Fausses amendes par SMS et sur le pare-brise : comment fonctionne l'arnaque PagoPA (et comment l'éviter)
Fausses alertes par SMS, e-mail et sur le pare-brise, avec des liens vers des sites clones de PagoPA : l'arnaque aux fausses amendes se développe rapidement. Données CERT-AgID et conseils pratiques pour vous défendre.
Un message au téléphone, l'inévitable ton urgent et un montant généralement limité, avec la demande de paiement immédiat, sous peine de rétention administrative du véhicule, ou de déduction de points sur le permis. Un autre cas est la découverte d'un rapport sur le pare-brise de la voiture (complet avec papier à en-tête, logo de la municipalité et code QR) qui semble totalement authentique. C'est l'arnaque aux fausses amendes (ce qui s'est également produit dans notre rédaction) et selon l'Adoc, l'association nationale des consommateurs proche de l'Uil, les cas se multiplient clairement.
Le phénomène n’est pas nouveau, même si les chiffres pour 2025 le mettent sous un jour différent. Le rapport annuel du CERT-AgID (la structure de l'Agence pour l'Italie Numérique qui surveille les cybermenaces contre l'Administration Publique) a enregistré 3.620 campagnes malveillantes au cours de l'année, pour un total de plus de 50.000 indicateurs de compromission émis à l'AP. Parmi les thèmes les plus exploités par les criminels, on trouve les commandes et les expéditions, le home banking, les amendes et les paiements. Et surtout, 2025 a vu une véritable vague de phishing utilisant le nom PagoPA comme appât, avec 328 campagnes spécifiques prétendant être des rappels de paiement pour de prétendues amendes routières, massivement actives depuis mai. Le PDF complet du rapport est disponible sur le site Web de l'AgID.
Comment ça marche
Le schéma numérique est simple : la victime reçoit un SMS ou un email avec un lien renvoyant vers un site construit pour imiter le site officiel de PagoPA ou d'une autorité locale. La page clonée collecte les données de carte de paiement ou les informations d'identification bancaires. Le montant demandé est volontairement faible, ce qui incite à payer sans trop réfléchir (dans l'image ci-dessous, le faux message reçu par un membre de la rédaction)
'; var fallbackTriggered = faux ; var timeoutId = null ; function renderTaboolaFallback(reason) { if (fallbackTriggered) return ; fallbackTriggered = vrai ; si (timeoutId) { clearTimeout (timeoutId); timeoutId = nul ; } console.log('(ADV) Rendu de secours Taboola. Raison :', raison); root.innerHTML = ''; window._taboola.push({ mode : 'thumbnails-300×250', conteneur : taboolaDivId, placement : 'Widget milieu d'article 300×250', target_type : 'mix' }); // Si votre intégration Taboola le nécessite, décommentez : // window._taboola.push({ flush: true }); } googletag.cmd.push(function () { console.log('(ADV) GPT init', gptDivId); var gptSlot = googletag .defineSlot('/22142119198/greenme.it/roller', (300, 250), gptDivId) .addService(googletag.pubads()); googletag.pubads (). event.lineItemId }); if (fallbackTriggered) return ; if (event.isEmpty) { renderTaboolaFallback('gpt-empty'); googletag.enableServices();
A côté de la variante numérique, se développe la version papier, un faux rapport laissé sur la voiture, complété par des logos institutionnels, des numéros de protocole et un code QR qui mène à une page frauduleuse. Ici aussi, l’attention portée aux détails s’est accrue au fil du temps, ce qui rend plus difficile la distinction entre le faux et l’original, du moins au premier coup d’œil.
Les signes à reconnaître
Adoc indique certains éléments qui trahissent l'arnaque, notamment des erreurs grammaticales, un langage moins formel, des logos granuleux, des données manquantes (comme le lieu et l'heure de l'infraction), des références réglementaires vagues ou imprécises, et surtout la demande de paiement via des liens plutôt que via des canaux institutionnels.
'; var fallbackTriggered = faux ; var timeoutId = null ; function renderTaboolaFallback(reason) { if (fallbackTriggered) return ; fallbackTriggered = vrai ; si (timeoutId) { clearTimeout (timeoutId); timeoutId = nul ; } console.log('(ADV2) Render Taboola fallback. Reason:', Reason); root.innerHTML = ''; window._taboola.push({ mode : 'thumbnails-300×250', conteneur : taboolaDivId, emplacement : 'Widget milieu d'article 300×250-2', target_type : 'mix' }); } googletag.cmd.push(function () { console.log('(ADV2) GPT init', gptDivId); var gptSlot = googletag.pubads().getSlots().find(function(s) { return s.getSlotElementId() === gptDivId; }); if (!gptSlot) { console.warn('(ADV2) Slot not found:', gptDivId); renderTaboolaFallback('slot-not-found'); return; } googletag.pubads().addEventListener('slotRenderEnded', function (event) { if (event.slot !== gptSlot) return; console.log('(ADV2) slotRenderEnded', { isEmpty: event.isEmpty, size: event.size, warnerId : event.advertiserId, CampaignId : event.campaignId, lineItemId : event.lineItemId } ; if (fallbackTriggered) return ; if (timeoutId) { clearTimeout(timeoutId } ); console.log('(ADV2) GPT a diffusé une création');
Il faut rappeler que PagoPA n'envoie jamais de rappels de paiement par SMS avec liens directs, car les paiements à l'Administration Publique s'effectuent exclusivement via le portail officiel pagopa.gov.it ou via les plateformes des autorités locales.
Ce qu'il faut faire
La règle de base est. En cas de doute, il est préférable de ne cliquer sur rien, de vérifier directement sur le site Internet de la Commune ou de l'organisme qui a émis la sanction, et de signaler le message suspect à la Police Postale. Toute personne ayant déjà effectué un paiement doit contacter immédiatement sa banque pour bloquer la transaction ou la carte.
Il convient de rappeler, comme le souligne Adoc, que les sanctions routières sont notifiées par la loi par lettre recommandée au propriétaire du véhicule, donc un rapport qui arrive uniquement par SMS et/ou par e-mail est déjà en soi un signe d'avertissement.
'; var fallbackTriggered = faux ; var timeoutId = null ; function renderTaboolaFallback(reason) { if (fallbackTriggered) return ; fallbackTriggered = vrai ; si (timeoutId) { clearTimeout (timeoutId); timeoutId = nul ; } console.log('(ADV3) Render Taboola fallback. Reason:', Reason); root.innerHTML = ''; window._taboola.push({ mode : 'thumbnails-300×250', conteneur : taboolaDivId, emplacement : 'Widget milieu d'article 300×250-3', target_type : 'mix' }); } googletag.cmd.push(function () { console.log('(ADV3) GPT init', gptDivId); var gptSlot = googletag.pubads().getSlots().find(function(s) { return s.getSlotElementId() === gptDivId; }); if (!gptSlot) { console.warn('(ADV3) Slot not found:', gptDivId); renderTaboolaFallback('slot-not-found'); return; } googletag.pubads().addEventListener('slotRenderEnded', function (event) { if (event.slot !== gptSlot) return; console.log('(ADV3) slotRenderEnded', { isEmpty: event.isEmpty, size: event.size, warnerId: event.advertiserId, CampaignId: event.campaignId, lineItemId: event.lineItemId }); if (fallbackTriggered) return ; if (timeoutId) { clearTimeout(timeoutId } console.log('(ADV3) GPT a diffusé une création');
