El sector postal espanyol viu una etapa d’expansió sostinguda de la paqueteria. La Comissió Nacional dels Mercats i la Competència (CNMC) constata un rècord de 1216,6 milions d’enviaments de paqueteria el 2024 (+20 % interanual), amb un pes creixent del segment de missatgeria i paqueteria en els ingressos del sector. En paral·lel, la delinqüència digital aprofita aquest nou paisatge: INCIBE va gestionar 122 223 incidents de ciberseguretat el 2025 (+26 %), dels quals un 14 % corresponia a “transport”. I dins del “frau online” (45 445 casos), el phishing (suplantació per robar dades) concentra una part destacada (25 133).
Segons experts de la Universitat Oberta de Catalunya (UOC), la tesi és incòmoda però simple: com més normalitzem la immediatesa logística, més soroll generem (avisos, incidències, reprogramacions) i més fàcil és que un missatge fraudulent s’integri dins el flux com si fos legítim.
A Catalunya, tant els Mossos d’Esquadra com l’Agència de Ciberseguretat de Catalunya han alertat de campanyes d’SMS que suplanten empreses de missatgeria i juguen amb el guió del “problema amb el lliurament”. Les incidències, segons GenCat, s’han triplicat.
Els professors de la UOC Cristian Castillo i Jordi Serra ens expliquen des del punt de vista de la logística i de la ciberseguretat, respectivament, com funcionen aquestes estafes i com es poden reduir els riscos.
La logística de la impaciència
El professor i investigador en Logística dels Estudis d’Economia i Empresa de la UOC Cristian Castillo descriu un patró quotidià que multiplica notificacions: compra freqüent, múltiples venedors i domicili com a destí per defecte. Quan això s’encadena, el consumidor no espera “un paquet”, sinó paquets. I, amb ells, un reguitzell d’avisos. El punt crític arriba quan l’usuari rep un missatge d’incidència el mateix dia previst d’entrega. “La part més confosa succeeix quan el client rep un missatge que el seu paquet s’ha intentat lliurar i no era a casa, o que s’ha de lliurar un altre dia sense previ avís. Sobretot la primera: quan et diuen que han intentat lliurar-te el paquet i no hi ha ningú a casa”, explica l’expert.
Aquesta dinàmica multiplica punts de fricció: absències, reprogramacions, canvis de franja horària, devolucions i, sobretot, missatges. Castillo diferencia entre els avisos “normals” de seguiment i els que realment generen confusió: els d’intent de lliurament fallit o reprogramació inesperada. És el moment en què l’usuari, que ja ha organitzat el dia, percep una contradicció i busca resoldre-la ràpidament. Aquest és el terreny ideal per a l’enginyeria social: un SMS que arriba en el mateix moment de tensió i ofereix una sortida ràpida (“confirma dades”, “paga una taxa”, “reprograma”). La clau no és que el ciutadà sigui ingenu, sinó que el relat és compatible amb el que ja li passa a molta gent.
Tensió de rutes, missatges genèrics i subcontractació
Castillo enumera factors de sistema que generen avisos genèrics o erronis: rutes apurades, decisions de final de jornada i, sobretot, la subcontractació. Sovint el consumidor identifica la plataforma amb el transportista, però no són el mateix actor. Com que el transportista cobra per paquets lliurats, l’incentiu tendeix a intentar lliurar abans que “passar de llarg”. El venedor online no controla directament rutes i decisions del repartidor perquè el servei és subcontractat.
Deixar paquets al carrer: precarietat del sistema
Quan es veuen paquets organitzats “a peu de carrer” és perquè el conductor, amb coneixement local, reorganitza l’ordre de lliurament allà on troba espai. Això és conseqüència de marges de temps molt ajustats als magatzems (“slots”, franges d’entrega), que deixen poc espai per reordenar dins; el carrer es converteix en “zona d’organització”, cosa que no és ideal.
Com reduir el “soroll”: canviar destí i millorar transparència
Castillo aporta dues idees concretes per reduir el soroll de fons on es camufla l’estafa:
- Reduir el domicili com a destí automàtic quan sabem que no hi serem (lockers, taquilles intel·ligents). “Si ens anem acostumant que certes comandes no tinguin sempre com a destí el lliurament a domicili i escollim un locker, segur que aquest tipus de situacions es poden reduir. No és el mateix anar entregant un paquet a cada domicili que arribar a aquests lockers i descarregar-ne 20 o 30”.
- Màxima transparència en terminis. Quan un repartiment pot quedar per al final de la jornada, hi ha més risc d’endarreriment. “Potser val més la pena dir que tindrem un lliurament de 48 hores en comptes de 24. I si després l’usuari el rep abans, doncs millor. Aquest tipus de transparència pot ajudar a reduir la sensació de descontrol”.
Aquestes mesures no eliminen el frau, però redueixen la quantitat de missatges “creïbles” que l’usuari rep per incidències evitables.
La vulnerabilitat de la impaciència: com detectar el smishing
A l’altre costat, Jordi Serra, professor dels Estudis d’Informàtica, Multimèdia i Telecomunicació de la UOC, descriu el guió típic de l’estafa: el paquet “retingut” per manca d’adreça, o un fals problema de duana. “Darrerament, s’estan produint molts avisos que el paquet està retingut per falta d’adreça, de número de carrer, o d’alguna dada. O inclús missatges que ens diuen que està retingut a la duana”.
I posa una regla prèvia que talla moltes infeccions: “El primer de tot és tenir clar si esperem algun paquet. Si no és així, sobretot no caure en la curiositat i entrar a mirar, perquè ja haurem picat al parany. Si rebem un missatge d’aquest i ens diuen que entrem en una adreça d’internet, hem de mirar-la abans d’entrar: no hem de donar mai el número de targeta de crèdit ni un codi que ens enviïn al mòbil per WhatsApp”.
Aquests consells coincideixen amb l’alerta institucional de Catalunya sobre SMS que suplanten missatgeries, i amb l’alerta dels Mossos que clicar pot instal·lar malware (programari maliciós) en dispositius Android.
Què fer si ja has clicat o has introduït dades
Serra fixa una prioritat clara: “Si hem posat el número de targeta o el compte corrent o hem enviat el codi, s’ha d’avisar al banc per anul·lar la targeta. Si hem donat el número d’una app (aplicació), haurem de regenerar aquest i canviar ràpidament les contrasenyes”.
Guia de supervivència en quatre passos
- Si no s’espera cap paquet: no s’ha de clicar cap enllaç, millor eliminar el missatge.
- Si se n’espera: mirar l’adreça web abans d’entrar-hi i no resoldre incidències per SMS; fer-ho per canals oficials.
- No introduir cap número de la targeta ni compartir codis (SMS/WhatsApp).
- Si s’hi ha caigut: contactar amb el banc immediatament i iniciar un canvi o una regeneració dels accessos (el correu i les apps clau, primer).
La logística de la impaciència no crea el smishing, però li crea el context: molts paquets, moltes notificacions, rutes apurades i incidències creïbles. Castillo apunta dues palanques per reduir el soroll (destins alternatius i transparència). Serra posa la disciplina mínima per no convertir un avís en una intrusió. Quan el sistema t’entrena per reaccionar de pressa, l’estafa guanya per probabilitat.
