Trustpilot

ISTITUTO PER LA DIFESA DEL CONSUMO

Hai subito una truffa?
Login

Truffa Nexi via SMS: come riconoscerla e tutelarsi

Hai ricevuto un messaggio come questo: “N.E.X.I: E’ stata richiesta un’autorizzazione di pagamento da EUR 1.801,32. Se sospetti un uso improprio, chiama il servizio clienti: 0247924660”? Il tono è urgente, la cifra è alta, e il dubbio ti assale: è vero o è una truffa?

La risposta breve è che quel numero di telefono non appartiene a Nexi. Il numero ufficiale per il blocco carte è 800.15.16.16, un numero verde gratuito. Il numero indicato nel messaggio campione — 02 47924660 — non figura tra i recapiti pubblicati da Nexi sul proprio sito istituzionale (fonte: nexi.it/it/carte-di-pagamento/sicurezza, consultato il 13 maggio 2026).

In questo articolo trovi una descrizione precisa di come funziona la truffa Nexi via SMS — tecnicamente chiamata smishing quando il canale è il messaggio di testo — cosa fare se hai già chiamato quel numero, e quali tutele legali hai a disposizione per chiedere il rimborso.

Chi è Nexi e perché il suo nome viene sfruttato

Nexi Payments S.p.A. è uno dei principali operatori italiani nel settore dei pagamenti digitali: gestisce terminali POS, carte di pagamento e servizi per l’e-commerce. Ha sede a Milano, è vigilata dalla Banca d’Italia e opera nel pieno rispetto della normativa europea sui servizi di pagamento. Nexi è un soggetto legittimo.

Questa precisazione non è secondaria. Molti lettori che ricevono un messaggio come quello sopra si chiedono se Nexi stessa sia coinvolta in attività fraudolente. Non è così. Il problema è che il brand Nexi — riconoscibile, diffuso, associato a carte di pagamento — è uno strumento che i truffatori sfruttano per far abbassare le difese delle vittime.

Lo stesso sito Nexi documenta esplicitamente questo fenomeno nella sezione dedicata alla sicurezza, elencando smishing, vishing, phishing, spoofing e SIM Swap come tecniche utilizzate da terzi per ingannare i titolari di carta.

Come funziona la truffa Nexi via SMS: la sequenza completa

La truffa si articola in fasi distinte, ciascuna progettata per superare una resistenza psicologica diversa.

Fase 1 — Lo smishing: il messaggio di testo

Tutto inizia con un SMS che sembra provenire da Nexi. Il mittente può apparire come “N.E.X.I” (con punti separatori, elemento anomalo rispetto al brand ufficiale) oppure, nelle versioni più sofisticate, come “NEXI” inserito nel thread reale dei messaggi Nexi grazie alla tecnica dello spoofing dell’alias SMS. Il messaggio cita una somma specifica — spesso nell’ordine di centinaia o migliaia di euro — per aumentare l’urgenza percepita.

Il testo non contiene il nome del titolare della carta. Questo è un elemento rilevante: le comunicazioni di sicurezza degli istituti di pagamento tendono a personalizzare il messaggio. L’assenza di personalizzazione suggerisce un invio massivo e indiscriminato.

Fase 2 — Il vishing: la telefonata al numero fraudolento

Quando la vittima chiama il numero indicato nell’SMS, risponde un finto operatore del servizio clienti Nexi. La voce è professionale, il tono è quello del call center bancario. Viene creata urgenza: “c’è un pagamento in corso da bloccare subito”, “la sua carta sta per essere bloccata se non confermiamo l’identità ora”.

Il finto operatore chiede di “verificare l’identità” attraverso dati della carta: numero, data di scadenza, CVV. Poi arriva la richiesta del codice OTP ricevuto via SMS — il codice che in realtà serve al truffatore per autorizzare una transazione su un circuito online.

Su questo punto Nexi è esplicita nella propria documentazione: Nexi non ti contatterà mai telefonicamente per richiedere dati personali o codici identificativi. Se qualcuno ti chiede un OTP spacciandosi per Nexi, stai parlando con un truffatore.

Fase 3 — La variante avanzata: l’app di assistenza remota e l’NFC

Esiste una versione più sofisticata della truffa, documentata direttamente da Nexi nella propria pagina sulla sicurezza. Il finto operatore invita la vittima a scaricare un’app di “assistenza remota” non ufficiale — spesso mascherata da app di supporto bancario. Una volta installata, l’app consente al truffatore di osservare e controllare lo schermo del telefono.

A quel punto viene chiesto alla vittima di modificare il PIN della carta sull’app, durante questa operazione il finto operatore acquisisce il vecchio PIN. Nella fase finale, viene chiesto di avvicinare la carta fisica allo smartphone per un presunto “aggiornamento dei dati”: in realtà viene effettuato un pagamento contactless (NFC) non autorizzato.

Come riconoscere la truffa Nexi: i segnali da verificare

Prima di chiamare qualsiasi numero ricevuto via SMS, controlla questi elementi.

  • Il numero di telefono. Il numero ufficiale Nexi per il blocco carte è 800.15.16.16 (numero verde, gratuito). Qualsiasi altro numero — incluso 02 47924660 — non è un recapito ufficiale Nexi. Verifica sempre su nexi.it.
  • La formattazione del mittente. Il mittente “N.E.X.I” con punti separatori è anomalo. Il brand ufficiale non utilizza questa formattazione. Può anche apparire “NEXI” nel thread corretto: questo non garantisce l’autenticità, perché lo spoofing dell’alias SMS permette ai truffatori di inserirsi nei thread esistenti.
  • L’assenza del tuo nome. Un messaggio generico — “è stata richiesta un’autorizzazione” senza il tuo cognome — è spia di un invio massivo non personalizzato.
  • La richiesta di OTP. Nessun operatore Nexi legittimo ti chiederà mai il codice OTP ricevuto via SMS. Se qualcuno lo chiede, interrompi immediatamente la chiamata.
  • La richiesta di scaricare un’app. Nexi non ti chiederà mai di installare app non presenti negli store ufficiali né di consentire l’accesso remoto al tuo dispositivo.

Cosa fare subito se hai chiamato il numero o comunicato dati

Se hai già interagito con il numero fraudolento, agisci nell’ordine che segue. La tempestività riduce i danni.

  1. Blocca immediatamente la carta. Chiama il numero verde ufficiale Nexi 800.15.16.16 e chiedi il blocco immediato della carta. Se non riesci a raggiungere Nexi, blocca la carta dall’app o dall’internet banking del tuo istituto di credito.
  2. Cambia le credenziali di accesso. Modifica la password dell’internet banking e disattiva temporaneamente i servizi di pagamento online se l’app lo consente.
  3. Segnala a Nexi la comunicazione fraudolenta. Invia il testo del messaggio SMS ricevuto all’indirizzo email ufficiale segnalazioni.phishing@nexigroup.com. Nexi utilizza queste segnalazioni per monitorare le campagne di smishing attive.
  4. Sporgi denuncia alla Polizia Postale. Il canale online è il Commissariato di Polizia Postale (commissariatodips.it). La denuncia è un atto formale necessario sia per eventuali procedimenti penali sia, in molti casi, per attivare le procedure di rimborso con la banca.
  5. Conserva tutto. Screenshot dell’SMS, eventuale registrazione della chiamata, estratti conto con le transazioni anomale. Questi elementi sono fondamentali per qualsiasi procedura successiva.
  6. Contatta il tuo istituto bancario. Se la carta è collegata a un conto bancario, informa anche la banca emittente e chiedi il blocco o la contestazione delle transazioni non autorizzate.

Le tutele legali: rimborso, ABF e denuncia penale

La truffa via smishing e vishing non è solo un danno economico: è un reato e, in molti casi, genera un diritto al rimborso esercitabile nei confronti dell’istituto di pagamento.

Il profilo penale

Dal punto di vista del diritto penale, la condotta dei truffatori integra più fattispecie:

  • Art. 640 c.p. — Truffa: si applica quando la vittima è indotta in errore con artifizi e raggiri che causano un danno patrimoniale. Prevede la reclusione fino a tre anni, con circostanza aggravante per vittime anziane (art. 640, comma 2-bis c.p.).
  • Art. 640-ter c.p. — Frode informatica: applicabile quando il danno è mediato da un sistema informatico, come nell’accesso abusivo all’internet banking o nell’utilizzo fraudolento di credenziali per autorizzare transazioni. Prevede la reclusione fino a cinque anni.
  • Art. 493-ter c.p. — Indebito utilizzo di strumenti di pagamento: per l’utilizzo fraudolento dei dati della carta di credito o debito altrui.

La denuncia penale alla Polizia Postale deve essere presentata il prima possibile: consente alle autorità di tracciare il numero fraudolento e di avviare indagini su reti di truffatori che spesso operano in modo organizzato.

Il diritto al rimborso: PSD2 e Arbitro Bancario Finanziario

Il D.Lgs. 11/2010, che recepisce la direttiva PSD2 in materia di servizi di pagamento, stabilisce in linea di principio che le operazioni non autorizzate devono essere rimborsate dall’istituto di pagamento. La banca o il prestatore di servizi di pagamento può eccepire la responsabilità del cliente solo in presenza di frode o negligenza grave.

Il nodo interpretativo più frequente nelle controversie è proprio questo: se la vittima ha comunicato i codici OTP, l’istituto tende a eccepire la negligenza grave del cliente. Su questo punto, tuttavia, la giurisprudenza dell’Arbitro Bancario Finanziario (ABF) ha assunto posizioni evolutive: in molte decisioni, l’ABF ha riconosciuto il rimborso alla vittima di smishing e vishing, ritenendo che la banca avesse l’obbligo di monitorare transazioni anomale per importo o contesto e di bloccarle proattivamente, a prescindere dalla presenza del codice OTP.

L’ABF è uno strumento gratuito per il consumatore, accessibile tramite il portale arbitrobancariofinanziario.it. Prima di ricorrere all’ABF è necessario aver presentato un reclamo formale scritto alla banca e aver atteso 30 giorni (o ricevuto risposta negativa). Il procedimento ABF non richiede un avvocato e la sua decisione è vincolante per le banche aderenti.

Il clone del brand in Europa: NexiPesso

Vale la pena segnalare che il brand Nexi viene sfruttato non solo per le truffe via SMS, ma anche in forme più strutturate. La piattaforma NexiPesso (dominio nexipesso.es) risulta segnalata nel database Broker Alert dell’Istituto per la Difesa del Consumo, che aggrega warning ufficiali delle authority di vigilanza europea. La segnalazione è stata emessa dalla Comisión Nacional del Mercado de Valores (CNMV, autorità spagnola) in data 24 aprile 2026 (fonte: scheda NexiPesso su Broker Alert). NexiPesso non è Nexi Payments S.p.A.: è un soggetto distinto che ne utilizza il nome per operare come falso broker di investimenti. Questo conferma che il marchio Nexi è oggetto di sfruttamento su più fronti e in più paesi europei.

Quando rivolgersi a un legale

Non sempre la via stragiudiziale (reclamo alla banca + eventuale ABF) è sufficiente. Un avvocato specializzato in diritto bancario e dei consumatori può essere utile quando:

  • la banca ha rigettato il reclamo e l’importo del danno è rilevante;
  • l’ABF ha già emesso una decisione negativa e si vuole valutare il ricorso giudiziale;
  • la banca non risponde entro i termini o adotta comportamenti dilatori;
  • la truffa ha coinvolto accessi all’internet banking e movimentazioni su più conti;
  • ci si trova in una delle situazioni in cui la banca eccepisce la negligenza grave del cliente, argomento che richiede una risposta tecnica e documentata.

In questi casi, una consulenza legale preliminare consente di valutare la solidità della posizione, stimare i costi-benefici di un’eventuale azione e scegliere il percorso più efficace tra ABF, mediazione bancaria e azione giudiziale ordinaria.

Se anche tu sei stato vittima di una truffa via SMS che sfruttava il nome Nexi, o hai subito un addebito non autorizzato in seguito a una chiamata fraudolenta, fissa subito una consulenza gratuita con i nostri legali: valuteremo insieme la tua situazione e le strategie disponibili per il recupero del capitale sottratto.

Domande frequenti

Ho ricevuto un SMS da N.E.X.I con un numero strano. È una truffa?

Il mittente “N.E.X.I” con punti separatori è già un primo segnale anomalo rispetto alle comunicazioni ufficiali del brand. Se il numero indicato nel messaggio non è 800.15.16.16 (il numero verde ufficiale Nexi per il blocco carte), non chiamarlo. Verifica sempre i recapiti ufficiali direttamente su nexi.it prima di compiere qualsiasi azione.

Ho chiamato il numero 0247924660 e ho fornito dati. Cosa rischio?

Se hai comunicato i dati della carta (numero, scadenza, CVV) o un codice OTP, agisci subito: chiama il numero ufficiale Nexi 800.15.16.16 per bloccare la carta, cambia le credenziali dell’internet banking e sporgi denuncia alla Polizia Postale tramite commissariatodips.it. La tempestività è determinante per limitare i danni e avviare la procedura di contestazione delle transazioni non autorizzate.

La banca è obbligata a rimborsarmi se sono stato truffato via SMS?

In base alla normativa PSD2 (D.Lgs. 11/2010), le operazioni non autorizzate devono in linea di principio essere rimborsate dall’istituto di pagamento. La banca può però eccepire la negligenza grave del cliente — in particolare se hai comunicato i codici OTP. Su questo punto la giurisprudenza dell’ABF ha in molti casi riconosciuto il rimborso al consumatore, ritenendo che la banca avesse obblighi di monitoraggio proattivo delle transazioni anomale. Ogni caso va valutato singolarmente.

Cos’è l’ABF e come posso usarlo?

L’Arbitro Bancario Finanziario è un organismo di risoluzione stragiudiziale delle controversie tra consumatori e banche o istituti di pagamento. La procedura è gratuita per il consumatore e si avvia dopo aver presentato un reclamo scritto alla banca e atteso 30 giorni senza risposta soddisfacente. L’ABF si può contattare tramite il portale arbitrobancariofinanziario.it. Non richiede l’assistenza di un avvocato, anche se per casi complessi una guida legale è consigliata.

Cos’è lo smishing e in cosa si differenzia dal phishing?

Il phishing è una truffa condotta via email: il truffatore invia un messaggio che sembra provenire da un istituto legittimo per rubare credenziali o dati. Lo smishing è la variante via SMS (il termine unisce “SMS” e “phishing”). Il vishing è invece la truffa telefonica: la vittima viene indotta a chiamare un numero fraudolento o riceve direttamente una chiamata da un finto operatore. Queste tre tecniche spesso si combinano, come nella sequenza SMS → telefonata → furto di OTP descritta in questo articolo.

Il finto operatore mi ha chiesto di scaricare un’app. Cosa devo fare?

Non scaricare nulla. Se hai già installato un’app su indicazione di un presunto operatore Nexi, disinstallala immediatamente, revoca tutti i permessi concessi e riavvia il dispositivo. Considera di eseguire una scansione con un antivirus aggiornato. Se l’app aveva accesso remoto allo schermo, considera il dispositivo compromesso e cambia tutte le password da un altro dispositivo prima di riattivarlo.

Dove posso segnalare l’SMS fraudolento?

Puoi segnalarlo su più canali: invialo a segnalazioni.phishing@nexigroup.com (canale ufficiale Nexi per la segnalazione di phishing e smishing), e presenta una denuncia alla Polizia Postale tramite il portale commissariatodips.it. Le segnalazioni aggregate aiutano le autorità a tracciare le campagne attive e a bloccare i numeri fraudolenti.

Immagine di Centro Studi Difesa Consumatori
Centro Studi Difesa Consumatori
Tutti gli articoli
Ti potrebbe interessare
Trustpilot

Verifica subito una piattaforma

Inserisci il nome del broker o il dominio del sito per controllare se è già stato segnalato dalle autorità di vigilanza.

Un controllo rapido può aiutarti a evitare versamenti su piattaforme potenzialmente abusive.

In evidenza
Commenti
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

!
SUPPORTO IMMEDIATO
Attenzione: non credere a semplici opportunità di guadagno. Se hai investito denaro o hai condiviso i tuoi dati con piattaforme di trading non sicuramente affidabili, potresti essere a rischio. Fissa subito una consulenza gratuita per salvare i tuoi risparmi
Fissa una consulenza
!
SUPPORTO IMMEDIATO
Attenzione: non credere a semplici opportunità di guadagno
Se hai investito denaro con piattaforme di trading non sicuramente affidabili, potresti essere a rischio. Fissa subito una consulenza gratuita per salvare i tuoi risparmi
Fissa una consulenza