Truffe “PagoPA” e truffe via PEC: perché stanno aumentando e come difendersi nel 2026

Le truffe online che “rubano” il nome di servizi pubblici digitali stanno crescendo e nel 2025 hanno fatto un salto di qualità: meno errori, grafica più credibile, testi scritti meglio e, soprattutto, più capacità di colpire dove ci fidiamo di più. A fotografare il fenomeno è un report del CERT-AgID sulle campagne malevole analizzate nel 2025, che segnala un aumento e un’evoluzione delle tecniche usate dai criminali.

Il punto non è più la classica email sgrammaticata del “principe nigeriano”. Oggi arrivano messaggi che sembrano istituzionali, con toni perentori, scadenze ravvicinate e pagine web copiate quasi alla perfezione.

Come funziona la truffa “a tema PagoPA”

Nel 2025 si è vista la prima diffusione su larga scala di campagne di phishing che sfruttano il nome “PagoPA”. In oltre 300 casi documentati, le vittime hanno ricevuto falsi solleciti per presunte sanzioni (spesso multe stradali) con invito a pagare subito.

Lo schema tipico è questo:

• arriva un messaggio che parla di “pagamento dovuto” o “scadenza imminente”;
• trovi un pulsante o un link che rimanda a un sito-clone “identico” a un portale ufficiale;
• ti chiedono dati personali e dati di pagamento;
• i dati finiscono direttamente nelle mani dei truffatori.

Il trucco psicologico è semplice: la parola “multa” fa salire l’ansia, e l’ansia fa cliccare.

Truffe via PEC: sì, succede davvero

Qui viene la parte che spiazza molti: anche la PEC può essere usata come canale di attacco. Nel report si parla di un incremento vicino all’80% rispetto all’anno precedente.

Com’è possibile?

• a volte vengono usate caselle PEC legittime ma compromesse;
• altre volte caselle create ad hoc e poi abbandonate;
• lo scopo è phishing (furto credenziali, anche bancarie) oppure la consegna di malware tramite allegati o link.

La PEC certifica l’invio e la consegna, non garantisce che il contenuto sia “buono”. È come ricevere una raccomandata: puoi avere la prova che ti è arrivata… ma dentro potrebbe esserci una truffa.

SMS e finti aggiornamenti: lo smishing che installa malware

La posta elettronica resta il canale principale, ma il phishing via SMS (smishing) viene sempre più usato per farti installare software malevolo, soprattutto su Android. Il messaggio ti porta a scaricare un file APK spacciato per “aggiornamento urgente”, spesso con riferimento alla banca o a un servizio noto.

Se lo installi, gli stai letteralmente aprendo la porta di casa.

Le nuove “trovate”: ClickFix, infostealer e testi scritti dall’AI

Nel 2025 si è diffusa anche la strategia “ClickFix”: invece di sfruttare falle tecniche, ti fanno eseguire tu dei passaggi (anche comandi) seguendo istruzioni “legittime”, a volte mascherate da finti controlli tipo CAPTCHA. Risultato: bypass di alcune difese e avvio del codice malevolo.

Sul fronte malware dominano gli infostealer, programmi progettati per rubare password, cookie di sessione e documenti. Spesso arrivano dentro archivi compressi per farsi notare meno.

E poi c’è l’elefante nella stanza: l’intelligenza artificiale. Messaggi più credibili, meno errori, più “su misura”. Tradotto: riconoscere la truffa “a occhio” è diventato molto più difficile.

Decalogo anti-truffa: 10 regole pratiche (che funzionano davvero)

1. Non pagare mai da un link ricevuto: se ti chiedono un pagamento, entra tu nel servizio digitando l’indirizzo nel browser o usando app/portali ufficiali.
2. Tratta la PEC come una email normale, sul piano della prudenza: “è PEC” non significa “è sicura”. Allegati e link inattesi vanno verificati.
3. Diffida dell’urgenza: “scadenza oggi”, “ultima possibilità”, “blocco del servizio” sono leve emotive, non prove.
4. Non inserire mai dati di carta o credenziali da pagine aperte da messaggio: chi deve incassare davvero non ha bisogno di “acchiapparti” via link.
5. Non installare APK ricevuti via SMS o chat: su Android è la scorciatoia preferita dai truffatori. Solo store ufficiali.
6. Controlla il mittente, ma non farti ipnotizzare: un indirizzo “plausibile” o una PEC non bastano; se il contenuto non torna, è sospetto.
7. Occhio agli allegati compressi (zip, rar e simili): spesso servono a far passare inosservato il malware.
8. Mai eseguire comandi o procedure “guidate” da una pagina (tipo ClickFix): se una pagina ti dice di fare cose strane sul PC, è quasi sicuramente una trappola.
9. Usa autenticazione a due fattori e password uniche: se ti rubano una password, almeno non ti rubano tutta la vita digitale.
10. Quando hai un dubbio, verifica “fuori banda”: chiama l’ente, usa i contatti ufficiali, chiedi conferma. Nessuna istituzione seria chiede credenziali via email/SMS.

I segnali che devono farti fermare subito

Se trovi anche solo uno di questi elementi, metti il freno a mano:

• richiesta di pagamento con toni minacciosi o “entro poche ore”;
• link che ti porta a inserire dati di carta o credenziali;
• allegato inatteso, soprattutto se compresso;
• istruzioni “tecniche” da eseguire manualmente sul dispositivo;
• invito a installare app fuori dallo store.

Conclusione: la regola d’oro

Nel 2026 la difesa migliore non è “sgamare il trucco grafico”. È un’abitudine: non reagire di pancia. I truffatori comprano tempo e attenzione con la paura. Tu togligli entrambe: verifica, entra dai canali ufficiali e paga solo quando sei certo al 100%.