Una nuova campagna di phishing sta prendendo di mira gli utenti del trasporto pubblico romano sfruttando il nome di ATAC e il sistema di pagamento Tap&Go. L’azienda capitolina ha pubblicato un avviso ufficiale per segnalare la diffusione di messaggi SMS fraudolenti che invitano i destinatari a “confermare” una presunta convalida incompleta del viaggio, minacciando il rischio di una multa in caso di mancata azione. Nel testo del messaggio viene utilizzata una formula studiata per generare urgenza e preoccupazione.
Gli utenti ricevono infatti una comunicazione con frasi come “Attenzione! Convalida TAP&GO incompleta. Rischio multa. Confermi ora”, seguite da un link che rimanda a un dominio estraneo ai canali ufficiali dell’azienda.
ATAC ha precisato che non invia SMS relativi al servizio Tap&Go e che il messaggio in circolazione rappresenta un tentativo di phishing finalizzato al furto di informazioni personali e finanziarie.
Una tecnica già vista contro ATM Milano
La campagna presenta forti similitudini con le recenti truffe che avevano colpito anche gli utenti di ATM Milano attraverso il falso tema “TAP-OUT”. In quel caso i criminali informatici sfruttavano la familiarità degli utenti con i sistemi contactless dei trasporti pubblici per indurre le vittime a cliccare su link fraudolenti. I messaggi facevano riferimento a presunti problemi di validazione del biglietto o a pagamenti incompleti, simulando notifiche operative apparentemente plausibili.
Questo schema dimostra come il cybercrime stia adattando sempre più le campagne di smishing ai servizi digitali quotidiani. L’utilizzo dei pagamenti contactless nei trasporti urbani rappresenta infatti un contesto ideale per i truffatori, perché combina rapidità di utilizzo, automatismi e scarsa attenzione da parte degli utenti durante gli spostamenti. Inoltre, il fatto che il servizio Tap&Go sia realmente utilizzato da migliaia di cittadini rende la comunicazione credibile anche per utenti con una discreta consapevolezza digitale.
Domini fake e imitazione dei servizi ufficiali
Uno degli elementi più significativi di questa campagna è l’uso di domini costruiti per ricordare il nome del servizio reale. Nel caso segnalato da ATAC compare infatti un indirizzo web che include riferimenti a “rome” e “atac”, con l’obiettivo di apparire legittimo a una lettura veloce. Questa tecnica è molto diffusa nelle campagne di phishing e viene spesso combinata con siti che imitano graficamente le pagine ufficiali delle aziende di trasporto. Una volta aperto il link, la vittima può essere indirizzata verso una falsa pagina di pagamento dove vengono richiesti dati della carta di credito, credenziali personali o codici OTP.
Le campagne di smishing legate ai trasporti pubblici stanno inoltre diventando sempre più industrializzate. I criminali sfruttano piattaforme automatizzate per inviare migliaia di messaggi in poche ore, selezionando prefissi telefonici specifici o utenti appartenenti a determinate aree geografiche. Questo consente di aumentare l’efficacia dell’attacco e di colpire persone che utilizzano realmente il servizio menzionato nel messaggio.
Come difendersi da queste campagne
Dal punto di vista operativo, è importante ricordare che le aziende di trasporto non richiedono normalmente la conferma immediata di pagamenti tramite link ricevuti via SMS. Qualunque comunicazione che faccia leva su urgenza, minacce di sanzioni o richieste improvvise di inserimento dati deve essere considerata sospetta. La verifica del dominio resta uno dei controlli più efficaci. Anche piccole variazioni nel nome del sito possono indicare la presenza di una pagina fraudolenta. È consigliabile inoltre non aprire link ricevuti tramite SMS inattesi e accedere ai servizi direttamente dalle applicazioni ufficiali o digitando manualmente l’indirizzo del sito nel browser.
ATAC ha invitato gli utenti a non cliccare sul link presente nel messaggio e a fare riferimento esclusivamente ai canali ufficiali per qualsiasi richiesta di assistenza. L’azienda ha inoltre annunciato l’intenzione di segnalare il tentativo di truffa alle autorità competenti.
La somiglianza tra il caso ATAC e la precedente campagna ATM Milano TAP-OUT conferma che il cybercrime continua a riutilizzare modelli di attacco già efficaci, adattandoli rapidamente a nuovi contesti e territori.
