La richiesta di Dati targata ING

Questo messaggio è quasi certamente una truffa di phishing (o vishing/smishing se arriva via SMS o WhatsApp), molto comune contro i clienti ING in Italia negli ultimi anni (2025-2026). ING stessa lo definisce esplicitamente come tecnica usata dai frodatori.

Elementi che lo identificano come truffa (red flags evidenti)

1. Urgenza e minaccia di blocco account Frasi come “l’accesso ai servizi verrà bloccato”, “importante: senza completare… verrà bloccato” creano panico immediato. Le banche vere (ING inclusa) non minacciano mai blocchi improvvisi via email/SMS non richiesti per spingerti a cliccare link. Usano canali ufficiali e ti invitano a contattarli tu.
2. Richiesta di completare “identificazione online” con chiamata + token ING non richiede mai di generare un “token di sicurezza” tramite una chiamata telefonica ricevuta dopo aver cliccato un link sospetto. Le procedure di identificazione/verifica (es. per apertura conto o KYC) avvengono solo durante l’onboarding iniziale o tramite l’app/sito ufficiale, con video-ident o SPID, mai con “clicca qui → ricevi chiamata → rispondi per token”. Questa è la tattica classica del vishing avanzato: ti fanno cliccare → il link porta a un sito falso che ruba credenziali → poi ti chiamano fingendo di “aiutarti” e ti estorcono codici OTP/SMS/token/ Smart Code.
3. Pulsante “Accedi ora” in un messaggio non ufficiale ING dichiara chiaramente nelle sue pagine anti-phishing:
   • Non inviamo mai link diretti all’Area Riservata via email, SMS o WhatsApp.
   • Non chiediamo mai codici di sicurezza, PIN, token o risposte a domande di sicurezza via telefono/email.
   • Se c’è un link → è phishing al 100%.
4. Design e testo generico/impreciso
   • “A Me ®” (probabilmente da WhatsApp o Telegram) + orario “07:59” è tipico di messaggi falsi.
   • Grammatica e formattazione un po’ grezza (“passaggio è essenziale”, “tramite il tuo TOKEN”), logo ING copiato ma layout non perfetto.
   • Nessun riferimento a operazioni reali (es. “riguardo al bonifico del 2 febbraio”) → generico per colpire più vittime.
5. Combinazione chiamata + token dopo click Molte segnalazioni 2025-2026 descrivono esattamente questo flusso: SMS/email con link “verifica identità” → click → poi chiamata da numero spoofato (sembra ING) che chiede di “confermare con token” o di condividere schermo/codici → svuotamento conto.

Rischi se clicchi o procedi

• Furto immediato di credenziali → il sito falso (clone di areariservata.ing.it) ruba username, password, data nascita.
• Intercettazione OTP/Smart Code → durante la “chiamata di verifica” ti chiedono codici in arrivo via SMS → accedono al tuo conto e fanno bonifici/truffe.
• Installazione malware → alcuni link scaricano app false o keylogger.
• Perdita economica → bonifici non autorizzati (fino a decine di migliaia di euro, come casi documentati).
• Difficoltà rimborso → se dai codici consapevolmente, la banca può negare il rimborso (colpa “negligenza grave”).

Cosa fare subito

• NON cliccare “Accedi ora” per nessun motivo.
• Non rispondere a eventuali chiamate successive.
• Elimina il messaggio.
• Se hai già cliccato o dato dati:
  • Blocca subito il conto dall’app ING (se riesci) o chiama il numero ufficiale 800.71.72.73 (da fisso) / 02.999.67.89 (da mobile).
  • Cambia password e Smart Code dall’app/sito ufficiale (https://areariservata.ing.it – digita tu l’URL, non cliccare link).
  • Segnala a sicurezza.it@ing.com (indirizzo ufficiale ING per frodi).
• Usa la funzione “È davvero ING?” nell’app o sul sito ufficiale per verificare chiamate/SMS futuri.

Tag suggeriti (per post su social, forum o segnalazioni)

• #Phishing
• #TruffaING
• #INGTruffa
• #PhishingBancario
• #Vishing
• #TruffaTelefonica
• #SicurezzaBancaria
• #NonCliccare
• #AttenzioneTruffe
• #INGIdentificazioneFalsa
• #TokenSicurezzaTruffa