Allarme phishing SEND, false multe PagoPA e finte email della Polizia

Allarme phishing SEND: false multe PagoPA e truffe contro i cittadini

Il nuovo allarme del CERT-AGID sulle campagne di phishing SEND conferma la crescita di truffe digitali costruite attorno alla fiducia nei servizi pubblici digitali e nelle comunicazioni istituzionali. Gli attaccanti sfruttano il nome SEND – Servizio Notifiche Digitali di PagoPA per inviare email e SMS che simulano solleciti di pagamento relativi a presunte sanzioni stradali non saldate. I messaggi usano toni formali, numeri di pratica, importi credibili e scadenze ravvicinate per generare urgenza e spingere la vittima a cliccare su link malevoli. La pagina di destinazione imita un servizio ufficiale e invita l’utente a inserire i dati della carta di credito, trasformando una falsa multa in un furto di informazioni bancarie. La campagna mostra un livello di cura grafica e linguistica ormai tipico del phishing moderno, dove l’obiettivo non è più soltanto ingannare utenti inesperti, ma sfruttare la familiarità crescente dei cittadini con notifiche digitali, pagamenti online e piattaforme pubbliche. Il CERT-AGID collabora con il team di sicurezza di PagoPA per bloccare i domini malevoli, condividere gli indicatori di compromissione e ridurre la superficie d’attacco prima che le campagne raggiungano nuovi bersagli.

Come funzionano le false comunicazioni a tema SEND

Le email e gli SMS fraudolenti a tema SEND seguono uno schema preciso: creano pressione, imitano un linguaggio amministrativo e propongono una soluzione immediata attraverso un link. La vittima riceve una comunicazione che parla di una sanzione non pagata, di una pratica aperta o di una scadenza imminente, con riferimenti costruiti per apparire plausibili. Il punto critico è l’URL di destinazione, spesso simile a quello reale ma ospitato su domini falsi, registrati per sottrarre dati personali e bancari. Le comunicazioni reali di SEND non chiedono l’inserimento di dati bancari tramite link ricevuti via email o SMS e seguono canali ufficiali come app IO, recapiti indicati nell’area personale, PEC intestate oppure notifiche cartacee. Gli attaccanti sfruttano invece il meccanismo psicologico dell’urgenza, spingendo la vittima ad agire rapidamente senza controllare il dominio o la provenienza reale del messaggio. Questo modello di attacco rientra nelle campagne di credential phishing e di furto finanziario basate sull’impersonificazione di enti pubblici, un fenomeno che negli ultimi anni è cresciuto parallelamente alla diffusione dei servizi digitali della pubblica amministrazione italiana.

Le finte email della Polizia sfruttano paura e pressione psicologica

Parallelamente alle campagne SEND, la Polizia di Stato ha segnalato nuove truffe che simulano comunicazioni ufficiali delle Forze dell’ordine. I criminali inviano email che riportano loghi istituzionali, firme apparentemente autentiche e riferimenti diretti al Capo della Polizia per aumentare la credibilità del messaggio. Il contenuto è costruito per generare paura immediata: la vittima viene accusata di aver visualizzato materiale pedopornografico o di essere coinvolta in indagini giudiziarie legate a reati sessuali online.

I truffatori chiedono inizialmente chiarimenti o giustificazioni telematiche, ma l’obiettivo finale è ottenere denaro promettendo l’interruzione delle presunte indagini. Questa tecnica combina spoofing, pressione psicologica e ingegneria sociale avanzata. Gli attaccanti sfruttano il timore della reputazione personale e la paura di conseguenze legali per indurre la vittima a reagire senza verifiche. La Polizia di Stato ricorda che nessuna autorità giudiziaria o forza dell’ordine utilizza email ordinarie per notificare atti investigativi o richiedere pagamenti. Le campagne di questo tipo mostrano un’evoluzione del phishing classico verso modelli di estorsione digitale che puntano più sull’impatto emotivo che sul semplice furto di credenziali.

Il caso della studentessa accusata di phishing sui test di Medicina

Un episodio separato ma collegato alla crescita delle tecniche di phishing riguarda l’indagine coordinata dal Centro operativo per la sicurezza cibernetica dell’Emilia Romagna insieme al Servizio Polizia Postale. Gli investigatori hanno denunciato una studentessa di 21 anni domiciliata a Roma per una campagna di phishing mirata ai test di ammissione di Medicina e Chirurgia. Secondo gli inquirenti, la ragazza avrebbe creato email fraudolente impersonando soggetti istituzionali nel tentativo di ottenere anticipatamente le domande d’esame. Il caso evidenzia come le tecniche di impersonificazione digitale non vengano utilizzate soltanto per finalità economiche immediate, ma anche per tentativi di accesso illecito a dati riservati e informazioni strategiche. Durante la perquisizione domiciliare, gli agenti hanno sequestrato diversi dispositivi informatici considerati utili alle indagini. I reati contestati comprendono sostituzione di persona e tentato accesso abusivo a sistema informatico. Questo episodio mostra quanto il phishing si sia evoluto in una metodologia versatile utilizzata per frodi economiche, furto di credenziali, raccolta di informazioni sensibili e compromissione di sistemi organizzativi.

Il phishing moderno sfrutta fiducia istituzionale e servizi digitali

Le campagne segnalate da CERT-AGID e Polizia di Stato confermano una trasformazione del panorama phishing italiano. Gli attaccanti non si limitano più a imitare banche o marketplace online, ma sfruttano direttamente la fiducia costruita attorno ai servizi digitali pubblici. PagoPA, SEND, notifiche amministrative e comunicazioni istituzionali rappresentano bersagli ideali perché milioni di cittadini utilizzano quotidianamente questi strumenti e sono ormai abituati a ricevere avvisi digitali relativi a pagamenti, multe e pratiche amministrative. Il phishing moderno punta quindi a rendere l’attacco coerente con il comportamento digitale reale dell’utente. Questo aumenta drasticamente il tasso di successo delle campagne e riduce la probabilità che la vittima identifichi immediatamente la truffa. Gli attaccanti curano grafica, formattazione, riferimenti normativi e struttura linguistica per replicare il tono autentico delle comunicazioni pubbliche. In alcuni casi vengono utilizzati domini typo-squatting o URL che imitano visivamente i portali originali attraverso caratteri simili e sottodomini ingannevoli.

Come riconoscere le campagne phishing più avanzate

Le autorità italiane invitano gli utenti a verificare sempre l’origine reale delle comunicazioni ricevute. Uno dei primi elementi da controllare è il dominio del mittente e l’URL effettivo della pagina di destinazione. Anche quando la grafica appare autentica, piccoli dettagli nel dominio possono rivelare la natura fraudolenta della campagna. Gli utenti devono diffidare da messaggi che impongono pagamenti immediati, scadenze urgenti o richieste improvvise di dati personali e bancari. Un altro segnale tipico riguarda l’uso eccessivo della pressione psicologica: multe imminenti, conti sospesi, indagini giudiziarie o richieste di regolarizzazione urgente sono strumenti classici di social engineering. La strategia degli attaccanti consiste nel ridurre il tempo di riflessione della vittima e impedirle di verificare la legittimità della comunicazione. Il phishing contemporaneo utilizza inoltre infrastrutture temporanee e domini usa-e-getta che vengono rapidamente sostituiti una volta bloccati dalle autorità o dai provider di sicurezza.

CERT-AGID e Polizia Postale rafforzano il monitoraggio

Il ruolo del CERT-AGID e della Polizia Postale diventa centrale nel contenimento di queste campagne. Gli indicatori di compromissione relativi ai domini malevoli vengono condivisi rapidamente con organizzazioni accreditate e provider di sicurezza per facilitare blocchi automatici e attività di mitigazione. Le autorità monitorano costantemente nuove campagne di phishing attraverso analisi tecniche, segnalazioni dei cittadini e collaborazione con piattaforme digitali pubbliche e private. La tempestività nella segnalazione rappresenta un elemento essenziale: ogni utente che inoltra un messaggio sospetto contribuisce a ridurre la durata operativa della campagna malevola. Le autorità invitano inoltre a utilizzare esclusivamente canali ufficiali per verificare eventuali notifiche ricevute e ricordano che nessun ente pubblico richiede pagamenti urgenti tramite link inviati via email o SMS.

Le truffe digitali diventano una minaccia sistemica per i servizi pubblici

L’espansione delle campagne di phishing SEND mostra come la digitalizzazione dei servizi pubblici italiani stia diventando contemporaneamente un’opportunità e una superficie d’attacco sempre più ampia. Gli attaccanti sfruttano il rapporto fiduciario tra cittadini e piattaforme istituzionali per trasformare notifiche amministrative e comunicazioni ufficiali in strumenti di frode finanziaria e raccolta dati. Le campagne che imitano PagoPA, la Polizia di Stato o enti universitari dimostrano che il phishing moderno non punta più soltanto alla compromissione tecnica ma alla manipolazione psicologica e comportamentale delle vittime. In questo contesto, la sicurezza non dipende esclusivamente dalle tecnologie di difesa ma anche dalla capacità dei cittadini di riconoscere segnali anomali, verificare fonti ufficiali e segnalare rapidamente ogni tentativo di truffa. La crescita delle infrastrutture digitali pubbliche rende infatti indispensabile un modello di difesa condiviso nel quale utenti, istituzioni e provider di sicurezza collaborano continuamente per ridurre il successo delle campagne malevole.