Molti utenti stanno ricevendo email da “pagoPA” con richieste di importi da regolarizzare. É una truffa, ecco a cosa stare attenti.
A volte ritornano. In salse diverse, con modalità “ottimizzate” ma, in sostanza, sono sempre le solite truffe. Dopo mesi, forse anni, dalle prime segnalazioni, è ancora attiva l’esca della falsa multa o importo da regolarizzare, ma si tratta di phishing.
Ecco come non cascarci e a cosa stare attenti per evitare anche eventuali tentativi futuri.
Come funziona la nuova truffa pagoPa
Abbiamo scritto nuova truffa, ma in realtà sono sempre le solite dinamiche. Mail, principalmente, ma anche notifiche volte a cercare utenti disattenti o, magari, impauriti, che si fanno cogliere impreparati. Non a caso si parla di esche, quelle a cui è possibile abboccare se non si hanno gli strumenti giusti per individuarle.
In questa particolare mail che sta arrivando a tantissimi utenti, c’è di nuovo pagoPa (PagoPA S.p.A.) nel mittente e l’oggetto è “Notifica di importo da regolarizzare - Azione immediata”.
Nel corpo del testo appare lampante un link (di solito centrato nel testo) da cliccare che ripete in sostanza l’oggetto “Notifica di importo da regolarizzare - Azione immediata”, a cui è facile cascare, anche con un click per errore, perché si trova in alto, in bella vista, prima di tutte le spiegazioni possibili. Ed è proprio il click che cerca il truffatore di turno.
Nel nostro particolare caso, il testo prosegue con:
Gentile utente,
La invitiamo a prendere visione di una pratica collegata ai Suoi dati.
Dati:
Codice: R82767634
Importo: €196,00
Truffa pagoPA
La mail phishing che sta arrivando agli utenti
Come si evince dall’esempio di mail che è realmente arrivata a un nostro lettore, i dati per capire subito che si tratta di phishing ci sono tutti. Ed è utile individuarli anche per evitare tentativi futuri, dato che questo meccanismo è comune a tantissimi hacker e troll.
Mail da pagoPA: come capire che si tratta di una truffa senza essere degli esperti di sicurezza informatica
Come sempre, prima di aprire una mail si legge il mittente, l’oggetto e l’indirizzo che si “nascondono in bella mostra” sulla nostra casella di posta elettronica. E già qui ci sono degli elementi per scovare la truffa. Andiamo con ordine, riprendendo il nostro caso studio.
- Nel campo mittente si legge “PagoPA S.p.A.”, che rappresenta realmente la denominazione e la ragione sociale dell’azienda ma che molto difficilmente appare nelle comunicazioni con i clienti della piattaforma. Difatti, solitamente si può trovare “pagoPA” oppure “PagamentiPA” o ancora “PagoPA”, ma quasi mai si ricevono delle mail ufficiali con la denominazione completa del soggetto, soprattutto nel caso di pagoPA. Questo, magari, potrebbe essere un fattore difficilmente riconoscibile ai più, ma un occhio attento o avvezzo a tali dinamiche scoverebbe l’arcano da subito.
- Passiamo all’oggetto, che invece deve mettere subito in guardia. Tutte le esortazioni come “immediato”, “urgente” o “tempestivo” simboleggiano un’azione rapida, quasi incontrollata e obbligata data la fretta. Ecco, questo è il più classico segnale di phishing e l’anticamera del click facile. E poi non c’è alcun riferimento personale, né nominativo; pertanto, mai fidarsi a call to action del genere. Mai.
- Infine, la mail truffa si può sgamare tranquillamente dall’indirizzo mail di invio. Se ci fosse davvero pagoPA dietro, il messaggio non sarebbe stato inviato mai da [email protected]. I provider email di aziende così importanti sono istituzionali, proprietari o comunque conosciuti. In questo mittente non c’è nulla di tutto questo, indipendentemente dal nome anagrafico - fittizio - che appare.
Una volta aperta, la mail continua a fornirci tutti i chiari segnali di phishing. Il link cliccabile, solitamente evidente. Nessun riferimento a dati personali realmente veritieri e aderenti alla realtà: non c’è un nome, un cognome, un codice fiscale, un numero identificativo da verificare. Solo informazioni vaghe, con un codice pratica messo lì per dare una vaga idea di profilazione e, ovviamente, un bell’importo da pagare. Ogni segnale richiama una truffa sdoganata.
Non è questo il caso, ma un altro allarme di mail malevola è la presenza di eventuali difetti di formattazione del messaggio, errori ortografici, linguistici o di concetto, lettere maiuscole per lettere minuscole (o viceversa) e, ovviamente, poca chiarezza generale nel messaggio. Tutte varianti che possono capitare quando si è bersagliati da phishing.
Nel nostro particolare esempio, il provider dell’utente è Gmail, uno dei migliori in materia di sicurezza da messaggi rischiosi e sospetti. Difatti, la piattaforma ha sicuramente rilevato qualcosa che non va, segnalando al destinatario che la mail è stata automaticamente inserita nello spam e che alcuni elementi - sempre per sicurezza - non sono visibili. Una caratteristica comune dei provider di ultima generazione, anche se non funziona allo stesso modo per tutti.
Come verificare realmente su pagoPA una pratica o un pagamento
Affidandoci direttamente alla piattaforma, va chiarito subito un aspetto: pagoPA non invia mai richieste di pagamento dirette via email. Ciò significa che qualsiasi messaggio che solleciti un versamento a suo nome, urgente o meno, deve automaticamente accendere un campanello d’allarme. La regola base è non cliccare mai sui link contenuti nella comunicazione e procedere invece a una verifica autonoma.
Per controllare se una richiesta è reale, bisogna partire dall’ente creditore indicato (Comune, Agenzia, università, ecc.). Si accede sempre digitando manualmente l’indirizzo ufficiale nel browser, evitando scorciatoie pericolose. Una volta sul sito, è possibile autenticarsi tramite SPID o CIE, strumenti che garantiscono un livello di sicurezza elevato grazie all’autenticazione a due fattori.
Nel caso in cui si debba effettuare un pagamento, l’unico riferimento sicuro è l’URL ufficiale che inizia con “https://checkout.pagopa.it”. Attenzione: la sola presenza della parola “pagoPA” nel link non è una garanzia di autenticità. I siti fraudolenti spesso utilizzano domini simili, con piccole variazioni difficili da cogliere a colpo d’occhio.
Altro elemento chiave è il certificato di sicurezza: il classico lucchetto nella barra del browser. Ma anche qui, da solo non basta. Va sempre accompagnato da un controllo visivo del sito, della qualità dei contenuti e dell’assenza di errori.
E poi, una regola d’oro, che vale in tutti i settori del web: mai fornire dati personali o bancari su richiesta via email o SMS. pagoPA non li richiede in questo modo. Indipendentemente dal phishing, se qualcosa sembra forzato, urgente o poco chiaro, probabilmente lo è davvero. E in quel caso, fermarsi è già una difesa efficace.
© RIPRODUZIONE RISERVATA
