Trustpilot

ISTITUTO PER LA DIFESA DEL CONSUMO

Hai subito una truffa?
Login

Truffa gift card: come funziona, come riconoscerla e cosa fare

Hai ricevuto una gift card in regalo e poco dopo un messaggio con un link per verificarne il saldo? Oppure un tuo collega — o qualcuno che si spacciava per lui — ti ha chiesto urgentemente di comprare una gift card e inviargli il codice? In entrambi i casi ti trovi davanti a una delle truffe digitali più diffuse in questo momento, sottovalutata proprio perché sembra semplice e innocua. In questo articolo analizzo i due meccanismi principali della truffa delle gift card, spiego perché funzionano, cosa prevede il diritto penale e cosa puoi fare se sei già stato vittima.

Perché le gift card sono lo strumento preferito dai truffatori

Per capire questa truffa bisogna partire da un dato tecnico preciso: una gift card è denaro contante in formato digitale. Il codice stampato sulla card rappresenta un valore monetario che, una volta riscattato, non può essere bloccato, congelato o recuperato da nessun intermediario — né dalla banca, né dal brand emittente, né dalla Polizia Postale.

I truffatori lo sanno. A differenza di un bonifico (tracciabile e in alcuni casi revocabile) o di un pagamento con carta (contestabile tramite chargeback), il codice di una gift card consegnato a terzi equivale a consegnare banconote in contanti a uno sconosciuto. È questo il motivo per cui tutti i truffatori, dalla frode romantica al finto supporto tecnico Microsoft, convergono su questo strumento: l’irreversibilità è strutturale, non accidentale.

I due meccanismi principali della truffa

1. Il sito clone per la “verifica del saldo”

Il primo schema funziona così. La vittima riceve una gift card — acquistata da terzi, ricevuta come premio, o inviata da un mittente sconosciuto che si presenta come azienda o ente. Subito dopo arriva un messaggio, via email, SMS o WhatsApp, con un link che invita a “verificare il saldo prima dell’utilizzo” o a “attivare la card”.

Il link porta a un sito che riproduce fedelmente la grafica del brand originale: stesso logo, stessi colori, stessa struttura della pagina. La vittima inserisce il codice convinta di controllarne il valore. In realtà sta consegnando il codice ai truffatori, che lo riscattano nel giro di pochi secondi — spesso prima ancora che la vittima chiuda la finestra del browser.

In alcuni casi questi siti clone vanno oltre il furto del codice: raccolgono dati personali inseriti nel form (nome, email, numero di telefono) e possono contenere script malevoli che installano malware sul dispositivo della vittima. Il danno si moltiplica.

La regola da seguire senza eccezioni: per verificare il saldo di una gift card digita sempre tu l’indirizzo ufficiale del brand nella barra del browser. Non seguire mai un link ricevuto via messaggio, nemmeno se il mittente sembra attendibile e il sito sembra identico all’originale.

2. La richiesta urgente tramite social engineering

Il secondo schema è ancora più diretto. Arriva un messaggio — via SMS, WhatsApp, email aziendale compromessa o profilo social clonato — apparentemente proveniente da un collega, un superiore, un amico o un familiare. Il tono è urgente: “Ho un problema, puoi comprarmi una gift card da 50 euro e inviarmi il codice adesso? Ti spiego dopo, ti rimborso subito.”

La pressione psicologica è calcolata: l’urgenza blocca il ragionamento critico, la fonte apparentemente nota abbassa le difese, la somma modesta sembra non valga la pena di verificare. La vittima compra la card, fotografa o trascrive il codice e lo invia. I truffatori lo riscattano istantaneamente. Il “rimborso” non arriverà mai.

Questo meccanismo è una forma classica di social engineering e colpisce tanto i privati quanto i dipendenti aziendali — in quest’ultimo caso con importi molto più elevati, quando il truffatore si finge un dirigente che chiede un pagamento urgente.

La regola: chiunque ti chieda di pagare qualcosa con una gift card sta tentando una truffa. Senza eccezioni. Nessun collega, nessuna azienda, nessun ente pubblico, nessun corriere richiede mai pagamenti tramite codici di gift card.

Inquadramento giuridico

Dal punto di vista penale, la truffa delle gift card integra più fattispecie a seconda delle modalità.

Il reato cardine è la frode informatica ai sensi dell’art. 640-ter del codice penale, che punisce chiunque alteri il funzionamento di un sistema informatico o intervenga senza diritto su dati o programmi per procurare a sé o ad altri un ingiusto profitto. L’utilizzo di siti clone per carpire codici di accesso rientra precisamente in questa ipotesi.

Quando la condotta si realizza attraverso artifici o raggiri che inducono in errore la vittima — come nel caso della richiesta urgente tramite identità falsa — si configura la truffa comune ex art. 640 c.p., aggravata dall’uso di mezzi telematici.

La creazione e gestione del sito clone può inoltre integrare il reato di accesso abusivo a sistema informatico (art. 615-ter c.p.) nella misura in cui il sito fraudolento viene utilizzato come strumento per acquisire credenziali altrui.

Sul piano civile, la vittima ha in linea di principio diritto al risarcimento del danno. Il problema pratico — che non va sottovalutato — è l’identificazione e la localizzazione degli autori, spesso operanti dall’estero attraverso infrastrutture tecniche distribuite in più giurisdizioni.

Cosa fare se sei già stato vittima

Se hai consegnato il codice di una gift card a chi si è rivelato un truffatore, agisci subito su più fronti.

Passo 1 — Contatta immediatamente il brand emittente. Anche se il recupero è statisticamente improbabile una volta che il codice è stato riscattato, alcune aziende dispongono di procedure di blocco di emergenza attivabili entro una finestra temporale molto stretta. Telefona o scrivi al servizio clienti del brand (Amazon, iTunes, Google Play, Steam, o chiunque abbia emesso la card) e spiega la situazione. Conserva la ricevuta di acquisto della card.

Passo 2 — Sporgi denuncia alla Polizia Postale. La Polizia Postale è competente per i reati informatici. Puoi presentare denuncia online tramite il portale commissariatodips.it oppure recandoti fisicamente allo sportello. Porta con te: screenshot della conversazione o dell’email ricevuta, URL del sito clone visitato, ricevuta di acquisto della gift card, codice della card se disponibile.

Passo 3 — Segnala il sito clone. Puoi segnalare il dominio fraudolento a Google Safe Browsing (navigando su safebrowsing.google.com/safebrowsing/report_phish/), contribuendo a far comparire l’avviso di pericolo per gli utenti successivi.

Passo 4 — Segnala all’AGCM. L’Autorità Garante della Concorrenza e del Mercato riceve segnalazioni di pratiche commerciali scorrette e truffe ai consumatori. La segnalazione non garantisce un rimborso individuale ma contribuisce all’azione d’ufficio contro chi gestisce schemi truffaldini sistematici.

Passo 5 — Valuta l’assistenza legale. Se l’importo perso è significativo o se la truffa ha avuto risvolti più gravi (furto di dati personali, installazione di malware, utilizzo illecito della tua identità), rivolgersi a un avvocato esperto in cybercrime consente di valutare le possibilità concrete di azione: dalla querela con costituzione di parte civile alle misure cautelari sui profili social o domini coinvolti.

I segnali che devono farti fermare

Prima che la truffa si consumi, ci sono segnali riconoscibili. Impara a identificarli.

  • Ricevi un link per “verificare il saldo” o “attivare” una gift card: non cliccare. Vai direttamente sul sito ufficiale.
  • Qualcuno ti chiede di pagare qualcosa con una gift card: è sempre una truffa. Il mezzo di pagamento è scelto per la sua irrecuperabilità.
  • Il messaggio crea urgenza artificiale (“fallo adesso”, “entro un’ora”, “non ho tempo di spiegare”): la fretta è una tecnica deliberata per impedire la riflessione.
  • Il mittente ha un nome che conosci ma usa un canale insolito (WhatsApp invece dell’email aziendale, o un numero che non hai in rubrica): verifica l’identità con una chiamata vocale diretta al numero che hai salvato tu.
  • Il sito su cui stai per inserire il codice ha un URL leggermente diverso da quello del brand (caratteri aggiunti, TLD diverso, trattini insoliti): chiudi il browser.

Quando rivolgersi a un avvocato

Non tutti i casi di truffa delle gift card giustificano necessariamente un’azione legale strutturata. Ma ci sono situazioni in cui il supporto di un avvocato esperto in diritto digitale e tutela del consumatore fa la differenza.

In particolare, è opportuno rivolgersi a un professionista quando: l’importo sottratto è rilevante; la truffa ha comportato anche la compromissione di dati personali o l’accesso non autorizzato a dispositivi o account; il truffatore è identificabile o ha utilizzato canali aziendali interni (il che apre scenari di responsabilità dell’azienda per omessa sicurezza); oppure quando si vuole costituirsi parte civile in un procedimento penale già aperto dalla Polizia Postale.

Un professionista può anche assistere nella redazione di una denuncia circostanziata, che aumenta le probabilità di identificazione del responsabile e di efficacia delle successive indagini.

Se sei caduto in questa truffa o hai ricevuto richieste sospette di pagamento con gift card, fissa subito una consulenza gratuita e valuteremo insieme le azioni legali disponibili per il tuo caso specifico.

Domande frequenti

Ho già inviato il codice della gift card al truffatore: posso recuperare i soldi?

Il recupero diretto è molto difficile. Una volta che il codice viene riscattato, il valore è immediatamente trasferito e non tracciabile. Contatta subito il brand emittente per verificare se il codice è già stato usato e se esiste una procedura di emergenza. Se il codice non è ancora stato riscattato, in rari casi il blocco è possibile. In ogni caso, presenta denuncia alla Polizia Postale: in presenza di procedimenti penali, eventuali proventi illeciti sequestrati possono essere oggetto di riparazione.

Il sito dove ho inserito il codice sembrava identico all’originale. Come faccio a distinguere un sito clone?

Controlla sempre l’URL nella barra del browser: anche un solo carattere diverso rispetto all’indirizzo ufficiale è un segnale di phishing. Verifica la presenza del lucchetto HTTPS, ma tieni presente che anche i siti fraudolenti possono averlo — non è una garanzia sufficiente da sola. La regola più sicura è non cliccare mai su link ricevuti via messaggio per operazioni su gift card: digita sempre tu l’indirizzo del brand.

Qualcuno che diceva di essere il mio capo mi ha chiesto una gift card via WhatsApp. Come poteva sapere il suo nome?

I truffatori raccolgono informazioni pubbliche da LinkedIn, siti aziendali e social network per costruire messaggi credibili. Conoscere il nome del tuo responsabile non richiede accesso privilegiato a nessun sistema: basta una ricerca. Se ricevi richieste insolite da account che sembrano di persone note, verifica sempre l’identità chiamando direttamente il numero che hai in rubrica o usando il canale ufficiale aziendale.

Posso fare denuncia anche se non conosco l’identità del truffatore?

Sì. La denuncia alla Polizia Postale va presentata anche in assenza dell’identità del responsabile. Gli investigatori hanno strumenti tecnici per tracciare domini, indirizzi IP e flussi di riscatto delle gift card, specialmente quando si tratta di schemi ripetuti. La denuncia alimenta anche statistiche investigative che permettono di connettere episodi distinti riferibili agli stessi autori.

L’azienda che ha emesso la gift card ha qualche responsabilità?

In generale, l’emittente della gift card non è responsabile per l’uso fraudolento del codice da parte di terzi, salvo casi in cui sia dimostrabile una carenza nelle misure di sicurezza dei propri sistemi. Tuttavia, alcuni brand hanno politiche interne di rimborso volontario per le vittime di phishing documentato: vale sempre la pena di contattare il servizio clienti e descrivere la situazione con documentazione.

Questa truffa può colpire anche le aziende, non solo i privati?

Sì, e spesso con importi molto più elevati. Nelle aziende il meccanismo si chiama Business Email Compromise (BEC) o CEO fraud: un dipendente riceve un’email che sembra provenire dall’amministratore delegato o da un dirigente, con la richiesta di acquistare gift card o effettuare bonifici urgenti. La variante con le gift card è preferita dai truffatori perché non lascia traccia bancaria. Le aziende dovrebbero adottare procedure di doppia verifica per qualsiasi richiesta di pagamento fuori dai canali ordinari.

Immagine di Centro Studi Difesa Consumatori
Centro Studi Difesa Consumatori
Tutti gli articoli
Ti potrebbe interessare
Trustpilot

Verifica subito una piattaforma

Inserisci il nome del broker o il dominio del sito per controllare se è già stato segnalato dalle autorità di vigilanza.

Un controllo rapido può aiutarti a evitare versamenti su piattaforme potenzialmente abusive.

In evidenza
Commenti
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

!
SUPPORTO IMMEDIATO
Attenzione: non credere a semplici opportunità di guadagno. Se hai investito denaro o hai condiviso i tuoi dati con piattaforme di trading non sicuramente affidabili, potresti essere a rischio. Fissa subito una consulenza gratuita per salvare i tuoi risparmi
Fissa una consulenza
!
SUPPORTO IMMEDIATO
Attenzione: non credere a semplici opportunità di guadagno
Se hai investito denaro con piattaforme di trading non sicuramente affidabili, potresti essere a rischio. Fissa subito una consulenza gratuita per salvare i tuoi risparmi
Fissa una consulenza