“Conferma ora la sicurezza”: la classica truffa phishing che prende di mira gli utenti SumUp (2026)
In questi giorni sta circolando una nuova ondata di email fraudolente che si spacciano per comunicazioni ufficiali di SumUp, la popolare piattaforma di pagamenti per commercianti, partite IVA e piccoli esercenti.
Il messaggio è scritto in un italiano apparentemente corretto, ma nasconde diversi campanelli d’allarme che rivelano trattarsi di una truffa phishing ben organizzata.
Ecco il testo tipico che sta girando in questi giorni (febbraio 2026):
Gentile cliente,
In conformità alla nostra politica annuale, è essenziale attivare immediatamente l’aggiornamento di sicurezza per evitare eventuali interruzioni del servizio. Tutti i pagamenti e i trasferimenti sono sospesi per motivi di sicurezza.
Ti chiediamo di assicurarti che tutte le operazioni necessarie vengano completate nel più breve tempo possibile seguendo il link:
conferma ora
Grazie per l’attenzione e la collaborazione.
Cordiali saluti,
Team Sicurezza e Conformità
Sumup
©2026 Sumup. Tutti i diritti riservati.
Perché si tratta quasi certamente di una truffa
Ecco i principali segnali di allarme:
- Urgenza creata artificialmente
Frasi come “immediatamente”, “nel più breve tempo possibile”, “pagamenti e trasferimenti sospesi” servono a mettere pressione psicologica e spingere a cliccare senza riflettere. - Mittente quasi mai @sumup.com
SumUp comunica esclusivamente da indirizzi email che finiscono con @sumup.com o @notifications.sumup.com.
Le email truffa arrivano quasi sempre da domini strani (es. @sumup-security.net, @sumup-verify.online, @services-sumup.com, domini gratuiti tipo @gmail.com, @outlook.com, ecc.). - Link sospetto
Il pulsante “conferma ora” porta quasi sempre a un sito falso che imita il design di SumUp. L’indirizzo non sarà mai sumup.com, ma qualcosa di molto simile (sumup-secure-login.com, sumup-verifica.it, sumup2026.com…). - Errore di branding e nome del team
SumUp non firma le email con “Team Sicurezza e Conformità”.
Usa di solito espressioni più neutre oppure semplicemente “SumUp Team” o “Il tuo team SumUp”. - Logo e footer copiati male
Il classico logo “s” bianco su sfondo viola è facile da copiare, così come il copyright con l’anno corrente. È uno dei trucchi più usati dai truffatori.
Cosa vogliono davvero i truffatori?
Quasi sempre l’obiettivo è uno solo:
- rubare le credenziali di accesso al tuo account SumUp (email + password + eventuale codice 2FA)
- una volta dentro, svuotare il saldo disponibile
- collegare un nuovo conto bancario intestato a loro
- oppure usare l’account per riciclare denaro sporco
In alcuni casi più sofisticati chiedono anche dati della carta o del conto collegato.
Come difendersi (regole d’oro 2026)
- Mai cliccare link ricevuti via email quando c’è urgenza di “sicurezza” o “aggiornamento”
- Accedi sempre digitando manualmente https://me.sumup.com o aprendo l’app ufficiale
- Controlla nell’app o nell’area riservata se ci sono davvero comunicazioni urgenti o blocchi
- SumUp non sospende mai i pagamenti senza preavviso e senza passaggi chiari nell’app
- Segnala sempre a security@sumup.com le email sospette (metti nell’oggetto “Phishing attempt”)
- Attiva l’autenticazione a due fattori (2FA) se ancora non l’hai fatto
In sintesi
L’email che vedi qui sopra non è di SumUp.
È una delle tante campagne phishing che sfruttano il nome di aziende finanziarie conosciute per colpire commercianti, artigiani e liberi professionisti.
Regola numero uno nel 2026: nessuna azienda seria ti chiede di “confermare ora” la sicurezza cliccando un link ricevuto via email.
Se hai dubbi, scrivi direttamente al supporto ufficiale tramite il canale nell’app o sul sito sumup.com.
Fai girare questo articolo tra colleghi commercianti: più persone lo sanno, meno vittime ci saranno.