AttentiOnline

Truffe, phishing ed altri pericoli del web

Truffa Autostrade
Phishing

“Pedaggio non pagato”: la truffa di Autostrade arriva su WhatsApp con un numero americano

Fabio

Vi arriva un messaggio su WhatsApp da un numero con prefisso +1 degli Stati Uniti. L’account si presenta come “Autostrade” con tanto di logo aziendale e badge “Account business”. Il testo è scritto in un italiano formale e corretto, parla di un transito autostradale non correttamente addebitato e vi invita a pagare cliccando su un link. Tutto sembra credibile, ma è una truffa. Ecco come funziona e come riconoscerla al primo sguardo.

Il messaggio che abbiamo ricevuto recita testualmente: “Autostrade per l’Italia – Avviso di mancato pagamento del pedaggio autostradale”. Il testo informa il destinatario che il pagamento relativo a un transito autostradale non risulta correttamente addebitato e invita a provvedere al saldo “entro i termini previsti” per evitare sanzioni o costi aggiuntivi. In calce al messaggio compare un link per il presunto pagamento online che punta a un dominio chiamato “auvip.top/it” — un indirizzo che non ha nulla a che vedere con Autostrade per l’Italia.

Il messaggio è costruito con cura. Non contiene errori grammaticali evidenti, usa un registro formale coerente con quello di una comunicazione aziendale e si chiude con un rassicurante “Qualora avesse già effettuato il pagamento, La preghiamo di non considerare la presente comunicazione”. Una formula che i truffatori inseriscono deliberatamente per abbassare le difese del destinatario e far sembrare il messaggio ancora più autentico.

Come smascherare la truffa

Nonostante la cura nella costruzione del testo, gli indizi che smascherano questo messaggio come fraudolento sono numerosi e inequivocabili.

Il numero del mittente è americano. Il messaggio arriva dal numero +1 (979) 479-7590, con provenienza Stati Uniti. Autostrade per l’Italia utilizza per le comunicazioni WhatsApp ufficiali esclusivamente i numeri italiani 055 4210452 e 055 8883600. Un numero con prefisso internazionale +1 è un segnale d’allarme immediato.

Il dominio nel link è completamente estraneo. L’indirizzo “auvip.top/it” non ha alcuna relazione con i canali ufficiali di Autostrade per l’Italia. I pagamenti legittimi dei mancati pedaggi si effettuano esclusivamente attraverso il sito www.autostrade.it o www2.autostrade.it. Qualsiasi altro dominio — specialmente quelli con estensioni come .top, .xyz, .digital o .com — è da considerarsi fraudolento.

Autostrade non chiede pagamenti urgenti via WhatsApp. Questo è il punto fondamentale, ribadito dalla stessa azienda in una nota ufficiale dedicata proprio alla campagna di phishing in corso. Autostrade per l’Italia non invia mai richieste di pagamento con estrema urgenza tramite SMS, email o WhatsApp e non chiede mai dati sensibili come password, numeri di carta di credito o coordinate bancarie attraverso questi canali.

I tempi reali sono diversi da quelli suggeriti. In caso di effettivo mancato pagamento del pedaggio, Autostrade concede 15 giorni dal transito per regolarizzare la posizione senza costi aggiuntivi. Le eventuali lettere di sollecito riportano sempre una data di scadenza precisa. Il messaggio truffa, al contrario, parla genericamente di “termini previsti” senza indicare alcuna data, proprio perché i truffatori non dispongono di informazioni reali sul destinatario.

Il messaggio è generico. Non contiene alcun dato specifico: nessun riferimento alla targa del veicolo, al tratto autostradale percorso, alla data del transito né all’importo dovuto. Una vera comunicazione di mancato pagamento includerebbe tutti questi dettagli.

Cosa succede se si clicca sul link

Chi clicca sul link contenuto nel messaggio viene indirizzato a una pagina web che replica con estrema fedeltà il sito ufficiale di Autostrade per l’Italia: stessi colori, stesso layout, stesso logo. Il sito fraudolento chiede di inserire dati personali — come la targa del veicolo e il numero di telefono — e successivamente i dati della carta di pagamento. Inserendo queste informazioni, la vittima consegna ai truffatori tutto il necessario per effettuare transazioni non autorizzate o rivendere i dati rubati nel mercato nero digitale.

Un aspetto particolarmente insidioso, segnalato in diverse analisi tecniche, è che alcuni di questi siti si comportano in modo diverso a seconda del dispositivo utilizzato. Accedendo da computer, il link può reindirizzare al sito autentico di Autostrade per evitare di insospettire chi fa verifiche. Da smartphone — il dispositivo su cui si riceve il messaggio WhatsApp — viene invece mostrata la pagina truffaldina. Una tecnica sofisticata che rende più difficile l’individuazione della frode da parte degli scanner di sicurezza automatici.

Una campagna che non si ferma

Quella del finto pedaggio autostradale è una delle campagne di smishing e phishing più persistenti in Italia. Circola in diverse varianti da oltre un anno e si ripresenta periodicamente con nuovi domini, nuovi numeri e piccole variazioni nel testo. Inizialmente diffusa prevalentemente via SMS, la truffa si è progressivamente estesa a WhatsApp, sfruttando la percezione di maggiore affidabilità che molti utenti associano ai messaggi ricevuti su questa piattaforma, specialmente quando il mittente si presenta con un profilo “business”.

La stessa Autostrade per l’Italia ha pubblicato sul proprio sito una pagina dedicata specificamente a questa campagna di phishing, con l’elenco completo dei propri canali di comunicazione ufficiali e le istruzioni su come comportarsi.

Cosa fare (e cosa non fare)

La regola è semplice: non cliccate sul link e non rispondete al messaggio. Bloccate il numero del mittente direttamente da WhatsApp e cancellatelo.

Se avete già cliccato sul link e inserito i dati della vostra carta di pagamento, contattate immediatamente la vostra banca per bloccare la carta e segnalare l’operazione sospetta. La tempestività in questi casi è fondamentale: prima si interviene, maggiori sono le possibilità di bloccare eventuali transazioni fraudolente.

In ogni caso, è importante sporgere denuncia alle autorità competenti — Polizia Postale o Carabinieri — e segnalare l’accaduto ad Autostrade per l’Italia scrivendo a info@autostrade.it, in modo che l’azienda possa monitorare la campagna e avvisare altri utenti.

Come sempre, la difesa più efficace resta la consapevolezza. La prossima volta che ricevete un messaggio che vi chiede di pagare qualcosa con urgenza — un pedaggio, una multa, un pacco in giacenza — fermatevi un momento prima di cliccare. Chiedetevi se il mittente è credibile, se il link punta a un dominio ufficiale, se la richiesta contiene dati specifici che solo il vero mittente potrebbe conoscere. Nella stragrande maggioranza dei casi, quella manciata di secondi di riflessione è tutto ciò che serve per non cadere nella trappola.

AttentiOnline | "Pedaggio non pagato": la truffa di Autostrade arriva su WhatsApp con un numero americano
LinkedInPrint

Questo sito utilizza i cookies per migliorare la tua esperienza di navigazione | Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all'uso dei cookies | Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookies clikka qui

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi