Si spaccia per PagoPA ma non lo è. Una nuova campagna di phishing ha colpito in queste settimane gli utenti italiani sfruttando, in modo fraudolento, il nome della piattaforma PagoPA. Gli attacchi, di cui l’ente istituzionale Computer Emergency Response Team dell’Agenzia per l’Italia Digitale sta registrando un numero crescente di segnalazioni, si stanno diffondendo a macchia d’olio su larga scala anche via e-mail e SMS. Ecco come difendersi.
Leggi anche: Decreto bollette 2025, tutte le novità, i bonus e gli aiuti alle famiglie approvati dal Senato
L’ondata di campagne di phishing
I cybercriminali adescano le vittime con falsi solleciti di pagamento per presunte sanzioni stradali non saldate, redatti con toni formali e contenuti piuttosto strutturati, apparendo verosimili. Nel corpo del testo sono riportati: importi specifici, numeri di pratica, date imminenti e scadenze perentorie. Il destinatario, colto di sorpresa e sotto pressione, viene indotto a cliccare su un link che rimanda a un sito web malevolo, graficamente simile a quello ufficiale di PagoPA, dove viene richiesto l’inserimento degli estremi della carta di credito o di altri dati personali. E in quel momento avviene la vera e propria truffa che consiste non soltanto nel furto di dati ma anche dei conti delle vittime.
Nella sola settimana dal 12 al 18 aprile 2025, il CERT-AGID ha rilevato e analizzato 57 campagne malevole attive sul territorio italiano. Di queste, 26 erano rivolte specificamente a obiettivi italiani, mentre 31, pur essendo generiche, hanno, comunque, avuto un impatto anche in Italia. Complessivamente, sono stati messi a disposizione degli enti accreditati 767 indicatori di compromissione, ossia le “tracce digitali” che segnalano la possibile presenza di attività malevole o di una violazione della sicurezza informatica su un sistema, una rete o un dispositivo.
Le raccomandazioni per non imbattersi in questi incidenti
Difendersi da queste minacce è possibile adottando alcune precauzioni:
- Verificare sempre il mittente del messaggio: gli indirizzi email o i numeri di telefono fraudolenti spesso contengono errori, nomi inventati o domini anomali. L’indirizzo ufficiale da cui PagoPA invia comunicazioni di pagamento è noreply-checkout@ricevute.pagopa.it;
- Non divulgare mai i propri dati personali e legati ai conti correnti o bancari online: PagoPA non li chiede mai, né via email né via SMS;
- Non cliccare sui link presenti nei messaggi: passando il mouse sopra si può visualizzare se l’indirizzo è reale. La stessa grafica, eventuali errori ortografici o pressioni allarmistiche per eseguire il pagamento immediatamente sono segnali di una truffa;
- Controllare sempre la presenza dell’icona del lucchetto accanto alla URL, che indica un sito dotato di certificato di sicurezza, anche se solo questo elemento non garantisce, comunque, l’autenticità della pagina;
- Evitare azioni impulsive;
- Qualora ci si trovasse nel panico e si avessero seri dubbi sull’entità della richiesta non accedere al link specificato per SMS, mail o altro, ma digitarlo sul motore di ricerca e collegarsi sempre con CIE o SPID.