La diffusione dell’SPID come strumento per accedere ai servizi pubblici e privati ha semplificato molte procedure, ma ha anche aperto nuove possibilità ai truffatori. In Italia, numerosi attacchi di phishing sfruttano il logo e la grafica di Poste Italiane per indurre gli utenti a consegnare credenziali e dati finanziari. Con pochi clic su un sito clone si rischia di perdere il controllo della propria identità digitale e dei risparmi su carte come la Postepay.
Nelle ultime settimane gli esperti di sicurezza, tra cui Kaspersky, hanno segnalato campagne sempre più raffinate: messaggi dall’aspetto istituzionale che annunciano la sospensione dello SPID o la ricezione di un “nuovo telegramma”. Chi riceve la mail trova grafica impeccabile, testo corretto e perfino un codice identificativo fittizio; elementi che abbassano la guardia e rendono la truffa particolarmente insidiosa.
Indice dei contenuti:
Come funziona la truffa
Il meccanismo di base è semplice ma efficace: il mittente induce la vittima a visitare una pagina clonata dove vengono richieste username, password e codici di sicurezza. In alcune varianti viene persino richiesto il numero e i dati della Postepay per “attivare” un presunto servizio come il cosiddetto Sistema Web Postepay. Una volta inserite le credenziali, i criminali sfruttano l’accesso per eseguire trasferimenti o acquisti fraudolenti. L’assenza di errori grammaticali o di toni allarmistici rende il messaggio più credibile e aumenta le probabilità di successo.
Varianti: SPID inattivo e nuovo telegramma
Tra le varianti più diffuse ci sono l’avviso di SPID “inattivo” per mancato pagamento del canone e la notifica di un presunto “nuovo telegramma” con un codice. Entrambe sfruttano la fiducia nell’istituzione e la familiarità con i servizi digitali. Il risultato è lo stesso: clic sul link, inserimento dei dati su una pagina clone e perdita del controllo dell’account e delle carte associate.
Altri canali: vishing e smishing
I criminali non si limitano alle email. Esistono tecniche come il vishing — chiamate telefoniche in cui un sedicente operatore chiede informazioni — e lo smishing — messaggi SMS che contengono link malevoli. In questi casi il trucco è creare una pressione psicologica: apparente urgenza o pretesti tecnici che spingono la vittima a consegnare codici OTP, PIN o dati della carta. Conoscere questi canali aiuta a mantenere la calma e a non cedere alle richieste.
Segnali per riconoscere la mail falsa
Anche le mail più convincenti lasciano tracce riconoscibili. Il primo controllo è il mittente: non affidarsi al solo nome visualizzato, ma verificare il dominio completo; le comunicazioni ufficiali di Poste Italiane arrivano da indirizzi con dominio @posteitaliane.it. Il secondo passo è passare il cursore sul link senza cliccare per visualizzare l’URL reale: se non contiene poste.it o riferimenti ufficiali, si tratta quasi certamente di un sito fraudolento. Infine, l’accesso diretto tramite l’app Poste ID o il sito digitando l’indirizzo manualmente è il metodo più sicuro per verificare anomalie.
Controllo del mittente
Il nome visualizzato può essere contraffatto con facilità; il dato affidabile è il dominio tra parentesi angolari. Un mittente come [email protected] può sembrare credibile ma non lo è: le comunicazioni ufficiali usano solo il dominio aziendale corretto. Se il dominio differisce anche di poco, la mail è sospetta e va ignorata.
Verifica dei link e delle richieste
Prima di cliccare, passare il mouse sul collegamento per leggere l’URL reale: se appare un indirizzo senza riferimento a poste.it o contiene nomi strani come “public-eur” è un campanello d’allarme. Inoltre, qualsiasi richiesta di credenziali, OTP, PIN o dati della carta via email è una chiara violazione delle pratiche ufficiali: Poste Italiane non chiede mai queste informazioni per e-mail, SMS o social.
Come difendersi
Le regole pratiche sono poche ma efficaci: non cliccare sui link sospetti, non scaricare allegati e non rispondere a richieste di dati sensibili. Preferire l’accesso diretto tramite le app ufficiali, attivare l’autenticazione a due fattori quando disponibile e contattare il servizio clienti tramite i numeri ufficiali pubblicati sul sito per qualsiasi dubbio. Segnalare le mail sospette all’indirizzo dedicato indicato da Poste o all’helpdesk dell’istituto coinvolto contribuisce a contrastare la diffusione della truffa.
La crescente sofisticazione degli attacchi impone un livello minimo di alfabetizzazione digitale: riconoscere un phishing ben confezionato significa proteggere non solo il conto, ma anche la propria identità digitale. Un minuto dedicato alle verifiche può evitare ore di problemi e perdite economiche.