Apri la casella di posta, vedi un’email con il logo di Poste Italiane, la grafica istituzionale, il tono cortese. Nessuna minaccia, nessun allarme. Il messaggio ti informa semplicemente che il tuo SPID non risulta attivo oppure che è presente un canone non pagato sul conto. Poi ti propone due strade tranquille: puoi recarti allo sportello oppure, se preferisci, risolvere tutto online con un clic. Niente paura, niente fretta. Tutto sembra ragionevole.
Ed è esattamente qui che sta il pericolo. Questa variante di phishing Poste Italiane funziona al contrario delle truffe classiche: non ti spaventa, ti rassicura. E proprio perché abbassa la guardia, è tra le più efficaci in circolazione.
In questo articolo analizzi come riconoscerla, come funziona il meccanismo tecnico, e soprattutto cosa devi fare — immediatamente — se hai già cliccato su quel link.
Come si presenta questa email: nessuna fretta, nessuna minaccia
Le truffe di phishing che conosciamo bene usano l’urgenza come leva psicologica: “il tuo account sarà bloccato entro 24 ore”, “transazione sospetta rilevata”, “risposta richiesta entro oggi”. Il cervello va in modalità reattiva e clicca prima di ragionare.
Questa variante fa il contrario. Il testo è pacato, formale, quasi burocratico. Il mittente si chiama “Poste Italiane” o qualcosa di simile. Il layout riproduce fedelmente le comunicazioni ufficiali: logo, colori, footer con riferimenti all’assistenza clienti. Il messaggio comunica un inconveniente banale — lo SPID non è stato attivato correttamente, oppure risulta un addebito in sospeso — e ti offre due soluzioni equivalenti:
- Recati in filiale e parla con un operatore.
- Clicca qui per risolvere direttamente online.
Il fatto che esista un’alternativa fisica, concreta, non urgente, rende tutto credibile. “Se fosse una truffa, non mi direbbero di andare in ufficio postale.” Questo è il ragionamento che i truffatori anticipano e sfruttano.
Come funziona il meccanismo: il sito clone e la raccolta istantanea dei dati
Il link nell’email non porta al sito ufficiale di Poste Italiane. Porta a un sito clone, costruito per essere indistinguibile dall’originale: stessa grafica, stessi colori, stesse sezioni. L’indirizzo nella barra del browser può sembrare plausibile — qualcosa come poste-italia.it, posteit-login.com o varianti simili — ma non è il dominio ufficiale poste.it.
Non appena inserisci le credenziali — username, password, PIN, o i dati della carta — queste vengono trasmesse istantaneamente ai server dei criminali. Non dopo, non con ritardo: in tempo reale, nel momento stesso in cui le digiti o premi “Conferma”. La pagina può anche mostrarti un messaggio di errore o un finto caricamento, così non ti insospettisci nell’immediato.
Con quelle credenziali, i truffatori accedono al tuo conto, al tuo identità digitale SPID, e potenzialmente a tutti i servizi collegati. Il danno può concretizzarsi in pochi minuti.
La regola che non cambia mai: Poste Italiane non chiede mai password via email
Questa è la regola fondamentale, quella che vale in qualsiasi circostanza e che nessuna comunicazione ufficiale violerà mai. Poste Italiane — come qualsiasi istituto bancario o finanziario regolamentato — non chiede mai tramite email, SMS o telefono:
- password o PIN del conto
- CVV della carta (il codice a tre cifre sul retro)
- codici OTP (le password temporanee generate dall’app o ricevute via SMS)
- credenziali SPID
Se un’email, un messaggio o una telefonata ti chiede uno di questi elementi — anche in modo indiretto, anche attraverso un form su un sito che sembra autentico — si tratta di una truffa. Senza eccezioni.
Questa regola è sancita anche dalle condizioni contrattuali di Poste Italiane e dalle linee guida dell’Autorità Bancaria Europea (EBA) sulla sicurezza dei pagamenti digitali. Non è una raccomandazione generica: è un vincolo operativo che gli istituti finanziari rispettano proprio per proteggere i clienti.
I 3 controlli da fare prima di cliccare qualsiasi link
Se ricevi un’email come quella descritta, prima di fare qualsiasi cosa esegui questi tre controlli. Richiedono meno di un minuto e possono evitarti danni seri.
1. Controlla il vero indirizzo mittente
Il nome visualizzato del mittente può essere “Poste Italiane” o “Servizio Clienti PosteID”, ma questo campo è liberamente falsificabile da chiunque. Quello che conta è l’indirizzo email reale. Cliccaci sopra o espandi i dettagli del messaggio nel tuo client di posta: l’indirizzo deve terminare con @poste.it. Se trovi domini come @posteitaliane-info.com, @notifica-poste.net o qualsiasi altra variazione, l’email è fraudolenta.
2. Passa il mouse sul link senza cliccare
In basso nel browser o nel client di posta comparirà l’URL reale di destinazione. Deve iniziare con https://www.poste.it oppure con un sottodominio ufficiale come https://posteid.poste.it. Qualsiasi altra URL — anche se assomiglia all’originale — è un segnale di allarme. Su smartphone puoi tenere premuto il link per vedere l’anteprima dell’indirizzo.
3. Verifica direttamente dall’app ufficiale di Poste Italiane
Se l’email parla di un canone non pagato, di una notifica SPID o di qualsiasi altro problema, accedi direttamente all’app ufficiale di Poste Italiane (scaricata dall’App Store o da Google Play) o al sito poste.it digitandolo manualmente nel browser. Se il problema esiste davvero, lo vedrai nell’area personale. Se non c’è niente, l’email era falsa. Non serve altro.
Cosa fare se hai già cliccato sul link
Se hai cliccato e soprattutto se hai inserito dati, agisci immediatamente. Ogni minuto conta.
Blocca le credenziali compromesse. Accedi subito all’app ufficiale di Poste Italiane o chiama il servizio clienti al numero ufficiale (che trovi sul retro della carta o sul sito) e richiedi il blocco immediato del conto e delle carte. Se hai inserito le credenziali SPID, contatta il tuo provider SPID (Poste Italiane nel caso di PosteID) e chiedi la sospensione dell’identità digitale.
Cambia tutte le password. Non solo quella di Poste Italiane: se usi la stessa password su altri servizi, cambiala ovunque. Priorità a email, banca, servizi pubblici digitali.
Sporgi denuncia alla Polizia Postale. Il phishing è un reato penale. Presenta una denuncia al Commissariato di Polizia Postale più vicino o tramite il portale ufficiale commissariatops.it. Conserva l’email originale (con le intestazioni tecniche complete), gli screenshot e qualsiasi evidenza dell’accaduto. Questi elementi saranno utili sia per l’indagine penale sia per eventuali azioni civili.
Monitora il conto nei giorni successivi. Anche dopo aver cambiato le credenziali, controlla estratti conto e movimenti con attenzione per almeno due settimane. Se noti transazioni non autorizzate, contestale immediatamente per iscritto alla banca o all’ufficio postale, conservando copia della comunicazione.
Il quadro legale: phishing e frode informatica come reati
Il phishing non è una zona grigia giuridica: è un reato penale previsto e punito dall’ordinamento italiano. L’articolo 640-ter del codice penale — frode informatica — si applica a chi, alterando il funzionamento di un sistema informatico o intervenendo senza diritto sui dati in esso contenuti, procura a sé o ad altri un ingiusto profitto. Le pene previste sono la reclusione da uno a cinque anni e la multa, con aggravanti quando il reato è commesso ai danni di persone anziane o vulnerabili.
Dal punto di vista civile, la vittima di phishing ha diritto al risarcimento del danno subito. È orientamento consolidato che l’istituto finanziario possa essere chiamato a rispondere quando non ha predisposto misure di sicurezza adeguate o non ha tempestivamente bloccato operazioni anomale segnalate dal cliente. La responsabilità dell’istituto è però temperata dal comportamento della vittima: se il cliente ha comunicato volontariamente le proprie credenziali a terzi, il giudizio sulle responsabilità si fa più articolato.
Se hai subito un danno economico a seguito di phishing — sottrazione di somme dal conto, operazioni non autorizzate, accesso abusivo allo SPID — è opportuno valutare con un legale sia la via penale sia quella civile. Le due azioni non si escludono.
Quando è il momento di rivolgersi a un avvocato
Non tutte le situazioni richiedono assistenza legale immediata. Alcune si risolvono direttamente con Poste Italiane, con la segnalazione alla Polizia Postale e con la contestazione delle transazioni alla banca.
Il momento in cui un avvocato diventa necessario è quando: la banca o Poste Italiane nega il rimborso delle somme sottratte; le transazioni fraudolente sono di importo rilevante; lo SPID compromesso è stato usato per atti formali (accesso a servizi PA, firma documenti, operazioni immobiliari o finanziarie); o quando si intende procedere penalmente con una denuncia assistita per massimizzare le possibilità di identificare i responsabili.
Se anche tu sei stato vittima di phishing Poste Italiane o hai ricevuto un’email sospetta che ha portato alla sottrazione di credenziali o denaro, fissa subito una consulenza gratuita e valuteremo insieme quali strumenti legali adottare per tutelare i tuoi diritti e, dove possibile, procedere al recupero delle somme.
Domande frequenti
Ho ricevuto un’email di Poste Italiane sullo SPID: come faccio a capire se è vera?
Controlla l’indirizzo email del mittente reale (non il nome visualizzato): deve terminare con @poste.it. Poi passa il mouse sul link senza cliccare e verifica che l’URL di destinazione inizi con https://www.poste.it o con un sottodominio ufficiale. In caso di dubbio, accedi direttamente all’app ufficiale o al sito poste.it digitandolo tu nel browser: se c’è davvero un problema, lo troverai nell’area personale senza bisogno di cliccare su nulla.
Ho inserito le credenziali su un sito che ora mi sembra falso: cosa devo fare subito?
Agisci nell’ordine: chiama subito Poste Italiane per bloccare il conto e le carte, cambia la password del tuo account e di tutti i servizi dove usi le stesse credenziali, poi presenta denuncia alla Polizia Postale (di persona o tramite commissariatops.it) conservando l’email originale e gli screenshot. Non aspettare: ogni ora che passa aumenta il rischio di operazioni fraudolente.
La banca o Poste Italiane è obbligata a rimborsarmi se mi hanno rubato i soldi con il phishing?
Non in modo automatico. La normativa europea sui pagamenti (direttiva PSD2, recepita in Italia) prevede una tutela forte per le vittime di transazioni non autorizzate, ma la responsabilità dell’istituto può essere ridotta o esclusa se il cliente ha fornito volontariamente le credenziali. Il quadro dipende molto dalle circostanze specifiche: è per questo che in caso di importi significativi è utile un parere legale prima di accettare un eventuale rifiuto di rimborso.
Posso denunciare anche se non so chi ha inviato l’email?
Sì, e dovresti farlo comunque. La denuncia alla Polizia Postale è il primo passo per avviare un’indagine e per documentare formalmente l’accaduto. Le intestazioni tecniche dell’email (i cosiddetti “header”) contengono informazioni utili per tracciare i server usati dai truffatori. Non è necessario conoscere l’autore per sporgere denuncia: ci pensano gli inquirenti a identificarlo.
Lo SPID compromesso può essere usato per fare danni gravi?
Purtroppo sì. Lo SPID è un’identità digitale riconosciuta dalla Pubblica Amministrazione italiana e consente l’accesso a decine di servizi: INPS, Agenzia delle Entrate, fascicolo sanitario, portali comunali e regionali. Con le tue credenziali SPID, un criminale può accedere a dati personali sensibili, consultare la tua situazione previdenziale e fiscale, o in alcuni casi compiere atti formali. Se sospetti una compromissione, contatta immediatamente il tuo provider SPID (in questo caso PosteID) per la sospensione.
