PagoPA: Phishing-Welle mit gefälschten Bußgeld-Bescheiden rollt über Italien

Italienische Behörden warnen vor einer hochprofessionellen Phishing-Kampagne, die mit gefälschten Bußgeld-Benachrichtigungen über das Bezahlsystem PagoPA lockt. Die Polizia Postale stufte die Betrugswelle am Montag als hochgefährlich ein.

Die Cyberkriminellen nutzen die Zeit zwischen den Feiertagen gezielt aus. Viele Bürger erwarten in diesen Tagen administrative Post. Die Betrüger setzen auf einen Multi-Kanal-Angriff per E-Mail, SMS und Messenger. Ihre Nachrichten imitieren offizielle Mitteilungen des zentralen Zahlungsportals PagoPA.

Hinter der aktuellen Warnung steht ein beunruhigender Bericht des italienischen CERT-AGID. Das Computer-Notfallteam analysierte die Woche vom 13. bis 19. Dezember und identifizierte 82 separate Schadkampagnen. Ein Großteil davon zielte speziell auf italienische Nutzer ab.

Phishing-Mails und fingierte Zahlungsaufforderungen sind oft so echt gestaltet, dass man unter Zeitdruck schnell klickt. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer praxisnahen 4‑Schritte-Anleitung, wie Sie gefälschte PagoPA-Nachrichten, betrügerische Links und manipulierte Webseiten erkennen. Mit Checklisten für SMS/Messenger, Beispielbildern gefälschter Seiten und klaren Handlungsanweisungen zum Melden verdächtiger Vorfälle. Jetzt Anti‑Phishing‑Paket herunterladen

Das Thema “Bußgelder” hat sich demnach zu einem der effektivsten Köder für Phishing-Angriffe entwickelt. Allein in der untersuchten Woche starteten Angreifer mindestens elf Kampagnen, die PagoPA-Kommunikation perfekt nachahmten. Die Qualität der Fälschungen ist hoch: Sie verwenden korrekte italienische Rechtsterminologie und täuschend echte Grafiken, die offiziellen Schreiben gleichen.

So funktioniert der Betrug

Die Masche folgt einem klaren Drehbuch. Die Nachrichten verweisen auf einen spezifischen, aber erfundenen Verstoß-Code (z.B. “Verbale #R7230033407”). Ein Link führt auf eine gefälschte Website, die das echte PagoPA-Portal detailgetreu kopiert – inklusive offiziellem Logo und Layout.

Dort werden die Opfer aufgefordert, ihre Kreditkartendaten oder Bankzugänge einzugeben. Diese Informationen gelangen direkt in die Hände der Kriminellen. Sicherheitsanalysten fanden heraus, dass die Phishing-Seiten oft auf kompromittierten Domains oder kostenlosen Hosting-Plattformen liegen, um erste Erkennungen zu umgehen.

Einige Varianten der Kampagne verbreiten sogar Schadsoftware wie die Banking-Trojaner AgentTesla oder Copybara, besonders wenn sie über Mobilgeräte aufgerufen werden.

Digitalisierung als Einfallstor für Kriminelle

Die aktuelle Welle setzt einen Trend aus dem vierten Quartal 2025 fort. Cybersicherheitsexperten sehen einen klaren Zusammenhang: Die Digitalisierung öffentlicher Dienste schafft Effizienz – aber auch neue Vorlagen für Betrüger. Besonders gefährlich ist Smishing (SMS-Phishing), da die Nachrichten oft im selben Chat-Thread wie legitime Service-Benachrichtigungen erscheinen.

Das Timing zwischen Weihnachten und Neujahr ist strategisch gewählt. Die Täter hoffen auf abgelenkte Opfer, die zum Jahresende noch offene Rechnungen begleichen wollen. Die Einbindung von Messenger-Apps markiert zudem eine Verschiebung hin zu direkteren, weniger gefilterten Kommunikationskanälen.

So schützen Sie sich

Polizia Postale und PagoPA S.p.A. betonen: Die öffentliche Verwaltung verschickt keine Zahlungslinks per SMS oder ungeprüfter E-Mail für die sofortige Beitreibung von Bußgeldern. Vorher geht stets eine formelle Benachrichtigung per Einschreiben oder PEC zu.

Behörden raten Bürgern, jede Zahlungsaufforderung über offizielle Kanäle zu prüfen. Die sicherste Methode ist der Login in der offiziellen “IO”-App oder auf der legitimen PagoPA-Website mit SPID oder der elektronischen Identitätskarte (CIE). Der wichtigste Grundsatz: Klicken Sie niemals auf Links in unerwünschten Nachrichten – egal wie echt sie aussehen.

Wer verdächtige Nachrichten erhält, sollte sie umgehend bei den Behörden melden und keinesfalls persönliche oder finanzielle Daten eingeben. Die Kampagne ist weiterhin aktiv und entwickelt sich ständig weiter.

PS: Viele der gefälschten PagoPA-Seiten lassen sich mit einfachen Prüfregeln entlarven — ein kurzer Leitfaden hilft, Fehler zu vermeiden und Betrugsversuche richtig zu melden. Das kostenlose Anti‑Phishing‑Paket enthält zusätzlich Vorlagen für Meldungen an Behörden, eine Kurz-Checkliste zur Domain- und Linkkontrolle sowie Verhaltensregeln für SMS und Messenger. So bleiben Sie ruhig und verlieren kein Geld. Gratis Anti‑Phishing‑Guide jetzt sichern