Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Campagna di phishing a tema “ATAC S.p.A.” (AL05/260529/CSIRT-ITA)

Data:
29 Maggio 2026

Sintesi

Questo CSIRT ha recentemente rilevato una campagna di phishing, veicolata tramite messaggi SMS, finalizzata a indurre le potenziali vittime a consultare un presunto insoluto relativo alla mancata timbratura del biglietto per il trasporto pubblico gestito da ATAC S.p.A. e a inserire i dati della propria carta di pagamento.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna di phishing, veicolata tramite messaggi SMS, finalizzata a indurre le potenziali vittime a consultare una presunta irregolarità relativa alla mancata timbratura del biglietto per il trasporto pubblico gestito da ATAC S.p.A. e a inserire i dati della propria carta di pagamento.

La pagina iniziale malevola risulta molto simile graficamente a quelle normalmente utilizzate per verificare che la navigazione del sito non stia avvenendo per mezzo di strumenti automatizzati (Figura 1).

Figura 1 – Verifica che non sei un robot
Figura 1 – Verifica che non sei un robot

Effettuato il controllo, la vittima viene reindirizzata a una pagina che mostra il dettaglio di una presunta “uscita non registrata” (Figura 2). In particolare, vengono riportati diversi elementi volti a rafforzare la credibilità della richiesta, tra cui la causa della mancata registrazione, gli estremi del presunto viaggio e la relativa data di validazione, nonché un importo dovuto pari a 1,50 euro.

Figura 2 - Dettagli dell’uscita non registrata
Figura 2 – Dettagli dell’uscita non registrata

Tali informazioni sono accompagnate da un messaggio che intima possibili sanzioni aggiuntive in caso di mancato pagamento.

Si osserva, inoltre, come l’importo richiesto sia particolarmente contenuto. Tale circostanza potrebbe contribuire ad abbassare la soglia di attenzione dell’utente, rendendo la richiesta economicamente plausibile e meno sospetta.

Successivamente, la vittima viene indirizzata verso una pagina di “Pagamento Sicuro” (Figura 3). Qui vengono richiesti dati sensibili come il nome del titolare della carta, il numero della carta, la data di scadenza e il codice di sicurezza (CVV/CVC).

Figura 3- Pagina malevola per inserimento dei dati di pagamento
Figura 3- Pagina malevola per inserimento dei dati di pagamento

Qualora la vittima prosegua con il pagamento, la pagina si chiude reindirizzando l’utente verso una pagina esterna legittima.

In alternativa, qualora la vittima abbia selezionato il metodo di pagamento “PayPal”, viene indirizzata verso una pagina che riproduce il form di accesso (Figura 4).

Figura 4- Pagina fake per l’accesso a PayPal
Figura 4- Pagina fake per l’accesso a PayPal

Non appena la vittima, inserite le credenziali richieste, tenta di eseguire l’accesso, la pagina mostra un messaggio di errore con indicazione di effettuare il pagamento con la modalità carta bancaria (figura 5) tentando di indurre l’utente a inserire i dati della carta di pagamento.

Figura 5 – Errore PayPal
Figura 5 – Errore PayPal

In particolare, l’importo richiesto, essendo molto basso, potrebbe essere un elemento utile a rendere la campagna più credibile. Una cifra di pochi euro, infatti, può sembrare plausibile per un presunto mancato pagamento del pedaggio e spingere una potenziale vittima a prestare meno attenzione. Inoltre, per pagamenti online di importo ridotto, in alcuni casi potrebbe non essere richiesta un’ulteriore conferma da parte dell’utente della banca.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di minaccia adottando, tra le altre, le seguenti misure di mitigazione:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
  • diffidare da comunicazioni che richiedano il pagamento urgente, anche quando si tratta di importi modesti, soprattutto se accompagnate da riferimenti a presunte sanzioni, scadenze ravvicinate o procedimenti di recupero;
  • verificare sempre la legittimità del sito internet prima di inserire dati personali o finanziari, controllando con attenzione il dominio e gli elementi identificativi della pagina;
  • non accedere a collegamenti ricevuti tramite email, SMS o messaggi inattesi, privilegiando l’accesso diretto ai portali ufficiali digitando manualmente l’indirizzo nel browser;
  • non inserire i dati della propria carta su pagine web di cui non sia stata verificata con certezza l’autenticità;
  • in caso di inserimento dei dati su una risorsa sospetta, contattare tempestivamente il proprio istituto bancario o l’emittente della carta per valutare il blocco dello strumento di pagamento e monitorare eventuali operazioni non riconosciute.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) 1 forniti nell’apposita sezione.

1 Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio .

Indicatori di compromissione

Tipologia Indicatore
url https://romaatac.my/pay
domain romaatac.my

Change log

Versione Note Data
1.0 Pubblicato il 29-05-2026 29/05/2026

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

29 Maggio 2026, 15:39