Una truffa su WhatsApp legata a falsi messaggi sui pedaggi autostradali sta circolando in queste settimane, e la Polizia di Stato ha lanciato un’allerta ufficiale il 15 maggio 2026. Il meccanismo è subdolo ma ormai rodato: arriva un messaggio che sembra provenire da Autostrade per l’Italia, con tanto di numero di verbale e tono formale, in cui si parla di un presunto mancato pagamento del pedaggio. Il tutto condito da un invito a “scaricare il verbale” cliccando su un link. Peccato che quel link porti dritto a un sito contraffatto, costruito apposta per rubare dati personali e credenziali bancarie.
Il testo del messaggio è fatto per sembrare credibile. Si parla di un “transito autostradale associato al veicolo” che non risulterebbe correttamente addebitato, e si invita a provvedere al saldo entro tempi non meglio specificati per evitare sanzioni o costi aggiuntivi. Il linguaggio è volutamente burocratico, pensato per mettere ansia e spingere chi legge ad agire in fretta, senza pensarci troppo. Ed è esattamente questo il punto: la fretta è l’arma migliore di chi mette in piedi questo tipo di raggiri.
Cos’è il phishing e perché questa truffa su WhatsApp è così efficace
Questa truffa su WhatsApp rientra nella categoria del phishing, una tecnica ormai diffusissima nel mondo delle frodi digitali. Il principio è semplice: i cybercriminali si spacciano per soggetti affidabili (banche, operatori telefonici, fornitori di servizi, persino contatti personali) e inviano comunicazioni che sembrano autentiche. Possono arrivare via email, SMS, messaggi istantanei o tramite siti web clonati. L’obiettivo è sempre lo stesso: convincere la vittima a rivelare informazioni sensibili come password, codici OTP, numeri di carta di credito o coordinate bancarie.
Una volta che i truffatori entrano in possesso di questi dati, il danno è fatto. Possono accedere agli account online, effettuare operazioni fraudolente o sottrarre denaro direttamente. Nel caso specifico della truffa su WhatsApp segnalata dalla Polizia di Stato, chi riceve il messaggio dovrebbe immediatamente bloccare il numero del mittente e segnalare tutto alla Polizia Postale.
Come riconoscere i tentativi di phishing e proteggersi
Ci sono alcuni segnali ricorrenti che possono aiutare a smascherare un tentativo di phishing prima che sia troppo tardi. Per esempio, le richieste esplicite di dati personali o informazioni riservate come password e codici di sicurezza dovrebbero far scattare subito un campanello d’allarme. Stesso discorso per i link sospetti che rimandano a URL insoliti, lontani dai domini ufficiali delle aziende citate nel messaggio. Anche il tono del messaggio conta: spesso queste comunicazioni creano un senso di urgenza artificiale, minacciando blocchi di account o sospensioni di servizi. E poi ci sono gli errori grammaticali, le formulazioni goffe, gli indirizzi email o i numeri di telefono che non corrispondono ai canali ufficiali.
Per difendersi in modo efficace, è buona pratica verificare sempre l’autenticità del mittente prima di cliccare su qualsiasi link o fornire informazioni. Controllare con attenzione l’indirizzo del sito web visitato è fondamentale per capire se si tratta davvero del servizio ufficiale o di una copia. Meglio evitare di aprire allegati ricevuti da fonti sconosciute, tenere aggiornati i software antivirus e i sistemi di protezione contro phishing e malware, e attivare dove possibile l’autenticazione a due fattori sugli account online.
