campagne malevole luglio 2026

Phishing multe e stealer dominano le campagne malevole in Italia da maggio a luglio

🛡️ Executive Summary

  • Le campagne a tema multe abusano di PagoPA e SEND con email e SMS su false sanzioni non pagate.
  • AgentTesla, FormBook, Remcos e altri stealer restano centrali nella distribuzione via archivi e allegati.
  • L’abuso di PEC compromesse e APK Android malevoli aumenta il rischio per cittadini, PA e aziende.

Le campagne malevole osservate in Italia tra la fine di maggio e l’inizio di luglio 2026 confermano una pressione costante su cittadini, imprese e pubbliche amministrazioni. I dati settimanali di CERT-AGID mostrano un panorama molto attivo, con centinaia di campagne ogni settimana e migliaia di indicatori di compromissione distribuiti agli enti accreditati. Il tema dominante resta quello delle false multe, costruito sull’abuso dei nomi di PagoPA e SEND, ma il quadro include anche phishing a tema rinnovo, home banking, ordini, fatture e pagamenti. In parallelo continua la circolazione di infostealer e RAT come AgentTesla, FormBook, Remcos, PhantomStealer e XWorm, veicolati soprattutto tramite archivi compressi, documenti Office, allegati HTML e link malevoli. La minaccia mobile resta presente con APK Android distribuiti via SMS, mentre l’aumento delle PEC compromesse introduce un canale di fiducia abusato dagli attaccanti. Il risultato è un ecosistema criminale semplice, ripetitivo e altamente efficace, fondato su impersonificazione istituzionale, urgenza psicologica e automazione.

Le false multe diventano il tema più sfruttato contro gli utenti italiani

image 118
Phishing multe e stealer dominano le campagne malevole in Italia da maggio a luglio 5

Il filone delle false multe rappresenta il tratto più evidente delle campagne italiane del periodo. Nella settimana 30 maggio-5 giugno, CERT-AGID ha registrato 201 campagne malevole, di cui 159 con obiettivi italiani, e oltre 1.421 IoC distribuiti agli enti accreditati; in quello stesso intervallo il tema “multe” è stato usato in oltre 100 campagne di phishing che imitavano comunicazioni di contravvenzioni non saldate, soprattutto ai danni di SEND, ma anche di PagoPA e ATAC. La settimana 13-19 giugno ha confermato il volume con 107 campagne a tema multe, mentre tra 20 e 26 giugno il numero è sceso a 49 e tra 27 giugno e 3 luglio a 37, restando comunque tra i principali vettori osservati. Il modello è sempre simile: email o SMS con toni formali, importi credibili, numeri di pratica, scadenze ravvicinate e grafica istituzionale inducono la vittima a visitare un sito falso e inserire dati di carta di credito. Il successo della tecnica dipende dal contesto italiano, dove la digitalizzazione dei pagamenti pubblici ha reso familiari marchi come PagoPA, SEND e App IO, ma ha anche creato un terreno ideale per l’impersonificazione.

PagoPA e SEND sono sfruttati per trasformare la fiducia pubblica in leva di attacco

image 116
Phishing multe e stealer dominano le campagne malevole in Italia da maggio a luglio 6

L’abuso di PagoPA e SEND è particolarmente efficace perché colpisce l’area più delicata della fiducia digitale: il rapporto tra cittadino e pubblica amministrazione. SEND, Servizio Notifiche Digitali di PagoPA, gestisce comunicazioni con valore legale e viene percepito come canale affidabile; proprio questa autorevolezza viene sfruttata dagli attaccanti per costruire pagine di pagamento false. Le campagne osservate da CERT-AGID si presentano come solleciti per sanzioni stradali, con riferimenti apparentemente coerenti e pressione temporale. L’obiettivo non è rubare soltanto credenziali, ma raccogliere dati di pagamento completi e informazioni personali riutilizzabili in frodi successive. CERT-AGID ha anche segnalato la collaborazione con il team di sicurezza di PagoPA per il censimento degli IoC e la disattivazione dei domini malevoli. Questo punto è rilevante perché mostra una dinamica ormai strutturale: il phishing non colpisce solo il singolo utente, ma costringe gli ecosistemi pubblici digitali a reagire rapidamente contro domini usa e getta, kit clonati, redirect e infrastrutture distribuite. La difesa deve quindi combinare takedown, comunicazione pubblica e monitoraggio continuo delle imitazioni.

Gli stealer restano il motore delle campagne malware

La componente malware mostra una forte prevalenza di infostealer e strumenti di accesso remoto. AgentTesla continua a comparire in campagne a tema fattura, ordine, pagamenti e scadenze, spesso distribuito tramite archivi ZIP, RAR, TAR, 7Z o formati meno comuni. FormBook mantiene un pattern simile, con campagne generiche e italiane veicolate attraverso allegati compressi e documenti preparati per eludere controlli automatici. Remcos, nato come tool di amministrazione remota ma ampiamente abusato in campagne malevole, viene associato a temi ordine, banking e documenti, anche tramite allegati XLS. PhantomStealer, MassLogger, PureLogs, Guloader, SnakeKeylogger, QuasarRAT, AsyncRAT, NeptuneRat e XWorm completano un panorama dominato dal furto di credenziali, cookie, sessioni, screenshot, clipboard e accessi aziendali. La scelta degli archivi compressi resta centrale perché permette di nascondere payload, aggirare filtri superficiali e sfruttare l’abitudine degli utenti a ricevere documentazione commerciale in formato compresso. Per le organizzazioni italiane, il rischio non è soltanto l’infezione del singolo endpoint, ma la compromissione di caselle email, portali gestionali, VPN, account cloud e sistemi di fatturazione.

Le PEC compromesse aumentano credibilità e impatto delle campagne

Annuncio

L’abuso delle PEC compromesse o registrate illecitamente rappresenta uno degli elementi più insidiosi del periodo. CERT-AGID ha indicato oltre 650 eventi gestiti da inizio 2026 con il supporto dei gestori PEC, segnalando un trend in crescita. Il problema è particolarmente rilevante in Italia perché la PEC non è percepita come un semplice canale email, ma come strumento istituzionale e professionale con valore legale. Un messaggio malevolo proveniente da una casella PEC reale o apparentemente legittima supera più facilmente la diffidenza dell’utente, soprattutto quando riguarda fatture, comunicazioni amministrative, richieste documentali o pagamenti. Gli attaccanti possono usare questo canale per phishing, spam, distribuzione malware o raccolta di documenti sensibili, sfruttando la fiducia costruita nel tempo dalla digitalizzazione burocratica. Per pubbliche amministrazioni e aziende, la difesa richiede controlli specifici: verifica dei mittenti, analisi degli allegati, policy di autenticazione robuste sulle caselle, monitoraggio degli accessi anomali, rotazione delle credenziali compromesse e procedure di revoca tempestiva. Una PEC violata non è solo un asset perso: diventa un amplificatore di fiducia per campagne successive.

Agenzia delle Entrate, INPS e Ministero della Salute diventano esche ad alto rendimento

Gli attaccanti hanno continuato ad abusare di marchi istituzionali italiani ad alta riconoscibilità. Le campagne che impersonano Agenzia delle Entrate sfruttano pretesti come rimborsi fiscali, dichiarazioni su cripto-asset e richieste di dati personali, con obiettivo finale spesso orientato al furto di carte di credito o informazioni identificative. Alcune campagne hanno mostrato un’evoluzione verso flussi ibridi, trasformando il phishing in vishing durante l’interazione. Le campagne smishing contro INPS hanno invece puntato a dati lavorativi e reddituali, chiedendo buste paga, CUD, documenti identificativi e perfino selfie, un set ideale per frodi identitarie e aperture di servizi finanziari illeciti. Il Ministero della Salute è stato imitato in campagne sulla sostituzione della tessera sanitaria, con richiesta di dati di pagamento. Poste Italiane resta un altro brand ricorrente per furto di credenziali, OTP e dettagli delle carte. Questi schemi dimostrano che il phishing italiano si sta specializzando sull’intersezione tra servizi pubblici, identità digitale, sanità, fiscalità e pagamenti, cioè ambiti nei quali l’utente tende a reagire rapidamente per evitare sanzioni, blocchi o perdita di benefici.

Android resta esposto con APK malevoli distribuiti via SMS

Le campagne mobile completano il quadro con APK malevoli distribuiti soprattutto tramite SMS. Le famiglie osservate includono BingoMod, Copybara, BTMob, MoqHao, OverlayPhantom e GlitchSPY, spesso associate a temi banking o verifica account. Il messaggio tipico invita l’utente a installare un’app per aggiornare, proteggere o sbloccare il proprio conto, portandolo fuori dagli store ufficiali e inducendolo a concedere permessi invasivi. Una volta installato, l’APK può intercettare credenziali, sovrapporre schermate false, leggere SMS, catturare notifiche, esfiltrare dati e supportare frodi in tempo reale. Il rischio resta alto perché molti utenti distinguono con più difficoltà un link malevolo ricevuto via SMS rispetto a una email sospetta, soprattutto se il testo cita banche, pagamenti o urgenze di sicurezza. Per le banche e le PA, la mitigazione passa da campagne informative continue, blocco dei domini, collaborazione con operatori telefonici e rilevamento delle infrastrutture di distribuzione. Per gli utenti, la regola resta netta: nessuna app bancaria o istituzionale deve essere installata da link ricevuti via SMS.

Le difese devono adattarsi a campagne semplici ma persistenti

Il dato più importante del periodo non è la sofisticazione tecnica, ma la continuità operativa. Gli attaccanti riutilizzano pochi temi ad alto rendimento, cambiano domini, allegati, brand e canali, poi misurano ciò che funziona. Multe, rinnovi, ordini e banking richiedono costi bassi e producono ritorni elevati perché intercettano paure immediate: sanzioni, scadenze, pagamenti, account bloccati e consegne. Le organizzazioni italiane devono quindi trattare queste campagne come minaccia sistemica, non come eventi isolati. Servono filtri su allegati compressi, sandboxing, blocco macro e script, protezione delle caselle PEC, MFA resistente al phishing, monitoraggio degli accessi anomali e formazione concreta su esempi reali italiani. Le pubbliche amministrazioni dovrebbero rafforzare la comunicazione ufficiale su come arrivano le notifiche, quali canali vengono usati e dove verificare pagamenti e sanzioni. Gli utenti devono controllare sempre dominio, mittente, contenuto e metodo di pagamento, evitando di inserire dati carta su link ricevuti via email o SMS. Il flusso di IoC di CERT-AGID, con volumi settimanali tra 849 e oltre 1.500 indicatori, resta essenziale per anticipare domini, hash, URL e infrastrutture, ma la resilienza dipende dalla capacità di trasformare quegli indicatori in controlli attivi prima che la campagna raggiunga la vittima.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto