Mail di rinnovo della PostePay scaduta

Sono titolare di una carta PostePay Standard. In prossimità della scadenza, mi è arrivata la mail di rinnovo della PostePay scaduta.

Schermata di una mail di rinnovo della PostePay scaduta, legittima

Se mi segui lo sai già: mi girano tantissimi messaggi provenienti da Poste Italiane, che però rappresentano dei tentativi di truffa. Tipicamente, le mail truffaldine si riconoscono subito dall’indirizzo del mittente. Sono quindi andato subito a verificarlo.

L'indirizzo mittente di una mail di rinnovo della PostePay scaduta: mail@info.poste.it

L’indirizzo “mail@info.poste.it” appartiene davvero a Poste Italiane: la parte finale contiene “poste.it”. Gli indirizzi email sono sempre costituiti da un nome (in questo caso “mail”), seguito da una chiocciolina (che in inglese corrisponde alla parola “at”, che in italiano vuol dire “presso”), seguito dal nome a dominio (poste.it, preceduto in questo caso dal nome “info”). Solo Poste Italiane può creare indirizzi “[qualcosa]@[qualcosa].poste.it”, quindi la mail è autentica.

Premo sul link, seguo una procedura lunga, noiosa e spiegata male e riesco a richiedere il rinnovo della mia PostePay. Qualche ora dopo (sicuramente per puro caso) Ricevo un SMS. Il mittente è “PosteInfo”. Il messaggio dice “la sua carta è stata sospesa per mancato aggiornamento dell’app mobile”. Segue un link per il rinnovo.

SMS di "PosteInfo" che mi avvisa che la carta è stata sospesa

Avendo ricevuto subito prima la mail di rinnovo della PostePay scaduta, penso di aver sbagliato qualcosa e premo sul link. Arrivo su una pagina col logo di Poste Italiane, che mi invita ad inserire nome utente e password per “confermare i miei dati”. Per scrupolo controllo l’indirizzo web della pagina e mi fermo: È falso!

Finta pagina di autenticazione di Poste Italiane

Il nome a dominio della pagina è “preview-domain.com”, non “poste.it”. Quindi il mio numero è stato usato per un tentativo di “phishing” (un attacco informatico in cui l’hacker cerca di prenderti nome utente e password, predisponendo una finta pagina di accesso). O meglio, di “smishing” (lo stesso tipo di attacco, perpetrato però attraverso un SMS).

Da sempre le carte PostePay ed i conti Bancoposta sono presi di mira dagli hacker. Ultimamente Poste Italiane ha fatto grossi passi avanti, aggiungendo l’autenticazione a più fattori (cioè richiedendo per l’accesso una password ed una conferma via SMS) e creando l’app PosteID. Rimane però il grosso problema dell’intuitività: molti di questi sistemi non sono facilmente comprensibili da chi ha poca dimestichezza con la tecnologia.

Ritengo che molte procedure (ad esempio il rinnovo della PostePay, l’attivazione del conto Bancoposta online o dello SPID) siano inutilmente lunghe, complicate e spiegate male. Inoltre viene molto spesso richiesto di recarsi ad uno sportello bancomat o ad un ufficio postale, cosa che nel 2022 potrebbe essere tranquillamente evitata. Spero vivamente che le cose cambino in futuro.

La tua indipendenza digitale inizia qui

👇👇👇