ALLERTA PHISHING
un tentativo classico
Negli ultimi giorni sta circolando una nuova campagna di phishing che sfrutta il marchio PayPal per indurre le vittime a consegnare, in un colpo solo, carta d’identità, prova di residenza, dati bancari e documentazione reddituale. Non è una truffa banale: il testo è curato, cita in modo plausibile la normativa antiriciclaggio e costruisce un impianto psicologico efficace. Vale la pena analizzarla nel dettaglio, perché lo schema che usa è lo stesso che ritroveremo, con altri marchi, nei prossimi mesi.
Il pretesto: obblighi antiriciclaggio
Il messaggio si presenta come una comunicazione ufficiale di “PayPal Europe S.à r.l. & Cie, S.C.A.”, con tanto di sede di Lussemburgo e numero di riferimento pratica univoco (nel formato VERIF-AAAA-MMGG-URGENTE). Il corpo del testo dichiara che, in conformità agli obblighi di legge in materia di lotta al riciclaggio e al finanziamento del terrorismo, l’account è stato sottoposto ad analisi e sospeso temporaneamente.
È una scelta di pretesto tutt’altro che casuale: la normativa AML è reale, i fornitori di servizi di pagamento sono davvero tenuti a verifiche periodiche sui propri utenti, e questo rende il messaggio plausibile anche per chi ha una minima infarinatura delle regole del settore. Il destinatario non ha gli strumenti per smontare l’argomento “è la legge che lo impone”, e quindi tende ad abbassare la guardia.
I quattro documenti richiesti
La parte più pericolosa del messaggio è la lista dei documenti che la vittima dovrebbe caricare per “riattivare” il conto:
- Documento d’identità valido — fronte e retro di carta d’identità, passaporto o patente
- Certificato di residenza recente — bolletta o estratto conto datato meno di tre mesi
- Estratto conto bancario o carta bancaria associata — con l’indicazione, quasi a voler apparire prudenti, di mascherare le prime otto cifre
- Giustificativo di attività / provenienza dei fondi — fatture, contratti, buste paga o attestazione del datore di lavoro
Con questi quattro elementi un malintenzionato ha in mano tutto ciò che serve per un furto d’identità completo: apertura di conti a nome della vittima, richieste di credito, SIM swap, o la vendita del pacchetto documentale sul mercato nero. Non è più “solo” un furto di credenziali PayPal: è un dossier da furto d’identità confezionato dalla vittima stessa, convinta di stare collaborando con la propria banca.
Le leve psicologiche usate
Il messaggio combina diverse tecniche classiche di ingegneria sociale, rese più efficaci dalla combinazione tra loro:
- Autorità normativa: il riferimento esplicito alla normativa antiriciclaggio sposta la responsabilità percepita dal mittente verso il destinatario, che deve adempiere per non subire conseguenze.
- Urgenza con scadenza netta: un termine di 48 ore, ripetuto due volte nel messaggio, con la minaccia esplicita di chiusura definitiva del conto in caso di mancato invio.
- Percorso guidato e rassicurante: le istruzioni promettono un SMS di verifica dell’identità e un limite ai formati accettati (PDF, JPG, PNG), dettagli che danno l’impressione di un processo strutturato e legittimo.
- Richiamo alla privacy: la citazione del GDPR nel corpo del messaggio serve a rassicurare proprio sul punto più delicato, cioè la sicurezza dei dati che si stanno per consegnare.
- Firma personale e recapito telefonico: il messaggio è firmato da un nome e cognome specifici con tanto di ruolo (“Responsabile Conformità”) e numero di telefono lussemburghese, dettagli che aumentano la sensazione di interlocutore reale e raggiungibile.
I segnali che tradiscono la truffa
Anche in un messaggio curato come questo, alcuni elementi restano fuori posto per chi sa dove guardare:
- Nessuna richiesta di documenti via email: un servizio come PayPal non richiede mai l’invio di documenti d’identità, estratti conto o buste paga via email o tramite link ricevuti via email. Le verifiche di questo tipo avvengono esclusivamente accedendo direttamente all’app o al sito ufficiale, digitando l’indirizzo a mano.
- La scadenza a 48 ore è sproporzionata rispetto a qualunque reale procedura di verifica bancaria, che prevede tempi più lunghi e comunicazioni multiple.
- La richiesta cumulativa di quattro categorie di documenti in un solo invio non corrisponde a nessuna prassi KYC reale, che procede per gradi.
- Il pulsante di call-to-action porta quasi certamente a un dominio che imita solo nell’aspetto quello ufficiale di PayPal: prima di cliccare va sempre controllato l’URL completo.
- Toni di urgenza uniti a linguaggio formale/legale sono un classico schema che compare identico, cambiando solo il marchio, in campagne che imitano Aruba, Klarna, DocuSign o le principali banche italiane.
Cosa fare se si riceve un messaggio simile
- Non cliccare sul pulsante né su alcun link presente nel messaggio.
- Non allegare né inviare alcun documento.
- Verificare lo stato reale del proprio account collegandosi direttamente a paypal.com digitando l’indirizzo nel browser, oppure tramite l’app ufficiale.
- Segnalare il messaggio come phishing tramite l’apposita funzione del client di posta e, se si desidera, inoltrarlo a phishing@paypal.com, indirizzo che PayPal mette a disposizione proprio per questo scopo.
- Se per errore sono già stati inviati documenti o dati, contattare immediatamente l’assistenza PayPal dai canali ufficiali, valutare il blocco delle carte/conti collegati con la propria banca e monitorare i movimenti nei giorni successivi.
Una nota per aziende, hotel e call center
Per le realtà che gestiscono pagamenti online o hanno reparti amministrativi che processano fatture e conti correnti — hotel, call center, piccole imprese — questo tipo di campagna è particolarmente insidioso perché il pretesto “antiriciclaggio” suona familiare a chi è abituato a procedure di adeguata verifica della clientela.
Punto chiave da inserire nella formazione del personale
Nessun ente finanziario chiede mai, via email, l’invio di documenti d’identità o estratti conto. Qualunque comunicazione che lo faccia va trattata come sospetta a prescindere da quanto appaia curata.


Articolo a cura di Docline Service & Networking — sicurezza informatica e consapevolezza digitale per aziende e professionisti.