Venerdi 26 Giugno 2026 19:04:05 GMT+02:00

Netcrook

HomeManifesto
News
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookTeamAppContatti
ItalianoEnglishArabic
Consapevolezza della sicurezza e ingegneria sociale

Le truffe via SMS indossano una maschera di servizio pubblico in Italia

16 Giugno 2026 19:17Consapevolezza della sicurezza e ingegneria socialeEuropa / ItaliaPATCHKNIGHT

Una campagna di phishing a tema SEND e pagoPA mostra come gli attaccanti possano trasformare un branding civico affidabile in una trappola credibile.

Introduzione

Arriva un SMS con il tono di un avviso ufficiale, un nome governativo familiare e urgenza sufficiente a spingere il destinatario a toccare lo schermo prima di riflettere. Questo è il punto di pressione nell'ultima campagna di phishing collegata a SEND - Servizio Notifiche Digitali e pagoPA. Il pericolo non è uno sfruttamento tecnico dei servizi stessi, ma il modo in cui i truffatori ne prendono in prestito la credibilità per indirizzare le persone verso un processo falso.

Fatti rapidi

  • CSIRT Italia ha segnalato campagne di phishing via SMS a tema SEND - Servizio Notifiche Digitali e pagoPA.
  • I messaggi sono descritti come aventi criticità media.
  • L'obiettivo apparente è indurre le vittime ad avviare una procedura fraudolenta.
  • SEND è un servizio pubblico di notifiche digitali utilizzato per comunicazioni giuridicamente rilevanti da parte degli enti pubblici.
  • Il caso rientra in un classico schema di smishing: urgenza, fiducia e un link che sposta la vittima fuori dal canale fidato.

Corpo

Dal punto di vista della sicurezza, questo è un esempio da manuale di impersonificazione di un brand. SEND e pagoPA sono nomi riconoscibili nell'ecosistema dei servizi pubblici digitali italiano, il che li rende esche efficaci. Quando un messaggio sembra provenire da un canale di notifica civico, molti utenti presumono che sia di routine e sensibile al fattore tempo, soprattutto su un telefono dove l'azione rapida è la norma.

Il trucco tecnico è semplice ma efficace. Un SMS consegna l'esca, il destinatario viene incoraggiato a proseguire l'interazione e la frode dipende dal suo spostamento verso un flusso separato controllato dall'attaccante. La fonte indica che l'obiettivo è una procedura fraudolenta, ma non il punto di arrivo esatto. Questo è importante: il rischio può riguardare moduli falsi, deviazione dei pagamenti o altre trappole di inserimento dati, a seconda di come è costruita una specifica campagna.

Il branding dei servizi pubblici è un potente carburante per il phishing perché prende in prestito la credibilità da sistemi che le persone si aspettano già di usare. SEND è progettato per notifiche giuridicamente rilevanti e questa funzione legittima può confondere il confine tra un avviso reale e uno malevolo. La lezione più ampia è che gli attaccanti non hanno sempre bisogno di malware o di un'intrusione di rete quando possono sfruttare il comportamento abituale degli utenti e la fiducia basata sui messaggi.

Al momento della stesura, le informazioni pubbliche non hanno stabilito il percorso tecnico completo, il numero di destinatari o se eventuali sistemi a valle siano stati compromessi. Le prove disponibili supportano un'analisi del rischio, non un'affermazione di violazione dell'infrastruttura. Questa distinzione è importante: si tratta di una campagna di social engineering e il problema difensivo è l'inganno dell'utente, non necessariamente un guasto della piattaforma.

Per i difensori, l'abitudine più sicura è anche la meno appariscente. Aprire direttamente il servizio ufficiale invece di usare un link incorporato, esaminare con attenzione il dominio di destinazione e trattare come sospetta qualsiasi richiesta di azione o pagamento finché non venga verificata tramite un canale noto. Nelle organizzazioni, l'autenticazione resistente al phishing e la formazione degli utenti contano, ma conta anche progettare le comunicazioni in modo che gli avvisi veri siano più facili da riconoscere di quelli falsi.

Conclusione

Questa campagna ricorda che il cybercrime spesso riesce imitando la legittimità, non violando la tecnologia. Quando marchi pubblici affidabili diventano l'esca, il vero campo di battaglia è l'attenzione, l'abitudine e la verifica. La lezione per utenti e istituzioni è semplice: non lasciare mai che sia un SMS a decidere la fiducia al posto tuo.

TECHCROOK

Chiave di sicurezza hardware: Un piccolo dispositivo USB/NFC per un'autenticazione a due fattori più forte sugli account supportati. È un aggiornamento pratico per email, banking e altri servizi in cui la protezione dell'accesso conta. Tienine una come backup e usala con un gestore di password affidabile e impostazioni del dispositivo aggiornate.

Scheda Techcrook: Chiave di sicurezza hardware

WIKICROOK

  • Smishing: phishing basato su SMS che induce le persone a fare clic su link o a rivelare informazioni.
  • Impersonificazione del brand: una tecnica fraudolenta che copia nomi o loghi affidabili per sembrare legittima.
  • SEND: il servizio ufficiale italiano di notifiche digitali per comunicazioni giuridicamente rilevanti da parte delle pubbliche autorità.
  • pagoPA: la piattaforma italiana dei pagamenti pubblici usata per pagamenti standardizzati verso le pubbliche amministrazioni.
  • Social engineering: manipolazione della fiducia umana per spingere le vittime verso azioni rischiose.
PATCHKNIGHT
AutorePATCHKNIGHT

Consapevolezza della sicurezza e ingegneria sociale