La Truffa del “Completamento Sicurezza”: Come Riconoscerla e Difendersi

Cos’è il Phishing Brandizzato

L’email nell’immagine è un classico esempio di phishing brandizzato: un messaggio fraudolento che si maschera da comunicazione ufficiale di un’azienda reale — in questo caso SumUp, la nota piattaforma di pagamenti digitali — per indurre la vittima a compiere azioni rischiose.

Le frecce nell’immagine evidenziano già due segnali di allarme immediati.

I Segnali che Tradiscono la Truffa

1. Il mittente è falso L’email sembra provenire da “SumUp”, ma l’indirizzo reale è zfollowup@usqprop.com — un dominio che non ha nulla a che fare con SumUp. Le aziende legittime comunicano sempre da domini ufficiali (es. @sumup.com).

2. Il saluto generico Il messaggio recita “Gentile Cliente,” senza nome e cognome. Le aziende con cui hai un rapporto commerciale ti conoscono e ti chiamano per nome.

3. Il senso di urgenza artificiale Frasi come “completare correttamente l’aggiornamento” e “procedere rapidamente” servono a mettere pressione psicologica, impedendo alla vittima di ragionare con calma.

4. L’immagine nera (banner vuoto) Il blocco nero in alto è probabilmente un’immagine non caricata o volutamente oscurata. Le email di phishing spesso hanno layout rotti o grafiche difettose, proprio perché non sono prodotte dai team ufficiali delle aziende.

5. Il pulsante call-to-action sospetto Il bottone verde “Completa ora gli ultimi passaggi” porta quasi certamente a un sito clone di SumUp, progettato per rubare credenziali, dati della carta o informazioni bancarie.

Come Funziona la Truffa (Il Meccanismo)

Email ingannevole
       ↓
Vittima clicca il pulsante
       ↓
Sito clone identico a SumUp
       ↓
Inserimento credenziali / dati bancari
       ↓
Furto di account e/o denaro

In alcuni casi più sofisticati, il sito falso può anche installare malware sul dispositivo della vittima o richiedere codici OTP per autorizzare transazioni fraudolente.

Cosa Fare se Ricevi un’Email Simile

Non cliccare nessun link né pulsante
Non rispondere all’email
Verifica direttamente sul sito ufficiale (digitandolo tu stesso nel browser) se c’è davvero una notifica sul tuo account
Segnala l’email come spam/phishing al tuo provider di posta
Segnala la truffa a SumUp all’indirizzo ufficiale di supporto e, se sei in Italia, al Commissariato di PS Online (commissariatodips.it)

Se Hai Già Cliccato

Non inserire nessun dato se sei ancora sul sito
Cambia immediatamente la password di SumUp dal sito ufficiale
Attiva l’autenticazione a due fattori se non l’hai già fatto
Contatta la tua banca se hai inserito dati di pagamento
Esegui una scansione antivirus sul dispositivo usato

Conclusione

Questo tipo di phishing è efficace perché sfrutta la fiducia che gli utenti ripongono in brand affermati come SumUp. La regola d’oro rimane sempre la stessa: nessuna azienda legittima ti chiederà mai di “completare verifiche di sicurezza” tramite un link inviato via email. In caso di dubbio, contatta direttamente l’assistenza ufficiale.