Che cos'è il vishing e come proteggersi

Al giorno d’oggi può bastare una semplice telefonata per diventare vittima di una truffa. Il problema di fondo è semplice: come si fa a sapere con certezza con chi stiamo parlando? I truffatori usano tecniche sempre più raffinate e possono far comparire sullo schermo un numero apparentemente affidabile, come quello della banca, di un servizio clienti o perfino di un familiare. Fra i più insidiosi tipi di attacchi informatici c’è sicuramente il vishing. Di cosa si tratta? E cosa possiamo fare per difenderci in modo efficace? Tutte le risposte in questo articolo.

29 giugno 2026

19 min di lettura

Che cos'è il vishing e come proteggersi

Cos’è il vishing? Significato e definizione

Il vishing è una truffa telefonica in cui il criminale prova a ingannarti con chiamate vocali al fine di farsi rivelare dati personali, codici di sicurezza, password o informazioni ad alto valore (come le credenziali del conto bancario online). Il termine, di origine inglese, è una crasi di voice phishing, cioè phishing per via telefonica.

Nella pratica, il meccanismo è lo stesso del phishing tradizionale: il truffatore cerca di metterti pressione, spaventarti o farti credere che ci sia un problema urgente da risolvere. La differenza è che, invece di usare la classica email o il messaggio SMS, i truffatori effettuano chiamate telefoniche o tramite VoIP (via internet).

Il phishing vocale è più raro e sofisticato e, anche per questo, tende a essere più efficace, poiché trova la fiducia della vittima. Chi chiama può fingersi un operatore del supporto della banca, un tecnico di una compagnia telefonica, un ente pubblico o persino un avvocato. Spesso inventa un problema con il conto, un pagamento sospetto o una pratica legale da sistemare subito. Per sembrare più credibile, può anche falsificare il numero chiamante, facendo comparire sullo schermo un contatto apparentemente sicuro.

Queste truffe possono colpire sia privati sia aziende. Una volta carpite le informazioni giuste, i criminali possono usarle per rubare l’identità della vittima, svuotarne il conto, fare acquisti non autorizzati o accedere ad account personali e aziendali.

Il vishing rientra quindi nell’evoluzione naturale delle truffe di phishing. Prima le email, poi gli SMS, ora le chiamate: con l’affinarsi delle nostre comunicazioni, cambiano anche le tecniche usate dai cybercriminali.

Differenze tra vishing e phishing

Il vishing è una forma specifica di phishing, che non passa da email, messaggi o siti fake, dato che colpisce la vittima tramite una telefonata. Il principio è lo stesso del phishing tradizionale, cioè convincere la vittima a fidarsi di un interlocutore apparentemente affidabile, così che condivida dati sensibili, come password, codici di verifica o informazioni bancarie. Nel phishing classico, però, l’esca arriva di solito tramite email, messaggi (SMS o app) o pagine web contraffatte.

Nel vishing, invece, il contatto fra vittima e truffatore è vocale. I truffatori possono usare chiamate tradizionali o sistemi VoIP, parlando direttamente con la vittima o tramite tecnologie che alterano la voce o sfruttano l’IA per generare le parole.

Aspetto

Phishing

Vishing

Canale usato

Email, messaggi, siti web falsi, social o app di messaggistica

Telefonate, spesso anche tramite tecnologia VoIP

Come funziona

Ti spinge a cliccare su un link, aprire un allegato o inserire dati su una pagina falsa

Ti mette pressione al telefono per farti rivelare informazioni a voce

Esempio tipico

Email che sembra arrivare dalla banca e chiede di “verificare subito” il conto

Finto operatore bancario che segnala un pagamento sospetto e chiede codici di sicurezza

Tecnica psicologica

Urgenza, paura, curiosità, promessa di un vantaggio

Urgenza, autorevolezza, pressione diretta, tono rassicurante o minaccioso

Segnale sospetto

Link strani, mittente non riconoscibile, errori nel testo, richiesta di dati personali

Chiamata inattesa, richiesta di codici, numero apparentemente affidabile, invito ad agire subito

Rischio principale

Furto di credenziali, dati bancari o identità digitale

Furto di dati personali, accesso al conto, frodi finanziarie o furto d’identità

La differenza più importante, quindi, è il canale: il phishing “pesca” soprattutto con messaggi e link, mentre il vishing lo fa con la voce. Parlare con una persona reale, magari educata e sicura di sé, tende a far abbassare le difese molto più di un’email sospetta.

Come funziona il vishing?

Un attacco di vishing segue spesso un canovaccio riconoscibile. Il truffatore non chiama quasi mai a caso: prima raccoglie informazioni, poi costruisce una storia credibile e infine mette pressione alla vittima per farsi rivelare i dati che gli interessano.

Ecco come funziona di solito:

  1. 1.Raccolta di informazioni sulla vittimaPrima della chiamata, il truffatore cerca dati utili per lanciare un attacco credibile. Per prima cosa, può analizzare i profili social, cercare informazioni aziendali disponibili su pagine web pubbliche, consultare database di vecchi data breach (violazione di dati) o altri documenti finiti online. Nome, numero di telefono, banca di riferimento, ruolo lavorativo o indirizzo email possono bastare per costruire uno scenario convincente.
  2. 2.Creazione di una falsa identitàUna volta raccolti tutti i dettagli necessari, il criminale sceglie chi impersonare. Può fingersi un operatore bancario, un addetto dell’assistenza, un corriere, un ente pubblico, un collega o un superiore. L’obiettivo è sembrare familiare, autorevole o, in sintesi, una persona “di cui fidarsi”.
  3. 3.Falsificazione del numero chiamanteIn molti casi, il truffatore usa tecniche e strumenti di spoofing per far comparire sul telefono un numero apparentemente sicuro. Così, il numero non viene rilevato dai sistemi automatici anti-spam e la chiamata sembra effettivamente provenire dalla banca, da un servizio clienti o da un contatto conosciuto. A volte, invece, viene lasciato un messaggio in segreteria con l’invito a richiamare un numero “con urgenza”.
  4. 4.Creazione di urgenza o pauraDurante la chiamata, il truffatore inventa un problema che richiede un intervento immediato: può trattarsi di un pagamento “sospetto”, di un blocco al conto bancario o di altre “violazioni di sicurezza” non meglio specificate. L’obiettivo di fondo è mettere pressione alla vittima, per ridurne il tempo di reazione, spingendola ad agire senza riflettere.
  5. 5.Richiesta di dati o azioni rischioseA questo punto arriva la vera richiesta. Il criminale può chiedere codici OTP, password, dati della carta, documenti personali o conferme vocali. In scenari più complessi, può provare a convincere la vittima a installare un’app, condividere lo schermo o modificare le impostazioni del telefono così che l’aggressore prenda il controllo del telefono.
  6. 6.Uso delle informazioni rubateUna volta messe le mani sui dati, l’hacker può usarli per accedere ad account personali, autorizzare pagamenti o rubare l’identità della vittima. Nel caso di attacchi alle aziende, un’offensiva di questo tipo può aprire la strada a problemi più gravi.
  7. 7.Imitazione della voce con AI e deepfakeLe versioni più avanzate del vishing possono sfruttare strumenti di intelligenza artificiale per imitare la voce di una persona reale, come un familiare, un collega o un dirigente. Così, la truffa risulta ancora più difficile da riconoscere, soprattutto quando la richiesta arriva in un momento di stress emotivo.

Per questo, davanti a una telefonata inattesa che chiede dati personali, codici o denaro, è sempre meglio interrompere la conversazione e ricontattare la persona o l’ente tramite un canale ufficiale.

Esempi di attacchi vishing più frequenti

Le truffe basate sul vishing possono prendere sembianze molto diverse di volta in volta. Se il pretesto cambia, il meccanismo di fondo è quasi sempre lo stesso: il truffatore si presenta come una figura affidabile e cerca di creare un senso di urgenza per farsi rivelare dati personali o per accedere ai tuoi account.

1. Frodi con carte di credito

In questo caso, il criminale si finge un dipendente della società che ha emesso la carta di credito. Di solito segnala movimenti sospetti, un pagamento da bloccare o un presunto tentativo di accesso non autorizzato.

Per “mettere in sicurezza” la carta, può chiedere il numero completo, la data di scadenza, il CVV, i codici OTP o le credenziali dell’home banking. In realtà, quei dati servono proprio per usare la carta o accedere al conto.

2. Truffe telefoniche relative alle assicurazioni

In questo caso, la chiamata sembra arrivare da una compagnia assicurativa. Il truffatore può proporre una polizza auto o un’assicurazione di altro tipo a un prezzo molto conveniente. In altri casi, potrebbe fingere di lavorare per la compagnia assicurativa con cui hai già un contratto.

Il copione è semplice: l’offerta è disponibile solo per poco tempo e bisogna coglierla al volo, fornendo subito i propri dati personali e i dettagli della carta di pagamento. Una volta fornite queste informazioni, la vittima scopre che la polizza promessa non esiste, essendo un mero pretesto per rubare denaro e dati.

3. Frodi di telemarketing

Le frodi di telemarketing sfruttano offerte allettanti per attirare potenziali vittime: può trattarsi di crociere gratis, sconti esclusivi, buoni regalo, abbonamenti speciali o promozioni riservate a pochi “clienti selezionati”.

Il problema si presenta quando, per ricevere il premio o attivare l’offerta, viene richiesto un pagamento anticipato. In genere, viene presentato come un costo di gestione, una tassa amministrativa o una spesa di spedizione. Dopo il pagamento, però, l’offerta sparisce insieme al truffatore.

4. Frodi legate ad enti pubblici

In questi casi, il truffatore si presenta come un funzionario pubblico, un operatore dell’Agenzia delle Entrate, dell’INPS, del comune o di un altro ente istituzionale.

Il tono può essere minaccioso, ad esempio perché la vittima non ha pagato le tasse, non ha saldato una multa o deve aggiornare subito una pratica online. L’obiettivo è spingere su queste leve emotive per spaventare la vittima e convincerla a pagare, comunicare i suoi dati personali o confermare altre informazioni sensibili.

5. Frodi relative all’assistenza clienti

Qui il criminale finge di chiamare per conto dell’assistenza clienti, ad esempio di un antivirus o del fornitore della connessione a internet. La scusa deve essere credibile, come la rilevazione di un virus nel computer o un problema al router da risolvere con urgenza.

Spesso chiede alla vittima di installare un programma, dare accesso da remoto allo smartphone o al computer, condividere lo schermo o seguire delle istruzioni specifiche. In questo modo può prendere il controllo del dispositivo, rubare i file o chiedere un pagamento per un problema che in realtà non esiste.

Questa truffa può concretizzarsi anche al contrario: la vittima vede un pop-up falso sul computer, simile a una notifica dell’antivirus, e viene invitata a chiamare il numero dell’assistenza. A rispondere, però, non sarà il tecnico, ma il truffatore.

6. Frodi bancarie o relative ad altri istituti finanziari

Le frodi bancarie sono tra le fattispecie più comuni di vishing. Il truffatore si finge un operatore della banca per avvisare la vittima di un accesso sospetto o per contattarla in merito a un bonifico anomalo.

Per “risolvere” il problema, potrebbe chiedere i codici di sblocco delle operazioni, le credenziali di accesso, i dati della carta o altre conferme tramite app. In alcuni casi, può persino guidare la vittima passo dopo passo mentre autorizza un pagamento o modifica le impostazioni di sicurezza.

Se pensi di aver fornito dati bancari durante una chiamata sospetta, ti consigliamo di contattare subito la banca tramite i canali ufficiali e bloccare carte, accessi o operazioni non autorizzate.

7. Frodi sentimentali

Le frodi sentimentali fanno leva su fiducia, affetto e vulnerabilità emotiva. In alcuni casi, il truffatore chiama fingendosi un figlio, un nipote o una persona cara in difficoltà: dice di essere finito in ospedale, all’estero, nei guai con la legge o in una situazione urgente che richiede denaro.

Con il voice cloning diventato possibile con l’intelligenza artificiale, questi attacchi possono diventare ancora più credibili, perché la voce può assomigliare a quella di una persona reale. Per aumentare la pressione, il truffatore può quindi fingersi un familiare della vittima.

Il vishing può presentarsi anche nelle truffe sentimentali online. Dopo aver costruito un rapporto su app di incontri o social, il criminale può passare alla telefonata per sembrare più autentico e chiedere soldi, documenti o informazioni personali.

8. Frodi relative a offerte di lavoro o assunzioni

In queste truffe, il criminale si presenta come un recruiter o un potenziale datore di lavoro. L’offerta è spesso molto interessante: stipendio alto, lavoro da remoto, poche ore richieste o assunzione quasi immediata.

A quel punto, alla vittima vengono chiesti dati personali, documenti, coordinate bancarie o informazioni fiscali per completare la presunta assunzione. In altri casi, viene richiesto un pagamento anticipato per corsi, attrezzature, software o pratiche amministrative. Il posto di lavoro, naturalmente, non esiste.

9. Frodi da parte di fornitori di servizi

In questo scenario, il truffatore finge di lavorare per un fornitore di servizi: compagnia telefonica, provider internet, società di luce e gas, piattaforma streaming o servizio in abbonamento.

La scusa può essere un pagamento non riuscito, un’offerta da rinnovare, un problema tecnico o un account da verificare. La vittima viene spinta a comunicare credenziali, dati di pagamento o codici ricevuti via SMS, con il rischio di perdere accesso all’account o subire addebiti non autorizzati.

10. Frodi relative a premi o lotterie

Le truffe legate a premi e lotterie partono da una promessa molto semplice: hai vinto qualcosa, anche se non hai partecipato a nessun concorso. Può trattarsi di denaro, buoni acquisto, viaggi, smartphone o altri premi di valore.

Per ricevere la vincita, però, bisogna fornire dati personali o pagare una piccola somma: tasse, spese di spedizione, commissioni o costi di gestione. Una volta inviati i dati o effettuato il pagamento, il premio non arriva mai.

Come riconoscere gli attacchi di vishing

Per proteggere i propri dati personali, evitare furti di denaro e non cadere in truffe costruite ad arte bisogna saper riconoscere le offensive basate sul vishing. Anche quando la chiamata sembra credibile, ci sono alcuni segnali che dovrebbero far scattare un campanello d’allarme.

Numero sconosciuto o sospetto

I truffatori possono falsificare il numero chiamante per far sembrare che la telefonata arrivi da una fonte affidabile, come una banca, un corriere, un ente pubblico o un servizio clienti. Per questo non bisogna fidarsi solo del nome o del numero che viene mostrato sullo schermo.

Se il numero è sconosciuto, strano o diverso da quello ufficiale dell’azienda, meglio essere prudenti. Anche quando sembra autentico, è sempre più sicuro interrompere la chiamata e ricontattare l’ente tramite i canali ufficiali.

Richieste urgenti

Molti attacchi di vishing fanno leva sulla fretta. Chi chiama può dire che c’è un problema da risolvere subito: l’urgenza serve a farti agire senza pensare. Se qualcuno ti mette pressione al telefono, fermati, respira e prenditi il tempo necessario per tutte le verifiche del caso.

Chiamate inattese

Una telefonata non richiesta dovrebbe sempre essere trattata con cautela, soprattutto se arriva da una banca, da un servizio online o da un presunto operatore tecnico. Il fatto che chi chiama conosca il tuo nome o qualche dettaglio personale non significa che sia davvero chi dice di essere.

In caso di qualsiasi dubbio, non limitarti a usare il numero fornito durante la chiamata. Cerca tu il contatto ufficiale dell’azienda o dell’istituzione e verifica direttamente.

Richieste di dati personali

Una delle spie più evidenti del vishing è la richiesta di informazioni sensibili. Nessun operatore affidabile dovrebbe chiederti al telefono password, codici OTP, PIN, CVV della carta, credenziali di accesso o altri dati bancari completi.

Se una chiamata ruota attorno a questo tipo di informazioni, le antenne dovrebbero drizzarsi ancora di più. Le aziende serie usano canali più sicuri per gestire queste comunicazioni delicate.

Saluti generici o informazioni vaghe

Molti truffatori iniziano la conversazione con formule generiche, senza usare il tuo nome o senza indicare con precisione il motivo della chiamata. Frasi come “Salve, la contatto per un problema sul suo account” possono essere un indizio di una chiamata fatta in massa.

Detto questo, alcuni criminali potrebbero già conoscere il tuo nome o altri dettagli personali, magari dopo averli recuperati online o da vecchie violazioni di dati. Per questo è importante usare la massima cautela anche quando durante la telefonata emergono dati personali.

Offerte troppo belle per essere vere

Viaggi gratis, premi mai richiesti, sconti eccezionali, vincite improvvise o promozioni irripetibili sono spesso esche. Se per ottenere il vantaggio devi comunicare dati personali, pagare una piccola commissione o fornire le informazioni della carta, probabilmente si tratta di una truffa.

La regola è semplice: se un’offerta sembra troppo bella per essere vera, nella maggior parte dei casi si nasconde una sorpresa spiacevole.

Cosa fare se sei già stato vittima di un attacco di vishing

Se ti accorgi di essere caduto in un attacco di vishing, devi agire in fretta. Anche se è normale sentirsi in ansia o in imbarazzo, inutili perdite di tempo possono aumentare il rischio di furti di denaro, accessi non autorizzati o uso improprio dei tuoi dati.

Ecco cosa fare subito:

  1. 1.Mantieni la calma. Cerca di restare lucido. Il panico può portarti a prendere decisioni affrettate. Fermati, ricostruisci cosa è successo e passa ai controlli successivi.
  2. 2.Interrompi immediatamente la chiamata. Se sei ancora al telefono, chiudi la conversazione. Non fornire altri dati, non confermare informazioni personali e non seguire eventuali istruzioni su app, bonifici, codici o impostazioni del dispositivo.
  3. 3.Contatta la banca o l’ente coinvolto. Se hai condiviso dati bancari, codici di sicurezza o informazioni relative a un account, contatta subito la banca, il gestore della carta o l’organizzazione interessata usando solo canali ufficiali. Segnalare l’accaduto rapidamente può aiutare a bloccare operazioni sospette e mettere al sicuro gli account.
  4. 4.Cambia le password compromesse. Se hai comunicato credenziali di accesso, modifica subito le password degli account coinvolti. Usa password forti, diverse per ogni servizio, e attiva l’autenticazione a due fattori dove disponibile. Se usavi la stessa password anche altrove, cambiala anche sugli altri account.
  5. 5.Controlla movimenti e accessi sospetti. Verifica estratti conto, carte, app bancarie e notifiche di accesso. Se noti pagamenti non autorizzati, bonifici sconosciuti o modifiche che non hai richiesto, segnalali immediatamente alla banca o al servizio interessato.
  6. 6.Metti in sicurezza il dispositivo. Se durante la chiamata hai installato un’app, condiviso lo schermo o concesso l’accesso da remoto, disinstalla subito eventuali software sospetti e fai una scansione di sicurezza con un antivirus di qualità. Se il dispositivo contiene dati importanti, valuta anche di chiedere supporto tecnico affidabile.
  7. 7.Segnala la truffa. Conserva numero di telefono, orario della chiamata, messaggi ricevuti, email collegate e qualsiasi dettaglio utile. Queste informazioni possono servire per segnalare l’accaduto alla banca, al servizio coinvolto o alle autorità competenti.
  8. 8.Impara a riconoscere i segnali per il futuro. Dopo aver messo tutto in sicurezza, prenditi qualche minuto per capire quale tecnica è stata usata: urgenza, paura, finto operatore, numero falsificato, richiesta di codici o promessa di un vantaggio. Riconoscere questi schemi ti aiuterà a evitare truffe simili in futuro.

Come proteggersi dal vishing

Proteggersi dal vishing significa soprattutto ridurre le occasioni di contatto, ridurre al minimo le informazioni disponibili online e imparare a riconoscere le richieste sospette. Ecco i nostri consigli, ispirati dalle best practice più aggiornate.

  • Non rispondere a numeri sconosciuti o anonimi. Se ricevi una chiamata da un numero nascosto, estero, insolito o non riconoscibile, meglio non rispondere. Se si tratta davvero di qualcosa di urgente, la persona o l’ente interessato troverà un altro modo per contattarti. Puoi anche bloccare le chiamate spam e segnalare i numeri sospetti per ridurre il rischio di essere ricontattato.
  • Non fidarti solo del numero che compare sullo schermo. Il caller ID (il numero chiamante) può essere falsificato. Anche se il numero sembra quello della banca, di un corriere o di un servizio clienti, non è una prova sufficiente. Se la chiamata ti sembra strana, chiudi e richiama usando il numero ufficiale presente sul sito dell’azienda o nell’app del servizio.
  • Limita le informazioni che condividi sui social. I truffatori possono usare profili social, post pubblici e dettagli personali per dare maggiore credibilità alla chiamata. Meglio non pubblicare informazioni come numero di telefono, indirizzo, luogo di lavoro, viaggi, documenti, dati familiari o dettagli sulle tue abitudini. Controlla anche le impostazioni sulla privacy per limitare allo stretto necessario il novero di chi può vedere i tuoi contenuti e ridurre i rischi legati ai social.
  • Attiva l’autenticazione a più fattori. L’autenticazione a più fattori fornisce un livello di protezione in più al tuo account. Anche se un truffatore dovesse ottenere la tua password, avrebbe comunque bisogno di un secondo passaggio di verifica. Quando possibile, usa un’app di autenticazione o delle chiavi di sicurezza invece dei soli codici via SMS.
  • Chiedi sempre una verifica dell’identità. Se qualcuno dice di chiamare da una banca, da un’azienda o da un ente pubblico, chiedi nome, reparto, motivo della chiamata e un identificativo ufficiale. Un interlocutore non dovrebbe metterti fretta né infastidirsi di fronte alle tue richieste di verifiche ulteriori. In caso di qualsiasi dubbio, chiudi subito la telefonata e contatta direttamente l’organizzazione.
  • Non condividere dati sensibili al telefono. Non comunicare mai password, PIN, codici OTP, CVV della carta, credenziali bancarie, documenti o dati personali completi durante una chiamata inattesa. Se un’azienda deve davvero verificare informazioni delicate, dovrebbe indirizzarti verso canali più sicuri, come l’area clienti ufficiale o l’app.
  • Iscriviti al Registro Pubblico delle Opposizioni. Registrando il tuo numero al Registro Pubblico delle Opposizioni puoi limitare (quasi del tutto) le chiamate di telemarketing indesiderate. Non elimina tutte le telefonate moleste e non blocca automaticamente le truffe, ma può ridurre una parte delle chiamate commerciali non richieste.
  • Usa strumenti per filtrare le chiamate e le minacce online. Le funzionalità di protezione dalle chiamate possono aiutarti a riconoscere o bloccare le chiamate SPAM e i numeri sospetti prima ancora di rispondere. Strumenti di sicurezza più ampi, come una VPN o un antivirus di nuova generazione in grado di rilevare i siti pericolosi, non fermano direttamente il vishing, ma aiutano a ridurre altri rischi collegati, come, ad esempio, i link malevoli, le pagine false e i tentativi di phishing online.
  • Diffida delle richieste fatte sotto pressione. Urgenza, paura e senso di colpa sono segnali tipici del vishing. Frasi come “deve farlo subito”, “il suo conto è a rischio”, “non chiuda la chiamata” o “non dica nulla a nessuno” dovrebbero metterti in allerta. Le decisioni importanti non si prendono mai mentre qualcuno ti sta pressando al telefono.
  • Informati e avvisa anche familiari e colleghi. Il vishing colpisce spesso le persone meno preparate o più vulnerabili. Parlare di queste tecniche con familiari, colleghi e persone anziane può fare la differenza. Sapere in anticipo come funzionano le truffe telefoniche rende molto più facile riconoscerle quando arrivano davvero.

La sicurezza online inizia con un semplice clic.

Resta al sicuro con la VPN leader a livello mondiale

FAQ

Disponibile anche in: Dansk,English,Español Latinoamericano,Español,Français,日本語,‪한국어‬,Nederlands,Polski,Português Brasileiro,Svenska.

Gli esperti di NordVPN

Gli esperti di NordVPN

I nostri esperti di NordVPN conoscono molto bene le soluzioni di cybersecurity e lavorano ogni giorno per rendere internet più sicuro per tutti e tutte. Sempre al passo con le minacce online più recenti, condividono sapere, esperienze e consigli pratici su come evitarle. Sia che tu sia un neofita della tecnologia o un utente esperto, nei loro articoli del blog troverai informazioni e aggiornamenti preziosi. La cybersecurity dovrebbe essere accessibile a chiunque e noi ci impegniamo affinché sia davvero così, articolo dopo articolo.