panico e urgenza:

  • «password non aggiornata da oltre sei mesi» → crea senso di colpa (“sono stato negligente”)
  • «alcune funzionalità potrebbero essere temporaneamente limitate» → minaccia velata di blocco conto
  • «verifica periodica», «coerenza degli accessi», «prevenire anomalie» → termini che suonano tecnici e ufficiali
  • Firma con «© FinecoBank S.p.A. Tutti i diritti riservati» → tenta di imitare il piè di pagina reale

Questi elementi sono studiati per spingere la vittima a ignorare il buonsenso e cliccare senza controllare l’URL.

4. Conseguenze reali se si cade nella trappola

Una volta ottenute le credenziali:

  1. Accesso immediato all’home banking
  2. Disabilitazione delle notifiche push (se possibile)
  3. Trasferimenti rapidi verso conti “mule” (spesso esteri o crypto-wallet)
  4. Richiesta di prestiti o carte di credito aggiuntive
  5. Vendita delle credenziali sul dark web per ulteriori frodi

In Italia le perdite medie per singola vittima di credential stuffing/phishing bancario superano spesso i 5.000–15.000 €, e il recupero è lento e parziale.

Come difendersi (regole d’oro 2026)

  • Mai cliccare link ricevuti via email o SMS per accedere al conto. Digita sempre manualmente www.finecobank.com o apri l’app ufficiale.
  • Verifica l’indirizzo email del mittente: Fineco non usa domini gratuiti (@gmail, @libero, ecc.) né domini strani.
  • Attiva sempre l’autenticazione a due fattori forte (app Fineco o SPID/CIE).
  • Installa estensioni anti-phishing sul browser (es. uBlock Origin + liste aggiornate).
  • In caso di dubbio, chiama il numero ufficiale Fineco (800.52.52.52 o numero dall’app) prima di fare qualsiasi azione.
  • Segnala l’email alla Polizia Postale e a Fineco tramite il form “Segnala frode” sul sito ufficiale.

Conclusione

Questo messaggio non è un errore occasionale: è parte di una campagna di phishing massiva che sfrutta la fiducia nel nome FinecoBank. La sua unica “originalità” è l’uso di un dominio un po’ più lungo e casuale rispetto al solito, ma il copione è identico da anni.

Ricorda: nessuna banca vera ti chiede di aggiornare la password cliccando un link in una email urgente. Se l’hai ricevuta, cestinala, segnalala e – se hai già cliccato – cambia immediatamente password dall’app ufficiale e contatta la banca.

La sicurezza del tuo denaro inizia da una semplice abitudine: dubita di tutto ciò che arriva via email e pretende azione immediata.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *