Libero
SICUREZZA INFORMATICA

Sembra una multa da pagare, ma non lo è: come riconoscere la truffa PagoPA via mail

Pubblicato:

Foto di Caterina Damiano

Caterina Damiano

Giornalista

Giornalista, content editor e seo copywriter: per lavoro scrive e ottimizza i contenuti per i motori di ricerca. Dal 2022 collabora con Libero Tecnologia per la sezione Scienza.

Mail di PagoPa iStock

Appare nella casella di posta, senza passare per lo spam, con un tono formale e un riferimento a un pagamento da saldare. Il nome è quello di PagoPA, il linguaggio sembra istituzionale, il contenuto richiama multe, scadenze o comunicazioni ufficiali: basta poco per pensare che sia tutto in regola, soprattutto quando il messaggio fa leva su urgenze e (cospicui) incrementi della cifra da pagare.

Negli ultimi mesi queste comunicazioni stanno diventando sempre più frequenti e curate nei dettagli, ma bisogna davvero ricordare che spesso non si tratta di richieste reali, ma di tentativi costruiti per imitare canali e procedure della Pubblica Amministrazione. L’obiettivo è lo stesso: spingere a cliccare, inserire dati o effettuare un pagamento, sfruttando fiducia e fretta.

Come funziona la truffa?

Andiamo dunque al sodo. Come dicevamo, tutto parte da una mail che sembra in effetti arrivare da PagoPA, il sistema ufficiale utilizzato in Italia per pagare servizi e tributi verso la Pubblica Amministrazione: multe, tasse, bollette o ticket sanitari. Per i pochi che non lo conoscono, si tratta di una piattaforma che collega enti pubblici e sistemi di pagamento, e che viene usata tramite canali riconosciuti come home banking, sportelli autorizzati o app ufficiali.

Proprio perché è diffuso e affidabile, il suo nome viene spesso utilizzato come copertura nelle truffe. La mail-trappola, nello specifico, si presenta con nell’oggetto la pratica da espletare con tanto di codice identificativo: nel corpo del testo, poi, si fa riferimento a una presunta infrazione.

PagoPa, truffa via mail

Il tono è formale, i dettagli numerici sono credibili e viene indicata una scadenza ravvicinata, spesso accompagnata da un aumento dell’importo in caso di mancato pagamento. Tutto è costruito per rendere la richiesta plausibile e spingere a reagire subito cliccando sul link con la call of action Paga ora che, però, non porta al sistema reale: rimanda a una pagina che ne imita l’aspetto, dove vengono richiesti dati o un pagamento diretto che finisce ai truffatori.

La finta pagina PagoPa

Ma in che senso la pagina imita l’aspetto del sito ufficiale? Praticamente in tutti i sensi: grafica, colori e linguaggio sono proprio quelli del sistema PagoPA. A una prima occhiata sembra tutto regolare: logo, importo, codice della pratica, pulsanti per procedere con il pagamento.

Truffa pagopa, la pagina d'atterraggio

Vengono usate delle foto di sfondo basic ma che rendono il tutto più professionale, e la cosa più importante da sapere è che sul footer (in fondo alla pagina) si trovano effettivamente i riferimenti reali di PagoPa e che i link sia in fondo che in alto conducono abilmente alle vere pagine del sito ufficiale, che si aprono in una nuova scheda. Ogni parte della finta pagina è pensato per essere verosimile, di conseguenza cadere nell’inganno è tutto fuorché strano: anche i più abili possono avere qualche momento di spiazzamento e dubbio.

Come riconoscere la pagina fake di PagoPa?

Per riuscire a capire se la pagina a cui rimanda il link è falsa, bisogna per prima cosa guardare l’indirizzo del sito. In alcuni casi l’indirizzo è del tutto diverso da quello ufficial, ma alle volte contiene variazioni anche minime, parole aggiuntive o domini che non corrispondono a quelli istituzionali.

Differenze PagoPa: truffa e pagina ufficiale

A differenza del procedimento ufficiale (sempre a destra) inoltre, le richieste sono diverse da quelle previste: vengono chiesti dati sensibili non necessari o modalità di pagamento insolite. A questo si aggiungono dettagli meno evidenti, come piccoli errori nel testo o passaggi poco coerenti. Se avete anche solo il minimo dubbio, confrontate il link con la pagina ufficiale di PagoPa: vi accorgerete subito delle differenze.

I segnali di inaffidabilità della mail

Abbiamo parlato del link d’atterraggio presente nella mail truffa, ma la verità è che l’inganno è individuabile già direttamente dal messaggio. Il mittente è uno degli elementi più rivelatori, anche quando il messaggio sembra costruito bene. Anche se il nome indicato è PagoPa, la mail in chiaro rivela o un indirizzo costruito con piccole variazioni o, in questo caso (un po’ come per il sito web) un indirizzo assolutamente differente e chiaramente falso.

Mail fake, truffa PagoPa

 

Poi, bisogna ricordare che PagoPa non è un sistema che invia richieste di pagamento in autonomia, ma una piattaforma che viene utilizzata dagli enti pubblici per gestire pagamenti già esistenti. Sempre in relazione al mittente, ciò significa che non sarà mai PagoPa a invitare a pagare, ma un ente riconoscibile, come un Comune, un’azienda sanitaria o un’amministrazione centrale, che comunica un importo dovuto.

Il metodo di comunicazione reale, peraltro, è sempre ben definito: non indica una generica “infrazione del giorno X“, ma scende nel dettaglio e contiene avvisi cartacei, documenti digitali scaricabili da un’area personale, oppure notifiche all’interno di canali ufficiali come l’app IO. In tutti i casi si trovano informazioni complete e coerenti: la causale del pagamento, l’importo esatto e un codice identificativo univoco.

Non c’è e non ci sarà mai un invito a cliccare in fretta su un link esterno, ma piuttosto un’indicazione chiara su come procedere.

La “scomparsa” del sito fake

C’è da aggiungere anche il fatto che uno degli aspetti più tipici di queste truffe è la breve durata dei siti utilizzati. Le pagine create per imitare PagoPA restano online per un tempo limitato, spesso una settimana o poco più, giusto il necessario per colpire il maggior numero possibile di utenti. Dopo questo periodo, il sito viene disattivato o rimosso, risultando improvvisamente non raggiungibile o completamente offline.

Questa dinamica non è casuale, ma parte della strategia. Far sparire il sito rapidamente rende più difficile rintracciare i responsabili e ostacola eventuali segnalazioni o verifiche successive. Chi prova ad accedere di nuovo al link si trova davanti a una pagina inesistente, come se nulla fosse mai accaduto. È un comportamento tipico delle campagne di phishing, costruite per essere veloci, diffuse e difficili da tracciare nel tempo.

Un sistema in crescita

Purtroppo, le truffe che sfruttano il nome di PagoPA sono aumentate nell’ultimo anno perché fanno leva su un sistema ormai diffuso e riconosciuto. Proprio per questo, la piattaforma ha pubblicato avvisi ufficiali per mettere in guardia gli utenti, chiarendo che non invia richieste di pagamento tramite email o SMS con link diretti. La crescita di questi tentativi non è casuale: più aumenta l’uso del servizio, più diventa un riferimento credibile da imitare.

Quando si sospetta una truffa, la cosa più importante è non interagire con il messaggio: non cliccare, non inserire dati, non procedere con alcun pagamento. Come detto, è utile verificare direttamente sui canali ufficiali dell’ente indicato o accedere in autonomia ai propri servizi per controllare eventuali posizioni aperte. In caso di dubbio, è possibile segnalare il tentativo alla Polizia Postale: fermarsi un attimo e verificare resta il modo più efficace per evitare conseguenze.

Ti suggeriamo

Gatti Seregno

Ti potrebbero interessare

I più letti di Libero Tecnologia

Le migliori occasioni scelte per te

LIBERO VIRGILIO PAGINEGIALLE PAGINEGIALLE SHOP PGCASA PAGINEBIANCHE TUTTOCITTÀ DILEI SIVIAGGIA QUIFINANZA BUONISSIMO SUPEREVA
Chi siamo Note Legali Privacy Cookie Policy Preferenze sui cookie Aiuto

© Italiaonline S.p.A. 2026Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963