Il CERT-AGID sta registrando un preoccupante aumento delle campagne di phishing che sfruttano il tema PagoPA per colpire gli utenti italiani. Le prime segnalazioni risalgono alla fine di marzo 2025, seguite da alcune attività sporadiche nel mese di aprile. Tuttavia, è a partire da maggio che si osserva la tendenza a una diffusione più costante e persistente, come evidenziato anche dal seguente grafico relativo alle campagne con quel tema:

Secondo i dati raccolti dall’osservatorio del CERT-AGID, sul tema sono state censite 45 campagne di phishing e sono stati finora prodotti 520 indicatori di compromissione (IoC), puntualmente condivisi con le amministrazioni pubbliche accreditate e con il team di sicurezza di PagoPA, per permettere una risposta tempestiva e coordinata al fenomeno.

Attacchi sempre più mirati agli utenti “mobile”

Le campagne, contenenti falsi solleciti di pagamento relativi a presunte sanzioni stradali, vengono veicolate principalmente tramite email. L’obiettivo è indurre gli utenti a effettuare pagamenti non dovuti attraverso link ingannevoli.

Una delle costanti rilevate dalle campagne è rappresentata dalla capacità dei link di eseguire un reindirizzamento condizionato: il contenuto fraudolento viene mostrato solo se l’utente accede da un dispositivo mobile, mentre in caso contrario si viene dirottati sulla pagina ufficiale di PagoPA, aumentando così la credibilità dell’attacco e rendendo più difficile l’individuazione automatica.

Alcune campagne effettuano anche un secondo controllo basato sull’indirizzo IP dell’utente: l’obiettivo è nascondere la pagina fraudolenta a determinati soggetti o enti.

Una volta superati i controlli, la vittima viene reindirizzata a una pagina web che riproduce i loghi di PagoPA e si articola in due fasi: nella prima viene richiesto l’inserimento di dati personali come nome, cognome, email e numero di telefono; nella seconda, invece, viene sollecitata la compilazione dei campi relativi alla carta di credito, sempre con il pretesto di estinguere una presunta sanzione.

Grafico con l’andamento delle campagne rilevate

Il CERT-AGID invita gli utenti a prestare sempre di più massima attenzione a questo tipo di comunicazioni e ricorda che PagoPA ha pubblicato un avviso in cui suggerisce di verificare l’attendibilità dei messaggi ed eventualmente di accedere direttamente con SPID o CIE al sito dell’Ente di riferimento o al servizio ufficiale di PagoPA.

Perchè i criminali informatici hanno scelto il tema PagoPA?

Il tema PagoPA risulta particolarmente efficace per attaccare una vasta platea di utenti. La piattaforma PagoPA è infatti ampiamente utilizzata in Italia per il pagamento di servizi pubblici come multe, tributi locali, tasse scolastiche e bollo auto. Il nome è ben conosciuto e associato a un contesto ufficiale e affidabile, elemento che favorisce la credibilità dei messaggi fraudolenti.

Un ulteriore fattore che rende PagoPA un bersaglio ideale è la natura urgente e vincolante delle comunicazioni che normalmente vi sono associate. I cybercriminali sfruttano questo aspetto per far leva sul senso di obbligo e urgenza percepito dagli utenti, spingendoli ad agire impulsivamente, spesso senza verificare con la dovuta attenzione l’autenticità del messaggio ricevuto.

La strategia si basa anche sull’abitudine, ormai consolidata, degli utenti a ricevere notifiche digitali via SMS o email da parte di servizi pubblici. Questo rende più facile confondere i messaggi fraudolenti con quelli reali, aumentando l’efficacia dell’inganno.

Attraverso queste false pagine di pagamento, gli attaccanti non solo raccolgono dati personali, come nome, cognome, email e numero di telefono, ma anche informazioni finanziarie, tra cui i dati della carta di credito. In questo modo riescono a ottenere sia strumenti per l’accesso a risorse economiche, sia elementi utili per futuri attacchi o frodi identitarie.