Negli ultimi mesi si sta diffondendo una nuova e insidiosa truffa online che sfrutta il nome e l’infrastruttura di PayPal per ingannare gli utenti. A rendere questo raggiro particolarmente pericoloso è un dettaglio tecnico fondamentale: l’e-mail arriva realmente da un indirizzo ufficiale PayPal e supera tutti i principali controlli di sicurezza, apparendo a tutti gli effetti autentica.
Questa nuova forma di frode non si basa su link contraffatti o indirizzi sospetti, ma su un uso distorto di funzioni legittime della piattaforma di pagamento. Proprio per questo motivo è importante capire come funziona, perché i filtri antispam non la bloccano e quali verifiche effettuare prima di cadere nella trappola.
Una mail apparentemente autentica che arriva dai server PayPal
Il primo contatto avviene tramite un’e-mail inviata dall’indirizzo service@paypal.com, recapitata direttamente dai server ufficiali di PayPal. Il messaggio informa l’utente che un “pagamento automatico non è più attivo” oppure segnala un presunto acquisto di valore elevato, come uno smartphone o un computer, associato al proprio account.
All’interno del testo viene indicata una cifra importante e compare un invito esplicito a contattare un numero di telefono per annullare o contestare l’operazione. È proprio questo passaggio a rappresentare il vero punto di innesco della truffa.
Il messaggio, per struttura e contenuto, appare credibile: non contiene errori evidenti, non rimanda a siti esterni sospetti e utilizza una grafica coerente con le comunicazioni ufficiali PayPal.
Come funziona la nuova truffa della mail PayPal
Il cuore della truffa risiede nell’abuso della funzione “Abbonamenti” di PayPal, progettata per gestire i pagamenti ricorrenti tra utenti e commercianti. Quando un abbonamento viene sospeso o modificato, PayPal invia automaticamente una notifica e-mail all’utente interessato.
I truffatori sfruttano questo meccanismo creando un falso abbonamento e manipolando uno specifico campo informativo, normalmente riservato all’URL del servizio clienti. Invece di inserire un semplice indirizzo web, viene aggiunto del testo ingannevole: la descrizione di un presunto acquisto, un importo elevato e un numero di telefono da chiamare con urgenza.
Per rendere il messaggio ancora più convincente, vengono utilizzati caratteri Unicode, che consentono di visualizzare scritte in grassetto o con simboli particolari, eludendo così molti controlli automatici basati su parole chiave.
Perché i filtri antispam non bloccano queste e-mail
Dal punto di vista tecnico, l’e-mail supera senza problemi i principali sistemi di verifica:
- SPF, che controlla se il server mittente è autorizzato
- DKIM, che garantisce che il contenuto non sia stato alterato
- DMARC, che coordina le verifiche per prevenire lo spoofing
Poiché il messaggio viene realmente inviato dall’infrastruttura PayPal, tutti questi controlli risultano validi. Di conseguenza, i client di posta elettronica non hanno motivi per segnalarlo come spam o phishing.
Questo rende la truffa particolarmente efficace, soprattutto per gli utenti meno esperti, che associano l’autenticità tecnica dell’e-mail all’affidabilità del contenuto.
Perché l’e-mail arriva anche a chi non ha attivato abbonamenti
Un altro aspetto critico riguarda la diffusione del messaggio. In molti casi, l’e-mail non viene inviata direttamente al singolo utente, ma a un indirizzo collegato a una mailing list, spesso creata tramite servizi come Google Workspace.
Le mailing list funzionano come gruppi di distribuzione: ogni messaggio inviato all’indirizzo del gruppo viene automaticamente inoltrato a tutti i membri. In questo modo, una singola e-mail legittima inviata da PayPal a un falso abbonato può essere redistribuita a decine o centinaia di potenziali vittime.
Il vero obiettivo: la truffa telefonica e l’ingegneria sociale
Lo scopo finale dei truffatori non è l’e-mail in sé, ma la telefonata. Una volta contattato il numero indicato nel messaggio, l’utente entra in contatto con falsi operatori che si spacciano per assistenza PayPal.
Da quel momento può partire una truffa più complessa basata sull’ingegneria sociale: manipolazione psicologica studiata per spingere la vittima a fornire credenziali di accesso, dati personali o a installare software dannoso sul proprio dispositivo con la scusa di “bloccare” l’operazione.
Come difendersi dalla nuova truffa della mail PayPal
La prima regola è non interagire mai con i contatti presenti nell’e-mail. In particolare:
- non chiamare i numeri di telefono indicati
- non cliccare su link sospetti
- non rispondere al messaggio
L’unica verifica corretta consiste nell’accedere manualmente al proprio account PayPal digitando l’indirizzo ufficiale https://www.paypal.com/it/home nel browser oppure utilizzando l’app ufficiale. Una volta effettuato l’accesso, è sufficiente controllare la cronologia delle transazioni e la sezione abbonamenti.
Se non risultano addebiti anomali, l’e-mail può essere ignorata senza conseguenze.
La posizione ufficiale di PayPal
PayPal ha confermato di essere al lavoro per limitare questo specifico abuso della piattaforma e ribadisce che l’unico canale sicuro per ricevere assistenza è quello ufficiale. In caso di dubbi, l’azienda invita a contattare esclusivamente il supporto clienti tramite l’app PayPal o la pagina ufficiale dei contatti.
PayPal sottolinea inoltre che non richiede mai agli utenti di risolvere problemi di sicurezza chiamando numeri di telefono indicati in e-mail non sollecitate.
Questa nuova truffa dimostra come anche comunicazioni tecnicamente autentiche possano essere sfruttate in modo fraudolento. La consapevolezza resta la prima forma di difesa: mantenere la calma, verificare sempre dall’account ufficiale e diffidare di messaggi che creano urgenza o paura.
Nel dubbio, non è mai l’e-mail a dover guidare le azioni dell’utente, ma solo l’accesso diretto e consapevole ai canali ufficiali del servizio.