Truffe PagoPA e via PEC: come avvengono, le statistiche e come difendersi

123Rf

CERT-AGID, la struttura che si occupa di supportare la Pubblica Amministrazione nel tentativo di prevenire gli incidenti di sicurezza informatica, ha pubblicato un nuovo report, relativo al 2025, sulle campagne malevole registrate lo scorso anno. L’indagine ha confermato che, complessivamente, sono state individuate 3.620 campagne malevole. In aggiunta, viene evidenziato come le campagne di phishing e malware riguardino principalmente ordini e spedizioni, home banking, multe e pagamenti. I nuovi trend che caratterizzano il settore sono rappresentati, principalmente, dai tentativi di truffa a tema PagoPA e dall’utilizzo delle PEC come canale per effettuare attacchi.

• Il phishing a tema PagoPA
• Le truffe via PEC
• Le altre truffe
• Come difendersi

Il phishing a tema PagoPA

Una delle novità del 2025, evidenziate dal report, riguarda una vera e propria ondata di phishing a tema PagoPA. Le indagini hanno confermato, infatti, ben 328 campagne specifiche basate su falsi solleciti di pagamento, presentati come avvisi PagoPA e prevalentemente legati a inesistenti sanzioni stradali.

Il meccanismo è molto semplice ma anche molto efficace: gli utenti vengono indirizzati su pagine web opportunamente contraffatte, in modo da imitare i portali ufficiali, e vengono spinti a inserire i propri dati personali e i dettagli delle carte di pagamento. In questo modo, i truffatori possono entrare in possesso dei dati della vittima.

Un esempio di messaggio di truffa.

Le truffe via PEC

Un altro trend che si sta diffondendo è quello dell’uso della PEC come vettore di attacco, con un numero di casi quasi raddoppiato su base annua. Si tratta di un’altra fonte di pericolo da non sottovalutare.

La posta elettronica certificata viene utilizzata, in particolare, per la diffusione di malware avanzati, come ad esempio MintsLoeader, oltre che per tentativi di phishing, principalmente mirati alla sottrazione di credenziali bancarie.

Le truffe via PEC puntano ad aggirare gli utenti, spingendoli a commettere errori sfruttando il fatto che le vittime potrebbero ritenere sicuri i messaggi certificati ricevuti tramite la casella di posta elettronica.

Le altre truffe

L’indagine ha evidenziato un calo delle truffe via SMS, che però restano una minaccia concreta e da non sottovalutare. Si registra anche una sostanziale crescita delle campagne malware che adottano la tecnica ClickFix per spingere l’utente a effettuare operazioni in grado di mettere a rischio il proprio dispositivo.

Da non sottovalutare, naturalmente, i pericoli legati all’intelligenza artificiale, sia come strumento di supporto operativo per gli hacker che come elemento di pressione psicologica nelle estorsioni, legate principalmente a data leak.

Come difendersi

Le minacce informatiche possono mettere a rischio i dati dell’utente. Per questo motivo, è fondamentale agire sempre con molta attenzione. Difendersi dagli attacchi informatici e dalle truffe, come il phishing, è possibile.

Per prima cosa è importante sempre diffidare dalle richieste ricevute (via mail, via SMS etc.). I tentativi di phishing sono sempre più sofisticati e possono facilmente trarre in inganno.

È utile ricorrere a sistemi di protezione, con tool antivirus in grado di sfruttare funzionalità avanzate, come la protezione dagli attacchi informatici avanzati, come i ransomware, e anche la capacità di rilevare e bloccare i tentativi di phishing, aiutando l’utente.