SPID non attivo. Truffa di phishing da finti messaggi di Poste Italiane

genitori-digitali
Genitori Digitali 18/04/2026
Truffa phishing

Le campagne di phishing sono sempre in agguato e fatte sempre meglio, tanto da rendere complesso distinguere tra una mail vera o fake. Quelle provenienti da Poste Italiane sono tra le preferite dagli hacker, che sfruttano la possibilità di pescare tra milioni di utenti. Specialmente in questo periodo, decaduto lo SPID gratuito per accedere ai servizi digitali, il sito di Kaspersky segnala un’impennata di attacchi informatici.

Infatti, i truffatori della rete hanno perfezionato le campagne di phishing con un obiettivo duplice e pericoloso: sottrarre le credenziali di accesso ai servizi online di Poste Italiane e, contemporaneamente, svuotare le carte Postepay dei malcapitati. I phisher utilizzano leve psicologiche diverse per spingere l’utente a cliccare.

Tra le varianti più diffuse c’è il falso blocco dell’account, un metodo classico in cui l’utente riceve un’e-mail che notifica il blocco immediato o la disattivazione del profilo per motivi di sicurezza. Il mittente sembra ufficiale, utilizzando un dominio che imita quello reale. Viene chiesto di compilare un modulo HTML allegato o cliccare su un link per “riattivare” l’account in pochi minuti. In realtà, i dati inseriti finiscono direttamente nelle mani dei truffatori.

La notifica del “Nuovo Telegramma”. In questo caso, i criminali abbandonano la tattica della paura per passare a quella della curiosità. L’e-mail simula una notifica ufficiale di ricezione di un telegramma, riportando persino un numero identificativo falso per apparire credibile. Il link nel testo rimanda a una pagina di login contraffatta. Sebbene il design di queste pagine risalga spesso a versioni del sito di Poste del 2010, la somiglianza dei testi è tale da trarre in inganno chi non presta massima attenzione ai dettagli grafici.

Infine, sfruttando l’introduzione di nuove normative bancarie, i truffatori invitano ad attivare il fantomatico “Sistema Web Postepay”. L’e-mail è composta quasi interamente da un’immagine. Questo trucco serve a bypassare i filtri antispam che analizzano il testo. Cliccando in qualsiasi punto dell’immagine, si viene reindirizzati a un modulo dove viene richiesto l’inserimento di tutti i dati sensibili della carta di credito (numero, scadenza e CVV).

Ma nuove modalità di phishing sono all’ordine del giorno, allora come è possibile difendersi da queste finte mail che in realtà sono delle vere e proprie trappole? Bisogna imparare a riconoscere l’inganno ed i vari segnali d’allarme. Infatti, sebbene i truffatori siano diventati più abili, lasciano quasi sempre delle tracce. Errori grammaticali: Molte e-mail presentano refusi o una sintassi zoppicante, segno di traduzioni automatiche.

  • Mittente sospetto: Anche se il nome dice “Poste Italiane o Poste.it”, controllando l’indirizzo e-mail reale si scoprono domini estranei.
  • Richiesta dati sensibili: Poste Italiane non chiede mai password o codici delle carte via e-mail o SMS.
  • Link a siti non sicuri: Passando il mouse sopra un link (senza cliccare), spesso si nota che l’indirizzo di destinazione non è poste.it.

A questi segnali da tenere sempre bene in mente, siccome la prudenza non è mai troppa, vanno aggiunte altre regole da seguire.

  • Non cliccare mai sui link presenti in e-mail sospette.
  • Accedi ai servizi sempre dal sito ufficiale, digitando manualmente l’indirizzo www.poste.it nel browser.
  • Non scaricare allegati da messaggi di cui non sei sicuro.
  • Diffida dei messaggi urgenti che ti mettono fretta nel compiere un’operazione finanziaria.

Questi sono i consigli che provengono da Kaspersky, ma anche sul sito di Poste Italiane, alla sezione sicurezza, c’è una pagina ad hoc, “Come difendersi dalle truffe”, che spiega come tenersi al riparo dai cybercriminali che sfidano le vulnerabilità della rete. Anzitutto Poste Italiane spiega che l’azienda non chiede mai in nessuna modalità (e-mail, sms, chat di social network, operatori di call center, Ufficio Postale e prevenzione frodi) le credenziali di accesso, i dati delle carte – come Pin o CVV – i codici segreti per autorizzare le operazioni.

E ancora: “Non ti sarà mai richiesto di disporre transazioni di qualsiasi natura paventando falsi problemi di sicurezza sul tuo conto o la tua carta né tantomeno spingendoti a recarti in Ufficio Postale o in un ATM per effettuarle”.

In caso di dubbio, comunque vale sempre la pena di segnalare direttamente a Poste Italiane eventuali e-mail di phishing, inoltrandole all’indirizzo [email protected]. Immediatamente dopo vanno cestinate e cancellate anche dal cestino.

Ma come riporta il sito di Poste Italiane non c’è solo il Phishing come attività malevole, perché esistono anche altre tipologie di truffe informatiche. Ecco quali:

  • Vishing (Voice Phishing): Il truffatore ti telefona fingendosi un operatore di call center. Con la scusa di un problema tecnico, cerca di convincerti a dettare le tue credenziali bancarie, i dati della carta o i codici OTP.
  • Smishing (SMS Phishing): Ricevi un SMS che sembra provenire da un ente ufficiale (banca, poste, corrieri) contenente un link malevolo. Cliccandoci, verrai indirizzato su un sito falso creato per rubare i tuoi dati riservati.
  • Truffe sui Social: Il frodatore usa profili falsi per rispondere ai tuoi commenti pubblici sulle pagine ufficiali delle aziende. Sposta poi la conversazione in chat privata per richiederti password e codici di accesso.
  • Cash for SMS: App (spesso illecite) che promettono guadagni in cambio della “vendita” dei tuoi SMS non utilizzati. Queste app mettono a rischio la tua identità digitale e la sicurezza del tuo smartphone.

Insomma può sembrare oneroso in termini di tempo speso e di soglia di attenzione, eseguire tutti questi passaggi. Ma ne vale della vostra sicurezza. Poi se esauriti tutti i controlli, vi resta comunque il dubbio che la mail possa non essere vera, l’ultimo sforzo è quello di chiamare il Servizio Clienti di Poste Italiane per avere l’ufficialità.

Categorie: Formazione, Genitori Digitali, Notizie, Sicurezza digitale
Tags: , , ,
genitori-digitali
Genitori Digitali

Articoli Correlati

Psycho-hacking: il lato oscuro dell’ingegneria sociale

Lo psycho-hacking è una forma avanzata e più subdola di ingegneria sociale, che sfrutta deliberatamente e strategicamente le vulnerabilità psicologiche proprie dell’essere umano per raggiungere specifici target di attacco. Conoscerne i rischi e gli obiettivi per difendersi
L’articolo Psycho-hacking: il lato oscuro dell’ingegneria sociale proviene da Agenda Digitale.

agenda-digitale
Agenda 09/06/2025
SPID

SPID cos’è, per cosa si può usare e per chi è obbligatorio. Guida completa

Tutto ciò che c’è da sapere su SPID, in un articolo continuamente aggiornato a cura degli Osservatori Digital Innovation del Politecnico di Milano: da come si ottiene l’identità digitale a quanto dura la validità.
L’articolo SPID (Sistema Pubblico di Identità Digitale), cos’è, qual è l’ambito di utilizzo, per cosa si può usare e per chi è obbligatorio proviene da Agenda Digitale.

agenda-digitale
Agenda 07/03/2025