SMS falso app IO: come riconoscere la truffa e proteggersi

Negli ultimi tempi si è registrato un aumento di messaggi ingannevoli che sfruttano il nome di app IO, l’applicazione dei servizi pubblici digitali. Se hai ricevuto un sms da app IO che ti invita a cliccare su un link per aggiornare i tuoi dati, riscuotere un rimborso o sbloccare il tuo account, fai molta attenzione: si tratta di un tentativo di phishing (o smishing). L’app IO non invia mai link diretti via SMS per richiedere dati bancari o credenziali di accesso.

In sintesi

• Il rischio: I cybercriminali inviano finti SMS a nome di “app IO” per rubare dati bancari o credenziali SPID/CIE.
• Come riconoscerlo: Presenza di link esterni (es. italiapubblica-it.com), urgenza nel testo e richiesta di dati personali.
• Cosa fare subito: Non cliccare sul link, blocca il mittente e cancella il messaggio.
• Regola d’oro: PagoPA (che gestisce l’app IO) non richiede mai dati sensibili o coordinate bancarie tramite SMS.

Qual è il rischio dello smishing a nome di app IO

Il pericolo principale è lo smishing, ovvero il phishing tramite SMS. I truffatori camuffano il mittente facendo apparire la scritta “app IO” o “PosteInfo” (tecnica nota come SMS spoofing), inserendo il messaggio malevolo nella stessa chat dei messaggi legittimi.

L’obiettivo è spingerti a cliccare su un link che conduce a un sito Web clone, graficamente identico a quello della Pubblica Amministrazione o di una banca. Se inserisci le tue credenziali (SPID, CIE) o i dati della carta di credito, i criminali informatici se ne impossesseranno per svuotare il conto o rubare la tua identità digitale.

Come riconoscere un SMS falso dell’app IO

Riconoscere queste truffe è semplice se si presta attenzione ad alcuni dettagli fondamentali:

• Presenza di link: L’applicazione IO invia notifiche push o SMS informativi, ma non inserisce mai link cliccabili che rimandano a pagine di login o di inserimento dati bancari.
• Tono d’urgenza o promesse di denaro: Messaggi del tipo “Il tuo account verrà bloccato entro 24 ore” oppure “Hai un rimborso disponibile, clicca qui” sono esche tipiche dei truffatori.
• URL sospetti: Anche se il link sembra contenere la parola “io” o “governo”, l’estensione o la struttura del dominio sono anomale (es. appio-servizi.net, verifica-io.org). Il sito ufficiale è solo io.italia.it.

Cosa fare subito se ricevi il messaggio

Se l’SMS è arrivato sul tuo smartphone ma non hai cliccato sul link:

1. Non interagire: Non rispondere al messaggio e non aprire il link.
2. Blocca il mittente: Segnala il numero come spam tramite le impostazioni del tuo telefono.
3. Elimina l’SMS: Cancella definitivamente il messaggio per evitare tocchi accidentali in futuro.

Cosa evitare assolutamente

• Non inserire mai dati personali: Non digitare password, codici OTP, PIN o numeri di carte di credito su link arrivati via SMS.
• Non scaricare allegati: Se il link rimanda al download di file (es. pacchetti .apk per Android), non installarli: contengono malware.
• Non fidarsi del nome del mittente: Ricorda che la chat “app IO” sul telefono può essere manipolata dai truffatori. Trust verification sempre sul contenuto, mai sul nome visualizzato.

Come proteggersi in modo preventivo

• Usa solo l’app ufficiale: Per qualsiasi comunicazione, bonus o pagamento, apri direttamente l’app IO installata dallo store ufficiale (Google Play Store o Apple App Store) e verifica la sezione “Messaggi”.
• Attiva l’autenticazione a due fattori (2FA): Proteggi il tuo provider SPID o la tua CIE con il massimo livello di sicurezza disponibile.
• Mantieni aggiornato lo smartphone: Gli aggiornamenti di sicurezza periodici aiutano a bloccare i tentativi di phishing e l’installazione di software dannosi.

Casi particolari: cosa fare se hai già cliccato o inserito i dati

Se purtroppo sei caduto nel tranello e hai inserito i tuoi dati, agisci immediatamente:

• Se hai inserito dati bancari: Contatta subito il servizio clienti della tua banca o il numero verde blocchi della tua carta di credito. Richiedi il blocco della carta e il monitoraggio del conto.
• Se hai inserito le credenziali SPID: Cambia immediatamente la password dal sito ufficiale del tuo Identity Provider (es. PosteID, Sielte, Aruba) e revoca l’accesso a eventuali sessioni attive.
• In caso di danni economici: Raccogli gli screenshot dell’SMS e della pagina web truffaldina e sporgi denuncia alla Polizia Postale.

FAQ (Domande Frequenti)

L’app IO invia mai SMS con link?

No. PagoPA S.p.A. ha più volte ribadito che l’app IO non invia mai SMS contenenti link a siti web esterni per richiedere dati personali, credenziali o coordinate bancarie.

Come fa il finto SMS ad apparire nella stessa chat dei messaggi veri di app IO?

Utilizza una tecnica chiamata SMS Spoofing. I truffatori modificano l’Alpha Sender (il nome del mittente) in modo che lo smartphone lo associ automaticamente alla conversazione legittima già esistente.

Come posso verificare se un messaggio sull’app IO è vero?

Accedi direttamente all’applicazione ufficiale sul tuo smartphone tramite SPID o CIE. Se la comunicazione è reale, la troverai archiviata nella scheda “Messaggi” all’interno dell’app.

Domenico De Rosa

Giornalista e analista, scrive di economia italiana, innovazione e imprese. Appassionato di tecnologia e finanza, racconta il presente e il futuro delle aziende che fanno muovere il Paese.