2,9 milioni di vittime. 880 milioni di euro di danni. Solo in Italia, solo nell'ultimo anno. E il dato più scomodo: la truffa degli SMS del CUP non sfrutta una falla tecnica, ma una catena di concessioni statali perfettamente legale. L'inchiesta di Milena Gabanelli ha finalmente messo in fila i nomi. Io ci aggiungo il contesto tecnico e gli strumenti per difendersi, anche con un homelab.
Come funziona: anatomia di un callback phishing
Dimenticate il phishing classico con il link da cliccare. Qui il meccanismo è invertito, e per questo più efficace. RedHotCyber la classifica come reverse smishing o callback phishing: la vittima non clicca nulla. Chiama lei.
Arriva un SMS che sembra provenire dal sistema sanitario. Il testo avvisa di una prenotazione medica da confermare o disdire, e fornisce un numero da richiamare. Il mittente appare credibile. Il numero è un 893, classificato da AGCOM come "servizio di carattere sociale-informativo" — una definizione tecnica che nella pratica copre qualunque cosa, dalle consulenze legittime alle linee erotiche.
Chi chiama paga 2 euro al minuto più scatto alla risposta. All'altro capo della linea, un operatore segue uno script progettato per tenere la vittima in conversazione il più a lungo possibile. Nessun malware, nessun exploit zero-day. Solo ingegneria sociale applicata su scala industriale.
L'inchiesta Gabanelli: la filiera completa
L'11 marzo 2026 il Dataroom di Gabanelli e Priante su Il Salvagente ha ricostruito l'intera catena. Seguite i soldi.
