Truffe con nome e cognome del governo: 4 segnali d'allarme che vi hanno preso di mira

A poche ore dall'impatto dei missili iraniani su Dubai il 28 febbraio 2026, i truffatori erano già al telefono. Mentre i residenti si riparavano dalle esplosioni vicino a Palm Jumeirah e l'aeroporto internazionale di Dubai veniva colpito da un sospetto attacco aereo, i truffatori chiamavano a freddo i residenti degli Emirati Arabi Uniti affermando di appartenere a un fantomatico dipartimento "Dubai Crisis Management", un falso ente governativo falsamente legato alla polizia di Dubai.

Il loro obiettivo non era quello di aiutare. Si trattava di rubare le credenziali dell'UAE Pass e i dati dell'Emirates ID, informazioni sufficienti per eseguire un attacco di SIM swap e prosciugare i conti bancari delle vittime attraverso le app di mobile banking.

La Polizia di Dubai ha confermato ufficialmente la truffa e ha emesso un avviso pubblico il 1° marzo 2026: "La Polizia di Dubai afferma di non richiedere in nessun caso informazioni riservate o codici di verifica tramite telefonate o messaggi di testo".

Non si è trattato di opportunismo. Si trattava di un'operazione pre-pianificata in attesa di una crisi per dispiegarsi. Lo stesso schema è stato utilizzato dopo gli uragani negli Stati Uniti, i blocchi COVID in tutto il mondo e le emergenze sismiche in Asia. Capire come funziona potrebbe salvare il vostro conto in banca e la vostra identità.

In breve

• Le truffe condotte da chi si spaccia per il governo hanno avuto un'impennata nelle ore successive all'attacco missilistico iraniano su Dubai del 28 febbraio 2026.
• I truffatori si sono spacciati per un dipartimento fittizio di "Dubai Crisis Management" collegato alla polizia di Dubai per rubare le credenziali dell'UAE Pass e i dati dell'Emirates ID.
• I dati rubati sono stati utilizzati per eseguire attacchi di SIM swap, ossia per prendere il controllo dei numeri di telefono e aggirare la sicurezza del mobile banking.
• Nel 2025 la FTC ha ricevuto oltre 330.000 denunce di impersonificazione governativa, con un aumento del 25% rispetto all'anno precedente.
• I 4 segnali di allarme sono: un nome di dipartimento fittizio, l'urgenza legata a un evento di cronaca, la richiesta di codici di verifica o di dati identificativi e la pressione ad agire immediatamente.

Regola d'oro: Nessun ente governativo reale vi chiamerà mai per chiedervi password, codici di verifica, Emirates ID, credenziali UAE Pass o dati bancari.

Come funziona la truffa di Dubai: Una descrizione passo per passo

La truffa di Dubai non è stata improvvisata. Ha seguito una sequenza precisa e testata che i truffatori che si spacciano per governo utilizzano in tutto il mondo. La comprensione di ogni fase rende la truffa più facile da riconoscere in futuro:

① Monitorare le notizie

Le operazioni di truffa monitorano attivamente gli eventi di attualità, i disastri naturali, gli incidenti di sicurezza e le crisi politiche, alla ricerca di opportunità per distribuire script di impersonificazione.

Attivare l'operazione entro poche ore

A poche ore dall'attacco missilistico di Dubai, gli operatori dei call center hanno iniziato a contattare i residenti degli Emirati Arabi Uniti. La velocità è deliberata: la paura è massima subito dopo un evento.

Copiare l'ID del chiamante ufficiale

Le chiamate sembravano provenire da numeri dall'aspetto ufficiale. La moderna tecnologia di spoofing consente ai truffatori di visualizzare qualsiasi numero di telefono a loro scelta.

④ Rivendicare un dipartimento fittizio

Il "Dubai Crisis Management" non esiste. I truffatori creano nomi di dipartimenti dal suono plausibile che le vittime non possono verificare facilmente in un momento di stress.

⑤ Creare un'urgenza immediata

Alle vittime è stato detto che i loro conti o le loro identità erano a rischio a causa della crisi e che dovevano essere verificati con urgenza. La paura prevale sul pensiero critico.

⑥ Richiedere credenziali sensibili

Sono stati richiesti i dati di login dell'UAE Pass e i numeri dell'Emirates ID, sufficienti per effettuare uno scambio di SIM e prendere il controllo del mobile banking.

Eseguire lo scambio di SIM

Con le credenziali, i truffatori contattano il gestore di telefonia mobile della vittima, trasferiscono il numero di telefono a una SIM che controllano, intercettano gli OTP bancari e prosciugano i conti.

I 4 segnali di allarme di una truffa a danno del governo

01 Segnale di allarme 1: un dipartimento o un'agenzia che non è possibile verificare

"Gestione delle crisi di Dubai". "Ufficio nazionale di coordinamento delle emergenze. "Unità di risposta alla sicurezza digitale". Questi nomi sembrano reali. Sono inventati. I truffatori creano deliberatamente nomi di dipartimenti dal suono plausibile perché, in un momento di panico, la maggior parte delle persone non si ferma a verificare se esistono. Gli enti governativi reali hanno nomi verificabili, siti web e canali di contatto ufficiali. Quelli fittizi no.

Cosa fare: Prima di contattare chi afferma di rappresentare un ente governativo, riagganciate e cercate il nome del dipartimento sul sito web ufficiale del governo. Se non compare, non esiste.

02 Segnale di avvertimento 2: l'urgenza è legata a un evento di attualità

La crisi è reale. La paura è reale. Il truffatore non lo è. I truffatori che si fingono governativi programmano le loro operazioni in modo che coincidano con eventi che generano il massimo della paura e il minimo dello scetticismo: attacchi missilistici, terremoti, epidemie di malattie e gravi incidenti informatici. L'urgenza che creano è presa in prestito dall'evento reale, ed è per questo che risulta così convincente. Ma le agenzie governative reali non contattano individualmente i cittadini per telefono nelle ore successive a una crisi per richiedere una verifica personale.

Cosa fare: Chiedersi: Questa chiamata è urgente perché c'è un rischio personale reale per me o perché un evento di cronaca mi fa sentire spaventato? Se la risposta è la seconda, riagganciate.

03 Segnale d'allarme 3: chiedono codici di verifica, password o dettagli dell'ID

Questo è il segnale di allarme più chiaro di tutti e la Polizia di Dubai lo ha sottolineato esplicitamente: "La Polizia di Dubai afferma di non richiedere in nessun caso informazioni riservate o codici di verifica tramite telefonate o messaggi di testo". Questo è universalmente vero. Nessuna agenzia governativa, forza di polizia, banca o società di servizi vi chiamerà mai per chiedervi le credenziali dell'UAE Pass, il numero dell'Emirates ID, i codici di accesso unici, i PIN o le password bancarie. Mai. Se il chiamante richiede una di queste informazioni, la chiamata è una truffa. Nessuna eccezione.

Cosa fare: Riattaccare immediatamente. Non fornite alcuna informazione. Chiamate il numero ufficiale del governo che trovate sul sito web ufficiale per segnalare il tentativo di frode.

04 Segnale di avvertimento 4: si viene spinti ad agire immediatamente

"Il suo conto verrà congelato se non verifica subito". "Dobbiamo proteggervi prima che la finestra si chiuda". "Questa telefonata viene registrata ed è necessaria la sua collaborazione". La pressione è il meccanismo di funzionamento di tutte le truffe di impersonificazione. Supera il pensiero critico e impedisce alle vittime di riagganciare per verificare. Le vere agenzie governative inviano avvisi scritti, concedono tempo per rispondere e hanno processi formali - non creano emergenze telefoniche che scadono in pochi minuti.

Cosa fare: Qualsiasi pressione ad agire immediatamente, senza il tempo di verificare, è una tattica di manipolazione. La risposta corretta è sempre quella di rallentare, non di accelerare.

Le truffe con l'impersonificazione del governo sono in aumento?

Sì, e rapidamente. Nel 2025 la FTC ha ricevuto oltre 330.000 denunce diimpersonificazione governativa , con un aumento del 25% rispetto all'anno precedente, e le perdite derivanti da frodi di impersonificazione governativa hanno raggiunto i 405,6 milioni di dollari nei soli Stati Uniti.

Anche i progressi della tecnologia stanno rendendo queste truffe più convincenti. Gli strumenti di intelligenza artificiale possono clonare voci, generare messaggi convincenti e automatizzare campagne di truffa su larga scala. In combinazione con lo spoofing dell'ID del chiamante e le piattaforme di messaggistica, i criminali possono raggiungere migliaia di potenziali vittime in pochi minuti da una crisi.

Nonostante questi progressi, la regola rimane semplice: nessun ente governativo legittimo vi chiamerà per chiedervi password, codici di verifica o dati personali.

Se ricevete una chiamata sospetta, la risposta più sicura è riagganciare e contattare l'ente governativo utilizzando il numero di telefono ufficiale indicato sul suo sito web.

In conclusione: State all'erta

Le truffe con l'impersonificazione del governo hanno successo perché sfruttano la paura durante le crisi del mondo reale. L'esempio di Dubai mostra la rapidità con cui i criminali possono agire quando una notizia dell'ultima ora crea confusione e urgenza. Ricordate la regola fondamentale: se qualcuno che afferma di rappresentare un'agenzia governativa chiede al telefono password, codici di verifica o dati identificativi personali, si tratta quasi certamente di una truffa. Riagganciare e verificare il contatto attraverso i canali ufficiali può proteggere sia la vostra identità che il vostro conto bancario.

Adam Collins è un ricercatore di sicurezza informatica di ScamAdviser che opera con uno pseudonimo per garantire privacy e sicurezza. Con oltre quattro anni di attività in prima linea e più di 1.500 giorni passati a decostruire migliaia di schemi di frode, è specializzato nel tradurre minacce complesse in consigli praticabili. La missione di Adam è semplice: smascherare le bandiere rosse in modo che possiate navigare in rete con fiducia.