La nuova truffa “del telegramma” fa vittime ovunque: come riconoscerla e proteggersi
Nel contesto della crescente digitalizzazione dei servizi pubblici e privati, Poste Italiane si è affermata come uno dei principali attori nel settore della gestione delle identità digitali tramite SPID (Sistema Pubblico di Identità Digitale).
Tuttavia, con l’aumento dell’utilizzo di questo sistema, cresce anche il rischio di incappare in truffe online sempre più sofisticate. Una delle ultime minacce che sta allarmando gli utenti è la truffa del “SPID inattivo”, un attacco di phishing che mira a rubare i dati sensibili degli utenti e a svuotare i conti correnti, in particolare le carte prepagate Postepay.
Come funziona la truffa SPID inattivo
L’allarme è stato lanciato dalla famosa azienda di sicurezza informatica Kaspersky, che ha evidenziato un’impennata nelle attività di phishing relative agli account SPID. Gli attaccanti si infiltrano nei dispositivi degli utenti con l’obiettivo di sottrarre le credenziali di accesso, per poi trasferire i fondi dalle carte Postepay, che sono tra le più utilizzate in Italia.
La truffa si sviluppa generalmente tramite email che appaiono come comunicazioni ufficiali da parte di Poste Italiane, ma che in realtà sono manipolazioni ingannevoli. Una delle varianti più comuni è il messaggio che avvisa l’utente della “sospensione” o “inattivazione” del proprio SPID a causa del passaggio al sistema a pagamento.
L’email, che sembra del tutto legittima, invita il destinatario a riattivare l’account fornendo i propri dati di accesso. Una volta che l’utente cade nel tranello e inserisce le proprie credenziali, gli attaccanti ottengono accesso diretto al suo account SPID.
Un altro tipo di truffa, altrettanto pericoloso, si presenta sotto forma di “Nuovo Telegramma”, una comunicazione via email che simula l’invio di un telegramma, con tanto di codice identificativo fittizio.
In questa variante, l’utente viene indirizzato a un sito che richiede i dati della sua carta Postepay per l’attivazione di un inesistente “Sistema Web Postepay”. Anche se il sito appare simile a quello ufficiale di Poste Italiane, si tratta in realtà di una replica creata per carpire informazioni sensibili.
Il meccanismo alla base di entrambe le truffe è simile: l’utente viene indotto a fornire i propri dati di accesso o le informazioni bancarie in un sito che sembra ufficiale ma che è, in realtà, gestito dai truffatori. Una volta ottenuti i dati, questi vengono utilizzati per svuotare il conto o la carta prepagata dell’ignaro malcapitato.
Come difendersi
Nonostante l’ingegnosità di queste truffe, è possibile proteggersi adottando alcune semplici ma fondamentali precauzioni. La regola principale è non agire d’impulso quando si riceve una comunicazione di questo tipo. Se un’email chiede di inserire dati sensibili, non cliccare mai sui link presenti.
La soluzione migliore è visitare direttamente il sito ufficiale dell’istituto, digitando l’indirizzo web nella barra del browser (per Poste Italiane, ad esempio, si può andare su poste.it) piuttosto che seguire il link ricevuto nell’email.
In caso di dubbi, è sempre utile contattare il Servizio Clienti di Poste Italiane, o dell’istituto coinvolto, per verificare la veridicità della comunicazione. Poste Italiane ha, inoltre, messo a disposizione una sezione dedicata alla sicurezza online sul proprio sito, che fornisce consigli su come riconoscere e proteggersi dalle truffe più comuni.
Infine, l’adozione di strumenti di sicurezza aggiuntivi, come l’autenticazione a due fattori, può rendere molto più difficile l’accesso non autorizzato agli account bancari e alle identità digitali.
La truffa “SPID inattivo” è solo l’ultima di una lunga serie di attacchi informatici che utilizzano il marchio Poste Italiane e il tema della digitalizzazione dei servizi per ingannare gli utenti. La crescente sofisticazione di queste truffe sottolinea l’importanza di un’educazione digitale e di una vigilanza costante.
