Fonti preferite
Una nuova ondata di truffe phishing sta colpendo gli utenti dei trasporti pubblici di Milano, sfruttando il nome di ATM, per sottrarre denaro e dati bancari. I criminali informatici inviano falsi sms che riproducono fedelmente le comunicazioni ufficiali dell’azienda, segnalando presunti errori nella registrazione del viaggio e richiedendo il pagamento immediato di una piccola somma per evitare sanzioni ben più pesanti.
A rendere noto questo spiacevole fatto è stata una donna che è stata raggirata. Tutto è iniziato con un messaggio apparentemente innocuo dove c’era scritto: “Informa atm informa errore tap out salda le spese di gestione (1,50) entro 30 minuti per bloccare l’addebito massimo clicca sul link“. Il testo, pur contenendo alcune anomalie grammaticali, è arrivato da un numero che in passato aveva effettivamente inviato comunicazioni autentiche dell’azienda, rendendo il messaggio credibile agli occhi della vittima.
La ragazza, originaria della Sicilia ma residente a Milano per lavoro, ha spiegato all’Adnkronos di essere caduta nella trappola anche per una coincidenza temporale. Poche ore prima di ricevere l’sms aveva utilizzato la carta di credito per accedere alla metropolitana, non avendo avuto tempo di convalidare l’abbonamento mensile a un totem. Quando è arrivato il messaggio che segnalava un errore nel tap out, ha temuto di essersi dimenticata di timbrare l’uscita e di dover quindi pagare la tariffa giornaliera completa. Dopo aver cliccato sul link, la donna si è trovata davanti a una pagina che riproduceva fedelmente il layout ufficiale di Atm, così, convinta di trovarsi sul sito legittimo dell’azienda, ha tentato di effettuare il pagamento dei presunti 1,50 euro richiesti per regolarizzare la posizione.
I primi due tentativi di pagamento tramite PayPal non sono andati a buon fine, ma la vittima ha insistito. Al terzo tentativo è arrivata la notifica dalla banca che le comunicava il prelievo di 141,5 euro dal conto. Solo in quel momento ha compreso di essere stata truffata. Il peggio è arrivato dopo: la banca non ha potuto annullare l’operazione e le ha bloccato la carta, con conseguenze economiche gravi. Impossibilitata a ricevere un nuovo strumento di pagamento a Milano, essendo cliente di una filiale siciliana, si è ritrovata senza la possibilità di pagare l’affitto o ricevere lo stipendio.
“Non ho potuto pagare l’affitto e non posso neanche ricevere lo stipendio. Devo arrangiarmi per sopravvivere, finché non avrò tempo di scendere a casa e rifare la carta. E tra le spese del viaggio e i soldi che mi hanno fregato, quest’estate rischio di dover rinunciare alle vacanze. Tutto per un unico clic fatto sovrappensiero” – Utente truffata
La Polizia Postale ha individuato questa campagna di phishing che prende di mira non solo gli utenti di Atm a Milano, ma anche quelli di Atac a Roma. I truffatori sfruttano il sistema Tap&Go, che consente di pagare il biglietto avvicinando una carta contactless ai tornelli, per creare un pretesto credibile. La presunta mancata convalida in uscita diventa il gancio per indurre le vittime a cliccare sul link e inserire i propri dati bancari.
Atm ha confermato di essersi attivata per contrastare il fenomeno attraverso diverse misure. L’azienda ha informato gli utenti tramite il proprio sito web, l’app ufficiale e i canali social, fornendo indicazioni precise su come riconoscere i messaggi fraudolenti. È stata presentata una denuncia alla Polizia Postale e sono state adottate contromisure di cybersicurezza per contribuire all’oscuramento dei siti utilizzati nelle campagne di phishing.
Se ricevete un sms simile a questo:
"Informa atm informa errore tap out salda le spese di gestione (1,50) entro 30 minuti per bloccare l'addebito massimo"
è un tentativo di truffa di qualcuno che usa illegalmente il nome di ATM. Informazioni: https://t.co/jM1tlzBRDx pic.twitter.com/nGUYigg6k1— Azienda Trasporti Milanesi (@atm_informa) April 30, 2026
Secondo quanto riferito, alcuni indirizzi web riconducibili alla truffa sono già stati disattivati, anche se continuano a comparirne di nuovi con regolarità. L’azienda ha ribadito con chiarezza che non sollecita mai pagamenti via messaggio, un’indicazione che dovrebbe essere sufficiente a riconoscere questo genere di comunicazioni come fraudolente.
Se si riceve un messaggio sospetto che riporta il nome di Atm o Atac, la prima regola da seguire è non interagire in alcun modo. Non bisogna cliccare sul link, non fornire dati personali e non effettuare pagamenti. L’unica azione consigliata è segnalare l’accaduto alla Polizia Postale, che può così monitorare l’evoluzione del fenomeno e intervenire per proteggere altri potenziali utenti.
