;Resize,width=638;)
Una nuova truffa sta sfruttando l'immagine del sistema dei pagamenti pagoPA a favore delle pubbliche amministrazioni e dei gestori di pubblici servizi in Italia per sottrarre dati sensibili e/o denaro: spesso si manifesta con un'e-mail apparentemente formale, con tanto di logo pagoPA nell'intestazione, un'importo preciso da versare e un riferimento numerico che simula una pratica reale. Il messaggio parla di una presunta multa per eccesso di velocità da qualche centinaio di euro, avvisa che l'importo potrebbe raddoppiare entro 72 ore e invita a cliccare su un link per accedere al portale del pagamento con cui regolarizzare la propria posizione il prima possibile. Tutto sembra legittimo, eppure si tratta dell'ennesimo tentativo di phishing ben costruito. Entriamo più nel dettaglio e vediamo come funziona la truffa della finta multa da pagare con pagoPA e come difendersi.
Come riconoscere la truffa del finto avviso pagoPA
Secondo il CERT-AgID, il team nazionale che si occupa della sicurezza informatica per l'AGID (Agenzia per l'Italia Digitale), da alcuni mesi a questa parte è in corso una nuova ondata di attacchi informatici mirati: e-mail ed SMS apparentemente istituzionali che simulano la comunicazione di una sanzione dovuta a una presunta infrazione del codice stradale. Il messaggio invita a pagare tramite un portale fittizio che imita in modo estremamente credibile l'interfaccia di pagoPA. Il sito fraudolento, raggiungibile da un link incluso nel messaggio, riproduce fedelmente grafiche, colori e font del portale ufficiale, ma è ospitato su domini sospetti e ha l'unico obiettivo di rubare informazioni personali e bancarie.
Una delle caratteristiche che rende questo attacco particolarmente insidioso è il tono della comunicazione: la grammatica è curata, il linguaggio è formale, e l'email include riferimenti numerici che ricordano molto i veri codici di violazione (es. #R7230033407). Inoltre, viene esplicitato un importo e un'eventuale maggiorazione se il pagamento non viene effettuato in tempi rapidi. Questo tipo di pressione — scadenze imminenti e minacce implicite, come la perdita di punti della patente — è tipico delle truffe online: si sfrutta l'urgenza per fare pressione e spingere le potenziali vittime a compiere azioni senza riflettere.
Come difendersi dalla truffa del finto avviso pagoPA
Per tutelarvi da queste minacce, è fondamentale restare lucidi e agire con metodo. Le truffe online fanno leva sull'urgenza per portarvi a compiere azioni impulsive. La prima regola per difendersi dalla truffa del finto avviso pagoPA è quindi quella di non lasciarsi prendere dal panico, non aprire link sospetti e, ovviamente, non inserire mai dati sensibili – come numeri di carta o credenziali bancarie – prima di aver effettuato verifiche indipendenti. Dovete aver ben chiaro, infatti, che pagoPA non richiede mai tali informazioni tramite messaggi recapitati via e-mail o SMS.
Anche l'analisi del testo può offrire indizi: toni troppo allarmistici, richieste di dati personali o link non coerenti con il dominio ufficiale di pagoPA (che per la cronaca è checkout.pagopa.it) sono tutti campanelli d'allarme importanti, che non vanno affatto ignorati; stesso dicasi per la mancanza del certificato di sicurezza HTTPS (caratterizzato dalla presenza del lucchetto nella barra degli indirizzi del browser), che permette di distinguere un sito sicuro da uno pericoloso.
Controllate con attenzione anche il mittente dell'e-mail: gli indirizzi autentici di pagoPA sono chiari e riconoscibili, come ad esempio noreply-checkout@ricevute.pagopa.it. Se la mail proviene da un indirizzo che ha un dominio diverso da quello che vi abbiamo appena indicato, evidentemente è un messaggio fraudolento. Fate comunque attenzione anche a eventuali «piccole variazioni, errori ortografici o inconsistenze palesi (ad esempio provengono da un mittente che ha un nome e un cognome creato ad hoc)» come suggerisce la stesa pagoPA su questa pagina informativa.
Quando vi trovate davanti a un collegamento ipertestuale sospetto, analizzate il link senza aprirlo: se state leggendo la posta da un computer, potete passare il cursore sopra il link per visualizzare l'indirizzo reale in anteprima, mentre su molti modelli di smartphone potreste riuscire a vedere l'URL a cui corrisponde il link effettuando un tap prolungato su quest'ultimo. E, come “regola generale” quando vi viene intimato un pagamento, accertatevi che questo sia legittimo: potete verificare la cosa collegandovi al sito ufficiale dell'ente da cui sembra provenire il messaggio, (digitando la sua URL direttamente nel browser anziché aprire il link da comunicazioni sospette) e poi accedendo tramite SPID o CIE.
Se nonostante queste “indagini” non siete ancora riusciti a capire se la mail ricevuta è pericolosa o meno, sappiate che potete inoltrarla al CERT-AgID, avvalendovi dell'indirizzo malware@cert-agid.gov.itmalware@cert-agid.gov.it, così da ricevere assistenza.
;Resize,width=767;)
;Resize,width=712;)
;Resize,width=270;)
;Resize,width=270;)
;Resize,width=270;)
