Arriva nella casella email con la grafica perfetta, i loghi ufficiali di Poste Italiane ben in vista, un italiano impeccabile e un tono istituzionale che non lascia spazio a dubbi. L’oggetto recita: “Il tuo Spid di Poste Italiane è stato sospeso: riattivalo ora“. Tutto sembra autentico, persino rassicurante. Eppure, dietro quella patina di credibilità si nasconde una delle truffe di phishing più sofisticate degli ultimi mesi, capace di svuotare conti correnti e carte Postepay senza che la vittima se ne accorga fino a quando è troppo tardi. A lanciare l’allarme è Kaspersky, azienda leader nel settore della sicurezza informatica, che ha rilevato una vera e propria impennata di attacchi informatici ai danni dei clienti Poste Italiane. La campagna di phishing sfrutta il tema dello Spid, quanto mai attuale dopo l’introduzione del canone annuale, per impossessarsi delle credenziali di accesso degli utenti. L’obiettivo è chiaro: una volta sottratti username, password e codici Otp, i truffatori proveranno ad accedere ai conti correnti e alle carte prepagate per prosciugarne il saldo.
Questa truffa si distingue dalle precedenti per un livello di sofisticazione raramente visto. Il phishing classico, quello a cui ci siamo abituati negli anni, si riconosce a colpo d’occhio: errori di ortografia, traduzioni maldestre dall’inglese, grafica approssimativa, toni allarmistici che urlano l’urgenza. Questa email, invece, non presenta nessuno di questi difetti. Il messaggio comunica con calma che il canone annuale dello Spid non è stato ancora pagato e propone due soluzioni: recarsi in un ufficio postale oppure cliccare su un link per risolvere la questione online. Nessun ultimatum, nessuna minaccia in maiuscolo, nessun conto alla rovescia. Proprio questa apparente normalità la rende estremamente pericolosa.
Poste Italiane, nella sezione sicurezza del proprio sito web, è molto chiara su un punto fondamentale: l’azienda non richiede mai tramite email, Sms, telefono, social media o sportello fisico credenziali di accesso, Pin, Cvv delle carte o codici Otp. Non invita mai i clienti a effettuare transazioni per risolvere presunti problemi di sicurezza, né a recarsi presso Atm o uffici postali per questo tipo di operazioni. Qualsiasi comunicazione che contenga richieste simili è, per definizione, una truffa. Prima di farsi prendere dal panico o, peggio ancora, di cliccare sul link presente nell’email, esistono tre verifiche rapide che possono fare la differenza tra cadere nella trappola e proteggere i propri risparmi.
Il primo controllo riguarda il dominio dell’indirizzo email del mittente. Non basta guardare il nome visualizzato, che può essere facilmente falsificato. Bisogna verificare l’indirizzo completo, quello che compare tra parentesi angolari. Nel caso della campagna di phishing recente, il mittente risultava essere [email protected]: plausibile a prima vista, ma falso. Tutte le comunicazioni ufficiali di Poste Italiane arrivano esclusivamente da indirizzi con dominio @posteitaliane.it, senza variazioni. Qualsiasi altro dominio, anche se simile o apparentemente credibile, è un segnale di allarme inequivocabile.
Il secondo controllo richiede solo un secondo e può salvare il conto corrente: passare il mouse sul link senza cliccare. Basta posizionare il cursore sopra il pulsante o il collegamento presente nell’email e attendere che appaia l’indirizzo reale di destinazione, solitamente visibile in basso a sinistra nella finestra del browser o del client di posta. Se l’indirizzo non contiene il dominio ufficiale dell’azienda, non bisogna assolutamente cliccare. Nel caso specifico segnalato da Kaspersky, il link iniziava con public-eur, senza alcun riferimento a Poste Italiane. Un indirizzo chiaramente sospetto che punta a un sito contraffatto, visivamente identico a quello ufficiale ma progettato per rubare i dati inseriti.
Il terzo e ultimo controllo è quello più definitivo: aprire l’app ufficiale, come Poste ID o l’app BancoPosta, e verificare direttamente lo stato del proprio account. Se tutto risulta attivo e regolare, senza notifiche o avvisi da parte dell’azienda, la mail ricevuta è sicuramente falsa. Non bisogna mai fidarsi di comunicazioni esterne che arrivano via email o Sms. In caso di dubbi, il canale più sicuro rimane sempre il contatto diretto con il Servizio Clienti attraverso i numeri ufficiali pubblicati sul sito di Poste Italiane.
Ma la truffa dello Spid inattivo non è l’unica variante in circolazione. I criminali informatici hanno sviluppato diverse versioni della stessa campagna, adattando il messaggio al contesto per renderlo ancora più credibile. Una delle più ingegnose è quella del Nuovo Telegramma, una comunicazione via mail che simula la notifica di ricezione di un telegramma, completa di codice identificativo completamente inesistente. Anche in questo caso, l’utente viene indirizzato verso un sito web fasullo in cui inserire i propri dati. In alcune versioni della truffa, viene richiesta l’attivazione del fantomatico “”Sistema Web Postepay””, un servizio completamente inventato, tramite l’inserimento dei dati della carta prepagata. Una volta fornite queste informazioni, i truffatori hanno accesso immediato al saldo e possono effettuare prelievi o acquisti fraudolenti.
Il phishing non è l’unica minaccia che gira attorno all’ecosistema digitale italiano. Esistono varianti altrettanto insidiose che sfruttano canali diversi dall’email. Il vishing, o voice phishing, prevede che un finto operatore di call center chiami la vittima spacciandosi per un dipendente della banca o di Poste Italiane. Con la scusa di un problema tecnico o di un accesso sospetto all’account, il truffatore cerca di ottenere credenziali bancarie, Pin o codici Otp, spesso creando un senso di urgenza che spinge la vittima a fornire le informazioni senza riflettere.
Lo smishing, o Sms phishing, funziona in modo simile ma attraverso messaggi di testo. Un Sms apparentemente proveniente da una banca, da un corriere espresso o da un ente pubblico contiene un link malevolo che porta a un sito falso. Anche in questo caso, l’obiettivo è raccogliere dati sensibili. Le truffe sui social media rappresentano un’altra frontiera: profili falsi rispondono ai commenti pubblici sulle pagine ufficiali delle aziende, offrendo assistenza e spostando poi la conversazione in privato per richiedere password e codici. Infine, esiste la truffa del cash for Sms, applicazioni che promettono guadagni in cambio degli Sms inutilizzati del proprio smartphone, mettendo a rischio l’identità digitale e la sicurezza del dispositivo.
La migliore difesa contro queste minacce resta la consapevolezza. Non agire d’impulso, diffidare sempre delle comunicazioni che richiedono l’inserimento di dati personali o bancari, verificare ogni informazione attraverso i canali ufficiali. In un’epoca in cui i criminali informatici sono capaci di replicare alla perfezione la grafica e il tono di voce delle istituzioni, la prudenza non è mai troppa. E ricordare che nessuna banca, nessun ente pubblico, nessuna azienda seria chiederà mai via email o telefono le credenziali di accesso o i codici di sicurezza. Mai.
