Come la truffa delle segnalazioni false su Reddit e Discord ruba gli account

| 7 luglio 2026
logo di Reddit

Uno sconosciuto ti manda un messaggio su Reddit. Ti dice che qualcuno lo ha segnalato e che l'account che ha effettuato la segnalazione assomiglia molto al tuo. Sei stato tu?

Non era così. Non è proprio questo il punto del messaggio.

Questa versione si basa interamente sull'ingegneria sociale. Non ci sono malware né link dannosi. Tutto inizia con una conversazione, ma l'obiettivo è quello di indurti con l'inganno a fornire le credenziali di accesso o un codice di verifica, in modo che il truffatore possa accedere al tuo account Reddit.

Come funziona questa truffa

Esistono due varianti comuni di questa truffa:

  • «Qualcuno mi ha segnalato, e a quanto pare sei stato tu.»
  • «Ho segnalato per sbaglio il tuo account.»

Qualcuno sostiene che ci sia stato un errore relativo a una segnalazione. Secondo una versione, qualcuno avrebbe segnalato quella persona e sembrerebbe che sia stato proprio tu. Secondo un’altra, quella persona sostiene di aver segnalato accidentalmente il tuo account e di aver bisogno del tuo aiuto per risolvere la questione. In entrambi i casi, non c’è alcuna segnalazione. Si tratta dell’inizio di una truffa di ingegneria sociale che è diventata comune su Discord, Reddit e altre piattaforme.

L'obiettivo finale varia. Alcune versioni cercano di indurti con l'inganno a condividere le credenziali di accesso o un codice di verifica, in modo che il truffatore possa accedere al tuo account, modificare la tua password e impedirti l'accesso. Altre ti convincono a cambiare l'indirizzo e-mail associato al tuo account con uno da loro controllato. Successivamente, ti chiedono una carta regalo o un altro pagamento per “risolvere” il problema, minacciando di cancellare il tuo account o di utilizzarlo per truffare altre persone se non paghi.

Se stai ancora comunicando con loro, smetti immediatamente e non fornire alcun codice né modificare i dati del tuo account. Se hai già fatto una di queste due cose e hai perso l'accesso al tuo account, passa direttamente alla sezione "Come proteggerti" qui sotto.

Come si svolge

La conversazione di solito inizia con una delle due affermazioni seguenti: o la persona dice che qualcuno ha segnalato il proprio account e sembra che sia stato tu, oppure sostiene di aver segnalato accidentalmente il tuo account per errore.

Se lo neghi, il truffatore non discute. Ti dirà che probabilmente si è trattato di un errore in buona fede e continuerà la conversazione. Potrebbe chiederti se sai chi lo ha segnalato o suggerirti di aiutarlo a chiarire la situazione. L’obiettivo è semplicemente quello di tenerti coinvolto.

A quel punto inviano una “prova”: uno screenshot di un’e-mail che sembra provenire da Reddit. Il testo ha un tono formale, riporta un numero di ticket, afferma che è in corso un’“indagine formale” e include un conto alla rovescia, solitamente di 12 ore, prima della “sospensione, della limitazione delle funzionalità o del ban”. Alcune versioni invitano a contattare su Discord una persona che sostiene di essere un dipendente o un moderatore di Reddit. Altre includono un falso avviso legale che cita leggi o regolamenti non attinenti alla situazione. Nulla di tutto ciò è vero.

Perché Reddit non funziona così

Reddit non chiede alle persone coinvolte in una segnalazione di contattarsi a vicenda, né ti chiede di verificare il tuo account tramite uno sconosciuto tramite messaggio diretto. Non gestisce i ricorsi tramite Discord né ti indirizza all'account Discord personale di un membro dello staff. Le segnalazioni, la moderazione e i ricorsi avvengono tutti tramite Reddit stesso.

Il conto alla rovescia serve a creare un senso di urgenza. Abbinato a vaghe minacce di sospensione, limitazioni delle funzionalità o blocco dell'account, è pensato per spingerti ad agire prima che tu abbia il tempo di chiederti cosa stia succedendo.

Ciò che in realtà cercano

Il rapporto e l’e-mail fasulla sono solo una copertura. Il truffatore ti dice che un dipendente di Reddit o un “supervisore” deve verificare il tuo account per dimostrare che non sei coinvolto. Per farlo, dicono, devi ripetere il codice che Reddit sta per inviarti.

Mentre sei impegnato nella conversazione, il truffatore cerca di accedere al tuo account vero e proprio o di avviare una procedura di recupero dell'account. Reddit reagisce inviandoti un codice di accesso o di verifica autentico.

La tempistica non è una coincidenza. Il codice arriva proprio dopo che ti è stato detto di aspettarlo. Se lo rileggi, il truffatore può utilizzarlo per accedere al tuo account, modificare la tua password e impedirti l'accesso. Il codice in sé è autentico. È tutta la storia che lo circonda a costituire la truffa.

Perché le persone ci cascano

Sia che tu sia stato accusato di aver segnalato qualcuno, sia che ti sia stato detto che il tuo account è stato segnalato per errore, questa truffa ti mette in una situazione in cui desideri risolvere il problema. Pertanto, quando ti viene chiesto di “verificare” il tuo account, può sembrarti un passo verso la risoluzione del problema piuttosto che un rischio per la sicurezza.

L'e-mail fasulla rende la storia più credibile, soprattutto se non ci si ferma a chiedersi se il metodo o la procedura di contatto corrispondano al modo in cui funziona effettivamente Reddit. Il conto alla rovescia aggiunge un senso di urgenza, spingendoti ad agire prima ancora di aver avuto il tempo di riflettere bene sulla questione.

Non si tratta di ingenuità. È uno schema di ingegneria sociale ben collaudato, studiato per far sembrare legittima una richiesta ragionevole.

Non si tratta solo di messaggi diretti

Sebbene la truffa basata su segnalazioni false abbia solitamente inizio con un messaggio diretto, i truffatori si spacciano anche per Reddit inviando e-mail di phishing in cui sostengono che il tuo account sia stato bloccato o richieda un intervento. Se ricevi un’e-mail di sicurezza inaspettata, non cliccare sui link in essa contenuti. Accedi invece a Reddit direttamente tramite il sito web ufficiale o l’app.

Se il tuo account è stato compromesso, potresti notare post, commenti o messaggi che non hai pubblicato tu. Questo è un segno che qualcun altro ha accesso al tuo account. In tal caso, cambia la password, attiva l'autenticazione a due fattori se non l'hai già fatto e segui la procedura di recupero dell'account di Reddit.

Come proteggersi

  • Non condividere mai con nessuno le credenziali di accesso o il codice di verifica di Reddit, nemmeno con chi sostiene di far parte dello staff o del servizio di assistenza di Reddit.
  • Non modificare mai l'indirizzo e-mail associato al tuo account su richiesta di uno sconosciuto, nemmeno per “risolvere” un problema segnalato.
  • Se qualcuno ti chiede di acquistare una carta regalo o di inviare denaro per risolvere una segnalazione, si tratta di una truffa.
  • Reddit non chiederà agli utenti coinvolti in una segnalazione di contattarsi a vicenda, di verificare i propri account tramite messaggi diretti né di gestire i ricorsi tramite Discord.
  • Se ricevi un'e-mail di sicurezza di Reddit che non ti aspetti, non cliccare sui link in essa contenuti. Accedi invece al tuo account direttamente tramite reddit.com o l'app ufficiale.
  • Attiva l'autenticazione a due fattori utilizzando un'app di autenticazione e considera qualsiasi accesso o codice di verifica inatteso come un segnale che qualcuno potrebbe tentare di accedere al tuo account.
  • Se noti post, commenti o messaggi che non hai pubblicato, proteggi immediatamente il tuo account cambiando la password. Se non riesci più ad accedervi, segui la procedura ufficiale di recupero dell'account di Reddit all'indirizzo reddit.com.
  • Segnala il truffatore e i suoi messaggi utilizzando gli strumenti di segnalazione integrati in Reddit.

Ricorda

Se qualcuno ti chiede di condividere le credenziali di accesso o un codice di verifica, fermati subito. È proprio quella la truffa. Tutto ciò che è successo prima è solo una messinscena.

Informazioni sull'autore

Appassionato di soluzioni antivirus, Stefan si è occupato di test di malware e di QA di prodotti AV fin da giovane. Come parte del team di Malwarebytes , Stefan si dedica alla protezione dei clienti e alla loro sicurezza.