La notizia fresca è che Google ha portato in tribunale una rete chiamata Outsider Enterprise, accusata di usare anche Gemini per produrre siti di phishing e campagne SMS su scala industriale. Il punto AndroidLab, però, non è “oddio, l’AI cattiva”: è molto più pratico. Se una truffa arriva come SMS o RCS su un telefono Android, la difesa reale si gioca tra Google Messages, filtro spam, browser, abitudini di verifica e un minimo di igiene operativa.
Secondo Google, l’operazione avrebbe collegamenti con migliaia di siti falsi, oltre un milione di URL fraudolenti e milioni di messaggi inviati verso utenti Android in poche settimane. Android Central ha ripreso il caso il 15 giugno 2026, mentre Google ha pubblicato il proprio intervento il 12 giugno. La parte interessante è che non parliamo del solito messaggino sgrammaticato da cestinare ridendo: qui l’AI abbassa il costo di generare testi, pagine e varianti credibili. La fabbrica della truffa diventa più economica. Splendido progresso, se per “progresso” intendiamo automatizzare anche la feccia.
Il primo controllo da fare è banale ma spesso ignorato: su Android conviene usare una app messaggi che abbia difese attive. In Google Messages apri l’app, tocca la foto profilo o le iniziali, entra in Impostazioni Messaggi e cerca la sezione Protezione antispam. Se disponibile sul tuo dispositivo, deve essere attiva. Google spiega che questa protezione combina controlli sul dispositivo e sistemi lato server; non è magia, non garantisce zero truffe, ma è il filtro di base da cui partire.
Secondo controllo: quando arriva un SMS sospetto, non aprire il link “per vedere”. Questa è la trappola più stupida e più efficace. Se il testo parla di pacchi bloccati, pedaggi, banche, rimborsi, account Google, YouTube, multe o operatori telefonici, parti dal presupposto che sia falso finché non dimostra il contrario. La verifica corretta è aprire l’app ufficiale del servizio, digitare manualmente il sito nel browser o usare un segnalibro già salvato. Mai passare dal link del messaggio.
Procedura rapida su Android
- Apri Google Messages e verifica che la protezione antispam sia attiva, se disponibile.
- Se ricevi un messaggio sospetto, non toccare link, allegati o pulsanti.
- Apri il servizio citato dal messaggio usando l’app ufficiale o il sito digitato a mano.
- Se il messaggio è chiaramente fraudolento, usa l’opzione di blocco e segnalazione spam nella conversazione.
- Se hai già inserito dati, cambia subito password dal sito ufficiale, revoca sessioni sospette e controlla carte o metodi di pagamento.
- Se il messaggio riguarda banca, SPID, operatore o consegne, conserva uno screenshot prima di cancellarlo: può servire per assistenza o contestazioni.
Il terzo controllo è sul browser. Se apri per errore una pagina, guarda dominio e comportamento prima di inserire qualsiasi cosa. Un sito che imita un brand ma usa un dominio strano, sottodomini lunghissimi, traduzioni perfette ma contesto sbagliato, urgenza artificiale o pagamento immediato è già abbastanza sospetto. L’AI può migliorare grammatica e grafica, ma non può trasformare un dominio farlocco in un dominio ufficiale. Qui il cervello umano è ancora un firewall decente, quando non viene mandato in ferie.
Attenzione anche ai messaggi che sembrano “personalizzati”. La novità operativa delle truffe generate con AI non è solo scrivere meglio, ma produrre molte versioni diverse dello stesso attacco: una per il pacco, una per il pedaggio, una per l’account, una per il corriere, una per l’operatore. Questo rende meno affidabile il vecchio trucco del “se è scritto male è falso”. Oggi può essere scritto bene ed essere falso lo stesso.
Cosa cambia davvero
Per chi usa Android cambia una cosa concreta: non basta più riconoscere “il messaggio strano”. Bisogna costruire una piccola procedura ripetibile. Filtro spam attivo, app ufficiali, link non cliccati, domini controllati, password manager e segnalazione dei messaggi sospetti. La difesa non è una singola funzione Google, è una catena. E come tutte le catene, si rompe dove l’utente ha fretta.
Un controllo utile è usare un password manager. Se una pagina finta imita la banca ma il password manager non propone le credenziali salvate, è un segnale forte: probabilmente il dominio non è quello legittimo. Non è infallibile, ma è uno dei pochi controlli pratici che non richiede diventare analisti malware prima di colazione.
Per gli utenti più esposti, vale anche la pena separare le notifiche importanti dal rumore. Banche, identità digitale, posta e operatori telefonici dovrebbero essere consultati dalle app ufficiali, non da link ricevuti via SMS. Se un servizio permette notifiche push nell’app, meglio quelle rispetto al messaggio con URL. Meno link in ingresso significa meno occasioni di clic sbagliato.
Correlato: se stai già migrando verso Google Messages, qui trovi la guida AndroidLab su come passare da Samsung Messages a Google Messages.
Limiti da ricordare
La protezione antispam non è disponibile o identica su tutti i dispositivi, operatori e paesi. Alcuni SMS malevoli passano comunque, soprattutto quando cambiano domini, mittenti e testo in continuazione. Inoltre, segnalare spam aiuta i sistemi di difesa, ma non annulla un eventuale dato già inserito su una pagina falsa. Se hai digitato password o carta, il problema non è più il messaggio: è il recupero dell’account o del metodo di pagamento.
In breve
- Google ha annunciato il 12 giugno 2026 un’azione contro Outsider Enterprise, rete accusata di usare AI per phishing via SMS.
- Almeno una fonte autorevole recente, Android Central, ha ripreso il caso il 15 giugno 2026.
- Su Android il controllo minimo è verificare Google Messages e la protezione antispam.
- Non aprire link ricevuti via SMS: usa app ufficiale, sito digitato a mano o segnalibro.
- Il password manager può aiutare a riconoscere domini falsi perché non compila credenziali su siti non legittimi.
- Se hai già inserito dati, cambia password, revoca sessioni e controlla subito carte o account collegati.