Oggetto chiaro, tono rassicurante, grafica identica a quella ufficiale: «Il tuo SPID di Poste Italiane è stato sospeso: riattivalo ora». È così che si presenta una delle campagne di phishing più insidiose degli ultimi mesi. Sono in aumento gli attacchi legati allo SPID, perché i cybercriminali puntano sempre più su servizi digitali diffusi e riconoscibili, sfruttando la fiducia degli utenti. Ma ci si può difendere e ricordarsi che oggi, più che mai, una mail «perfetta» può essere proprio quella più pericolosa. Ed è importante ricordare che Poste Italiane, nelle sue comunicazioni ufficiali, ribadisce un principio fondamentale: non richiede mai via e-mail, SMS, telefono o social dati sensibili come credenziali, PIN, codici OTP o informazioni sulle carte, né invita a effettuare operazioni per «risolvere problemi di sicurezza».
Truffa dello SPID inattivo: come funziona e perché è pericolosa
A differenza delle truffe tradizionali, la mail che simula una comunicazione ufficiale di Poste Italiane non usa toni aggressivi e di urgenza, né contiene errori evidenti. Il messaggio spiega con calma che il canone annuale dello SPID non risulta pagato e propone due soluzioni: andare in un ufficio postale oppure cliccare su un link per risolvere rapidamente il problema. Proprio questa apparente normalità la rende pericolosa. L’utente non percepisce urgenza o minaccia e abbassa le difese, finendo più facilmente nella trappola. L’obiettivo dei criminali informatici è duplice: da un lato rubare le credenziali di accesso all’identità digitale, dall’altro accedere ai conti e alle carte Postepay, tra le più diffuse in Italia.
E accanto alla truffa del falso blocco dello SPID, circolano delle varianti. Mail che simulano comunicazioni di Poste Italiane su un «nuovo telegramma» con tanto di codice identificativo; l’attivazione di servizi inesistenti come il «Sistema Web Postepay» e richieste di aggiornamento dati tramite moduli perfettamente imitati. In tutti i casi, il meccanismo è identico: convincere l’utente a cliccare su un link e inserire i propri dati su una pagina clone, visivamente indistinguibile da quella reale.
Come riconoscere l’e-mail falsa: i controlli decisivi
Ma anche se le mail sono «perfette», lasciano sempre tracce, e bastano pochi secondi per evitare conseguenze gravi. Il primo passo è sempre quello del mittente. Non bisogna fermarsi al nome visualizzato, ma verificare l’indirizzo completo. Un’email come [email protected] può sembrare plausibile, ma non è autentica, le comunicazioni ufficiali arrivano solo da domini @posteitaliane.it. Il secondo passaggio è verificare il link senza cliccare. Passando il cursore sopra, si può leggere l’indirizzo reale: se non contiene riferimenti chiari al sito ufficiale (poste.it), è molto probabile che si tratti di phishing. Infine, la verifica più sicura è quella diretta: accedere all’app ufficiale Poste ID o al sito digitando manualmente l’indirizzo nel browser. Se non risultano anomalie, la mail è falsa.
Come difendersi davvero dal phishing
In generale, per difendersi dal phishing, la prima regola è semplice: non agire d’impulso. Le truffe funzionano proprio perché spingono a reagire rapidamente. È sempre consigliabile evitare poi di cliccare su link contenuti in e-mail sospette e non scaricare eventuali allegati. Per accedere ai servizi, meglio digitare manualmente l’indirizzo ufficiale, o utilizzare le app certificate. Se si hanno dubbi, è utile contattare direttamente il servizio clienti, oppure segnalare l’e-mail sospetta all’indirizzo dedicato [email protected], contribuendo così a contrastare la diffusione di queste campagne. E poi ricordarsi: non c’è solo l‘e-mail. I tentativi di truffa possono arrivare anche tramite telefonate, SMS o social network, dove profili falsi cercano di instaurare un contatto diretto con le vittime.