Arriva un'email: il tuo pacco è fermo, devi pagare una piccola spesa di rinotifica o confermare l'indirizzo. Sembra urgente, sembra reale. Ma quasi sempre non lo è. Ecco come funziona il trucco, variante per variante, e come smontarlo in tre secondi.
01 — Il pattern del "pacco in giacenza": cosa succede esattamente
Tutto inizia con una email dall'aspetto familiare: il logo di SDA, di Poste Italiane, di Amazon o di DHL campeggia in cima. Il testo è breve e diretto: il tuo pacco non è stato consegnato, è fermo al deposito, e hai 24 o 48 ore per fare qualcosa — pagare 1,99 euro di spese di rinotifica, oppure cliccare un link per scegliere una nuova finestra di consegna. L'email sembra urgente ma non aggressiva. È proprio questo il punto.
Questo tipo di truffa si chiama parcel scam o smishing (quando arriva via SMS) e phishing (quando arriva via email). In Italia è segnalata con continuità dal CERT-AgID — il Centro nazionale per la sicurezza informatica della pubblica amministrazione — e dalla Polizia Postale sul portale commissariatodips.it. Non è una novità: circola almeno dal 2019, ma torna a ondate ogni volta che i volumi di acquisti online aumentano, come nei periodi post-natalizi o durante i saldi.
Il meccanismo è semplice: i truffatori inviano milioni di email a indirizzi raccolti da fughe di dati o comprati sul dark web. Non sanno se il destinatario ha davvero un pacco in arrivo. Ma le probabilità che qualcuno abbia ordinato qualcosa negli ultimi giorni sono alte, specialmente tra chi fa acquisti regolari online. Il messaggio vago ('il tuo pacco') funziona proprio perché non deve essere preciso: sei tu a completare il puzzle nella tua testa.
02 — Perché funziona: la psicologia dietro al pacco fermo
Il cervello umano reagisce in modo diverso a una perdita potenziale rispetto a un guadagno potenziale. Perdere un pacco già pagato — anche solo il rischio di perderlo — attiva un piccolo allarme emotivo che spinge ad agire in fretta. I truffatori lo sanno. L'importo richiesto è volutamente basso, spesso meno di due euro: troppo piccolo per sembrare una truffa, abbastanza reale da giustificare l'azione immediata.
C'è poi l'effetto contesto: se stai aspettando davvero un pacco (e chi non lo fa, tra Amazon, Zalando, Subito?), il messaggio si aggancia a qualcosa di concreto nella tua mente. Il tuo cervello smette di chiedersi 'ma è vero?' e inizia a chiedersi 'quale pacco sarà?'. Questo scivolamento mentale è il punto più pericoloso dell'intera truffa.
Un terzo elemento è la familiarità visiva. I loghi di SDA, Poste Italiane, DHL o Amazon sono tra le immagini più viste nella vita quotidiana italiana. Riconoscere quel logo genera automaticamente un senso di fiducia. Il truffatore non ha costruito credibilità: l'ha presa in prestito dall'azienda che sta impersonando. Per questo è fondamentale imparare a non guardare il logo, ma il dominio dell'indirizzo email del mittente.
03 — Le sei varianti italiane: SDA, Poste, Amazon, DHL, GLS, BRT
Ogni corriere o piattaforma viene impersonato con uno stile leggermente diverso, ma il copione di fondo è sempre lo stesso. Conoscere le varianti ti aiuta a riconoscerle più in fretta. Ecco come si presentano tipicamente, e come verificare in autonomia se l'email è reale.
SDA è tra i corrieri più imitati in Italia. Le email false usano domini come sda-notifica.com, sda-delivery.info o sda-rinotifica.it. Il dominio reale di SDA è sda.it. Verifica: apri sda.it/contatti (senza cliccare link in email) e controlla la sezione 'Canali ufficiali' — le email di servizio arrivano solo da indirizzi @sda.it. Se vedi qualsiasi altro dominio, è una truffa. Puoi anche cercare su Google 'dominio email SDA ufficiale' per trovare la conferma diretta sul sito.
Poste Italiane / Nexive usano cloni di email con domini come poste-notifica.info, posteitalia-spedizioni.com, nexive-delivery.net. I domini ufficiali di Poste sono @posteitaliane.it e @noreply.poste.it. Poste pubblica la lista dei propri canali ufficiali di comunicazione su poste.it/sicurezza: apri quella pagina e usa Ctrl+F per cercare il dominio che hai ricevuto — se non c'è, non è Poste.
Amazon è il brand più imitato in assoluto a livello mondiale. I falsi usano domini come amazon-verifica.cc, amazon-spedizioni.net, amaz0n-notifica.eu. I domini reali di Amazon per le comunicazioni sono @amazon.it e @notifications.amazon.it. Amazon pubblica una guida alle email genuine su amazon.it/gp/help/customer/display.html (cerca 'email genuine Amazon' su Google per trovarla direttamente). Un dettaglio chiave: Amazon non chiede mai pagamenti di 'spese di rinotifica' — la consegna è già inclusa nell'ordine.
DHL, GLS e BRT completano il quadro. DHL usa solo domini @dhl.com o @dpdhl.com — verificabile su dhl.com/it/it/home/customer-service/faq.html. GLS Italia comunica da @gls-italy.com — verifica su gls-italy.com/it/azienda/contatti. BRT usa @brt.it — verifica su brt.it/it/contatti. Se il dominio del mittente non corrisponde esattamente a questi, non cliccare nulla.
04 — Come riconoscere il vero tracking: vai direttamente, mai da link in email
La regola d'oro è una sola: per controllare lo stato di un pacco, non partire mai dall'email. Apri il browser, digita l'indirizzo del corriere, e usa il tracking direttamente dal sito ufficiale. Questo vale sempre, anche se l'email sembra assolutamente autentica. Il link nell'email può portarti a una copia perfetta del sito reale — una copia che registra i tuoi dati mentre li inserisci.
Per SDA: apri sda.it, clicca su 'Traccia spedizione' e inserisci il numero di tracking che ti è stato comunicato al momento dell'acquisto (non quello nell'email sospetta). Per Poste: poste.it/online/dovequando. Per Amazon: accedi al tuo account su amazon.it → 'Resi e ordini' → seleziona l'ordine → 'Traccia pacco'. Per DHL: dhl.com/it-it/home/tracciabilita.html. Per GLS: gls-italy.com/it/traccia-spedizione. Per BRT: brt.it/it/tracking.
Se il numero di tracking nell'email non compare in nessuno di questi sistemi, o restituisce un errore, l'email è quasi certamente falsa. I numeri di tracking nelle email truffa sono inventati o appartenenti a spedizioni altrui. Un tracking reale è sempre associato a un ordine che puoi ritrovare nella tua cronologia acquisti.
Un'altra verifica utile: confronta il numero di tracking nell'email con quello ricevuto al momento dell'ordine (nella email di conferma originale, che è arrivata settimane o giorni fa). Se non coincidono, o se non hai mai ricevuto una conferma d'ordine, fermati.
05 — Test del link prima di cliccare: hover, copia, decomponi il dominio
Se hai ancora dubbi sull'email e vuoi capire dove porta quel link senza cliccarlo, esistono tre tecniche semplici. La prima è l'hover: su un computer, avvicina il cursore del mouse al link senza cliccare. In basso a sinistra dello schermo (nella barra di stato del browser o del programma di posta) compare l'indirizzo reale a cui punta il link. Leggi quell'indirizzo: se non riconosci il dominio, o se è diverso dal sito del corriere, non cliccare.
La seconda tecnica è la copia dell'URL: fai clic destro sul link e scegli 'Copia indirizzo link' (o 'Copia URL'). Incollalo in un foglio di testo o nella barra di ricerca — senza premere Invio. Adesso puoi leggere l'intero indirizzo con calma. Cerca la parte che viene subito prima del primo slash singolo dopo https://: quella è il dominio. Esempio: in https://sda-delivery-rinotifica.info/conferma/pacco/123, il dominio è sda-delivery-rinotifica.info. Non è sda.it.
La terza tecnica è la decomposi del dominio. Un dominio si legge da destra verso sinistra: la parte più a destra (dopo il punto finale) è il TLD, ossia l'estensione (.it, .com, .info, .cc). La parte subito prima del TLD è il nome del dominio vero. Tutto ciò che viene prima è un sottodominio o un prefisso inventato. Quindi sda.delivery-rinotifica.info ha come dominio reale delivery-rinotifica.info — non SDA. I truffatori mettono il nome del brand all'inizio per confondere l'occhio.
Se vuoi un controllo aggiuntivo senza aprire il sito, puoi incollare l'URL (senza visitarlo) su virustotal.com — un servizio gratuito di Google che analizza i link e segnala se sono stati classificati come pericolosi. Digita 'virustotal' su Google, vai sul sito, seleziona la scheda 'URL', incolla l'indirizzo e premi Invio. Il risultato arriva in pochi secondi.
06 — I cinque segnali nell'email che non puoi ignorare
Oltre al dominio del mittente, ci sono altri cinque segnali che compaiono quasi sempre nelle email di finto avviso di spedizione. Riconoscerli ti permette di bloccarti prima ancora di arrivare al link.
Primo: intestazione generica. Le email vere dei corrieri conoscono il tuo nome, perché lo hai fornito al momento dell'ordine. Se l'email inizia con 'Gentile cliente', 'Utente', o non ti nomina affatto, è un segnale. Le email autentiche di Amazon, ad esempio, iniziano sempre con 'Ciao [Nome]' o 'Gentile [Nome Cognome]' — come verificato nella guida Amazon alle email genuine citata sopra.
Secondo: urgenza artificiale. Frasi come 'Hai 24 ore', 'Il pacco verrà rispedito al mittente entro oggi', 'Azione richiesta entro 48 ore' servono a impedire che tu ti fermi a ragionare. I corrieri reali danno tempi di giacenza di norma tra 5 e 10 giorni lavorativi. Verifica: per SDA i tempi di giacenza sono pubblicati su sda.it/faq; per Poste su poste.it/pacchi/faq.
Terzo: richiesta di pagamento via link. Nessun corriere italiano — SDA, Poste, BRT, GLS, DHL — chiede pagamenti per la rinotifica cliccando un link in email. Le eventuali spese doganali (per pacchi extra-UE) si pagano direttamente allo sportello o tramite l'app ufficiale del corriere, mai tramite un link email. Poste Italiane lo dichiara esplicitamente nella pagina poste.it/sicurezza.
Quarto: numero di tracking assente o inventato. Un'email autentica di aggiornamento spedizione contiene sempre il numero di tracking esatto, identico a quello nella tua email di conferma ordine. Se il numero non c'è, o se è diverso da quello che ricordi, non è reale. Quinto: dominio mittente sbagliato. Questo è il segnale più affidabile di tutti. Guarda l'indirizzo completo del mittente (non solo il nome visualizzato): deve corrispondere esattamente ai domini ufficiali elencati nella sezione 03 di questa guida.
07 — Cosa fare se hai già cliccato il link (ma non hai inserito dati)
Cliccare un link non è necessariamente catastrofico, ma richiede attenzione immediata. Se hai aperto la pagina ma non hai inserito nulla — né dati della carta, né credenziali, né il tuo indirizzo — chiudi subito il browser e non tornare su quella pagina. Il rischio principale in questo caso è il cosiddetto drive-by download: alcune pagine malevole tentano di scaricare un file automaticamente. Controlla la cartella Download del tuo computer o smartphone: se c'è un file che non hai scaricato tu, non aprirlo e cancellalo subito.
Dopo aver chiuso il browser, è buona pratica fare una scansione con il programma antivirus che usi abitualmente. Se non ne hai uno, Windows Defender — già incluso in Windows 10 e 11 — è sufficiente per una scansione di base. Su Mac, puoi usare Malwarebytes nella versione gratuita (cerca 'Malwarebytes Mac' su Google per trovare il sito ufficiale malwarebytes.com). Su smartphone Android, Google Play Protect esegue scansioni automatiche: verificane lo stato in Impostazioni → Sicurezza → Play Protect.
Se il sito ti ha mostrato un modulo con un numero di tracking da inserire e tu l'hai inserito, non è un problema: un numero di tracking non è un dato sensibile. Il problema sorge se hai inserito dati personali (nome, indirizzo, email) o dati di pagamento. In quel caso passa alla sezione successiva.
08 — Cosa fare se hai pagato per la "rinotifica": blocco carta e segnalazione
Se hai inserito i dati della tua carta di credito o prepagata e completato il pagamento, agisci entro le prime ore. Il primo passo è bloccare la carta: chiama il numero verde della tua banca o dell'emittente della carta. I numeri di assistenza sono solitamente stampati sul retro della carta stessa, oppure li trovi nella sezione 'Sicurezza' o 'Blocco carta' dell'app della tua banca. Non aspettare il giorno dopo.
Il secondo passo è la segnalazione. Puoi farlo in due modi complementari. Il primo: vai su commissariatodips.it — il portale ufficiale della Polizia Postale — e usa la sezione 'Commissariato Online' per inviare una segnalazione di phishing. Non richiede di andare fisicamente in questura. Il secondo: se hai subito un danno economico reale (ossia hai pagato), puoi sporgere denuncia formale presso qualsiasi ufficio della Polizia Postale o dei Carabinieri.
Il terzo passo è segnalare l'email come phishing al CERT-AgID: invia l'email sospetta (come allegato, non inoltrandola normalmente) a malware@cert-agid.gov.it. Questo aiuta le autorità a bloccare il dominio truffaldino e proteggere altri utenti. Trovi le istruzioni dettagliate su cert-agid.gov.it/segnalazioni.
Se hai inserito anche la password di un account (per esempio le credenziali Amazon o Poste), cambiala immediatamente da un dispositivo diverso e attiva l'autenticazione a due fattori se non l'hai già fatto. Per Amazon: accedi ad amazon.it → Account e liste → Il mio account → Accesso e sicurezza. Per Poste: accedi a poste.it → Area personale → Sicurezza account.
09 — Le tre regole operative: un promemoria da tenere a portata di mano
Dopo tutto quello che hai letto, ecco le tre regole in forma sintetica. Stampale, salvale in foto sul telefono, o leggile ad alta voce la prossima volta che arriva un'email di pacco in giacenza.
Regola 1 — Non partire mai dall'email. Se vuoi controllare un pacco, apri il browser e digita direttamente l'indirizzo del corriere. Non cliccare nessun link nell'email, nemmeno se l'email sembra autentica. Il rischio di un link falso è reale; il costo di aprire il sito da soli è zero.
Regola 2 — Guarda il dominio, non il logo. Il logo si copia in trenta secondi. Il dominio del mittente è molto più difficile da falsificare perfettamente. Apri l'email, individua l'indirizzo completo del mittente (non solo il nome visualizzato), e confrontalo con il dominio ufficiale del corriere come indicato nella sezione 03. Se c'è anche solo una lettera di differenza, è una truffa.
Regola 3 — Nessun corriere chiede pagamenti via link email. Questa è la regola più semplice e più potente. Se un'email ti chiede di pagare qualcosa cliccando un link — anche 1 euro, anche 0,99 centesimi — è una truffa. Sempre. I corrieri italiani non funzionano così. Tre secondi. Fanno la differenza.
10 — Se qualcuno vicino a te ha già ricevuto un'email simile
Spesso chi cade in queste truffe non lo racconta, per vergogna o perché pensa di essere l'unico ad aver sbagliato. Non è così: secondo i dati pubblicati annualmente dalla Polizia Postale nel suo rapporto Cybercrime, le truffe legate a finti avvisi di spedizione sono tra le tipologie di phishing più segnalate in Italia. Se un tuo familiare o amico ti dice di aver pagato per una 'rinotifica', non reagire con giudizio: aiutalo a seguire i passi della sezione 08.
Vale anche l'opposto: se sai che qualcuno nella tua cerchia aspetta spesso pacchi — figli, genitori, colleghi — condividi questa guida. Il pattern del 'pacco in giacenza' è costruito per sembrare ovvio solo dopo che lo hai visto una volta. Prima di allora, inganna chiunque.
Infine, tieni presente che queste truffe evolvono. Il CERT-AgID pubblica un bollettino settimanale delle campagne di phishing attive in Italia, disponibile su cert-agid.gov.it/le-notizie/aggiornamenti. Se vuoi restare aggiornato senza dover leggere documentazione tecnica, la Polizia Postale ha anche un profilo ufficiale su Facebook (@poliziapostale) dove segnala le campagne in corso in linguaggio accessibile.