Allerta truffe online: la Polizia segnala nuovi raggiri e furti dati

Il Centro Operativo Sicurezza Cibernetica (C.O.S.C.) dell'Umbria ha rilevato una preoccupante ondata di attacchi informatici nelle ultime settimane. Sfruttando la reputazione di istituzioni note, i criminali mirano a sottrarre dati personali e finanziari ai cittadini ignari. In questo articolo analizziamo nel dettaglio le principali campagne di phishing e smishing identificate dalla Polizia di Stato e le strategie per non cadere nella trappola.

Le tattiche dei criminali informatici

I truffatori digitali affinano costantemente le loro tecniche per sembrare sempre più credibili. La strategia principale consiste nel clonare loghi e stili di comunicazione di enti pubblici o grandi aziende.

L'obiettivo è creare un senso di urgenza o di opportunità imperdibile per spingere la vittima a cliccare su link malevoli. Una volta atterrati su siti fraudolenti, agli utenti viene richiesto di inserire informazioni sensibili, credenziali bancarie o codici di accesso.

Le 10 truffe più diffuse segnalate dalla Polizia

Di seguito riportiamo l'elenco delle campagne fraudolente monitorate recentemente, con i dettagli su come riconoscerle.

1. Agenzia delle Entrate e il finto modulo criptovalute

Questa campagna di phishing sfrutta la paura di sanzioni fiscali. Arriva una richiesta di compilare una "Dichiarazione Fiscale Criptovalute" per presunte scadenze imminenti.

Il sito clone è molto curato, con riferimenti a FAQ e GDPR. L'obiettivo è raccogliere dati anagrafici e indurre la vittima a "importare il portafoglio" crypto (specie su reti Solana ed Ethereum), permettendo ai ladri di svuotarlo.

2. Banca d'Italia e la normativa antiriciclaggio

I truffatori simulano un portale della Banca d'Italia richiedendo un aggiornamento dei dati per nuove norme antiriciclaggio.

L'utente viene invitato a selezionare la propria banca da un elenco. In realtà, il sito mira esclusivamente a rubare le credenziali bancarie e i codici OTP per autorizzare bonifici fraudolenti.

3. Ministero delle Infrastrutture e il rinnovo patente

Una e-mail ingannevole avvisa l'utente della necessità di rinnovare la patente di guida.

Il link reindirizza a una pagina che richiede una quantità eccessiva di informazioni personali, tra cui dettagli del documento, indirizzo e numero di telefono, esponendo la vittima al furto d'identità.

4. Smishing a nome di Autostrade per l'Italia

In questo caso la truffa viaggia via SMS. Il messaggio avvisa di un pedaggio non saldato di modesta entità (es. 6,50 euro).

Cliccando sul link, si apre una pagina con il logo Aspi che richiede il pagamento immediato. I criminali ottengono così i dettagli della carta di pagamento e il numero di cellulare della vittima.

5. Il falso rimborso del Fascicolo Sanitario Elettronico

Questa truffa fa leva sulla promessa di denaro. Una e-mail, che sembra provenire dal Ministero della Salute o dal MEF, annuncia un rimborso disponibile tramite il Fascicolo Sanitario Elettronico (FSE).

Per ottenerlo, l'utente deve inserire i dati della propria carta di credito, che verranno invece utilizzati per prelievi non autorizzati.

6. Multe non pagate e il clone PagoPA

I criminali utilizzano la tecnica dell'open redirect su domini legittimi (come Google) per poi reindirizzare la vittima su siti intermedi e infine su un clone di PagoPA.

L'esca è una presunta infrazione stradale da saldare. Il fine ultimo è spingere l'utente a inserire le proprie generalità complete su un portale falso.

7. Allarme sicurezza su Facebook Messenger

Gli utenti ricevono un messaggio su Messenger da un account che simula l'assistenza Meta. Il testo minaccia l'eliminazione del profilo per attività sospette.

Il link fornito porta a una falsa pagina di login. Una volta inseriti i dati, i truffatori rubano i codici di accesso alla piattaforma e prendono possesso dell'account social.

8. Punti fedeltà TIM in scadenza

Un classico caso di smishing: un SMS avvisa che i punti "TIM Point Service" stanno per scadere e devono essere riscattati subito.

Il sito truffa propone premi in cambio di una piccola commissione (es. € 0,99). Inserendo i dati per il pagamento, si consegnano i dati della carta di credito ai malintenzionati.

9. INPS e la falsa erogazione di denaro

Simile alla truffa FSE, qui si promettono soldi da parte dell'INPS. Un SMS invita a confermare l'identità per ricevere un bonifico.

La richiesta di dati è estremamente invasiva: vengono chiesti IBAN, foto fronte-retro della carta d'identità, tessera sanitaria, buste paga e persino un selfie con il documento in mano.

10. NoiPA e l'aggiornamento stipendiale

L'ultima truffa in ordine di tempo colpisce i dipendenti pubblici. Una mail invita ad aggiornare l'anagrafica sul portale NoiPA per non perdere gli aumenti di stipendio.

Il modulo fake serve a rubare le chiavi di accesso all'area riservata. I criminali possono così modificare l'IBAN per l'accredito dello stipendio o richiedere prestiti a nome della vittima.

Consigli pratici per la tua sicurezza digitale

Il C.O.S.C. Umbria raccomanda prudenza e attenzione. Ecco le regole d'oro per proteggersi:

• Verifica il mittente: Controlla attentamente l'indirizzo e-mail o il numero di telefono. Diffida se provengono da contatti sconosciuti o non ufficiali.

• Non cliccare d'istinto: Evita i link in messaggi non richiesti, specialmente quelli che mettono fretta o minacciano scadenze immediate.

• Nessuno chiede le tue password: Ricorda che banche, forze dell'ordine ed enti pubblici non chiedono mai password, PIN o codici OTP via SMS o e-mail.

• Usa solo canali ufficiali: Se hai un dubbio, non usare i link nel messaggio. Vai direttamente sul sito ufficiale dell'ente digitando l'indirizzo nel browser.

• Proteggi i documenti: Non inviare mai foto dei tuoi documenti d'identità o carte di credito su siti terzi per sbloccare presunti rimborsi.

Cosa fare se sei stato vittima di una truffa

Se hai ricevuto uno di questi messaggi e hai inavvertitamente fornito i tuoi dati, è fondamentale agire subito. Blocca le carte di credito interessate e cambia immediatamente le password degli account compromessi.

Successivamente, contatta il Centro Operativo Sicurezza Cibernetica della Polizia di Stato per sporgere denuncia e ricevere l'assistenza necessaria.