Ancora una volta gli utenti si trovano di fronte ad un trabocchetto, falsi solleciti di pagamento che arrivano addirittura sfruttando il buon nome di PagoPa. Secondo quanto riportato, l’obiettivo sarebbe quello di derubare gli utenti dei soldi e dei loro dati personali. L’inganno avviene sia tramite messaggio che tramite e-mail.
Truffa con finti solleciti e siti falsi
I messaggi truffaldini sembrano veri e propri avvisi ufficiali. Parlano di sanzioni stradali non pagate, indicano importi precisi, scadenze urgenti e link che rimandano a pagine web quasi identiche a quelle ufficiali. Una volta cliccato sul collegamento, si finisce su siti creati ad hoc dai criminali per raccogliere numeri di carta di credito, codici e altri dati sensibili.
La tattica è chiara: sfruttare l’urgenza e il linguaggio formale per spingere l’utente a pagare senza pensarci troppo, cadendo così nella trappola.
La risposta di PagoPA e le indagini in corso
Il team di sicurezza di PagoPA sta collaborando con il CERT-AGID per bloccare i domini truffaldini e condividere gli indicatori di compromissione (IoC) con le organizzazioni accreditate. Solo nella settimana dal 12 al 18 aprile 2025 sono state rilevate 57 campagne malevole, molte delle quali simili a quella che coinvolge PagoPA.
I temi più sfruttati in queste truffe sono:
Ordini e spedizioni,
Fatture non pagate,
Falsi avvisi bancari,
Pagamenti online,
Documenti digitali.
Come riconoscere e difendersi
Per proteggersi è fondamentale prestare attenzione al mittente del messaggio. L’unico indirizzo valido per le comunicazioni di PagoPA è:
noreply-checkout@ricevute.pagopa.it.
Qualsiasi variazione deve far scattare il sospetto. Anche i link nei messaggi vanno controllati attentamente: il sito ufficiale inizia sempre con https://checkout.pagopa.it. Se compare qualcosa di diverso, è probabile si tratti di una truffa.
Altri indizi da tenere d’occhio:
Errori grammaticali,
Grafica poco curata,
Toni allarmistici,
Richieste di inserire dati personali o bancari.
È sempre consigliabile accedere manualmente al sito dell’ente da cui si riceve una richiesta e usare strumenti come SPID o CIE, che garantiscono maggiore sicurezza.
In caso di messaggi sospetti, non cliccare nulla: invia subito la segnalazione a malware@cert-agid.gov.it. Ogni piccola azione può contribuire a fermare queste truffe sempre più sofisticate.
