supporta
0 risultati
Sfondo burger-menu
0 risultati
News
video suggerito
video suggerito
15 Febbraio 2026
15:00

In aumento le truffe a tema PagoPA e via PEC in Italia: come difendersi

Ecco quali sono stati i principali vettori di attacco in Italia e cinque suggerimenti per evitare di rimanere vittima delle truffe online.

Da oggi puoi supportare la Missione Cultura di Geopop
A cura di Giuseppe Servidio
Ti piace questo contenuto?
In aumento le truffe a tema PagoPA e via PEC in Italia: come difendersi
truffe-pagoPA

Le truffe informatiche che sfruttano il nome di servizi pubblici digitali stanno vivendo una fase di forte crescita e nel 2025 il fenomeno ha assunto caratteristiche nuove, più raffinate e meno riconoscibili a colpo d'occhio, almeno per gli utenti meno accorti. A “scattare” questa fotografia è il nuovo report sulle campagne malevole analizzate nel 2025, pubblicato dal CERT-AgID, che evidenzia come i criminali informatici stiano concentrando i propri sforzi su strumenti di uso quotidiano per cittadini e imprese, facendo leva sulla fiducia che riponiamo nelle comunicazioni istituzionali. In particolare, emergono due vettori che meritano attenzione: le false richieste di pagamento che richiamano PagoPA e l'uso improprio della PEC. Non si tratta di un'esplosione improvvisa e caotica, ma del risultato di un'evoluzione graduale delle tecniche di phishing e diffusione di malware, sempre più mirate e tecnologicamente mature.

Nel corso dell'anno sono state censite oltre 3.620 campagne malevole e più di 51.500 indicatori di compromissione (tracce tecniche utili a riconoscere un attacco) che sono stati condivisi con le amministrazioni coinvolte. Il quadro che emerge ci dice che non basta più diffidare delle e-mail scritte male o dei link sospetti: oggi le truffe imitano con precisione grafica e linguistica dei canali ufficiali e utilizzano persino strumenti percepiti come “sicuri” per definizione (come la Posta Elettronica Certificata appunto).

La trappola dei falsi solleciti di pagamento

Entrando nel dettaglio, il 2025 segna la prima diffusione su larga scala di campagne di phishing che abusano del nome di PagoPA. In oltre 300 casi documentati, le vittime hanno ricevuto e-mail che simulavano solleciti di pagamento per presunte sanzioni stradali non saldate. Il meccanismo è sempre lo stesso: il messaggio invita a regolarizzare rapidamente la posizione e rimanda a una pagina Web che replica in modo impeccabile l'aspetto dei portali ufficiali. Qui vengono richiesti dati personali e gli estremi della carta di pagamento, che finiscono direttamente nelle mani degli attaccanti. Il successo di questa esca è legato alla familiarità crescente con i pagamenti digitali verso la Pubblica Amministrazione e alla pressione psicologica esercitata da termini come “multa” o “scadenza imminente”.

L'uso sempre più massiccio della PEC

In parallelo, si è osservato un aumento marcato dell'uso della PEC come canale di attacco, con un incremento vicino all'80% rispetto all'anno precedente. La PEC è un sistema di posta elettronica che garantisce l'identità del mittente e la validità legale della comunicazione, ed è proprio questa aura di affidabilità a renderla appetibile per i criminali. Le campagne censite utilizzano sia caselle legittime compromesse sia indirizzi creati appositamente e poi dismessi. Le finalità sono due: il phishing, spesso orientato al furto di credenziali bancarie, e la distribuzione di malware come MintsLoader, un programma progettato per scaricare ulteriori componenti dannosi sul computer della vittima.

Sul fronte dei canali, comunque, è la posta elettronica ordinaria a restare il mezzo più utilizzato dai criminali. Lo smishing, cioè i tentativi di phishing via SMS, è una tecnica che è stata usata nel complesso con una frequenza minore rispetto all'anno precedente, ma che è stata impiegata sempre più spesso per portare gli utenti a installare inconsapevolmente dei malware, soprattutto su dispositivi Android. In questi casi il messaggio contiene un link che porta al download di un file APK, il formato di file utilizzato per distribuire e installare applicazioni su Android, talvolta presentato come aggiornamento urgente di un'app bancaria. L'installazione concede all’attaccante accesso a dati sensibili e, talvolta, al controllo totale del telefono.

L'evoluzione dell'ingegneria sociale

Un altro elemento rilevante riguarda l'evoluzione delle tecniche di ingegneria sociale. Nel 2025 si è diffusa la cosiddetta ClickFix, una strategia che induce l’utente a eseguire manualmente comandi sul proprio sistema seguendo istruzioni apparentemente legittime, talvolta mascherate da quello che sembra un innocuo CAPTCHA. L'esecuzione “volontaria” di questi comandi permette di aggirare diversi controlli automatici di sicurezza e avviare il download di codice malevolo senza sfruttare vulnerabilità tecniche.

Il dominio degli infostealer

Dal punto di vista dei software malevoli, continuano a dominare gli infostealer, programmi progettati per sottrarre informazioni come password, cookie di sessione e documenti. La loro diffusione avviene spesso tramite archivi compressi, che riducono le probabilità di intercettazione preventiva. FormBook, Remcos e AgentTesla risultano tra le famiglie più osservate, inserite in catene di infezione a più stadi che combinano ingegneria sociale, loader e componenti intermedi.

L'onnipresenza dell’AI

Un fattore trasversale a molte campagne è l'uso crescente dell'intelligenza artificiale. La capacità di generare messaggi credibili, ben scritti e adattati al contesto, riducendo l'efficacia dei filtri basati su errori formali, è uno degli aspetti più interessanti tra quelli rilevati dai ricercatori. In alcuni casi, soprattutto quelli che riguardano l'uso di ransomware, l'AI viene persino sfruttata come strumento di estorsione, in quanto gli attori malevoli minacciano di riutilizzare i dati rubati per l'addestramento di modelli.

Come difendersi dalle minacce online nel 2026

Di fronte a tutte queste minacce informatiche bisogna mantenere la lucidità e imparare a difendersi. Potete farlo partendo da questi cinque punti.

  • Verificate sempre i canali ufficiali: in caso di richieste di pagamento, accedete manualmente ai servizi digitali della PA scrivendo l'indirizzo nel browser o utilizzando app e portali ufficiali come PagoPA, senza cliccare su link ricevuti via e-mail o SMS.
  • Non fidatevi di tutte le comunicazioni ricevute via PEC: anche messaggi ricevuti tramite Posta Elettronica Certificata possono essere fraudolenti se l'account del mittente è stato compromesso; allegati e link inattesi vanno trattati con la stessa cautela della posta ordinaria.
  • Diffidate di urgenze e pressioni psicologiche: termini come “scadenza imminente”, “sanzione” o “blocco del servizio” dovrebbero farvi nutrire il sospetto che la comunicazione possa rappresentare un possibile vettore di attacco.
  • Non installate software da fonti esterne: evitate file APK scaricati tramite link e installare applicazioni solo dagli store ufficiali, come il Play Store di Google o l'App Store di Apple.
  • Ricordate che nessun'istituzione chiede credenziali via SMS, e-mail, etc.: se pensate che una comunicazione possa essere legittima, provate a contattare il servizio clienti dell'ente e chiedete delucidazioni in merito.
non perderti questo articolo
truffe online piu comuni

Quali sono le truffe online più diffuse, come difendersi e a chi rivolgersi
Fonte
CERT-AgID
Continua a leggere su Geopop
News / Tecnologia
Immagine
News
Immagine
Cos’è la tassa etica, chi la paga e quanto pesa davvero sui lavoratori digitali
Immagine
Perché in Groenlandia il livello del mare si abbasserà fino a 4m entro il 2100 e nel mondo continua a salire
Immagine
Giove è più piccolo e schiacciato di quanto si credeva: la scoperta della sonda Juno della NASA
Immagine
Google rivoluziona Gmail con AI Overview: ecco come l’AI cambia la posta elettronica e come funziona
pesce liocorno milazzo
Cos’è il raro pesce liocorno trovato spiaggiato sulla costa a Milazzo in Sicilia e dove vive
Di Matteo Galbiati
Sfondo autopromo
Cosa stai cercando?
0 risultati
api url views