Arriva una mail con oggetto: “Il tuo Spid di Poste Italiane è stato sospeso: riattivalo ora”. Grafica perfetta, loghi ufficiali, italiano corretto, tono pacato. Sembra tutto autentico. Ma è una truffa. Ecco come riconoscerla passo dopo passo e come difendersi.
Perché questa truffa è diversa dalle altre
Il phishing classico si riconosce facilmente: errori grammaticali, toni allarmistici, grafica approssimativa. Questa email, invece, non presenta nessuno di questi difetti. Comunica con calma che il canone annuale dello Spid “non è stato ancora pagato” e propone due soluzioni: recarsi in un ufficio postale oppure cliccare su un link. Nessun ultimatum, nessuna minaccia. Proprio per questo è così pericolosa.
Poste Italiane, nella sezione sicurezza del proprio sito, è molto chiara su questo punto: l’azienda non richiede mai tramite email, Sms, telefono, social o sportello credenziali di accesso, Pin, Cvv o codici Otp. Non invita mai a effettuare transazioni per risolvere presunti problemi di sicurezza, né a recarsi presso Atm o uffici postali per questo tipo di operazioni.
Tre controlli da fare prima di cliccare
Prima di cliccare, è utile effettuare tre verifiche rapide che possono fare la differenza:
- controllare il dominio dell’indirizzo email del mittente;
- passare il mouse sul link senza cliccare;
- verificare direttamente sull’app ufficiale.
È importante controllare con attenzione l’indirizzo del mittente, non solo il nome visualizzato. Nel caso del phishing Spid, ad esempio, il mittente era mail@comunicazioni.poste.it: plausibile, ma falso. Tutte le comunicazioni ufficiali di Poste Italiane arrivano esclusivamente da indirizzi con dominio @posteitaliane.it. Qualsiasi variazione è un segnale di allarme.
Prima di aprire qualsiasi link, si deve posizionare il cursore sopra senza cliccare. In basso a sinistra del browser apparirà l’indirizzo reale di destinazione. Se non contiene il dominio ufficiale dell’azienda (ad esempio, nel caso descritto iniziava con “public-eur”, senza alcun riferimento a Poste Italiane) non bisogna cliccare.
Infine, si può aprire l’app ufficiale (come Poste ID) e controllare lo stato del proprio account. Se tutto risulta attivo e regolare, la mail è falsa. Non fidarti mai di comunicazioni esterne: verifica sempre direttamente dalla fonte ufficiale.
Cos’è il phishing e le altre truffe da conoscere
Il phishing è una tecnica di frode informatica. Sfrutta messaggi ingannevoli per indurre l’utente a cliccare su link che portano a siti contraffatti, visivamente identici a quelli ufficiali. L’obiettivo è rubare credenziali di accesso, numeri di carta di credito e codici Otp.
Nel caso descritto, la truffa è costruita con una cura rara: nessun elemento visivo fuori posto, linguaggio istituzionale e persino l’alternativa “fisica” dell’ufficio postale per risultare ancora più credibile.
Il phishing via email è solo una delle minacce. Esistono varianti altrettanto insidiose:
- Vishing (Voice Phishing): un finto operatore di call center chiama la vittima e, con la scusa di un problema tecnico, cerca di ottenere credenziali bancarie o codici Otp;
- Smishing (Sms Phishing): un Sms apparentemente proveniente da una banca o da un corriere contiene un link malevolo verso un sito falso;
- Truffe sui social: profili falsi rispondono ai commenti pubblici sulle pagine ufficiali delle aziende, per poi spostare la conversazione in privato e richiedere password e codici;
- Cash for Sms: app che promettono guadagni in cambio degli Sms “inutilizzati”, mettendo a rischio identità digitale e sicurezza del dispositivo.