“Indagine in corso – N.8 PP-SIC-2026-IT-01926”: una mail che spaventa, ma non è della Polizia Postale
Negli ultimi giorni diverse persone stanno ricevendo una email con oggetto “Indagine in corso – N.8 PP-SIC-2026-IT-01926” (o varianti simili) che si presenta come una comunicazione urgente della Polizia Postale. Il testo parla di presunte “violazioni”, di contenuti proibiti e di un termine di 48 ore per rispondere, con minacce pesanti come mandati e procedimenti.
Nello screenshot che abbiamo ricevuto si vede un dettaglio molto utile: il mittente risulta charad20@sch.gr e, nei dettagli di Gmail, compare “proveniente da: sch.gr” e “firmato da: sch.gr”. In altre parole, il messaggio arriva da un dominio che non ha nulla a che vedere con le comunicazioni istituzionali italiane.
Se una email “istituzionale” arriva da un dominio casuale (come sch.gr) e vi mette fretta con minacce e scadenze, trattatela come phishing: non rispondete, non cliccate, segnalatela.
Perché questa email è sospetta
Il primo campanello d’allarme è l’indirizzo del mittente. Un messaggio davvero inviato da un ufficio della Polizia Postale non arriva da caselle con domini scolastici esteri o domini generici. I truffatori spesso imitano nomi e firme (“Polizia Postale”, “Divisione investigazioni”, numeri di protocollo) per rendere credibile la minaccia, ma l’indirizzo reale tradisce la truffa.
Il secondo segnale è lo stile del testo. In molte copie di questa email compaiono parti senza senso, caratteri strani e pezzi in lingue diverse. Non è un dettaglio “buffo”: serve a superare filtri antispam e a confondere chi legge, riducendo la possibilità che qualcuno si accorga subito dell’inganno.
Il terzo segnale è la richiesta implicita di azione rapida: “rispondete entro 48 ore”, “comunicazioni solo via email”, “conseguenze penali”. È una tecnica di pressione psicologica: paura e fretta sono la combinazione che porta a cliccare o a rispondere senza ragionare.
“Crittografia standard (TLS)” non significa “email autentica”
Nel vostro screenshot Gmail mostra “Crittografia standard (TLS)”. Questo dato indica soltanto che il messaggio è stato trasmesso con una connessione cifrata tra server. È una protezione del trasporto, utile, ma non prova l’identità di chi scrive.
Anche la voce “firmato da” può trarre in inganno: spesso significa che il dominio del mittente ha una firma tecnica (ad esempio DKIM). In pratica, conferma che la mail è partita da quel dominio, non che quel dominio rappresenti davvero un ente italiano. Un truffatore può usare domini propri, domini poco controllati o, in alcuni casi, domini compromessi.
Ma non c’è nemmeno un allegato: qual è lo scopo?
Il phishing non passa sempre da allegati. A volte lo scopo è farvi rispondere, così il truffatore capisce che l’indirizzo è attivo e può alzare il livello con una seconda email più mirata (per esempio con un finto “verbale” in PDF o con un link a una pagina che chiede dati e documenti).
In altre campagne simili, l’obiettivo è portarvi su un sito clone per rubare credenziali, oppure farvi scaricare un file “di prova” in un passaggio successivo. La prima email serve a mettere ansia e a farvi entrare nel gioco.
Cosa fare subito se ricevete questa email
La cosa migliore è non rispondere e non interagire con il contenuto.
In Gmail potete usare la funzione di segnalazione per aiutare i filtri a bloccare messaggi simili in futuro.
Se volete fare un controllo in più, aprite l’email da browser e usate Altro (i tre puntini) > Mostra originale: vedrete informazioni tecniche utili e potrete anche inoltrare i dettagli a chi si occupa di sicurezza informatica. (Su alcune app mobili la voce può non essere presente.)
Infine, eliminate il messaggio dopo averlo segnalato come phishing/spam.
Se avete cliccato o avete risposto: piccoli passi che riducono i danni
Se avete cliccato un link, aperto un file o risposto, non fatevi prendere dal panico: agite con ordine. Chiudete eventuali pagine aperte, avviate una scansione antivirus, cambiate la password dell’account email e attivate l’autenticazione a due fattori. Controllate anche le impostazioni dell’account: filtri, inoltri automatici e indirizzi “di recupero” aggiunti di recente sono segnali tipici di compromissione.
Se avete inserito credenziali su un sito raggiunto dal link, cambiate subito quella password anche negli altri servizi dove l’avete riutilizzata.
Un controllo rapido che vale oro
Verificate in Gmail: Impostazioni > Inoltro e POP/IMAP, e Impostazioni > Filtri e indirizzi bloccati. Se trovate regole che non avete creato voi, rimuovetele e cambiate password.
Come riconoscere una vera comunicazione ufficiale
Le comunicazioni ufficiali seguono canali formali e tracciabili. In caso di dubbi, non usate mai numeri di telefono o link presenti nel messaggio sospetto. Cercate invece i riferimenti ufficiali dell’ente e, se ritenete opportuno, fate una segnalazione tramite i canali corretti indicati dalle istituzioni.
La Polizia Postale pubblica periodicamente avvisi su campagne di truffe che sfruttano nomi e loghi delle forze dell’ordine. Tenerli d’occhio aiuta a riconoscere più in fretta questi tentativi.
Fonti utili
- Commissariato di PS (Polizia Postale): notizie e avvisi
- Polizia di Stato: comunicazioni e avvisi sulle truffe online
- Gmail: come usare “Mostra originale” per vedere i dettagli di un messaggio
Attenzione alle truffe di lavoro sui Social Media: come riconoscerle e difendersi ⛔🤬👨💻💳
Leave a Reply