I messaggi circolano via e-mail e imitano notifiche ufficiali o atti giudiziari, completi di loghi, intestazioni, nomi di dirigenti e perfino la firma del Capo della Polizia.
Il meccanismo è preciso. Il destinatario viene informato di aver visualizzato materiale online. Gli viene chiesto di fornire giustificazioni per evitare l’avvio di un procedimento penale. Chi risponde riceve una seconda comunicazione con la richiesta di versare una somma di denaro per “interrompere le indagini in corso”. L’escalation in due fasi non è casuale: serve a filtrare le vittime già disposte a interagire, e quindi più vulnerabili alla pressione successiva.
La nuova truffa online: il messaggio della Polizia Postale
L’accusa scelta — la consultazione di materiale vietato — non è un dettaglio arbitrario. È costruita per colpire dove la vergogna e il panico rendono la vittima incapace di ragionare. Anche chi non ha nulla da nascondere tende a reagire emotivamente a un’accusa simile, e questa reazione è esattamente la finestra temporale che i truffatori sfruttano. L’urgenza non è un effetto collaterale del messaggio: è il prodotto che vendono.
Ciò che rende questi messaggi credibili è la qualità della messa in scena. Loghi riprodotti con precisione, riferimenti a uffici reali, terminologia procedurale corretta. Il nome visualizzato del mittente può essere falsificato senza alcuna competenza tecnica particolare — è sufficiente modificare un parametro nel client di posta. Il destinatario vede “Polizia Postale” nella colonna del mittente e smette di verificare oltre.
Va notato un aspetto contro-intuitivo: la Polizia Postale stessa è costretta a usare gli stessi canali digitali — comunicati, avvisi, post sui social — per segnalare truffe che si spacciano per comunicazioni della Polizia Postale. Il rischio di circolarità è reale: un avviso autentico e una truffa possono sembrare formalmente identici se letti senza attenzione alla fonte originale.
Le indicazioni operative diffuse sono nette. Non cliccare sui link contenuti nei messaggi. Non aprire allegati. Non rispondere al mittente. Non fornire dati personali. La Polizia non contatta i cittadini via e-mail per notificare indagini penali in corso, né richiede pagamenti per sospendere procedimenti.
Il canale e-mail non è mai il mezzo con cui le autorità italiane avviano un procedimento giudiziario nei confronti di un privato cittadino. Questo dato, nella sua semplicità, è il criterio più robusto per smontare qualsiasi variante futura di questa truffa, anche quando i loghi saranno più convincenti e le firme più autorevoli.
Chi riceve uno di questi messaggi può segnalarlo direttamente al Commissariato di Polizia Postale online tramite l’apposita sezione del portale istituzionale. La segnalazione non richiede di aver subito un danno economico.
La truffa non è nuova nella struttura — il cosiddetto scareware legale esiste da anni in diverse forme — ma l’uso sistematico di nomi e ruoli istituzionali specifici, con tanto di organigrammi verosimili, rappresenta un salto qualitativo nella capacità di inganno. Quanto tempo occorrerà prima che versioni ancora più accurate comincino a includere dati personali reali delle vittime, magari ottenuti da precedenti violazioni di database, è una domanda aperta.