Una vera e propria emergenza digitale sta colpendo i cittadini italiani attraverso un sofisticato sistema di false multe PagoPA che arrivano via email, SMS e messaggi WhatsApp. Il fenomeno, monitorato dal Computer Emergency Response Team dell’Agenzia per l’Italia Digitale (CERT-AGID), ha registrato un preoccupante incremento nelle ultime settimane con ben 45 campagne di phishing individuate da marzo a oggi e oltre 520 indicatori di compromissione catalogati dalle autorità competenti.
La strategia dei cybercriminali si basa su comunicazioni apparentemente ufficiali che simulano notifiche di presunte sanzioni amministrative per violazioni del Codice della Strada non pagate, corredate da importi specifici, numeri di pratica e scadenze ravvicinate. L’obiettivo è duplice: generare un senso di urgenza nella vittima sfruttando la leva psicologica della paura e dell’autorità, e indurla successivamente a inserire i dati della propria carta di credito su portali malevoli accuratamente costruiti per replicare l’aspetto grafico del sito ufficiale di PagoPA.
I messaggi fraudolenti presentano un livello di sofisticazione estremamente elevato, con riferimenti a norme e articoli del Codice della Strada, importi precisi che oscillano generalmente tra i 125 e 316 euro, numeri di verbale apparentemente autentici e la minaccia di un raddoppio dell’importo entro 72 ore dal mancato pagamento arrivando fino a superare i 500 euro. La comunicazione si conclude tipicamente con un link che conduce a pagine web fraudolente dove viene richiesto l’inserimento di informazioni personali nella prima fase e dati bancari nella seconda.
Particolarmente insidiosa risulta la capacità dei link fraudolenti di eseguire reindirizzamenti condizionati: il contenuto fraudolento viene mostrato esclusivamente agli utenti che accedono da dispositivi mobile, mentre in caso contrario si viene dirottati sulla pagina ufficiale di PagoPA, aumentando così la credibilità dell’attacco e rendendo più difficile l’individuazione automatica da parte dei sistemi di sicurezza.
Sono state segnalate truffe analoghe in diverse città italiane, con particolare concentrazione a Pisa, Catania, Firenze, Milano e nel Canavese, dove gli automobilisti hanno trovato sui parabrezza o nella casella della posta falsi avvisi di contravvenzione che sembrano ufficiali in ogni dettaglio, inclusi QR code per il pagamento che conducono però a piattaforme non autorizzate invece che al portale ufficiale PagoPA.
Il tema PagoPA risulta particolarmente efficace per colpire una vasta platea di utenti poiché la piattaforma è ampiamente utilizzata in Italia per il pagamento di servizi pubblici come multe, tributi locali, tasse scolastiche e bollo auto. Il nome è ben conosciuto e associato a un contesto ufficiale e affidabile, elemento che favorisce la credibilità dei messaggi fraudolenti. Un ulteriore fattore che rende PagoPA un bersaglio ideale è la natura urgente e vincolante delle comunicazioni che normalmente vi sono associate.
Per riconoscere le truffe, PagoPA ha diffuso linee guida specifiche sottolineando che la piattaforma non invia mai direttamente richieste di pagamento via email e non chiede mai via mail o SMS informazioni sensibili come password, dati bancari o numeri di carta di credito. Le comunicazioni ufficiali provengono esclusivamente dall’indirizzo noreply-checkout@ricevute.pagopa.it e l’URL ufficiale inizia sempre con https://checkout.pagopa.it.
I segnali di allarme per identificare le false comunicazioni includono errori grammaticali e ortografici tipici delle campagne di phishing, come “non ègo ancora stata pagata”, indirizzi email provenienti da domini stranieri o sospetti, e riferimenti a termini di pagamento non corrispondenti alla normativa vigente. Nei verbali autentici la riduzione è valida entro i 5 giorni successivi all’emissione della multa, mentre nei falsi si parla erroneamente di 15 giorni per ottenere lo sconto.
Le sanzioni ufficiali vengono notificate attraverso canali istituzionali ben definiti: raccomandata cartacea con firma al momento della ricezione per conferma, posta elettronica certificata (PEC) per imprese e professionisti, oppure attraverso piattaforme digitali come l’app IO. I link di pagamento diretti non vengono mai inviati dalle pubbliche amministrazioni attraverso comunicazioni non verificate.
Per difendersi efficacemente da questi attacchi è fondamentale verificare sempre l’autenticità delle comunicazioni ricevute collegandosi direttamente al sito ufficiale dell’ente creditore digitando manualmente l’URL nel browser invece di cliccare sui link contenuti nei messaggi sospetti. L’accesso tramite SPID o Carta d’Identità Elettronica (CIE) consente di controllare se la richiesta è reale e rappresenta il metodo più sicuro per prevenire i tentativi di phishing.
In caso di dubbi sulla legittimità di una sanzione è consigliabile contattare direttamente il Comando di Polizia Municipale indicato sulla presunta multa per richiedere chiarimenti, oppure verificare la propria posizione attraverso il Fascicolo del Cittadino quando disponibile nella propria regione o comune. L’Automobile Club d’Italia (ACI) offre inoltre servizi online per verificare eventuali sanzioni pendenti.
Chiunque abbia già cliccato sui link fraudolenti o inserito dati personali deve agire tempestivamente: bloccare immediatamente la carta utilizzata per eventuali pagamenti, modificare tutte le credenziali inserite, avvisare l’istituto bancario di un possibile tentativo di frode e presentare denuncia alla Polizia Postale attraverso il portale ufficiale www.commissariatodips.it.
Il CERT-AGID è attivamente impegnato con il team di sicurezza di PagoPA per garantire la rapida dismissione dei domini malevoli individuati, mentre le informazioni sui domini associati alle campagne vengono costantemente condivise con le organizzazioni pubbliche che aderiscono al flusso di indicatori di compromissione nell’ambito delle quotidiane attività di prevenzione e contrasto al cybercrime.
I cittadini possono segnalare comunicazioni sospette inoltrando le email al CERT-AGID all’indirizzo malware@cert-agid.gov.it per gli opportuni approfondimenti tecnici, oppure utilizzando il servizio di segnalazione diretto di PagoPA scrivendo a truffe@pagopa.it. La collaborazione tra cittadini e istituzioni risulta fondamentale per contrastare efficacemente questa emergenza digitale che minaccia la sicurezza finanziaria e la privacy dei consumatori italiani. Per restare sempre aggiornato scarica GRATIS la nostra App!
