“Multa” via e-mail: come riconoscere la truffa e perché non rispondere mai

Pubblicato il di

Il caso reale: una multa che non esiste

Nelle ultime settimane è in circolazione una e-mail che finge di provenire da una fantomatica piattaforma di gestione infrazioni stradali. L’oggetto recita:

“Sospeso aumento importo e decurtazione punti – agisci subito”

Il mittente mostrato è “pagopa IT” con indirizzo

pago-gospos1@erpca.com — un dominio privato completamente privo di relazione con PagoPA S.p.A. o con qualsiasi ente pubblico italiano.

Il testo invita a pagare una sanzione di

280,00 € entro 48 ore per evitare l’aumento a 396,00 € e la decurtazione di 6 punti dalla patente. Un pulsante blu “Visualizza e paga la multa” porta verso un sito truffaldino.

Perché si tratta certamente di una truffa

1. Le sanzioni stradali non arrivano via e-mail ordinaria

Il Codice della Strada e il Codice del Processo Amministrativo stabiliscono in modo univoco le modalità di notifica delle sanzioni stradali in Italia:

Come vengono notificate le VERE sanzioni in Italia: Raccomandata A/R con avviso di ricevimento (art. 201 C.d.S.)PEC (Posta Elettronica Certificata) — solo verso soggetti obbligati ad averlaNotifica a mani proprie da parte degli agentiMai tramite e-mail ordinaria, mai tramite SMS, mai tramite WhatsApp

2. Il mittente non è PagoPA

PagoPA S.p.A. è la società pubblica che gestisce i pagamenti verso la PA. Il suo dominio ufficiale è pagopa.gov.it. Il mittente della mail truffaldina usa invece @erpca.com: un dominio privato non correlato in alcun modo agli enti pubblici italiani.

3. Il numero di verbale è generico e non verificabile

Il codice #R712308753407 è un numero inventato. Un vero verbale riporta: ente che ha elevato la multa, data e luogo esatti dell’infrazione, targa del veicolo, nome del verbalizzante e riferimento normativo preciso.

4. La pressione psicologica è il marchio del phishing

Frasi come “agisci subito”, “48 ore”, minaccia di aumento e decurtazione punti servono a un unico scopo: farti agire d’impulso, senza ragionare. È la tecnica standard del social engineering.

I rischi concreti se rispondi o clicchi

RISCHIO 1 — Furto di dati personali e finanziari Il sito collegato al pulsante è una copia falsa di un portale ufficialeInserendo nome, cognome, targa, patente o codice fiscale li consegni ai truffatoriQuesti dati vengono usati per truffe successive più mirate (spear phishing)
RISCHIO 2 — Furto di credenziali bancarie La pagina di pagamento finta richiede carta di credito o credenziali home bankingI dati vengono immediatamente usati per prelevare denaro dal contoIl recupero delle somme è quasi impossibile in caso di pagamento volontario
RISCHIO 3 — Installazione di malware Cliccare il link può avviare il download automatico di un trojan o ransomwareIl dispositivo viene compromesso anche senza installare nulla consapevolmenteIl malware può diffondersi in rete locale e colpire altri dispositivi aziendali
RISCHIO 4 — Conferma dell’indirizzo e-mail attivo Anche solo rispondere all’e-mail conferma ai criminali che la casella è attiva e monitorataL’indirizzo viene inserito in liste di target “confermati” vendute ad altri truffatoriAumentano esponenzialmente le e-mail di phishing ricevute in futuro

Cosa fare (e non fare) se ricevi questa e-mail

❌  NON fare: Cliccare sul pulsante o su qualsiasi linkInserire dati personali, bancari o della patenteRispondere all’e-mailAprire allegati (se presenti)Scaricare documenti collegati✅  FARE: Cancellare immediatamente l’e-mailSegnalarla come spam/phishing al proprio clientInoltrarla all’IT prima di eliminarla (per analisi)Segnalare al CERT-AgID: cert-agid.gov.itAvvisare colleghi che potrebbero riceverla

Se hai già cliccato o inserito dati: agisci subito

Azioni immediate da intraprendere: 1. Disconnetti il dispositivo dalla rete (cavo e Wi-Fi) per bloccare eventuali malware2. Contatta immediatamente l’IT — non aspettare, ogni minuto conta3. Blocca carta/conto bancario — chiama la banca e blocca le transazioni in corso4. Cambia le password da un dispositivo NON compromesso (partendo dall’e-mail)5. Sporgi denuncia alla Polizia Postale: commissariatodips.it

Indicatori tecnici di questa campagna

Mittentepago-gospos1@erpca.com  —  dominio erpca.com privato, non correlato a PagoPA
Nome visualizzato“pagopa IT” — spoofing del nome del mittente per ingannare l’utente
TecnicaUrgency phishing + brand spoofing (PagoPA + Ufficio Infrazioni)
Canale notificaE-mail ordinaria — illegale per notifica sanzioni (serve raccomandata A/R o PEC)
Firma falsa“Ufficio Infrazioni Digitali” — ente inesistente nella PA italiana

Regola d’oro: nessun ente pubblico italiano notifica sanzioni tramite e-mail ordinaria. Se non sei andato tu a cercare la notizia, non è vera.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *