Campagna di phishing — “Richiedi ora la tua Garmin Dash Cam gratuita”
07 aprile 2026
| AVVISO DI SICUREZZA È tornata in circolazione una campagna di phishing che imita le comunicazioni di UnipolSai Assicurazioni per attirare le vittime con la promessa di una Garmin Dash Cam gratuita. Non si tratta di una promozione reale: UnipolSai non ha mai attivato questa iniziativa. Non cliccare su alcun link o pulsante presente nel messaggio. |
Cos’è questa email e perché torna periodicamente
Periodicamente torna in circolazione una campagna di phishing che sfrutta il nome e il logo di UnipolSai Assicurazioni — tra le principali compagnie assicurative italiane — per attirare le vittime con la promessa di un premio gratuito: in questa versione una Garmin Dash Cam, la telecamera da cruscotto per la registrazione degli incidenti stradali.
Il messaggio si presenta come una comunicazione ufficiale di una fantomatica “partnership esclusiva UnipolSai-Garmin” e informa il destinatario di essere stato “selezionato tra 1.000 conducenti” per ricevere il dispositivo gratuitamente, a patto di completare un breve sondaggio. Si tratta di una tecnica di ingegneria sociale ben collaudata, nota come phishing a premi o survey scam.
La campagna ricompare con cadenza periodica, spesso con piccole variazioni nel premio promesso o nel layout grafico, ma il meccanismo è sempre lo stesso. In passato sono circolate versioni analoghe che sfruttavano i nomi di altre compagnie assicurative, istituti bancari e grandi marchi della distribuzione.
Analisi del messaggio: i segnali d’allarme
Nonostante la grafica professionale e il logo autentico di UnipolSai, il messaggio presenta numerosi elementi inequivocabili di frode:
| Elemento | Dettaglio |
| Mittente dichiarato | UnipolSai Assicurazioni |
| Indirizzo mittente reale | 3508_rep_bWVsaXRlbnNpc0B0aXNjYWxpLml0@travelwoorid.com |
| Dominio del mittente | travelwoorid.com — nessuna relazione con unipolsai.it |
| Oggetto | Richiedi ora la tua Garmin Dash Cam gratuita |
| Premio promesso | Garmin Dash Cam gratuita per 1.000 “conducenti selezionati” |
| Azione richiesta | Compilare un sondaggio tramite link nel messaggio |
| Tecnica di pressione | “Unità limitate, fino a esaurimento scorte” |
| Partnership citata | Falsa partnership UnipolSai + Garmin — inesistente |
| Grafica | Logo UnipolSai reale copiato per aumentare credibilità |
Il segnale più evidente: il dominio del mittente
L’indirizzo completo da cui proviene il messaggio è:
3508_rep_bWVsaXRlbnNpc0B0aXNjYWxpLml0@travelwoorid.com
Questo indirizzo è un segnale di allarme immediato e inequivocabile per diversi motivi:
- Il dominio travelwoorid.com non ha alcuna relazione con UnipolSai — si noti anche il probabile errore ortografico (“woorid” invece di “world”), tipico dei domini registrati frettolosamente dai truffatori
- La parte prima della @ è una stringa alfanumerica casuale e lunga, caratteristica degli indirizzi generati automaticamente per le campagne massive di spam
- UnipolSai comunica esclusivamente da domini ufficiali come @unipolsai.it o @unipol.it — mai da servizi di terze parti non correlati
- Nessuna partnership commerciale legittima tra un’assicurazione e un produttore di dispositivi elettronici verrebbe gestita tramite un dominio completamente estraneo a entrambi
Come funziona il phishing a premi: le fasi dell’attacco
Questo tipo di truffa, denominato survey scam o phishing a premi, segue uno schema ben definito che si ripete con minime variazioni:
- La vittima riceve l’email con la promessa del premio gratuito e, incuriosita o attratta dall’offerta, clicca sul pulsante “PARTECIPA A UN SONDAGGIO”.
- Viene reindirizzata su un sito fraudolento che imita graficamente quello di UnipolSai o di un presunto partner. Il sito propone un questionario di poche domande banali, progettato per far sembrare legittimo il processo.
- Al termine del sondaggio viene comunicato che la vittima ha “vinto” il premio. Per riceverlo, viene chiesto di inserire nome, cognome, indirizzo di spedizione, numero di telefono e — nella maggior parte dei casi — i dati della carta di credito per coprire le “spese di spedizione” di pochi euro.
- I dati della carta vengono rubati. Le spese di spedizione sono solo il pretesto: in realtà viene attivato un abbonamento ricorrente difficile da cancellare, oppure i dati vengono rivenduti o utilizzati per ulteriori frodi.
- Il premio non arriva mai. La vittima si ritrova con i dati personali compromessi, possibili addebiti non autorizzati e, in alcuni casi, con il numero di telefono inserito in liste di telemarketing aggressivo.
Perché questa truffa continua a funzionare
Nonostante sia una tecnica nota, il phishing a premi continua a fare vittime per ragioni precise:
- Il premio è desiderabile e concreto: una dash cam è un oggetto utile, riconoscibile e dal valore percepito elevato — ben diverso da vaghe promesse di denaro
- Il contesto è credibile: le compagnie assicurative fanno realmente iniziative con partner tecnologici, quindi la storia della “partnership UnipolSai-Garmin” non suona immediatamente assurda
- La grafica è professionale: logo, colori e stile tipografico di UnipolSai sono riprodotti fedelmente
- La scarsità artificiale funziona: la frase “unità limitate, fino a esaurimento scorte” spinge ad agire d’impulso senza riflettere
- Essere “selezionati” crea un senso di esclusività: la comunicazione è personalizzata e fa leva sull’ego del destinatario
- L’importo richiesto è minimo: chiedere pochi euro per la spedizione abbassa enormemente la guardia rispetto a una richiesta di pagamento diretta
Cosa fare se si riceve questo messaggio
| ✔ DA FARE Ignorare e cancellare il messaggioSegnalarlo all’amministratore ITSe si hanno dubbi sulla veridicità, verificare direttamente sul sito ufficiale unipolsai.it o contattare la propria agenziaSe si sono già inseriti dati della carta: contattare immediatamente la propria banca per bloccare la carta e contestare eventuali addebitiSe si è fornito il numero di telefono: aspettarsi chiamate di spam e valutare di segnalarlo al Garante Privacy | ✘ DA NON FARE Non cliccare su nessun link o pulsante nel messaggioNon compilare il sondaggio: è solo il pretesto per raccogliere datiNon inserire dati della carta, nemmeno per “spese di spedizione” minimeNon fornire il numero di telefono o l’indirizzo di casaNon fidarsi del logo: la grafica autentica non garantisce la legittimità del messaggio |
La regola d’oro contro il phishing a premi
Nessuna azienda legittima regala prodotti di valore tramite email non richieste. UnipolSai, Garmin e qualsiasi altro brand di reputazione non seleziona casualmente i destinatari delle proprie email per omaggiarli con dispositivi elettronici. Qualsiasi comunicazione di questo tipo — indipendentemente da quanto sembri autentica — è con altissima probabilità una truffa.
La domanda da porsi ogni volta che si riceve un’email con un premio è semplice: ho partecipato a un concorso o a un’iniziativa promozionale di questa azienda? Se la risposta è no, il messaggio è falso.
