La Polizia Postale ha segnalato a fine maggio 2026 una nuova campagna di messaggi fraudolenti che circolano a nome di Atac Roma e Atm Milano. Il testo è costruito intorno a un dettaglio tecnico preciso: la mancata registrazione del “tap-out”, ovvero l’uscita dalla rete di trasporto pubblico tramite il sistema Tap&Go, quello che consente di pagare metro e autobus avvicinando la carta di credito — o lo smartphone — al lettore all’ingresso.
Il riferimento al Tap&Go non è casuale. Si tratta di un servizio autentico, attivo e diffuso, che una parte rilevante dei pendolari usa quotidianamente. Citarlo rende il messaggio contestualmente plausibile: chi usa Atm a Milano o Atac a Roma sa cosa sia una “convalida incompleta” e può facilmente credere di aver dimenticato di validare l’uscita.
Allerta della Polizia Postale: il messaggio truffa
Il meccanismo è semplice: paura di una sanzione, link da cliccare, deadline implicita. Il messaggio avverte che senza regolarizzare la propria posizione tramite il link indicato si rischia una multa. L’importo non viene specificato, il che amplifica l’effetto: una sanzione indefinita è psicologicamente più efficace di una precisa.
Atac ha già comunicato direttamente ai propri utenti che questi messaggi non provengono in nessun modo dall’azienda. La Polizia Postale è ancora più esplicita: le aziende di trasporto e il servizio Tap&Go non richiedono mai sanatorie via SMS. Mai. Non è una prassi che esiste, e dunque qualsiasi messaggio di questo tipo, indipendentemente da quanto sembri autentico, è falso per definizione.
L’aspetto contro-intuitivo di questa truffa è che funziona meglio su chi usa davvero il Tap&Go. Chi non lo conosce ignora il messaggio o si insospettisce immediatamente. Chi invece lo usa con regolarità — e magari ha fretta, o è distratto — è esattamente il profilo più vulnerabile, perché il contenuto del messaggio appartiene alla propria esperienza quotidiana. La familiarità diventa un vettore di attacco.
Lo schema si inserisce in una serie di campagne analoghe che si ripetono ciclicamente da mesi: la truffa del pedaggio non pagato via WhatsApp, i finti avvisi di PagoPa con richieste di pagamento urgente. La struttura è sempre la stessa — ente pubblico, mancato adempimento, rischio sanzione, link — ma il veicolo cambia ogni volta per sfruttare un servizio diverso nel momento in cui diventa sufficientemente diffuso da essere riconoscibile.
Nella migliore delle ipotesi, cliccare sul link porta al furto di dati personali. In quella peggiore, il sito di destinazione simula una pagina di pagamento e raccoglie direttamente i dati della carta di credito. La Polizia Postale raccomanda di non cliccare i link, non inserire alcun dato, non rispondere, cancellare il messaggio. In caso di dubbi concreti sulla propria posizione con il servizio Tap&Go, l’unica verifica affidabile è contattare direttamente l’azienda di trasporto attraverso i canali ufficiali.
Vale la pena notare che Atac e Atm dispongono di sistemi interni per gestire le anomalie di convalida. Se un tap-out non venisse registrato, la procedura prevista non passa per un SMS con link esterno.
