LOGIN
In Breve (TL;DR)
- I truffatori usano false email pagoPA per rubare dati personali, ma segnali come mittente sospetto, richieste di credenziali e link falsi aiutano a riconoscerle.
- Per difendersi è fondamentale usare SPID o CIE, verificare sempre sul sito ufficiale e non cliccare su link presenti nelle email sospette.
Nel panorama della sicurezza informatica uno dei pericoli più insidiosi di sempre è sicuramente il phishing.
Tra le minacce più recenti, c’è quella che riguarda pagoPA, la piattaforma nazionale per pagamenti verso la Pubblica Amministrazione, con i criminali informatici che stanno inviando false email per ingannare gli utenti e indurli a compiere azioni impulsive, così da sottrarre loro credenziali d’accesso e dati personali.
Per questo motivo è importante conoscere le tecniche più utilizzate dagli hacker, in modo da non farsi trovare impreparati e navigare sempre in modo sicuro.
Come riconoscere una falsa email da pagoPA
Come appena anticipato, di solito il primo contatto tra hacker e utenti avviene tramite una falsa email che simula una comunicazione istituzionale.
Nonostante gli immensi progressi fatti dall’ingegneria sociale (grazie anche all’utilizzo di strumenti di intelligenza artificiale) riconoscere un messaggio truffa è ancora possibile, basta un po’ di senso critico e qualche piccola accortezza.
La prima cosa da fare è la verifica del mittente. Generalmente le ricevute ufficiali di pagoPA provengono esclusivamente dall'indirizzo noreply-checkout@ricevute.pagopa.it.
Importante ricordare, però, che i truffatori possono utilizzare la tecnica del typosquatting per confondere gli utenti, sfruttando indirizzi quasi identici all'originale variando una lettera o utilizzando nomi di fantasia che possono sembrare credibili a una prima occhiata.
Il secondo campanello d’allarme è la natura dei dati richiesti con pagoPA (e qualsiasi altro ente ufficiale) che non richiede mai l'invio di password, codici PIN o numeri di carta di credito tramite canali testuali. Possiamo dire, dunque, che le richieste di "aggiornamento dati" o "inserimento credenziali" arrivate tramite email sono generalmente dei tentativi di frode.
Anche analizzando il corpo del messaggio è possibile individuare tentativi di truffa. Molto spesso, infatti, questi messaggi sono generati da software di traduzione automatica o da bot, presentando refusi ortografici e una sintassi scorretta che un ente pubblico non utilizzerebbe mai.
In verità, con l’arrivo dei moderni tool AI, i testi delle mail truffa stanno diventando sempre più credibili, bisogna comunque prestare attenzione a eventuali errori nel testo e forme scorrette.
Per evitare qualsiasi truffa è importante anche effettuare un’analisi dei link contenuti all’interno del messaggio e prima di cliccare su di essi, è consigliabile passare il puntatore del mouse sopra il link (ma senza premere) e controllare basso a sinistra l'anteprima dell'URL reale.
Se per errore qualcuno ha cliccato sui link nel messaggio, è bene ricordare che gli hacker investono molte risorse nella creazione di pagine web graficamente identiche a quelle ufficiali per ingannare più facilmente gli utenti.
Per essere sicuri è bene sempre controllare l’URL e verificare che il dominio principale sia quello corretto.
Importante anche verificare il protocollo HTTPS e la presenza dell’icona del lucchetto che indicano che la connessione è cifrata e, dunque, sicura. Cliccando sul lucchetto, inoltre, è possibile visualizzare i dettagli del certificato SSL, verificando che sia stato rilasciato effettivamente a PagoPA S.p.A.
Infine, la presenza di immagini sgranate, loghi distorti o sezioni del sito non cliccabili sono tutti segnali tipici di un sito fake creato in fretta.
Come difendersi dalle truffe pagoPa
Per difendersi dagli attacchi phishing nascosti dietro false notifiche PagoPA bisogna utilizzare consapevolmente gli strumenti di identità digitale.
L'accesso con SPID (Sistema Pubblico di Identità Digitale) o CIE (Carta d'Identità Elettronica), infatti, garantisce un livello di sicurezza 2, basato sull'autenticazione a due fattori (2FA), un sistema che richiede non solo una password di accesso, ma ha bisogno anche un secondo codice temporaneo (OTP) o un'autorizzazione biometrica tramite app.
Inoltre, quando si riceve un messaggio pagoPA la prima cosa da fare è non farsi prendere dal panico e collegarsi direttamente al sito ufficiale dell'ente creditore digitando l'URL manualmente nel browser così da verificare la veridicità del messaggio ricevuto.
Chiaramente, se nel portale ufficiale non risultano avvisi di pagamento, la comunicazione ricevuta è sicuramente falsa e va cancellata immediatamente.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web
Domande frequenti (FAQ)
-
Come riconoscere una falsa email da pagoPA?Verifica il mittente, controlla la natura dei dati richiesti e analizza il corpo del messaggio per individuare eventuali tentativi di truffa.
-
Quali sono i campanelli d'allarme di una falsa email da pagoPA?Indirizzi simili per typosquatting, richiesta di dati sensibili via testo, errori ortografici e sintassi scorretta possono essere segnali di una truffa.
-
Come evitare di cadere in truffe tramite email?Analizza i link, verifica l'URL reale passando il mouse sopra di essi, controlla la grafica del sito e assicurati che la connessione sia sicura con HTTPS e lucchetto.
-
Quali sono le misure di sicurezza consigliate per difendersi dalle truffe pagoPA?Utilizza SPID o CIE per l'accesso, verifica la veridicità del messaggio collegandoti direttamente al sito ufficiale e cancella comunicazioni sospette.
