Nuove campagne di phishing stanno sfruttando il nome di SEND, il Servizio Notifiche Digitali di PagoPA, per trarre in inganno gli utenti con comunicazioni che sembrano ufficiali. Il messaggio parla di presunte sanzioni da pagare, ma l’obiettivo reale è rubare dati personali e informazioni della carta di credito.
Secondo gli esperti del CERT-AgID, i cybercriminali stanno diffondendo email e SMS molto credibili, costruiti per imitare la grafica e il tono dei servizi legittimi. Chi clicca sul link viene indirizzato verso pagine fraudolente che riproducono l’aspetto del portale autentico e chiedono di inserire dati sensibili.
Phishing SEND: come funziona la truffa delle false multe
SEND è una piattaforma di PagoPA pensata per ricevere comunicazioni a valore legale da parte della Pubblica Amministrazione, come esiti di pratiche, rimborsi, multe o avvisi tributari. Il sito ufficiale è notifichedigitali.it e le notifiche possono arrivare tramite app IO, PEC, recapiti registrati nell’area personale oppure raccomandata cartacea, a seconda delle impostazioni dell’utente.
Nel caso segnalato, il messaggio fraudolento avvisa della necessità di pagare una multa per una presunta violazione del codice della strada. Dopo il clic, la vittima visualizza un sito che mostra il logo SEND e una sequenza di schermate molto convincenti: prima viene richiesto il numero di targa del veicolo, poi compare un riepilogo con dettagli dell’infrazione, importo e scadenza del pagamento.
La pagina, però, presenta anche indizi sospetti. Ad esempio, possono mancare informazioni fondamentali come il luogo esatto in cui sarebbe avvenuta la violazione. A quel punto l’utente viene spinto a completare l’operazione inserendo nome, cognome, indirizzo, numero di telefono, email e i dati della carta di credito. Tutte informazioni che finiscono direttamente nelle mani dei truffatori.
Quali rischi corrono le vittime
Le conseguenze di questo phishing SEND possono essere molto gravi. I dati raccolti possono essere usati per acquisti non autorizzati, furto di identità, ulteriori truffe mirate o rivendita delle informazioni su circuiti illeciti. In alcuni casi, le credenziali e i recapiti ottenuti vengono riutilizzati per inviare nuovi messaggi fraudolenti più convincenti e personalizzati.
Per questo è importante fermarsi prima di inserire qualsiasi dato e verificare sempre con attenzione l’indirizzo del sito aperto nel browser. Un dominio diverso da quello ufficiale, errori nel testo o richieste insolite di pagamento sono segnali da non ignorare. Se il dubbio resta, meglio accedere al servizio digitando manualmente l’indirizzo corretto o controllando le notifiche dall’app IO e dai canali ufficiali.
Come difendersi dalle email e dagli SMS falsi
Il CERT-AgID ha già chiesto e ottenuto la disattivazione dei domini utilizzati per la campagna malevola, ma la prudenza resta fondamentale. In generale, quando arriva un avviso di sanzione o una richiesta urgente di pagamento, conviene non cliccare subito sui link e non fidarsi del solo logo presente nel messaggio. Le truffe moderne puntano proprio sulla fretta e sull’effetto sorpresa.
Il comportamento più sicuro è verificare la notifica attraverso i canali ufficiali di SEND e PagoPA, controllare l’URL con attenzione e diffidare di qualsiasi pagina che chieda dati della carta di credito senza un motivo chiaro. Anche una semplice attenzione in più può evitare il furto di informazioni personali e ridurre il rischio di cadere in una delle campagne di phishing più insidiose del momento.
