Breadcrumb

Legge di Bilancio 2026
Torna l'iperammortamento per gli investimenti tech e green

Articolo realizzato in collaborazione con pmi.it  
  

Breadcrumb

Dentro la "Truman Show" Scam
Quando la truffa diventa un copione perfetto.
Lo scenario è quello di vivere in un reality show come quello del film "The Truman Show", dove tutti intorno a te – amici, esperti, colleghi – recitano una parte scritta per convincerti a investire in un affare che sembra sicuro e garantito. È esattamente questo il meccanismo della "Truman Show Scam": una truffa finanziaria sofisticata che sfrutta intelligenza artificiale, community finte e app ufficiali per costruire una realtà artificiale, ma incredibilmente credibile, intorno alla vittima.

Cos'è la truffa Truman Show

Questa truffa ruota intorno a un finto operatore finanziario di nome OPCOPRO, presentato come una società registrata negli Stati Uniti con un programma di trading istituzionale avanzato e un'app scaricabile da App Store e, fino alla recente rimozione, anche da Google Play.
Tutto appare impeccabile: siti web aziendali curati, comunicati stampa che circolano su piattaforme che sembrano giornalistiche, linguaggio da grande banca e riferimenti a regolatori come la SEC. In verità, l'intero ecosistema è una messinscena orchestrata con AI per rubare denaro e dati personali, rubando legittimità a brand reali e piattaforme ufficiali.

Che cos'è lo spoofing?

Lo spoofing (o caller id spoofing, fake caller id, email spoofing, ecc.) è una tecnica che consiste nella falsificazione del mittente nelle comunicazioni via SMS, CHIAMATA o via EMAIL.
 

In tutti e tre i casi, la vittima vede comparire il contatto del proprio Istituto di Credito, un numero di telefono conosciuto, o qualsivoglia testo noto, quando in realtà è il criminale ad agire oscurando il proprio contatto originale. 
Un attacco di spoofing è sempre basato sull’ingegneria sociale: il truffatore, dopo aver oscurato la sua vera identità, studia la vittima e cerca di fare leva sui suoi punti di debolezza, come ad esempio la paura o l’ingenuità.

 

Come funziona?

Falsificazione del numero di telefono

Le compagnie telefoniche utilizzano un campo identificativo denominato “Calling Line IDentifier (CLI)” che consente ai propri clienti di visualizzare il numero in ingresso in caso di chiamata/sms.

Oggi quasi tutti gli smartphone sono dotati di un sistema operativo e di una linea compatibili alla visualizzazione di tale dato. Lo spoofing interviene proprio sulla manomissione del CLI (detto anche “Caller ID”).
Il frodatore modifica il proprio numero e la vittima lo vede apparire sotto il nominativo/numero di un’altra persona o istituto.

Il primo contatto, subdolo e insospettabile

Tutto inizia con un messaggio non richiesto che arriva dal nulla: un SMS che imita una banca o un broker famoso, parlando di un "titolo in esplosione" con rendimenti oltre il 70%, oppure un annuncio su Google, Telegram o social che invita a un gruppo esclusivo per dettagli. Non c'è personalizzazione – niente nome del destinatario o riferimenti a conti esistenti – e il tono promette guadagni facili in tempi record, senza contesto. Il sistema operativo del telefono spesso lo segnala già come spam, con mittente irregolare e assenza di canali ufficiali verificabili.
L'obiettivo è chiaro: portare la vittima da un canale pubblico a un gruppo privato su WhatsApp o Telegram, un ambiente controllato dove i truffatori possono dirigere ogni aspetto della narrazione senza interferenze esterne.

Dentro il reality: un mondo finto ma vivo

 

Una volta nel gruppo, la vittima si trova immersa in quello che sembra un vivace club di investitori: circa 90 partecipanti che chiacchierano, fanno domande e condividono entusiasmi, guidati da due "esperti" carismatici con foto profilo realistiche e analisi di mercato da professionisti. Questi leader – le cui identità sono generate da AI e prive di tracce reali su LinkedIn o database pubblici – pubblicano outlook finanziari, commenti su banche prestigiose e trade summaries che sembrano istituzionali.
Intorno a loro, un "pubblico" apparentemente spontaneo rafforza tutto: commenti positivi, schermate di profitti, messaggi privati di supporto da "pari" che incoraggiano senza mai dubitare. Ogni giorno arrivano report di successi, con tabelle di guadagni che però, a un controllo, rivelano prezzi impossibili per quei titoli e narrative ripetitive, prive di alert in tempo reale. Si citano partnership con grandi istituzioni, programmi AI di trading e registrazioni regolatorie, ma si tratta di elementi auto-dichiarati, senza vera autorizzazione per investimenti.
La conversazione scorre fluida nella lingua madre della vittima – nel caso studiato da CheckPoint, ebraico – con toni rassicuranti e assenza di contrasti, creando un'illusione di comunità autentica e vincente. Non serve codice malevolo: è un attacco puramente psicologico, sostenuto da AI che genera personaggi, testi multilingua e attività continue.

L'AI come motore della messinscena

L'intelligenza artificiale è il vero moltiplicatore di questa truffa, rendendola scalabile e sostenibile. Genera foto sintetiche per profili credibili, dialoghi fluidi e risposte calibrate, mantenendo un ritmo di interazioni che sarebbe impossibile solo con operatori umani. Tracce come transizioni linguistiche brusche o frasi eccessivamente perfette tradiscono l'uso di large language model, ma questi dettagli si affievoliscono con i progressi tecnologici. Il risultato è una bolla di fiducia che si gonfia per settimane, trasformando lo scetticismo iniziale in impegno emotivo.

Dalla fiducia al furto: app, documenti e denaro

 

Quando la vittima è convinta, gli "esperti" propongono l'accesso a una piattaforma esclusiva: un'app "istituzionale" con rendimenti del 370-700% in pochi mesi, disponibile sugli store ufficiali per sfruttare la fiducia che ispirano. L'app è pulita da malware – un semplice WebView che carica contenuti da server remoti – ma malevola per design, permettendo di fabbricare saldi, grafici e trade a piacimento.
Prima di tradare, serve una "verifica KYC": nome, numero documento, foto ID e selfie, identica alle procedure legittime ma usata per raccogliere dati preziosi per furti d'identità. Poi arrivano le richieste di deposito via bonifico o crypto: l'app mostra profitti finti che spingono a investire di più, fino al prelievo totale verso wallet criminali.

Impatti aziendali nascosti

 

Queste truffe non colpiscono solo il portafoglio personale: documenti rubati abilitano SIM swap o reset credenziali, aggirando 2FA; un dipendente sotto pressione può diventare insider inconsapevole, condividendo accessi aziendali; un'app fidata sul device apre porte a rischi ulteriori.

Riconoscerla e difendersi

Per evitare le truffe:

Riconoscerla e difendersi

Per evitare le truffe:
Collegamento di esempio
Ignora un messaggio che ti fa promesse irrealistiche, che invitano a gruppi privati o fa riferimenti a banche che non rimandano ai loro canali ufficiali.
Non fidarti di un’app solo perché presente nello store: controlla sempre backend e dati richiesti.
Non inviare documenti per KYC a servizi non verificabili tramite siti istituzionali o fonti ufficiali.

Perché i pagamenti da smartphone sono più sicuri della carta fisica

 

Molti utenti tendono ancora a fidarsi più della carta fisica, forse perché è tangibile, “si tocca”.
In realtà, la carta tradizionale è esposta a più rischi: furto, clonazione, skimming, phishing via social engineering (basti pensare a chi fotografa il lato frontale della carta per un acquisto online).
Nel wallet digitale, invece, il numero reale della carta non è mai visibile, nemmeno al proprietario: un vantaggio fondamentale in ottica di protezione dei dati.

Nel contesto lavorativo:

Nel contesto lavorativo:

Essere consapevoli che l’AI rende le truffe molto credibili e spesso simili a comunicazioni legittime.

Segnala subito qualsiasi sospetto, soprattutto se riguarda documenti, credenziali o accessi.

Ricorda che la sicurezza aziendale dipende anche dall’attenzione individuale: ogni comportamento prudente contribuisce alla protezione collettiva.

Collegamento di esempio

Per uno sguardo più ampio sulle truffe online

Un approfondimento sulle tecniche più diffuse e su come riconoscerle.

Come proteggere il proprio patrimonio? Alcuni suggerimenti

Questi esempi mettono in luce quanto sia importante comprendere la relazione tra questi due concetti economici: conoscere come funzionano inflazione e tassi d’interesse aiuta a prendere decisioni finanziarie più consapevoli, informate e sostenibili nel tempo. Ma cosa si può fare, concretamente, in un contesto economico in continua evoluzione, per proteggere il proprio patrimonio?
 
Innanzitutto, è utile diversificare i risparmi e gli investimenti, distribuendoli tra strumenti a breve e lungo termine, per ridurre i rischi legati alle oscillazioni dei tassi. Inoltre, è importante definire un orizzonte temporale: pianificare nel lungo periodo, mantenendo una visione equilibrata e non lasciandosi guidare dalle oscillazioni di breve termine, aiuta a superare più facilmente le fasi di incertezza finanziaria.
 
Quando si scelgono strumenti di risparmio, poi, è sempre bene tenere a mente il rendimento reale: ovvero quanto si guadagna effettivamente al netto del tasso di inflazione.
 
Conviene anche evitare un eccesso di liquidità ferma sul conto: in periodi di inflazione, il denaro non investito perde progressivamente potere d’acquisto.
 
Infine, chi ha in corso un finanziamento può valutare, in caso di variazioni dei tassi, una rinegoziazione o il passaggio da tasso variabile a fisso (o viceversa), in base allo scenario economico del momento.

Come difendersi

 

Se per le email basta qualche accortezza in più per rilevare un caso di falso, per quanto riguarda sms e chiamate, il destinatario non ha alcuna possibilità di difendersi.

L’unico vero strumento di difesa contro lo spoofing è prestare la massima attenzione al contenuto delle comunicazioni e diffidare sempre.
 

La Banca non chiederà mai di inserire credenziali a seguito di un click via SMS o email, né chiederà mai password, pin o codici otp via telefono.
 

Inoltre è sempre buona abitudine notare eventuali errori grammaticali, indice di una contraffazione del contenuto del messaggio.

 

Alcuni consigli:

  1. non dare per scontato che il nome letto sul telefono sia effettivamente autentico;
  2. ricordati che chiunque sul web è in grado di fingersi qualcun altro;
  3. resta sempre aggiornato: ultimamente le truffe avvengono con intensità crescente via telefono, quindi conoscere queste informazioni ti aiuta a prestare più attenzione e ridurre il rischio di frode;
  4. fai sempre attenzione ai principali segnali di riconoscimento del phishing: indirizzi email strani, allegati non attesi, senso di urgenza, link sconosciuti, messaggi sgrammaticati.

La nostra proposta per le imprese

Diamo valore ai progetti offrendo supporto concreto per realizzarli.

Titolo

Voluptas facilis id unde et dolore sapiente quo rerum. Eos ullam ad.

Titolo paragrafo
Voluptas facilis id unde et dolore sapiente quo rerum. Eos ullam ad.

Want to stay updated?

Keep me updated