Negli ultimi mesi è esplosa un’ondata di smishing – il phishing via SMS – che sfrutta il nome di Autostrade per l’Italia e la paura di aver dimenticato di pagare un pedaggio.
Il copione è sempre lo stesso: un messaggio che segnala un “pedaggio non saldato”, importi piccoli e un link che promette di mettere “in regola” l’automobilista in pochi clic.
Dietro c’è una campagna di truffa ben organizzata, segnalata ufficialmente dal CERT-AgID (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) e dalla stessa Autostrade per l’Italia, che ha pubblicato avvisi specifici sui propri canali.
In pratica, la truffa segue sempre le stesse tappe, dall’arrivo dell’SMS fino al furto dei dati e del denaro. La vittima riceve un messaggio di testo che, a prima vista, sembra una comunicazione ufficiale.
I contenuti sono spesso formulati in modo molto simile, per esempio: “Autostrade per l’Italia, risulta un pedaggio non saldato. Importo euro 6,50. Paga in modo sicuro entro il 29 ottobre…”. Oppure: “Risulta un pedaggio non pagato. Clicca qui per saldare”.
Il messaggio insiste su alcuni elementi ricorrenti: l’importo da saldare è di solito molto basso, ad esempio 6,50 o 9,80 euro, così da non destare eccessive preoccupazioni economiche.
Viene indicata una scadenza ravvicinata, nell’ordine di 2 o 3 giorni, per spingere il destinatario ad agire in fretta.
Non di rado compare anche una frase rassicurante come “Se hai già pagato ignora questo SMS”, che serve a rendere la comunicazione ancora più credibile e “normale”.
Nel testo dell’SMS è presente un link che, a colpo d’occhio, sembra rimandare al sito di Autostrade per l’Italia. In realtà l’indirizzo è leggermente diverso: possono comparire domini come “autostiade.com”, “autostiede.com/pay”, “autostrede.com” o “autostrade-italia.com”, tutti differenti dal vero autostrade.it ma abbastanza simili da confondere chi non guarda con attenzione.
Si tratta di un tipico caso di typosquatting, cioè la registrazione di domini con piccoli errori o variazioni rispetto a quelli legittimi, sfruttando la disattenzione degli utenti.
Quando la vittima clicca sul link, viene reindirizzata ad un sito che riproduce in maniera molto fedele il portale ufficiale di Autostrade per l’Italia.
Secondo le analisi pubblicate da varie fonti di sicurezza, la pagina chiede innanzitutto di inserire la targa e altri dati di base, simulando una verifica del presunto pedaggio non pagato. Subito dopo compare una schermata di pagamento del tutto plausibile, con i campi dedicati ai dati della carta di credito o di debito e alle informazioni del titolare.
L’obiettivo non è regolarizzare alcun pedaggio, ma rubare i dati della carta di pagamento (numero, scadenza, CVC, intestatario) e acquisire altri dati personali, come targa e numero di telefono, utili per furti d’identità o altre truffe. In alcuni casi, dietro queste pagine si nascondono veri e propri kit di phishing-as-a-service, pacchetti pronti all’uso che i criminali acquistano nel dark web.
Questi strumenti sono progettati per catturare non solo i dati della carta, ma anche eventuali codici OTP e 3D Secure inviati dalla banca per autorizzare le transazioni, riducendo ulteriormente le possibilità di bloccare in tempo l’operazione.
Una volta inseriti i dati e confermato il pagamento, la truffa va a segno. La vittima perde subito la somma indicata come “pedaggio”, che viene addebitata sulla carta come se si trattasse di un normale pagamento online. Il danno economico immediato, però, è solo una parte del problema: i truffatori ottengono infatti tutti i dati della carta e possono usarli per clonarla, effettuare pagamenti multipli su altri siti o rivendere le informazioni nei circuiti criminali specializzati nella compravendita di credenziali.
Anche i dati anagrafici e la targa vengono sfruttati come ulteriore materiale per eventuali frodi successive o per costruire profili utili ad altri raggiri.
Questa truffa è particolarmente efficace perché intercetta alcune debolezze molto diffuse.
L’abitudine all’uso dell’autostrada rende credibile l’idea di un pedaggio “dimenticato”; importi molto bassi appaiono come una semplice formalità e spingono a pagare senza riflettere; l’urgenza creata da scadenze ravvicinate e dal rischio implicito di maggiorazioni o sanzioni sfrutta il meccanismo della paura; il richiamo al brand Autostrade per l’Italia – con nome, logo e grafica clonati sul sito fasullo – rafforza ulteriormente la fiducia nel messaggio.
Anche i dati confermano questa dinamica. CERT-AgID, Polizia Postale e varie fonti di settore segnalano una campagna ai danni di Autostrade per l’Italia attiva almeno da fine ottobre 2025, un incremento di circa il 25% delle campagne di phishing che sfruttano questo marchio e, per il 2024, una crescita intorno al 28% dei casi di phishing e smishing in Italia. Le soluzioni di sicurezza informatica dichiarano inoltre il blocco, ogni anno, di centinaia di milioni di tentativi di phishing, a conferma di un trend in costante espansione.
Tra i principali campanelli d’allarme figurano il link con dominio sbagliato e un messaggio generico e vago, in cui spesso non vengono indicati né la data né il casello a cui si riferirebbe il presunto mancato pagamento e talvolta neppure l’importo. Un altro elemento ricorrente è la presenza di errori di ortografia o di formattazione, con refusi, accenti sbagliati e formule poco naturali.
A questo si aggiungono i toni allarmistici e le scadenze molto ravvicinate (“Paga entro 48 ore”, “evita sanzioni e interessi”), che sfruttano il senso di urgenza tipico delle campagne di smishing.
Infine, è sempre sospetta qualsiasi richiesta diretta di dati di carta o credenziali: nessun ente serio chiede via SMS di inserire numero di carta, CVV o codici OTP su siti raggiungibili da un link ricevuto per messaggio. Se anche uno solo di questi elementi è presente, il messaggio andrebbe considerato quantomeno sospetto.
Autostrade per l’Italia ha pubblicato sul proprio sito una sezione dedicata alla “campagna phishing” incorso, in cui segnala la presenza di messaggi fraudolenti – via SMS ed e-mail – che utilizzano in modo improprio il nome dell’azienda e rinvia alle modalità ufficiali di gestione dei Rapporti di Mancato Pagamento del Pedaggio, indicate esclusivamente su autostrade.it.
L’azienda ricorda di non richiedere mai, attraverso questi canali, l’invio di dati di carte di credito o di credenziali sensibili e invita a ignorare le comunicazioni sospette, attenendosi alle istruzioni pubblicate sul sito istituzionale e, se necessario, a rivolgersi alle autorità competenti.
Il CERT-AgID ricorda che spesso si utilizzano domini registrati per assomigliare a quello ufficiale (come ad esempio “autostiade.it”)e invita a prestare attenzione all’URL visualizzato nel browser e ad inoltrare i messaggi sospetti all’indirizzo malware@cert-agid.gov.it, così da consentire le necessarie analisi tecniche.
La Polizia Postale ricorda che non invia mai SMS o e-mail per notificare reati o richiedere il pagamento di sanzioni o somme di denaro, ribadendo l’importanza di diffidare di qualsiasi comunicazione che utilizzi questi canali per chiedere informazioni bancarie o pagamenti immediati.
Le principali indicazioni delle autorità convergono su poche regole molto concrete: la prima è non cliccare sul link presente nell’SMS.
Il collegamento non va aperto, non devono essere scaricati eventuali allegati e non è opportuno rispondere al messaggio. In presenza di dubbi sulla reale esistenza di un pedaggio non pagato, è preferibile effettuare le verifiche in autonomia, aprendo il browser e digitando direttamente l’indirizzo www. autostrade.it, o utilizzando l’app ufficiale o i contatti indicati sul sito. Il sito non dovrebbe mai essere raggiunto partendo dai link contenuti nel messaggio sospetto.
In caso di perplessità, è consigliabile contattare direttamente Autostrade per l’Italia o il proprio gestore Telepass, servendosi dei numeri e degli indirizzi presenti sul sito ufficiale o sui documenti contrattuali, per verificare l’eventuale presenza di pendenze. È inoltre opportuno segnalare il messaggio sospetto: uno screenshot può essere inoltrato a malware@cert-agid.gov.it, ad Autostrade tramite l’indirizzo ufficiale indicato nelle comunicazioni antifrode e, se del caso, ai canali della Polizia Postale (ad esempio il portale Commissariato di P.S. Online).
Un ulteriore livello di protezione è dato dal controllo regolare dei movimenti di conti e carte, attivando – quando possibile – notifiche o alert per ogni transazione, così da intercettare rapidamente eventuali operazioni anomale. È infine prudente evitare di memorizzare credenziali in chiaro sullo smartphone: in caso di malware, PIN e password salvati in note o foto rappresentano un bersaglio particolarmente vulnerabile.
Quando ci si accorge di avere cliccato sul link o, peggio, di avere inserito i dati della carta, intervenire con rapidità può limitare i danni.
Il primo passo consiste nel contattare immediatamente la propria banca o l’emittente della carta, chiedendo il blocco dello strumento di pagamento, la verifica delle ultime transazioni e le istruzioni per eventuali contestazioni. Successivamente è opportuno cambiare le password dei servizi collegati: qualora siano state inserite anche credenziali di accesso (per esempio di home banking o della posta elettronica), queste andrebbero sostituite subito, attivando, se disponibile, l’autenticazione a più fattori.
È utile inoltre raccogliere e conservare la documentazione: SMS, schermate del sito ed eventuali e-mail possono costituire un supporto importante in caso di procedimenti successivi.
Un ulteriore passaggio fondamentale è la denuncia alle forze dell’ordine: ci si può rivolgere alla Polizia Postale, ai Carabinieri o utilizzare il portale del Commissariato online, seguendo le indicazioni presenti sul sito ufficiale della Polizia di Stato. Anche dopo il blocco della carta, è consigliabile monitorare conti e carte nelle settimane successive, verificando periodicamente che non compaiano movimenti anomali.
Per chi desidera essere certo di non avere pendenze reali, Autostrade per l’Italia spiega con chiarezza come funziona la gestione dei Rapporti di Mancato Pagamento del Pedaggio. In sintesi, se per un qualsiasi motivo il pedaggio non è stato pagato, il conducente dispone di 15 giorni dal transito per regolarizzare la situazione.
Le modalità di pagamento sono indicate esclusivamente sul sito ufficiale autostrade.it (o presso i punti fisici autorizzati).
Eventuali comunicazioni autentiche non richiedono l’inserimento di dati di carta partendo da un link ricevuto via SMS, e le e-mail ufficiali di Autostrade hanno un indirizzo con dominio @autostrade.it.
Quando un SMS fa leva sulla fretta e rimanda a un dominio diverso da autostrade.it, la probabilità che si tratti di un tentativo di truffa è molto elevata.
Fonte:
https://www.italiaoggi.it/economia-e-politica/attualita/truffa-dei-falsi-sms-di-autostrade-per-litalia-per-pedaggi-non-saldati-cosa-non-fare-e-come-difendersi-kf2ma91n?utm_term=Autofeed&utm_medium=io&utm_source=Facebook&fbclid=IwY2xjawOmLMxleHRuA2FlbQIxMQBzcnRjBmFwcF9pZBAyMjIwMzkxNzg4MjAwODkyAAEeiS5JxtgmaGLUO_1MX_m_hpuwBqU_L3y7NScAQYaVuTRCtNRf6V7Iuk6iGe0_aem_l__4yCWK5o_EDKRVlHP8yg#Echobox=1765322430
A cura di:
Il calcolo del costo di prodotto: un metodo essenziale per stimare prezzi e margini.
TRIBUNALE UDINE, 15 DICEMBRE 2025. PRES. FASAN. EST. BARZAZI.
