Arriva sul telefono di lavoratori e pensionati e punta a una cosa sola: far cliccare su un link truffaldino e convincere la vittima a inserire i dati della carta. Il raggiro, segnalato dall’Inps e rilanciato dalla Polizia Postale nelle campagne contro il phishing, fa leva sulla paura di avere una posizione previdenziale non in regola. Toni e grafica richiamano una comunicazione ufficiale. Ma il sito non è dell’Istituto. È una trappola.
L’SMS si presenta come un normale avviso di servizio. Il mittente, spesso, richiama l’Inps. Il testo è breve, secco: “Hai un contributo previdenziale non pagato. Ti preghiamo di saldarlo al più presto, altrimenti potresti incorrere in azioni legali”. Poche parole, tono serio, una minaccia vaga ma sufficiente a mettere fretta. Soprattutto se il messaggio arriva al mattino presto, o nel mezzo di una giornata di lavoro.
Il copione è quello ormai noto dello smishing, il phishing via SMS: si inventa un debito, si agita lo spettro di sanzioni o conseguenze legali, si chiede di agire subito. Non ci sono dettagli precisi, né riferimenti controllabili alla propria posizione contributiva. C’è però un link. Ed è lì che scatta il rischio. L’Inps ha ricordato più volte che i suoi SMS hanno solo funzione informativa e non contengono collegamenti da aprire per pagare o inserire dati bancari.
Sito clone dell’Inps: codice fiscale sempre valido, conto alla rovescia e falso pagamento
A rendere credibile il messaggio, almeno a una prima lettura, è proprio la sua apparente normalità. Niente frasi sgrammaticate, niente promesse assurde. Solo un presunto arretrato previdenziale e l’avviso di possibili guai. “Molti utenti si fidano perché il tema è plausibile”, ripetono da tempo gli esperti di sicurezza informatica parlando di queste frodi. E davanti a una sigla come Inps, la prudenza può calare.
Chi apre il link finisce su un sito clone dell’Inps, costruito per assomigliare al portale vero: colori, loghi, impaginazione e piccoli dettagli grafici vengono copiati per dare l’idea di una procedura autentica. La pagina accompagna l’utente in più passaggi: prima l’identificazione, poi la verifica del debito, infine il pagamento. Tutto sembra ordinato. Fin troppo.
Il primo campanello d’allarme è il codice fiscale. Il sito lo chiede, ma accetta qualsiasi combinazione, anche inventata, e restituisce comunque un importo da versare. Significa che non sta consultando alcun archivio reale dell’Inps. Non verifica nulla. Va avanti e basta, fino al punto in cui la truffa può andare a segno. È un dettaglio decisivo, ma chi è già in ansia può non accorgersene.
Nel passaggio successivo compare il riepilogo: importo principale di 5,20 euro, sanzioni e interessi per 1,40 euro, totale 6,60 euro. Accanto ci sono un codice pagamento, una scadenza e un conto alla rovescia che mette pressione. Anche se la scadenza può essere fissata a fine mese, la fretta viene costruita apposta. Poi arriva il vero obiettivo: il modulo in cui inserire numero della carta, scadenza, CVV, nome del titolare e telefono.
Perché bastano 6,60 euro per rubare una carta: la trappola delle micro-somme
La cifra bassa non è un caso. Chiedere 6,60 euro serve ad abbassare le difese. Davanti a un importo così piccolo, molti preferiscono pagare e togliersi il pensiero, senza fare troppe verifiche. È lo stesso schema visto nei falsi SMS sui pacchi bloccati, sui pedaggi autostradali, sulle multe dei trasporti locali o su presunti avvisi di pagamento. Pochi euro, una seccatura da chiudere in fretta. E il clic arriva.
Il pagamento, però, è solo l’esca. Una volta inseriti i dati completi della carta, compreso il codice di sicurezza CVV, i truffatori possono tentare addebiti non autorizzati, usare quelle informazioni su altri circuiti o rivenderle. In alcuni casi la pagina mostra anche richiami a Spid, Cie e connessioni protette, come la dicitura sulla crittografia SSL. Sono dettagli messi lì per rassicurare la vittima mentre compila il modulo.
C’è poi un altro aspetto. Se la somma è bassa, chi cade nella trappola tende a non controllare subito. E se l’addebito non compare immediatamente, può pensare che non sia successo nulla. In realtà i dati sono già finiti nelle mani sbagliate. Per questo le autorità invitano a non prendere mai alla leggera le richieste di pagamento arrivate via SMS, anche quando parlano di pochi euro.
Come difendersi: portale ufficiale, segnalazioni e blocco immediato della carta
La regola è semplice: non aprire link contenuti in presunti SMS dell’Inps e non inserire mai i dati della carta su pagine raggiunte da messaggi ricevuti sul telefono. Se c’è un dubbio sulla propria posizione, bisogna digitare a mano l’indirizzo del sito ufficiale dell’Istituto oppure usare l’app, accedendo con Spid, Cie o Cns. Solo da lì si possono controllare comunicazioni, pagamenti e contributi.
I pagamenti reali verso l’Inps passano da canali riconosciuti, come il modello F24, il portale dei pagamenti o PagoPA. Una pagina che chiede numero della carta e CVV dopo un clic su SMS non rientra nelle procedure dell’Istituto. Se il messaggio è arrivato ma non è stato aperto, meglio cancellarlo senza rispondere e segnalarlo alla Polizia Postale o ai canali ufficiali dell’Inps, così da aiutare a bloccare i domini fraudolenti.
Chi invece ha già inserito i dati deve agire subito: chiamare la banca, chiedere il blocco della carta, controllare i movimenti del conto e valutare una denuncia. Anche un tentativo apparentemente non riuscito va preso sul serio, perché le informazioni potrebbero essere state salvate. Fermarsi prima del clic resta la difesa migliore. Dieci secondi di prudenza possono evitare un danno molto più pesante di quei 6,60 euro mostrati sullo schermo.