Mi hanno rubato l'identità: la guida operativa passo passo, dalla denuncia al recupero

Scoprire che qualcuno ha usato i tuoi dati personali per aprire un conto, richiedere un prestito, creare un profilo social falso o effettuare acquisti a tuo nome è un’esperienza traumatica.

La prima reazione è il panico, ed è proprio in quei minuti che si rischia di sbagliare le prime mosse — quelle che fanno la differenza tra un danno contenuto e un problema che si trascina per mesi.

Questa guida ti accompagna passo passo nelle azioni concrete da fare nelle prime 24 ore, nei primi 7 giorni e nelle settimane successive.
È costruita per essere usata anche da chi non ha competenze tecniche, ma contiene tutti i riferimenti normativi e procedurali corretti per agire in modo efficace.

Cosa significa “furto d’identità” dal punto di vista legale
Le tipologie più diffuse di furto d’identità
Le prime 24 ore: bloccare i danni in corso
Entro 7 giorni: la denuncia e le notifiche formali
Entro 30 giorni: la ricostruzione della tua posizione
Nel medio termine: monitorare gli effetti del furto d’identità ed evitare ricadute
Una verità scomoda: i tuoi dati spesso vengono rubati altrove

Cosa significa “furto d’identità” dal punto di vista legale

In Italia il furto d’identità non è un singolo reato, ma una combinazione di condotte penalmente rilevanti. I principali riferimenti normativi sono:

Articolo 494 del Codice Penale (Sostituzione di persona): punisce chiunque si attribuisca falsamente un’identità altrui per procurarsi un vantaggio o arrecare danno.
Articolo 640-ter c.p. (Frode informatica): si applica quando il furto avviene tramite alterazione di sistemi informatici.
Articolo 30-bis del D.lgs. 141/2010: definisce in modo specifico il furto d’identità nel contesto del credito al consumo, distinguendo tra impersonificazione totale e parziale.

Conoscere i riferimenti corretti è importante perché la qualificazione del reato influisce sulla procedura di denuncia e sui termini di prescrizione.

Le tipologie più diffuse di furto d’identità

Prima di vedere cosa fare, è utile capire cosa è stato rubato, perché le azioni cambiano:

Furto d’identità finanziario: apertura di conti correnti, richiesta di prestiti o finanziamenti, attivazione di carte di credito a tuo nome. È il caso più grave economicamente.
Furto d’identità digitale: account social, email, marketplace, profili di gioco. Spesso usato per truffare i tuoi contatti.
Furto d’identità documentale: uso della tua carta d’identità o codice fiscale per stipulare contratti (utenze, abbonamenti telefonici, noleggi).
Furto d’identità sanitario o fiscale: uso dei tuoi dati per ottenere prestazioni sanitarie o per frodi fiscali a tuo nome.

Spesso più tipologie coesistono. Le azioni che seguono coprono i casi più frequenti.

Le prime 24 ore: bloccare i danni in corso

Il principio guida è uno solo: fermare la fuoriuscita di dati prima di ricostruire.
Più tempo passa, più crescono i danni e più diventa difficile dimostrare l’estraneità.

Blocca carte e conti compromessi. Chiama immediatamente il numero verde della tua banca e di tutte le società emittenti delle carte (Visa, Mastercard, American Express, app di pagamento come PayPal, Satispay, Revolut). Chiedi il blocco della carta e il disconoscimento delle operazioni non autorizzate. La banca deve aprire una pratica di contestazione: fatti dare il numero di pratica e conservalo.
Cambia tutte le password sensibili. Email principale per prima (è la chiave di accesso a quasi tutto), poi home banking, social, e-commerce, cloud. Usa password lunghe e diverse per ogni servizio. Attiva l’autenticazione a due fattori ovunque sia disponibile — preferibilmente tramite app autenticatore, non via SMS che è meno sicuro.
Recupera gli account compromessi. Se non riesci più ad accedere a un account, usa subito le procedure di recupero ufficiali (Google, Meta, Microsoft hanno flussi dedicati per gli account compromessi). Sui social, se il truffatore sta usando il tuo profilo per scrivere ai tuoi contatti, avvisa subito amici e familiari con un canale alternativo: è il modo più efficace per contenere le truffe a catena.
Conserva tutte le prove. Screenshot di email, SMS, conversazioni, notifiche di accessi anomali, transazioni contestate. Annota date, orari, numeri di telefono. Saranno fondamentali per la denuncia e per le contestazioni.

Entro 7 giorni: la denuncia e le notifiche formali

Dedichiamo uno spazio speciale al punto 5. Dopo aver identificato e archiviato il materiale di prova dell’avvenuto furto d’identità, ora dovresti sporgere denuncia alla Polizia Postale. È il passaggio formale che innesca tutte le tutele successive.
Puoi:

recarti di persona al Commissariato di Polizia Postale e delle Comunicazioni più vicino;
presentare denuncia online attraverso il portale ufficiale commissariatodips.it, creando un account e seguendo il percorso guidato;
in caso di urgenza grave, chiamare il 113.

La denuncia (più precisamente una querela, trattandosi di reato perseguibile a querela di parte) deve contenere descrizione chiara dei fatti, elenco dei danni subiti, tutte le prove raccolte. Chiedi copia protocollata della denuncia: ti servirà per ogni interlocuzione successiva con banche, finanziarie e gestori di servizi.

Ora finalmente puoi passare allo step successivo.
Comunica formalmente a banche e finanziarie. Invia una raccomandata A/R o PEC a ogni istituto coinvolto, allegando copia della denuncia. La comunicazione deve contenere:

il disconoscimento esplicito delle operazioni o dei contratti;
la richiesta di blocco immediato di qualsiasi linea di credito attivata a tuo nome;
la richiesta di stralcio delle segnalazioni presso i Sistemi di Informazioni Creditizie (SIC) come CRIF, Experian e CTC.

In base al D.lgs. 11/2010 (recepimento della direttiva PSD2), per le operazioni di pagamento non autorizzate il cliente in buona fede ha diritto al rimborso. La franchigia massima a carico del consumatore è di 50 euro, e la contestazione deve avvenire entro 13 mesi dalla data dell’addebito. È una tutela importante che molti ignorano.

Entro 30 giorni: la ricostruzione della tua posizione

7. Richiedi la visura ai Sistemi di Informazioni Creditizie.

I SIC sono le banche dati private (CRIF, Experian, CTC) consultate da banche e finanziarie per valutare il merito creditizio. Se qualcuno ha richiesto finanziamenti a tuo nome, le segnalazioni risulteranno qui. Hai diritto a una visura gratuita ai sensi dell’art. 15 del GDPR, da richiedere direttamente sui siti dei singoli SIC.
Una volta ottenute le visure, identifica tutte le segnalazioni che non riconosci.

8. Richiedi la cancellazione delle segnalazioni illegittime.
In base agli articoli 16 (rettifica) e 17 (cancellazione) del GDPR, e secondo il Codice di Condotta dei SIC, hai diritto a far cancellare i dati registrati a tuo nome a seguito di frode. La procedura prevede:

richiesta scritta al SIC, allegando copia della denuncia e documentazione che provi l’estraneità;
richiesta parallela all’istituto segnalante (banca o finanziaria), che ha l’obbligo di comunicare al SIC l’aggiornamento.

Se la richiesta viene rigettata o ignorata, è possibile presentare reclamo al Garante per la Protezione dei Dati Personali o, nei casi più seri, ricorso d’urgenza al Tribunale. Diverse sentenze recenti — tra cui Tribunale di Napoli, luglio 2024 — hanno riconosciuto il diritto alla cancellazione immediata in caso di furto d’identità accertato.

9. Per i contratti telefonici e utenze.
Contatta gli operatori interessati allegando la denuncia: la procedura standard è il disconoscimento del contratto con richiesta di chiusura senza penali. Per le utenze attivate fraudolentemente, l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) ha previsto procedure semplificate di contestazione.
10. Verifica gli aspetti fiscali e sanitari. Accedi al tuo cassetto fiscale sull’Agenzia delle Entrate e al Fascicolo Sanitario Elettronico della tua regione. Controlla che non risultino dichiarazioni, rimborsi o prestazioni che non hai richiesto. In caso di anomalie, contatta direttamente gli enti per segnalare la frode.

Nel medio termine: monitorare gli effetti del furto d’identità ed evitare ricadute

Dopo aver gestito l’emergenza, il rischio è quello di ulteriori utilizzi nei mesi successivi.
Alcune azioni di monitoraggio durevole:

Servizi di monitoraggio creditizio. CRIF e altri operatori offrono servizi a pagamento che ti avvisano in tempo reale quando qualcuno effettua una richiesta di credito a tuo nome. Per chi ha già subito una frode, valgono i costi.
Servizi di monitoraggio dark web. Esistono strumenti che cercano i tuoi dati personali (email, numeri di telefono, codice fiscale, IBAN) nei database compromessi pubblicati o venduti online. Sapere che le tue credenziali stanno circolando in un forum criminale ti permette di cambiarle prima che vengano usate.
Alert sui movimenti bancari. Configura notifiche push per ogni transazione, anche di pochi euro: i truffatori spesso iniziano con piccoli importi di “test” prima di operazioni più grandi.
Igiene digitale di base. Password manager, autenticazione a due fattori ovunque, attenzione alle email di phishing, controlli periodici sugli account.

Una verità scomoda: i tuoi dati spesso vengono rubati altrove

Una considerazione importante per chiudere il cerchio.
La maggior parte dei furti d’identità non avviene perché la vittima ha commesso un errore ma perché i suoi dati erano custoditi da un’azienda — una piattaforma, un fornitore di servizi, un’app, un negozio online — che ha subito un data breach e li ha lasciati esporre.
Quando milioni di credenziali finiscono nei forum del dark web, qualcuno di quei dati può essere il tuo. È per questo che il furto d’identità non è solo una questione individuale, ma anche una responsabilità delle aziende che trattano i dati.

Per le imprese, la prevenzione passa da tre direttrici:

Vulnerability Assessment e Penetration Test periodici sui sistemi che custodiscono dati personali, per ridurre il rischio di esfiltrazione.
Dark web monitoring per intercettare credenziali aziendali compromesse e dati di clienti finiti in archivi criminali, prima che vengano sfruttati.
Formazione del personale sul phishing e sulle tecniche di ingegneria sociale, perché molti data breach iniziano con un dipendente che clicca su un allegato sbagliato.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.