Negli ultimi mesi si è diffusa in Italia una nuova truffa informatica che sfrutta l’immagine del sistema di pagamenti pagoPA con l’obiettivo di sottrarre denaro e dati sensibili ad ignari e distratti cittadini. Si tratta di un tentativo di phishing che si presenta con e-mail o SMS apparentemente ufficiali, contenenti riferimenti a presunte multe stradali da saldare con urgenza.
Il messaggio, studiato nei minimi dettagli, utilizza il logo pagoPA, riporta un importo preciso da pagare e persino un numero di pratica che richiama i veri codici delle infrazioni stradali. La comunicazione avvisa che, se il pagamento non viene effettuato entro 72 ore, l’importo potrebbe raddoppiare e potrebbero esserci conseguenze ulteriori, come la perdita di punti dalla patente. In fondo al testo compare un link che conduce a un portale fasullo, graficamente molto simile a quello ufficiale di pagoPA, ma in realtà ospitato su domini sospetti. L’unico scopo del sito è rubare credenziali bancarie e informazioni personali.
Secondo il CERT-AgID, il team nazionale che si occupa di sicurezza informatica per conto dell’Agenzia per l’Italia Digitale, si tratta di una campagna di attacchi particolarmente insidiosa, proprio perché il linguaggio usato è formale e corretto, privo di quegli errori grossolani che spesso tradiscono i tentativi di truffa online. Gli hacker puntano tutto sull’effetto urgenza, inducendo le potenziali vittime a compiere azioni impulsive senza riflettere.
Come difendersi dalla truffa PagoPa
Difendersi da questo tipo di frode è possibile, a patto di mantenere sangue freddo e adottare alcuni accorgimenti. Prima di tutto, non bisogna mai cliccare su link contenuti in messaggi sospetti né inserire dati sensibili senza aver verificato la legittimità della richiesta. È bene ricordare che pagoPA non invia mai e-mail o SMS per richiedere direttamente dati personali o bancari. Un primo campanello d’allarme può essere il mittente: gli indirizzi autentici di pagoPA sono ufficiali e riconoscibili, ad esempio [email protected]. Qualsiasi variazione o dominio differente deve far insospettire.
Anche il link merita un’attenta analisi: passandoci sopra con il cursore da computer, o tenendolo premuto a lungo su smartphone, è possibile vedere l’URL reale. Se non coincide con l’indirizzo ufficiale checkout.pagopa.it o se manca il lucchetto che certifica la sicurezza HTTPS, è quasi certamente un sito fraudolento.
Un ulteriore consiglio è quello di verificare sempre in maniera indipendente la presenza di eventuali sanzioni o pagamenti dovuti, collegandosi direttamente al sito istituzionale dell’ente che avrebbe emesso la multa e accedendo tramite SPID o CIE. Non bisogna mai fidarsi di link ricevuti via e-mail o SMS.
Infine, se non si riesce a capire se un messaggio sia legittimo o meno, è possibile inoltrarlo al CERT-AgID all’indirizzo [email protected], che potrà fornire supporto e chiarimenti.
