Arriva un SMS, sembra urgente: “Pagamento in scadenza per la TARI. Clicca qui”. Un palpito, un dubbio, poi la domanda che ci salva: perché il mio Comune dovrebbe sollecitarmi così? È da lì che inizia la difesa, non dalla tecnologia ma dal fiuto quotidiano.
Hanno segnalato tentativi di truffa telefonica legati alla Tassa Rifiuti. Messaggi brevi, tono perentorio, un link. La promessa: “risolvi ora”. La minaccia: “sanzione immediata”. È il copione classico dello smishing, la variante via SMS del phishing.
Chi li riceve racconta la stessa scena. Mittente che sembra istituzionale. Lingua quasi corretta, a tratti impastata. Il link spesso è accorciato. La pagina di destinazione imita un portale pubblico e chiede dati di carta, IBAN, codice SPID o persino l’OTP. A quel punto il trucco è servito.
Un passo indietro ai fondamentali. La TARI è un tributo comunale. Si paga con un avviso ufficiale, di norma tramite PagoPA: avviso cartaceo o digitale (PEC, area personale, app IO). Alcuni Comuni inviano promemoria via SMS, ma non chiedono inserimenti di carte o codici via link non riconoscibili. Questo è un punto verificabile: gli uffici non richiedono OTP o credenziali SPID per telefono o SMS.
Eppure la fretta ci tradisce. Soprattutto vicino alle scadenze fiscali, quando i picchi di tentativi fraudolenti aumentano: la Polizia Postale lo ripete da anni. Non serve essere esperti per proteggersi; serve una piccola abitudine: fermarsi, respirare, verificare.
Il messaggio spinge all’urgenza o minaccia penali. I Comuni informano, non spaventano. Il link è accorciato o ha un dominio strano. Controlla l’indirizzo completo prima di toccarlo. La pagina chiede numeri di carta, IBAN, OTP o codici SPID. Un ente pubblico non li domanda via SMS. Mancano riferimenti all’“avviso di pagamento” con IUV e QR-code, elementi tipici di PagoPA. Il mittente non combacia con il sito ufficiale del tuo Comune. Verifica dai canali istituzionali, non dal messaggio.
Un esempio concreto? “Sollecito TARI 2024. Evita sanzione, paga ora: [link]”. Sembra credibile, ma un Comune non fa pressing su un link generico. Al massimo rimanda al proprio portale, dove entri con SPID per consultare il tuo avviso, non per digitare dati di carta su una pagina qualunque.
Interrompi l’operazione. Se hai inserito dati, chiama la banca e blocca carta o bonifico. Cambia le password. Se hai dato codici SPID, contatta subito il tuo Identity Provider. Fai screenshot di SMS e pagina. Serviranno per la denuncia. Segnala al Commissariato di P.S. online (Polizia Postale). Puoi anche presentarti in Questura o Stazione Carabinieri. Verifica la tua posizione TARI solo dal sito del Comune, dall’app IO o dall’ultimo avviso PagoPA in tuo possesso. Se hai dubbi, chiama l’Ufficio Tributi usando i contatti trovati tu, non quelli del messaggio.
Un dettaglio utile: l’avviso PagoPA autentico riporta codice IUV, importo, scadenza e i canali di pagamento abilitati. Non esistono “penali istantanee” attivabili via SMS. Se il tuo Comune invia SMS di promemoria, in genere punta al dominio istituzionale e non a link accorciati. Quando questo non è chiaro, trattalo come sospetto.
L’ho visto accadere a un vicino: “Ho cliccato per paura di perdere lo sconto”. Non aveva alcuno sconto, solo fretta. Gli ho chiesto: che cosa ti ha messo in ansia? “Il tono del messaggio”. Ecco il vero grimaldello dei truffatori. La prossima volta, prima di toccare quel link, pensiamo: chi sta parlando con me? E perché ha così tanta fretta?