Nuova campagna di smishing sfrutta APCOA Flow per sottrarre dati delle carte di pagamento

Nel mese di giugno 2026 il team di D3Lab ha rilevato almeno quattro campagne di smishing rivolte a utenti italiani che sfruttano il nome di APCOA Flow, il servizio digitale di gestione dei parcheggi del gruppo APCOA, con l’obiettivo di sottrarre dati di pagamento delle vittime.

Il messaggio fraudolento viene distribuito tramite SMS e informa il destinatario della presunta presenza di una violazione del Codice della Strada legata ad un parcheggio non pagato, invitandolo a regolarizzare rapidamente la posizione attraverso un link incluso nel messaggio.

Il testo del messaggio osservato recita:

“APCOA ti ha notificato una violazione del codice della strada relativa al parcheggio. Ti preghiamo di pagare la multa entro il 29 giugno.”

Il messaggio include un dominio non riconducibile ad APCOA e sfrutta il senso di urgenza tipico delle campagne di smishing, facendo leva sulla paura di ricevere sanzioni amministrative o ulteriori maggiorazioni economiche.

Chi è APCOA e perché il brand risulta credibile

Molti automobilisti italiani utilizzano quotidianamente parcheggi gestiti da APCOA Italia S.p.A. senza necessariamente conoscerne il nome.

APCOA rappresenta infatti uno dei principali operatori europei nel settore della gestione dei parcheggi e delle soluzioni di mobilità urbana. In Italia la società gestisce circa 250 parcheggi distribuiti sull’intero territorio nazionale per un totale di oltre 110.000 posti auto, con una presenza particolarmente rilevante presso aeroporti, stazioni ferroviarie, fiere e grandi infrastrutture urbane.

Tra le gestioni più note figurano i parcheggi degli aeroporti di Malpensa, Linate e Bergamo Orio al Serio oltre alle aree di sosta del polo fieristico di Rho-Pero. Complessivamente il gruppo opera in 12 Paesi europei e gestisce oltre 1,6 milioni di posti auto.

Proprio questa ampia diffusione rende APCOA un brand particolarmente efficace per campagne di social engineering rivolte agli automobilisti italiani.

Il funzionamento della truffa

Dopo aver cliccato sul collegamento presente nell’SMS, la vittima viene reindirizzata verso un sito di phishing che replica la grafica e l’identità visiva di APCOA.

La prima pagina comunica la presenza di un presunto “Transito Senza TAG” e invita l’utente ad inserire la targa del proprio veicolo per verificare i dettagli dell’infrazione.

Il sito afferma che i sistemi APCOA avrebbero rilevato:

• un transito su aree di sosta APCOA senza metodo di pagamento attivo;
• la necessità di regolarizzare rapidamente la posizione;
• il rischio di maggiorazioni e azioni di recupero crediti.

Tra le presunte conseguenze vengono addirittura citate:

• sanzioni associate al veicolo;
• impossibilità di rinnovare la carta di circolazione;
• ricorso presso il Giudice di Pace;
• ulteriori azioni di riscossione.

Si tratta ovviamente di affermazioni prive di fondamento utilizzate esclusivamente per aumentare la pressione psicologica sulla vittima.

La raccolta della targa del veicolo

L’inserimento della targa rappresenta principalmente un elemento di coinvolgimento psicologico della vittima.

Indipendentemente dal valore inserito, il sistema restituisce infatti sempre un presunto transito non pagato associato ad una cifra da regolarizzare pari a 6,99 dollari.

Tra gli elementi anomali emergono immediatamente:

• l’utilizzo del simbolo “$” anziché dell’euro;
• la data del transito generata dinamicamente;
• l’assenza di qualsiasi dettaglio reale relativo al parcheggio interessato;
• la genericità della località indicata come “APCOA FLOW — Italia”.

L’importo contenuto e apparentemente innocuo rappresenta una tecnica molto diffusa nelle campagne di frode online: somme ridotte aumentano infatti la probabilità che la vittima decida di procedere rapidamente al pagamento senza effettuare ulteriori verifiche.

L’obiettivo finale: i dati della carta di pagamento

Nella fase conclusiva il sito richiede:

• nome del titolare della carta;
• numero della carta;
• data di scadenza;
• codice CVV.

La pagina cerca inoltre di aumentare la propria credibilità mostrando riferimenti a:

• crittografia SSL;
• certificazione PCI-DSS;
• elaborazione sicura dei pagamenti;
• identificativi di transazione apparentemente casuali.

Questi elementi sono puramente decorativi e non rappresentano alcuna garanzia di sicurezza.

L’obiettivo reale degli attaccanti è quello di ottenere le informazioni della carta di pagamento per effettuare successivamente operazioni fraudolente oppure rivendere i dati sottratti all’interno di circuiti criminali specializzati nelle frodi finanziarie.

Dietro la campagna: il phishing kit “Mouse System”

Dal punto di vista della Threat Intelligence, l’infrastruttura utilizzata risulta riconducibile alla famiglia di phishing kit nota come Mouse System, conosciuta anche con i nomi: Haozi; Phoenix System o Iron Man System.

Si tratta di uno dei più diffusi framework di phishing di origine cinese attualmente osservati a livello globale e viene commercializzato come vero e proprio servizio di Phishing-as-a-Service (PhaaS).

Il framework viene utilizzato per impersonare centinaia di brand differenti appartenenti a numerosi settori:

• istituti finanziari;
• servizi postali e corrieri;
• enti governativi;
• operatori telefonici;
• società di trasporto;
• utility energetiche;
• servizi di pagamento.

Come difendersi

Per ridurre il rischio di cadere vittima di campagne analoghe è consigliabile:

• diffidare da SMS che richiedono pagamenti urgenti;
• verificare sempre il dominio del sito visitato;
• non inserire dati di pagamento raggiungendo pagine tramite link ricevuti via SMS;
• utilizzare esclusivamente applicazioni ufficiali o siti raggiunti digitando manualmente l’indirizzo nel browser;
• contattare direttamente il servizio clienti del soggetto interessato in caso di dubbi.

Nel caso specifico, eventuali comunicazioni relative a parcheggi o servizi APCOA dovrebbero essere gestite esclusivamente tramite i canali ufficiali del gruppo e l’applicazione Flow.