Una massiccia campagna di smishing — la variante via SMS del classico phishing — sta colpendo migliaia di automobilisti italiani, sfruttando il nome e il logo di Autostrade per l’Italia per sottrarre dati personali e svuotare i conti correnti delle vittime. L’allarme è stato lanciato ufficialmente dal CERT-AGID, il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, che ha definito l’operazione criminale in corso come una campagna organizzata su larga scala, ancora attiva e in rapida diffusione nel territorio nazionale.
Come funziona la truffa
Il meccanismo è tanto semplice quanto efficace: il malcapitato riceve un messaggio SMS che, apparentemente, proviene dal gestore autostradale. Il testo recita formule del tipo “Autostrade per l’Italia: risulta un pedaggio non saldato”, accompagnato da un importo di pochi euro — solitamente tra i 3,50 e i 6,50 euro — e da un link che invita l’utente a regolarizzare la propria posizione entro breve termine, spesso con toni volutamente urgenti. L’importo ridotto è un elemento deliberatamente studiato dai truffatori per abbassare la soglia di diffidenza: una cifra minima, si ragiona, non vale lo sforzo di verificare ulteriormente, e la si paga quasi per riflesso condizionato.
Cliccando sul collegamento contenuto nel messaggio, la vittima viene reindirizzata su un sito web contraffatto, realizzato per imitare fedelmente la grafica e i menu della piattaforma ufficiale di Autostrade per l’Italia. Il portale fasullo chiede l’inserimento di una serie di dati “coerenti” con il contesto: la targa del veicolo, il numero di telefono e, infine, i dati della carta di pagamento. Tutte informazioni che, una volta inserite, vengono immediatamente trasmesse agli autori della truffa, aprendo la strada a prelievi fraudolenti, furti di identità e ulteriori tentativi di frode.
La tecnica del “spray and pray”
Gli esperti di sicurezza informatica descrivono questa tipologia di attacco attraverso la metafora del “spray and pray”: un bombardamento digitale indiscriminato, che “spruzza” i messaggi truffaldini a centinaia di migliaia di numeri telefonici, sperando che una percentuale anche minima di destinatari cada nella rete. La tecnica si rivela particolarmente insidiosa in un Paese come l’Italia, dove l’uso dell’autostrada a pagamento è una prassi quotidiana per milioni di cittadini, e dove l’associazione tra un messaggio relativo a un pedaggio e una reale situazione di mancato pagamento risulta statisticamente plausibile per un’ampia fetta della popolazione.
I messaggi fraudolenti provengono spesso da numeri internazionali o non ufficiali e non riportano dettagli specifici sull’infrazione contestata, come luogo del transito, data esatta o casello di riferimento. Proprio l’assenza di questi elementi dovrebbe già costituire un primo campanello d’allarme per l’utente attento, sebbene il ritmo frenetico della vita quotidiana spesso non favorisca un’analisi critica immediata del messaggio ricevuto. Un ulteriore segnale di allerta è rappresentato dalla qualità del testo: in molti casi segnalati, l’italiano risulta approssimativo, con errori grammaticali o formule inusuali che mal si conciliano con le comunicazioni ufficiali di un grande operatore infrastrutturale.
Autostrade per l’Italia prende le distanze
Autostrade per l’Italia ha pubblicato sul proprio sito ufficiale una nota con cui chiarisce in modo inequivocabile di non inviare mai SMS ai propri utenti nell’ambito delle procedure di riscossione dei pedaggi non pagati. Il processo ufficiale prevede l’invio di lettere di sollecito cartacee, che riportano sempre una data di scadenza entro cui effettuare il pagamento, e garantiscono al conducente 15 giorni di tempo dal transito per sanare il debito senza incorrere in spese aggiuntive. L’azienda specifica inoltre che non richiederà mai un pagamento con estrema urgenza attraverso canali non ufficiali.
La presa di distanza da parte della società è un elemento importante per comprendere la portata del fenomeno: se da un lato Autostrade per l’Italia si trova suo malgrado al centro di una campagna criminale che ne sfrutta il nome e l’identità visiva, dall’altro la società non è in alcun modo responsabile dell’operato dei truffatori e non ha alcun rapporto con i siti web contraffatti utilizzati per raccogliere i dati delle vittime. Il consiglio è quello di non cliccare su alcun link ricevuto via SMS e di accedere esclusivamente al portale ufficiale digitando direttamente l’indirizzo nel browser.
L’allarme del CERT-AGID
Il CERT-AGID, organismo preposto alla gestione delle minacce informatiche in ambito governativo, ha classificato questa campagna come una delle più pervasive degli ultimi mesi, inserendola nel quadro più ampio di una crescita costante e preoccupante dei tentativi di phishing in Italia. Gli esperti segnalano che lo smishing non punta soltanto alla sottrazione immediata di denaro, ma mira anche alla raccolta sistematica di informazioni sensibili utili per furti di identità e per operazioni fraudolente di più ampio respiro, come la creazione di profili falsi o l’accesso abusivo a servizi bancari e digitali.
Il fenomeno non è circoscritto al solo brand autostradale: negli ultimi anni campagne analoghe hanno preso di mira l’INPS, istituti bancari, società di spedizione come Poste Italiane e corrieri privati, dimostrando come i criminali digitali siano pronti a sfruttare qualsiasi marchio capace di generare una risposta emotiva e condizionare il comportamento dell’utente. La costante evoluzione di queste tecniche, con siti fake sempre più sofisticati e messaggi sempre più credibili, rende indispensabile una cultura digitale diffusa e una capacità critica di fronte a qualsiasi comunicazione non sollecitata.
Come riconoscere e come difendersi
La prima e più efficace difesa consiste nel ricordare che Autostrade per l’Italia non comunica mai tramite SMS: qualunque messaggio di questo tipo va quindi considerato fraudolento a prescindere dal contenuto e dall’apparente mittente. È fondamentale non cliccare su alcun link presente nell’SMS, non inserire mai dati personali o bancari su portali raggiunti tramite link ricevuti via messaggio, e verificare sempre l’indirizzo web del sito su cui si sta operando, controllando che corrisponda esattamente al dominio ufficiale. In caso di dubbio, è possibile contattare direttamente il servizio clienti di Autostrade per l’Italia attraverso i canali ufficiali per verificare l’eventuale presenza di un reale debito.
Chiunque abbia già interagito con uno di questi messaggi, cliccato il link o — peggio — inserito i propri dati sul sito falso, dovrebbe contattare immediatamente la propria banca per bloccare la carta e segnalare l’accaduto, oltre a sporgere denuncia presso la Polizia Postale, che dispone di strumenti e unità specializzate nel contrasto ai crimini informatici. La segnalazione è un atto non solo utile per la propria tutela, ma anche fondamentale per consentire alle autorità di monitorare e contrastare la diffusione di queste campagne criminali su scala nazionale. Per restare sempre aggiornato scarica GRATIS la nostra App!
