Una nuova ondata di phishing sta colpendo gli utenti italiani sfruttando il nome di SEND, il Servizio Notifiche Digitali gestito da PagoPA. A lanciare l’allarme è stato il CERT-AgID, il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, che ha individuato diverse campagne fraudolente pensate per sottrarre dati sensibili e informazioni legate alle carte di credito.
Come funziona la truffa che sfrutta SEND
Il meccanismo è subdolo e piuttosto ben costruito. Le vittime ricevono email o SMS che sembrano provenire da canali ufficiali e che avvisano della necessità di pagare una multa per una presunta violazione del codice della strada. Il messaggio contiene un link che rimanda a un sito web con un design molto simile a quello autentico di SEND, tanto che in alto a sinistra compare persino il logo originale della piattaforma. Insomma, a un occhio distratto può sembrare tutto regolare.
Una volta aperta la pagina, viene chiesto di inserire il numero di targa del veicolo. Subito dopo compare una schermata che mostra i dettagli della presunta infrazione: tipo di violazione (per esempio eccesso di velocità), data, importo della sanzione e scadenze per il pagamento. Tutto abbastanza credibile, anche se mancano indicazioni fondamentali come il luogo esatto dell’infrazione. Un dettaglio che dovrebbe già far scattare qualche sospetto.
Il passo successivo è quello più pericoloso. Il sito chiede di compilare un modulo con dati personali completi (nome, cognome, indirizzo, numero di telefono, email) e soprattutto con le informazioni della carta di credito. Tutte queste informazioni finiscono direttamente nelle mani dei cybercriminali, che possono utilizzarle per furto di identità, acquisti fraudolenti e altre attività illegali.
Come difendersi dal phishing legato a SEND
Per chi non lo sapesse, SEND è la piattaforma ufficiale di PagoPA che consente di ricevere comunicazioni a valore legale dagli enti della Pubblica Amministrazione. Parliamo di esiti di pratiche, rimborsi, multe, avvisi di accertamento tributi. Il sito ufficiale è notifichedigitali.it, e questo è il primo elemento da controllare: l’URL nella barra degli indirizzi del browser. Se l’indirizzo non corrisponde, è quasi certamente una truffa.
C’è poi un altro aspetto importante da tenere a mente. SEND invia le proprie notifiche attraverso canali ben precisi: l’app IO, i recapiti indicati nell’area personale della piattaforma, la PEC oppure la classica raccomandata cartacea. Se arriva un SMS o una email generica con un link sospetto, le probabilità che si tratti di phishing sono altissime.
Il CERT-AgID ha già provveduto a richiedere la disattivazione dei domini utilizzati per queste campagne fraudolente, e l’operazione è stata portata a termine. Resta comunque fondamentale mantenere alta l’attenzione, perché campagne simili possono ripresentarsi con nuovi indirizzi web e varianti nel messaggio. Ogni volta che si riceve una comunicazione che chiede di inserire dati personali o bancari tramite un link, il consiglio è sempre lo stesso: verificare direttamente sul sito ufficiale o attraverso l’app IO, senza mai cliccare su collegamenti ricevuti via messaggio.
