Truffe, informazioni sulle minacce

Pagine di verifica fasulle stanno rubando gli account Steam ai giocatori

di Stefan Dasic | 12 giugno 2026
Steam - Accesso in corso...
Aggiungi come fonte preferita su Google

I giocatori online dovrebbero stare in guardia da una truffa molto convincente che mira a rubare il loro account Steam.

La truffa utilizza pagine di verifica FACEIT contraffatte che sembrano autentiche, complete di logo ufficiale, link funzionanti e quella che sembra essere una vera finestra di accesso a Steam. Quando viene richiesta la password, molte vittime sono ormai convinte di trovarsi di fronte a un servizio autentico.

L'obiettivo è quello di rubarti l'account Steam.

Perché questa truffa prende di mira i giocatori di FACEIT

Se non sei un giocatore competitivo, FACEIT potrebbe non dirti nulla. Ma per milioni di persone è una piattaforma molto importante, e questo la rende un bersaglio per i cybercriminali che cercano di spacciarsi per altri.

FACEIT è una delle più grandi piattaforme di gaming competitivo per Counter-Strike 2 (CS2). Milioni di giocatori la utilizzano per le partite classificate, i tornei, i campionati e le avanzate misure anti-cheat.

Per utilizzare FACEIT, i giocatori solitamente collegano i propri account Steam, che rappresentano un bersaglio appetibile per i truffatori.

Un account Steam rubato può contenere:

  • Giochi acquistati per un valore di centinaia o migliaia di dollari
  • Skin e oggetti di grande valore per CS2, alcuni dei quali valgono ingenti somme di denaro reale
  • Saldo del portafoglio e metodi di pagamento salvati
  • Anni di amicizie, messaggi e reputazione nella comunità

Una volta ottenuto l'accesso, i criminali possono rubare oggetti, truffare gli amici o vendere l'account su mercati illegali.

Poiché FACEIT si collega a Steam, una falsa pagina di "verifica FACEIT" rappresenta un modo semplice per ingannare gli utenti. Le vittime credono di stare aggiornando il proprio account, ma in realtà gli hacker stanno cercando di rubare gli account Steam che potrebbero contenere giochi di valore, skin e fondi nel portafoglio. I giocatori sono particolarmente vulnerabili perché sono abituati a collegare gli account e a seguire le procedure di verifica, e potrebbero agire in fretta se pensano che il loro accesso a un gioco sia a rischio.

Come funziona la truffa

L'attacco ha inizio con un sito web che sembra una pagina ufficiale di FACEIT. Le pagine truffaldine vengono probabilmente diffuse attraverso gli stessi canali che i giocatori utilizzano quotidianamente: forum di comunità, server di chat, post sui social media e messaggi diretti.

La pagina sostiene che FACEIT offra una verifica dell'identità gratuita e facoltativa per contribuire a creare una comunità più affidabile. È ben curata, utilizza il marchio corretto e include persino link funzionanti al vero blog e alle pagine di assistenza di FACEIT. Tutto è studiato per farti credere di trovarti sul sito web ufficiale di FACEIT, ma non è così.

Pagina di verifica FACEIT contraffatta
Pagina di verifica FACEIT contraffatta

Invece di utilizzare il sito ufficiale faceit.com dominio, i truffatori utilizzano indirizzi simili, come ad esempio:

  • faceit-discord.com
  • faceit-clubs-verify.com
  • faceit-verification-clubs.com

Le parole aggiuntive come «verifica» o «discord» hanno lo scopo di far sembrare questi indirizzi legittimi a prima vista, ma si tratta di siti controllati da criminali informatici.

Molti di questi domini sono stati creati solo pochi giorni o addirittura poche ore fa. I truffatori ne registrano continuamente di nuovi, sapendo che prima o poi verranno probabilmente bloccati. Ecco perché il fatto che un sito non sia segnalato come pericoloso non significa che sia sicuro.

Ci sono però alcuni piccoli indizi. Ad esempio, nella pagina comparivano sia la dicitura «Copyright 2024» che «Copyright 2025». Le aziende serie commettono raramente errori del genere, mentre i siti truffaldini lo fanno spesso.

Dopo la richiesta di verifica, la pagina segnala un problema con il tuo account CS2 e ti chiede di aggiornare i tuoi dati per dimostrare che non sei un cheater né stai utilizzando un account smurf.

Ecco il trucco. Il codice QR appare sfocato e difficile da scansionare. I ricercatori ritengono che sia una scelta intenzionale. Dopo alcuni tentativi falliti, molti utenti tendono a rinunciare e a cliccare invece sul pulsante "Accedi tramite Steam", che sembra più semplice.

Il codice QR danneggiato è lo stimolo che indirizza le vittime verso la parte della pagina in cui avviene il vero furto.

Pagina FACEIT contraffatta con un codice QR sfocato e il pulsante "Accedi con Steam"
Pagina FACEIT contraffatta con un codice QR sfocato e il pulsante "Accedi con Steam"

Quando gli utenti alla fine rinunciano al codice QR e cliccano sul pulsante, compare una finestra di accesso a Steam. Sembra autentica, con tanto di logo Steam, campi di accesso e quello che sembra essere un steamcommunity.com barra degli indirizzi.

Ma la finestra è finta.

Una finta finestra di accesso a Steam ruba i dati del tuo account
Una finta finestra di accesso a Steam ruba i dati del tuo account

Anziché aprire una vera pagina di accesso a Steam, i truffatori mostrano una copia molto realistica all'interno del sito stesso. I ricercatori di sicurezza definiscono questo tipo di attacco "Browser-in-the-Browser". La finestra fasulla ha l'aspetto e il comportamento di un vero pop-up del browser, ma la barra degli indirizzi è in realtà solo una parte dell'immagine.

Qualsiasi dato inserito nel modulo finisce direttamente nelle mani dei criminali. Se la pagina richiede anche un codice Steam Guard, anche quello viene rubato, consentendo agli hacker di accedere all'account. Alcune vittime vengono poi indotte con l'inganno a "proteggere" i propri oggetti trasferendoli a un amico o a un account di riserva, quando in realtà li stanno inviando direttamente ai truffatori.

Come proteggersi da questa truffa

Bastano poche semplici abitudini per evitare questa truffa:

  • Controlla la barra degli indirizzi vera e propria. Il sito web ufficiale di FACEIT è faceit.com. Diffidate dei domini simili, come ad esempio faceit-discord.com o faceit-clubs-verify.com. Ricorda: una finestra di accesso all'interno di una pagina web può falsificare la propria barra degli indirizzi. Fidati di quella nella parte superiore del browser, non di quella all'interno della pagina.
  • Diffidate dei codici QR sfocati. I ricercatori ritengono che il codice QR utilizzato in questa truffa sia stato sfocato di proposito per spingere gli utenti a cliccare sul pulsante "Accedi tramite Steam".
  • Considera l'urgenza come un segnale d'allarme. I messaggi relativi a problemi con l'account, alla verifica o alla perdita dell'accesso sono pensati per spingerti ad agire in fretta. Prenditi un attimo di tempo e verifica prima.
  • Vai direttamente alla fonte. Se non sei sicuro se FACEIT o Steam richiedano un tuo intervento, apri tu stesso il sito web ufficiale o l'app, invece di seguire link presenti su Discord, nei messaggi o negli annunci.
  • Aggiungi un ulteriore livello di protezione. I siti truffaldini spesso sembrano autentici. Malwarebytes Browser Guard può aiutarti a bloccare le pagine di phishing note e altre truffe online prima che tu inserisca nome utente e password.

Se hai già inserito i tuoi dati

Cambia immediatamente la tua password di Steam, assicurati che Steam Guard sia attivato ed esci da tutti gli altri dispositivi. Controlla le impostazioni della chiave API di Steam e rimuovi qualsiasi chiave che non riconosci. Cambia la password ovunque l'abbia riutilizzata e controlla il tuo account per verificare che non ci siano scambi o acquisti non autorizzati.

Perché questa truffa funziona

Questa truffa funziona perché non sembra affatto una truffa. Il marchio è convincente, la storia è plausibile e persino la finestra di accesso a Steam sembra autentica.

La maggior parte delle persone sa che è bene controllare la barra degli indirizzi prima di inserire una password. Gli attacchi "browser-in-the-browser" sono pensati proprio per aggirare questa precauzione. Poiché la finta finestra di Steam è integrata nella pagina stessa, i criminali possono far apparire nella barra degli indirizzi qualsiasi cosa vogliano, compreso steamcommunity.com.

La cosa più sicura da fare è diffidare di qualsiasi finestra di accesso che compaia all'interno di un altro sito web. Se hai dei dubbi, chiudi la pagina e accedi a Steam come faresti normalmente, tramite l'app ufficiale o digitando tu stesso l'indirizzo.

Basta quella piccola pausa, quel rifiuto di seguire la comoda scorciatoia che la pagina ti sta suggerendo, per mantenere il tuo account davvero tuo.

Blocca le minacce prima che possano causare danni.

Malwarebytes Browser Guard automaticamente le pagine di phishing e i siti dannosi. È gratuito e si installa con un solo clic. Aggiungilo al tuo browser →

Informazioni sull'autore

Stefan Dasic

Stefan Dasic

Appassionato di soluzioni antivirus, Stefan si è occupato di test di malware e di QA di prodotti AV fin da giovane. Come parte del team di Malwarebytes , Stefan si dedica alla protezione dei clienti e alla loro sicurezza.

ULTIMI ARTICOLI

Mobile
iPhone con il logo Apple

Gli iPhone rubati potrebbero presto valere molto meno per i ladri

Giugno 12, 2026

Apple e la Met Police stanno collaborando per rendere più difficile il ripristino, la rivendita e lo sfruttamento commerciale degli iPhone rubati.

AI
Google

Google può essere ritenuta responsabile per le recensioni false generate dall'intelligenza artificiale, secondo quanto stabilito dal tribunale

Giugno 11, 2026

"L'intelligenza artificiale può commettere errori" non costituisce una difesa giuridica sufficiente in caso di recensioni diffamatorie o errate generate dall'intelligenza artificiale, secondo quanto stabilito da un tribunale tedesco.

Violazioni dei dati
Logo di VRChat

VRChat sostiene che la violazione dei dati segnalata non sia mai avvenuta

Giugno 11, 2026

Vi spieghiamo quali dati sono stati compromessi, quali sono i potenziali rischi e quali misure dovreste adottare ora.

Aggiungi come fonte preferita su Google

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe