Le truffe non vanno in ferie. Al contrario, proprio nei mesi estivi – quando molti sono in vacanza, la testa è altrove e l’attenzione scivola via – i truffatori digitali si fanno più agguerriti. Messaggi all’apparenza credibili piovono via email, SMS o persino su WhatsApp. Dietro una grafica rassicurante, toni formali e loghi istituzionali si nascondono link-trappola, studiati per rubare dati personali, coordinate bancarie e denaro. Tra i casi più recenti e insidiosi c’è quello del falso verbale PagoPA, un’email ingannevole che simula in modo grossolano ma efficace una comunicazione ufficiale e invita a pagare una multa inesistente.
Il meccanismo è semplice e subdolo: l’email, che sembra provenire da PagoPA, riporta nell’oggetto qualcosa tipo “Avviso ritardo nel pagamento - verbale”, corredato da un numero identificativo per dargli un’aria di autenticità. Il corpo del messaggio allude a una multa mai pagata e propone un bottone azzurro con scritto “Controlla la multa”. Cliccandolo si viene indirizzati verso un sito fraudolento, simile all’originale, dove si finisce per inserire dati che finiscono dritti nelle mani dei criminali. La chiusura dell’email con un improbabile “Sinceramente. Il team PagoPA” e la presenza di errori come “non ègo ancora stata pagata” dovrebbero accendere un campanello d’allarme, ma purtroppo non sempre succede.
PagoPA, ovviamente, è totalmente estranea a queste truffe. Anzi, ha pubblicato nei giorni scorsi una serie di avvisi e linee guida per aiutare i cittadini a riconoscere i tentativi di phishing che sfruttano il suo nome. Un punto va chiarito subito: PagoPA non invia direttamente email o messaggi con richieste di pagamento, e non chiede mai informazioni sensibili come password o numeri di carta di credito via posta elettronica o SMS.
Per difendersi servono attenzione e buonsenso. Bisogna diffidare di ogni messaggio che chiede di inserire dati riservati, soprattutto se arriva da un indirizzo email strano o poco coerente con i canali ufficiali. Il mittente corretto, in questi casi, dovrebbe essere noreply-checkout@ricevute.pagopa.it. Qualsiasi variazione, storpiatura o dominio straniero va considerato sospetto. Anche i link vanno esaminati con cura: l’indirizzo ufficiale inizia con https://checkout.pagopa.it. Basta passare il mouse sopra il collegamento (senza cliccare!) per verificarlo. Se il link porta da un’altra parte, meglio lasciar perdere.
Altro segnale importante è la grammatica: gli enti pubblici scrivono in italiano corretto, senza strafalcioni. Se ci sono errori di sintassi, frasi strane o un tono eccessivamente intimidatorio, molto probabilmente si tratta di una truffa. L’urgenza di pagare subito, con tanto di minaccia di sanzioni aggiuntive, è un’altra tecnica classica usata per spingere le persone ad agire senza riflettere.
La regola d’oro, in ogni caso, resta una: se hai dei dubbi, non cliccare nulla. Accedi direttamente al portale dell’ente tramite SPID o CIE, e controlla da lì se davvero hai delle pendenze. In un’estate in cui i criminali digitali non vanno in ferie, la prudenza è l’unico ombrellone che protegge davvero.