I raggiri si rinnovano sempre, la truffa della finta multa da pagare sfrutta il logo PagoPa per ottenere credibilità e riuscire a prendere in giro i poveri cittadini. L’obiettivo dei malviventi è rubare dati sensibili e denaro, attraverso l’invio di una mail che pare provenire proprio dalla Pubblica Amministrazione e non fa nascere alcun sospetto che possa trattarsi di un falso.
Oggetto della missiva elettronica è una presunta sanzione per eccesso di velocità, pari a qualche centinaio di euro, che andrebbe pagata – si legge – entro 72 ore. Un link sottostante è il cavallo di Troia. Se si clicca, invece di procedere con la transazione ufficiale, si dà il via alla fuga di informazioni e/o l’accesso a dati sensibili che creano una breccia all’interno del conto corrente. Una condizione di apparente normalità cela l’ennesimo caso di phishing.
In cosa consiste la truffa PagoPa
Gli attacchi da parte di hacker che escogitano raggiri sempre più sofisticati non vanno mai in vacanza. A lanciare l’allarme è il CERT-AgID, il team nazionale che gestisce la sicurezza informatica per l’Agenzia per l’Italia Digitale. A trarre in inganno, e a preoccupare gli esperti, è il fatto che il finto sito a cui rimanda la mail ricalchi perfettamente l’interfaccia di PagoPa e renda la truffa difficilissima da riconoscere. Grafiche, colori e font sono quelli del portale ufficiale, ma i domini devono fare insospettire.
Il registro comunicativo utilizzato, molto formale e curato, è un’altra caratteristica insidiosa. Inoltre vengono citati finti codici di violazione che, però, sembrano molto simili a quelli ufficiali. La paura che, se non si paga entro le 72 ore, si sia soggetti a una maggiorazione della multa e alla perdita dei punti della patente completa un quadro che – agli occhi dei meno esperti – non è facile da smascherare.
Come riconoscere e difendersi dalla truffa
La nuova truffa che si serve del logo PagoPa per trarre in inganno i malcapitati può essere riconosciuta ed evitata somiglia molto alla truffa PayPal. La prima cosa da fare, quando si ricevono mail del genere, è non agire impulsivamente e non preoccuparsi. La lucidità è fondamentale per individuare i dettagli che devono fare scattare i campanelli d’allarme.
- Non vanno aperti link.
- Non si devono fornire dati sensibili.
- Bisogna ricordarsi che PagoPa non comunica attraverso SMS o mail.
- Senza SPID o CIE non si effettuano pagamenti ufficiali.
Analizzare con cura il testo dà altri input che devono fare pensare. Toni allarmistici, link non coerenti e richieste sospette devono fare venire dei dubbi e spingere a effettuare una verifica. Il dominio ufficiale per i pagamenti alla Pubblica Amministrazione è checkout.pagopa.it: tutti gli altri non vanno considerati.
L’assenza del certificato di sicurezza HTTPS, quello con il lucchetto nella barra degli indirizzi del browser, è un altro segnale che deve far pensare che ci si trova di fronte a un sito poco sicuro. Se il mittente non è noreply-checkout@ricevute.pagopa.it, poi, il messaggio è falso. Sul sito ufficiale di PagoPa ci sono dei consigli da seguire molto utili, fra questi quello di fare attenzione a “piccole variazioni, errori ortografici o inconsistenze palesi”.
I link possono essere analizzati anche senza aprirli, lo sa bene chi è caduto nella trappola della truffa Istat. Qualsiasi sospetto deve fare desistere e portare a chiedere conferma tramite i canali ufficiali del presunto mittente. Il servizio clienti PagoPa può rispondere a qualsiasi dubbio e confermare o smentire eventuali operazioni di riscossione. Prima di questo check, non è il caso di eseguire alcuna transazione economica.
In alternativa, si può mandare copia della mail sospetta al CERT-AgID, tramite l’indirizzo malware@cert-agid.gov.itmalware@cert-agid.gov.it, per ricevere assistenza in merito. Se nulla di tutto questo è servito a evitare la truffa PagoPa, è opportuno denunciare l’accaduto alle autorità competenti.
