Se sai esattamente come ti contattano Poste Italiane, INPS e il sistema SPID, nove email su dieci ti sembreranno subito quello che sono: una copia. Questa guida ti mostra i canali ufficiali, le leve psicologiche che i truffatori usano e cosa fare se una email ti ha già convinto a cliccare.
01 — Il copione: cosa succede esattamente
Immagina di aprire la casella di posta un martedì mattina. C'è una email con il logo di Poste Italiane, i colori gialli che conosci bene, e un messaggio che dice: «Abbiamo rilevato un accesso sospetto al tuo conto BancoPosta. Per sbloccare il tuo account clicca qui entro 24 ore.» La grafica sembra autentica. Il tono è formale. C'è persino un numero di pratica.
Quel messaggio non viene da Poste Italiane. Viene da qualcuno che ha copiato il logo, il font e i colori in meno di un'ora, usando modelli liberamente disponibili in rete. L'obiettivo è uno solo: farti cliccare prima che tu abbia il tempo di pensare. Se clicchi, arrivi a una pagina che imita il sito di Poste e ti chiede nome utente, password, e spesso anche il codice OTP del tuo telefono.
Questo è il pattern base della truffa via email che imita enti italiani conosciuti. Cambia la vittima (INPS, SPID, Agenzia delle Entrate), cambia il pretesto (rimborso fiscale, blocco account, rinnovo credenziali), ma la struttura è sempre la stessa: urgenza, autorità, un link. Conoscere questo schema a memoria è già metà della difesa.
02 — La leva psicologica: perché funziona anche sulle persone attente
I truffatori non puntano sulla tua ignoranza. Puntano su due meccanismi cognitivi che funzionano su tutti, indipendentemente dall'età o dall'istruzione: la paura di perdere qualcosa e la pressione del tempo. Questi due elementi, messi insieme, riducono la capacità critica anche nelle persone più prudenti. Non è una tua debolezza: è biologia.
«Il tuo IBAN è stato modificato senza autorizzazione» attiva immediatamente la paura di perdere denaro. «Hai 12 ore per rispondere» toglie il tempo necessario per verificare. La combinazione dei due è progettata per mandarti direttamente al link, saltando qualunque passaggio di controllo. Gli esperti di sicurezza informatica chiamano questo approccio ingegneria sociale: non si attacca il computer, si attacca il ragionamento.
Un dettaglio che in pochi notano: queste email arrivano spesso di venerdì pomeriggio o nel weekend. Il motivo è semplice — sai che gli uffici sono chiusi, è più difficile chiamare per verificare, e l'ansia cresce. Se ricevi una comunicazione urgente da INPS o Poste di sabato sera, considera già quello un segnale.
03 — Poste Italiane: i canali ufficiali e quelli falsi
Poste Italiane usa un insieme preciso e limitato di canali per contattarti. Per le comunicazioni di sicurezza legate al conto BancoPosta o alla Carta Postepay, il canale principale è l'app ufficiale BancoPosta: trovi le notifiche direttamente nell'area messaggi dell'app, senza bisogno di cliccare su nessun link esterno. Il dominio ufficiale per qualunque email è poste.it — soltanto quello.
Gli SMS di sicurezza partono dal numero 3920 (per Poste) o da short code simili registrati. Se ricevi un SMS da un numero di cellulare normale, da un numero estero o da una stringa tipo «PosteInfo» scritta in modo diverso dall'usuale, fermati. Gli SMS di Poste non contengono mai link a domini che non siano poste.it o postepay.it.
I domini usati nelle truffe che imitano Poste sono facilmente riconoscibili una volta che sai cosa cercare: `poste-sicurezza.info`, `posteitaliane-supporto.net`, `bancoPosta-verifica.cc` sono esempi tipici. Il trucco è aggiungere una parola (sicurezza, supporto, verifica, accesso) dopo il nome reale, oppure cambiare il TLD da .it a .info, .net, .cc. Guarda sempre la parte DOPO l'@ nell'indirizzo del mittente: se non è esattamente `poste.it`, non è Poste.
04 — INPS: non ti chiama, non ti scrive, non ti manda link
L'INPS è probabilmente l'ente più imitato nelle truffe italiane degli ultimi anni, complice il fatto che quasi tutti i cittadini hanno un rapporto con lui: pensioni, NASpI, bonus vari, dichiarazioni. I truffatori lo sanno e sfruttano questa familiarità. Ma c'è una regola semplicissima che vale sempre: l'INPS non ti contatta via email per chiederti di cliccare su un link e confermare dati personali o bancari.
Il canale ufficiale dell'INPS è il portale `inps.gov.it` (nota: .gov.it, non .it da solo, non .com, non .org). Comunicazioni formali arrivano tramite PEC (Posta Elettronica Certificata) alla tua casella PEC se ne hai una, oppure compaiono direttamente nel tuo Fascicolo Previdenziale Personale, accessibile con SPID. Se vuoi sapere se hai un rimborso in arrivo, un conguaglio o una pratica aperta, accedi tu al portale: non aspettare che sia l'INPS a venire da te via email.
Un caso concreto molto diffuso in Italia è la finta email di «rimborso 730»: arriva in estate, quando molti aspettano il conguaglio fiscale, dice che hai diritto a un rimborso e ti chiede di inserire l'IBAN su una pagina esterna. L'INPS conosce già il tuo IBAN se hai attivato il pagamento diretto. Non te lo chiede per email. Mai.
05 — SPID: chi lo gestisce davvero e cosa può (o non può) chiederti
SPID è un sistema di identità digitale, non un servizio gestito direttamente dallo Stato in modo centralizzato. I gestori abilitati — chiamati Identity Provider — sono soggetti privati autorizzati dall'AgID: Poste Italiane (con SpidPoste), Aruba, Namirial, Infocert, TIM, Register.it e altri. Questo vuol dire che, se ricevi una email che parla di SPID, devi sempre chiederti: da quale provider ho attivato il mio SPID?
Ogni provider comunica con il suo dominio specifico. Se il tuo SPID è con Poste, le email arrivano da `@poste.it`. Se è con Aruba, da `@aruba.it`. Una email che dice «rinnova il tuo SPID» da un dominio generico tipo `spid-rinnovo.eu` o `identita-digitale.info` è quasi certamente una truffa. SPID non ha una scadenza automatica che ti obbliga a reinserire credenziali: la tua identità digitale è valida finché non la revochi tu o non cambi provider.
Un errore comune è pensare che SPID e password bancaria siano la stessa cosa. Non lo sono. Le credenziali SPID servono per accedere a servizi pubblici (INPS, Agenzia delle Entrate, fascicolo sanitario). Se le dai a qualcuno, quella persona può accedere a tutti i tuoi dati previdenziali, fiscali e sanitari — non solo al conto corrente. È un danno serio e spesso invisibile: puoi non accorgertene per settimane.
06 — Tre varianti italiane reali da conoscere
**La truffa del pacco Poste.** Una email (o SMS) comunica che un pacco è fermo al centro smistamento e che devi pagare 1,99 € di spese doganali per sbloccarlo. Il link porta a una pagina finta di Poste che chiede i dati della carta. La cifra piccola abbassa la guardia: «per meno di due euro non vale la pena preoccuparsi». Ma non è la cifra che rubano — sono i dati della carta, usati poi per acquisti ben più alti. Poste non chiede mai pagamenti aggiuntivi via link email o SMS.
**La truffa del bonus INPS non riscosso.** Arriva in genere dopo che un bonus reale è stato annunciato dai telegiornali (bonus benzina, bonus elettrodomestici, bonus energia). L'email dice che hai diritto al rimborso ma che non hai ancora richiesto l'accredito: clicca qui, inserisci IBAN e codice fiscale. Il tempismo è studiato: i truffatori aspettano l'annuncio ufficiale e poi spediscono milioni di email nelle 48 ore successive, quando la notizia è fresca. La regola è sempre la stessa: vai tu su inps.gov.it, non seguire link in email.
**La truffa del rinnovo SPID in scadenza.** Una email con il logo di un Identity Provider (spesso imitando Poste o Aruba) avvisa che le tue credenziali SPID scadono entro 7 giorni e che devi rinnovarle subito. Il link porta a un form che raccoglie username, password e poi richiede il codice OTP inviato al telefono. Con quei tre elementi, il truffatore ha accesso completo al tuo SPID. Il modo di difendersi: accedi al sito del tuo provider (poste.it, aruba.it) direttamente dal browser, senza usare il link della email.
07 — Quattro regole operative: cosa fare prima di cliccare
**Regola 1 — Controlla il dominio del mittente, non il nome visualizzato.** Il tuo programma di posta (Gmail, Libero, Outlook) mostra per prima cosa il nome del mittente: «Poste Italiane», «INPS», «SPID». Ma quel nome è decorativo — lo scrive chi manda l'email. Clicca o passa il mouse sul nome per vedere l'indirizzo reale. Se non è esattamente `@poste.it`, `@inps.gov.it` o il dominio del tuo provider SPID, fermati.
**Regola 2 — Non cliccare il link: vai direttamente al sito.** Se una email ti dice che c'è un problema con il tuo account, apri il browser e digita tu l'indirizzo ufficiale (poste.it, inps.gov.it). Accedi normalmente. Se c'è davvero un problema, lo vedrai lì dentro. Se non vedi nulla di anomalo, l'email era falsa. Questo vale sempre, anche quando l'email sembra convincente.
**Regola 3 — L'urgenza è quasi sempre falsa.** Nessun ente pubblico italiano blocca un account o cancella un diritto entro 12 o 24 ore senza avvisarti prima per raccomandata o PEC. Se una email ti dà pochissimo tempo per agire, quella fretta è costruita apposta per impedire che tu verifichi. Prenditi il tempo che ti serve: al massimo chiama il numero ufficiale del servizio (quello sul sito ufficiale, non quello nella email).
**Regola 4 — L'OTP non si dà mai a nessuno.** Il codice OTP che ricevi via SMS è una password temporanea valida per pochi secondi. È progettato per essere usato solo da te, in quel momento, su quel sito. Se qualcuno ti chiede quel codice — via email, via telefono, via WhatsApp — sta cercando di entrare nel tuo account in tempo reale, mentre ti parla. Nessuna banca, nessun ente, nessun operatore legittimo ha mai bisogno del tuo OTP.
08 — Come riconoscere una email autentica da una falsa: il metodo dei tre secondi
Tre secondi sono sufficienti per un primo controllo rapido. Primo: guarda il mittente reale (non il nome, l'indirizzo). Secondo: c'è un link? Passaci sopra senza cliccare e guarda dove porta. Terzo: ti chiede di inserire una password, un codice, un IBAN? Nessun ente pubblico lo fa via email. Se uno dei tre controlli solleva un dubbio, non procedere.
Un dettaglio utile per distinguere email autentiche da false: le comunicazioni reali di Poste o INPS di solito si riferiscono a te con nome e cognome, non con «Gentile cliente» o «Caro utente». Non è una regola assoluta — anche email autentiche usano formule generiche — ma «Gentile cliente» associato a urgenza e link è una combinazione quasi sempre sospetta.
Se hai dubbi su una email specifica, puoi usare gli strumenti gratuiti del CERT-AgID (cert-agid.gov.it) per segnalare o verificare un dominio sospetto. Anche la Polizia Postale ha uno sportello online (commissariatodips.it) dove puoi segnalare tentativi di phishing. Segnalare non richiede più di cinque minuti e aiuta a proteggere anche gli altri.
09 — Cosa fare se hai già cliccato (o inserito i dati)
Prima di tutto: niente panico. Aver cliccato su un link non significa automaticamente che qualcosa di grave sia già successo. Il danno reale avviene quando inserisci credenziali o dati bancari sulla pagina falsa. Se hai solo cliccato senza inserire nulla, chiudi la pagina, esegui una scansione antivirus aggiornata sul dispositivo e monitora i tuoi account nei giorni successivi.
Se hai inserito username e password di un servizio (Poste, INPS, SPID), cambia immediatamente la password da un dispositivo diverso e da una rete diversa (usa i dati del telefono, non il Wi-Fi di casa nel dubbio). Per SPID, contatta il tuo Identity Provider (Poste, Aruba, ecc.) e chiedi il blocco temporaneo delle credenziali. Per Poste, chiama il numero verde 803.160. Per INPS, chiama il contact center al numero 803.164.
Se hai inserito i dati della carta di credito o del conto, chiama immediatamente la tua banca o Poste e chiedi il blocco della carta. Hai diritto a chiedere il rimborso delle transazioni non autorizzate: fallo per iscritto entro 13 mesi dall'addebito, come prevede la normativa europea sui servizi di pagamento (PSD2). Poi fai una denuncia alla Polizia Postale: puoi farlo online su commissariatodips.it oppure recandoti fisicamente all'ufficio più vicino. La denuncia è utile anche per avviare la pratica di rimborso con la banca.
10 — Un promemoria da tenere vicino al computer
Poste Italiane comunica via app BancoPosta e via email da @poste.it. Non ti chiede mai password o OTP per email. Gli SMS di sicurezza partono da numeri short code registrati, non da cellulari normali.
INPS comunica tramite il portale inps.gov.it e tramite PEC. Non ti manda email con link per inserire IBAN o credenziali. Se hai dubbi su rimborsi o pratiche, accedi tu al Fascicolo Previdenziale con il tuo SPID.
SPID è gestito dal tuo provider specifico (Poste, Aruba, Namirial…). Le credenziali SPID non scadono con urgenze improvvise. L'OTP non si dà mai a nessuno, in nessuna circostanza. Se una email ti mette fretta, è quasi sempre un segnale costruito apposta. Tre secondi. Fanno la differenza.