Nuova campagna di phishing per il furto dei dati SPID: cosa si rischia
Una campagna di phishing sfrutta il nome dell’Agenzia delle Entrate per rubare credenziali SPID. Ecco come funziona e cosa rischiano gli utenti.
Una nuova ondata di messaggi fraudolenti sta prendendo di mira le identità digitali SPID degli utenti italiani. L’Agenzia delle Entrate ha segnalato una campagna di phishing che sfrutta il suo nome e il suo logo per indurre i destinatari a consegnare le credenziali di accesso. Il rischio riguarda direttamente l’utilizzo dei servizi online della pubblica amministrazione e, più in generale, la sicurezza dei dati personali.
Le comunicazioni circolano via e-mail e simulano un invito ad accedere all’area riservata dell’Agenzia delle Entrate. Il messaggio contiene un link che rimanda a un sito costruito appositamente per sottrarre le credenziali SPID, riproducendo in modo credibile l’aspetto delle pagine istituzionali.
Phishing per rubare credenziali SPID: come funziona?
La truffa si basa su una falsa pagina di login che imita l’accesso all’area riservata dell’Agenzia delle Entrate tramite SPID. All’utente viene chiesto di inserire la password della propria identità digitale, mentre l’indirizzo e-mail risulta già compilato automaticamente. Questo dettaglio è studiato per rendere il tentativo più credibile e ridurre le perplessità di chi si trova davanti alla schermata.
Il sito non ha alcun legame con i sistemi ufficiali. Il suo unico scopo è la raccolta delle credenziali, che possono poi essere utilizzate per accedere ai servizi online a nome della vittima.
Cosa rischiano i cittadini?
Chi inserisce i propri dati su una pagina fraudolenta espone la propria identità digitale a un utilizzo illecito. Le credenziali SPID consentono l’accesso a numerosi servizi della pubblica amministrazione e, se compromesse, possono essere sfruttate per consultare informazioni personali o compiere operazioni non autorizzate. L’Agenzia delle Entrate ha ribadito la propria totale estraneità a queste comunicazioni, chiarendo che non invia e-mail contenenti link diretti per l’inserimento delle credenziali SPID.
Come difendersi dalla truffa SPID?
Per difendersi dalla truffa, l’indicazione è di non cliccare sui link presenti in e-mail sospette e di non fornire mai dati personali o password attraverso pagine raggiunte da comunicazioni non verificate. Messaggi di questo tipo vanno eliminati immediatamente. In caso di dubbio sulla legittimità di una comunicazione, è consigliabile effettuare una verifica consultando la sezione “Focus sul phishing” del sito istituzionale dell’Agenzia delle Entrate o utilizzando esclusivamente i contatti ufficiali indicati sul portale.
In alternativa, è possibile rivolgersi direttamente all’ufficio territorialmente competente. La prudenza resta l’unico strumento davvero efficace per evitare che una truffa digitale si trasformi in un danno concreto.
Riconoscere una e-mail falsa non richiede competenze tecniche avanzate, ma attenzione ad alcuni segnali ricorrenti. Spesso l’indirizzo del mittente appare anomalo e non appartiene al dominio ufficiale, un dettaglio che emerge osservando con cura la parte successiva alla “@”. I messaggi fraudolenti tendono inoltre a creare un senso di urgenza, parlando di problemi imminenti, blocchi dell’account, accessi sospetti o comunicazioni da confermare entro poche ore.
Un altro elemento ricorrente è la richiesta di cliccare su un link e inserire credenziali o dati personali, una pratica che le istituzioni non adottano. Anche il tono generico, con formule come “Gentile utente” o “Caro contribuente” prive di riferimenti specifici, è tipico del phishing. Loghi e colori possono sembrare autentici, ma spesso emergono incongruenze: link non ufficiali, un layout leggermente diverso dall’originale, traduzioni imprecise o testi poco naturali. Segnali che, se considerati nel loro insieme, indicano un rischio elevato. Pochi giorni fa, era stata anche scoperta una truffa sulla tessera sanitaria.
