Un'email che sembra arrivare da pagoPA con la comunicazione di una sanzione amministrativa da pagare, con tanto di numero di pratica, data di scadenza e link per effettuare il pagamento direttamente online. Potrebbe sembrare la comunicazione ufficiale di una multa, invece è l'ennesima truffa online.

Come ha segnalato lo stesso sito ufficiale di pagoPA, negli ultimi mesi a molte persone in Italia potrebbe essere arrivato un messaggio, via email o sms, che sembra provenire proprio da pagoPA, dove si comunica al destinatario che c'è una sanzione amministrativa da pagare a suo carico – spesso motivata con una presunta infrazione del codice della strada – e viene spiegato come fare per evitare ulteriori sanzioni.

Come funziona la truffa

La tecnica è ormai nota ed è tra gli escamotage più spesso utilizzati dai cybercriminali. Il termine tecnico è "phishing" e consiste nell'usare l'identità di un'azienda, un ente, perfino una persona, nota al grande pubblico e percepita come sicura e affidabile, per ingannare le vittime e farle cadere nella loro trappola, spingendo a cedere dati personali, comprese password e dati bancari. In questo caso specifico l'ente scelto come "copertura" è proprio pagoPa, il servizio centralizzato gestito dal MEF per i pagamenti digitali a favore delle pubbliche amministrazioni e dei gestori dei pubblici servizi.

"Se ricevi un’email che ti chiede di pagare con urgenza a nome di pagoPA, non cliccare su link sospetti e verifica sempre con l’ente creditore", spiega il sito ufficiale di pagoPA, in una pagina dedicata proprio ai tentativi di truffa che sfruttano il suo nome.

Cosa c'è scritto nel finto messaggio da pagoPA

Questi messaggi infatti cercano di utilizzare tutti gli strumenti possibili per ingannare le vittime. Ad esempio, provano a replicare il logo di pagoPA, utilizzando una scritta bianca su uno sfondo blu, usano un linguaggio abbastanza formale, indicano un importo credibile, di solito qualche centinaio di euro, e inseriscono perfino un presunto numero di pratica.

Ovviamente, poi, i truffatori cercano di fare leva sulla paura del destinatario, spingendolo a fare il pagamento richiesto il prima possibile, con la minaccia di ulteriori sanzioni in caso di mancato pagamento entro la data indicata.

Come riconoscere una truffa

In realtà, anche se a una prima lettura veloce può sembrare davvero la comunicazione ufficiale di una multa da pagare, ci sono diversi dettagli che possono servire da guida per capire se si tratta quasi sicuramente di una truffa. Come conferma pagoPA, la prima cosa da guardare sono i contatti da cui arriva il messaggio, quindi email o numero di telefono, e verificare che corrispondano a quelli ufficiali degli enti da cui il messaggio sembra arrivare.

Per quanto riguarda questo caso specifico, l'email ufficiale di pagoPA è noreply-checkout@ricevute.pagopa.it. Le email utilizzate dai cybercriminali provano a imitare quelle ufficiali, ma c'è quasi sempre qualche dettaglio che non corrisponde. È fondamentale infatti controllare anche il dominio: nei tentativi di phishing difficilmente coincide con quello ufficiale.

I campanelli d'allarme

Ma anche il messaggio può contenere diversi campanelli d'allarme, sia nel contenuto che nella forma. Per quanto riguarda il contenuto, non bisogna mai fidarsi di email che chiedono di comunicare informazioni personali, come password, dati bancari o numeri di carta di credito. Neanche se sembra trattarsi di presunte sanzioni amministrative: "pagoPA – si legge sul sito della piattaforma – non richiede mai tali informazioni tramite email o SMS".

Per quanto riguarda invece il formato, un trucco utile per scovare i tentativi di truffa consiste nell'osservare se ci sono eventuali errori di grammatica e ortografia, ma anche imprecisioni nella punteggiatura: difficilmente un messaggio istituzionale li contiene.

Come capire se si tratta davvero di una multa

Queste truffe cercano di ingannare le proprie vittime simulando situazioni verosimili, come appunto la comunicazione di una multa per un'infrazione del codice stradale. Chi riceve un messaggio di questo tipo può infatti pensare che sia reale, ma in caso di messaggi sospetti – spiega pagoPA – è sempre possibile verificare se l'importo sia effettivamente dovuto.

Per farlo basta andare sul sito ufficiale dell'ente da cui la richiesta di pagamento sembra provenire, digitando il sito direttamente sul motore di ricerca e non attraverso i link presenti nel messaggio, e accedere attraverso CIE o SPID. Queste modalità di accesso permettono infatti un elevato grado di sicurezza per l'utente. Per pagoPA il sito corretto e ufficiale è il seguente: https://checkout.pagopa.it/.

Se il pagamento non risulta, è importante non rispondere in nessun modo al messaggio e segnalare alla Polizia Postaleil tentativo di truffa subito.

Ma anche qualora risultino eventuali pagamenti dovuti, gli unici modi ufficiali e quindi affidabili con cui pagare un'eventuale sanzione amministrativa sono quelli indicati nella comunicazione ufficiale. Infine, vale la pena ricordare che il pagamento tramite l'app pagoPA è possibile solo inquadrando il codice QR dell’avviso o inserendo manualmente il Codice Avviso e il Codice Fiscale Ente Creditore. Sul sito ufficiale sono indicate tutte le modalità ufficiali e sicure.