“Devi aggiornare i dati per non perdere il tuo aumento”: come funziona la truffa dello stipendio
Tutto inizia con una mail. È intitolata Richiesta Integrazione Dati Personali e sembra arrivare dal team NoiPA, la piattaforma che gestisce stipendi, pensioni e servizi amministrativi per i dipendenti della Pubblica Amministrazione. La mail mostra una grafica curata, quasi identica a quella ufficiale. Spiega in poche righe che si è verificato un problema. Dopo aver effettuato controlli sulla banca dati anagrafica, è emersa l'assenza di alcuni dati personali necessari "per la corretta gestione della tua posizione stipendiale".
Per fornire i dati mancanti, spiega la mail, basta accedere alla tua area riservata tramite il link allegato alla mail: il pulsante blu che appare a fine messaggio con scritto in grassetto "MODIFICA I TUOI DATI". Chi clicca cade nella trappola. Non c'è nessuna banca dati incompleta, la mail è l'esca per rubare dati, credenziali e accessi ai conti bancari
Cosa sappiamo sulla truffa degli stipendi
La mail sta arrivando a insegnati, vigili del fuoco, poliziotti, dipendenti della pubblica amministrazione. È un richiamo rassicurante ma urgente, che invita il destinatario a cliccare su un pulsante blu entro cinque giorni, pena il mancato aggiornamento della busta paga con gli aumenti previsti. E infatti, sotto il link i criminali aggiungono: "Rispondi in fretta perché questo link resterà valido per i prossimi 5 giorni. In caso contrario, la prossima busta paga non sarà aggiornata con gli aumenti previsti".
Puntano su un’emozione primaria: la paura. È proprioquesta pressione psicologica — urgenza, timore di perdere soldi — che spinge le persone a cliccare senza riflettere. Ed è in quel momento che ha inizio il furto di dati e credenziali. Il link, infatti, rimanda a un falso modulo da compilare con informazioni sensibili.
Come difendersi dalla truffa
NoiPA ha confermato che si tratta di un attacco di phishing. Secondo quanto riportato dal team, queste email fraudolente nascono da un falso “Servizio Clienti". NoiPA invita a non cliccare su indirizzi non ufficiali, come domini simili a quello istituzionale ma falsificati (“noipa.gov.mef”, per esempio) e verificare sempre l’autenticità del mittente prima di interagire con il contenuto della comunicazione. "Per motivi di sicurezza, NoiPA non richiede mai di fornire dati personali attraverso mail, SMS o applicazioni non ufficiali."
È inoltre opportuno rafforzare la sicurezza del proprio account attivando sistemi di protezione aggiuntivi come l’autenticazione a due fattori (2FA), che rende molto più difficile l’accesso anche in caso di furto delle credenziali. Parallelamente, mantenere aggiornati antivirus, sistema operativo e browser contribuisce a ridurre l’esposizione a malware e tentativi di intrusione, così come evitare connessioni Wi-Fi pubbliche o non protette quando si accede a servizi sensibili.
Infine, davanti a qualsiasi dubbio sull’autenticità di una comunicazione, la scelta più sicura resta quella di contattare direttamente il supporto ufficiale NoiPA o l’ufficio del personale della propria amministrazione, senza mai rispondere all’email sospetta né fornire dati personali attraverso canali non verificati.
