Un messaggio che arriva sul telefono, “Avviso di pagamento: multa stradale non saldata, importo dovuto €87,50, clicca qui per regolarizzare“, con il logo di PagoPA piazzato in bella vista e un link che sembra ufficiale? Ecco, è tutto falso. Ed è la truffa dell’anno in Italia, quella che ha fatto più vittime e che continua a raccogliere dati personali e numeri di carta di credito senza sosta.
False multe PagoPa e Pec infette, i dati choc del CERT-AGID sul 2025
Il CERT-AGID, la struttura di Agenzia per l’Italia Digitale che monitora le minacce informatiche contro la Pubblica Amministrazione, ha pubblicato il report annuale del 2025, e il quadro che emerge è quello di un paese sotto assedio. Numeri alla mano: 3.620 campagne malevole attive, 51.530 indicatori di compromissione distribuiti alle amministrazioni.
Dietro questi numeri ci sono criminali sempre più abili, che hanno capito una cosa semplice: gli italiani si fidano dei canali istituzionali. E quella fiducia è diventata l’arma migliore per fregarli.
PagoPA: 328 campagne di phishing in un anno
Il fenomeno delle false multe PagoPA è esploso con una violenza che ha colto di sorpresa anche gli esperti. Il CERT-AGID ha censito 328 campagne basate su solleciti di pagamento fasulli, finte sanzioni stradali che rimandano a siti contraffatti costruiti ad hoc per rubare tutto: dati anagrafici, credenziali e soprattutto informazioni sulle carte di pagamento. Il meccanismo funziona perché PagoPA è un nome che gli italiani associano alla pubblica amministrazione. Si riceve un avviso di multa, sale l’ansia, si clicca senza pensarci troppo.
Anche la PEC non è sicura
L’altra sorpresa amara del 2025 riguarda la Posta Elettronica Certificata. Quell’alone di affidabilità che circonda la PEC è diventato il cavallo di Troia perfetto per i criminali. Le campagne malevole via PEC sono quasi raddoppiate rispetto al 2024, con un aumento dell’80%. I messaggi certificati vengono usati sia per phishing bancario sia per distribuire malware, in particolare MintsLoader.
Il ragionamento delle vittime è comprensibile, se arriva via PEC, dev’essere legittimo. Ed è esattamente su questo automatismo che i truffatori fanno leva. Ma la PEC certifica che un messaggio è stato inviato e ricevuto, non che il mittente sia chi dice di essere. Una distinzione che nella fretta quotidiana sfugge a molti.
ClickFix: quando la vittima si infetta da sola
Tra le tecniche più insidiose emerse nel 2025 c’è ClickFix, un approccio che ha qualcosa di geniale nella sua perversione. Invece di cercare vulnerabilità tecniche, i criminali convincono l’utente a eseguire manualmente comandi sul proprio computer. Come? Con falsi CAPTCHA, quei test “dimostra di non essere un robot”, o istruzioni apparentemente legittime che in realtà lanciano script malevoli. In pratica, la vittima si rovina con le proprie mani, senza nemmeno accorgersene.
Segnalata per la prima volta in Italia a gennaio 2025, la tecnica è stata usata in circa 70 campagne per diffondere malware come AsyncRat, Lumma Stealer e XWorm.
L’intelligenza artificiale al servizio dei truffatori
Il report segnala anche l’uso crescente dell’AI da parte dei criminali informatici. I messaggi di phishing ora sono più credibili, personalizzati, e non ci sono più quegli errori grammaticali che facevano da campanello d’allarme.
Ma c’è di peggio. Alcuni gruppi ransomware hanno iniziato a minacciare le vittime non solo con la pubblicazione dei dati rubati, ma con il loro utilizzo per addestrare modelli di intelligenza artificiale. Una leva di pressione nuova e inquietante.
Malware: gli infostealer dominano
Sul piano tecnico, gli infostealer, che rubano informazioni in modo silenzioso e continuo, sono circa il 60% delle 90 famiglie di malware identificate. FormBook è il più diffuso in Italia, seguito da Remcos e AgentTesla.
La posta elettronica ordinaria resta il canale principale di diffusione nel 91,7% dei casi. I file più usati per veicolare il malware sono gli archivi compressi, come ZIP e RAR da soli coprono quasi il 30% del totale, seguiti da file di script e dai sempiterni PDF con link malevoli.
Android sotto attacco
Le campagne contro dispositivi Android sono cresciute del 55%. Copybara è la famiglia più diffusa, e l’infezione parte quasi sempre da SMS che invitano a installare falsi aggiornamenti o app bancarie tramite file APK. Se puta caso arriva un messaggio che vi chiede di scaricare qualcosa fuori dal Play Store, la risposta è sempre no.
Mezzo milione di email compromesse e documenti d’identità in vendita
Il dato forse più allarmante riguarda i dati trafugati. Il CERT-AGID ha rilevato 89 compromissioni legate alla diffusione illegale di database, con oltre 500.000 indirizzi email riconducibili a enti pubblici, nella maggior parte dei casi accompagnati da password.
Il caso più grave ha coinvolto il settore alberghiero: centinaia di migliaia di scansioni di documenti d’identità sottratte a strutture ricettive italiane tra giugno e luglio 2025, con le violazioni che si sono estese progressivamente fino a coinvolgere dodici hotel durante l’estate.
Documenti d’identità, con foto, numeri, date di nascita, messi in vendita online. Informazioni con cui si costruiscono identità false, si aprono conti corrente e si commettono frodi che le vittime scopriranno mesi dopo, quando ormai il danno è fatto.
Ti potrebbe interessare
13 feb 2026