Rinnovo della tessera sanitaria, è una truffa: l'allerta dell’Agenzia delle Entrate
Sembra una normale comunicazione sul rinnovo della tessera sanitaria, con link e richieste urgenti di aggiornamento dati: l’allerta è partita dall’Agenzia delle Entrate
- L'Agenzia delle Entrate mette in guardia contro false email che spacciano il rinnovo della tessera sanitaria tramite link fraudolenti.
- I siti fasulli imitano piattaforme istituzionali per sottrarre dati personali, credenziali SPID e informazioni bancarie alle vittime.
- Le istituzioni ricordano che il rinnovo è automatico; chi ha fornito dati deve cambiare credenziali e controllare conti bancari.
Il phishing torna a colpire gli italiani, e questa volta sfrutta uno dei documenti più “familiari”: la tessera sanitaria. Nei giorni scorsi l’Agenzia delle Entrate ha rilevato una nuova campagna fraudolenta, l’ennesima di una serie che si ripete con cadenza ormai regolare e che punta su leve semplici ma efficaci, come l’urgenza e la paura di perdere un servizio essenziale.
La truffa si presenta sotto forma di email che imitano le comunicazioni ufficiali del Ministero della Salute, con grafica istituzionale e toni rassicuranti. Il destinatario viene informato dell’imminente scadenza della propria tessera e invitato a rinnovarla online in pochi minuti, accedendo con le credenziali SPID o CIE. Un invito che, se seguito, porta dritto a un sito malevolo progettato per rubare dati personali sensibili.
Come funziona la truffa?
Come abbiamo detto, tutto comincia con una mail, che, peraltro, non arriva in un periodo casuale: già lo scorso anno tra fine aprile e i primi giorni di giugno era stato lo stesso Ministero della Salute a lanciare l’allarme su una truffa legata proprio alla tessera sanitaria.
Il messaggio arriva nella casella di posta con mittente apparentemente attendibile (La Sua Tessera Sanitaria, per esempio) e vene subito messa in evidenza una data imminente o corrispondente a quella di ricezione della mail: è quella in cui la tessera sanitaria dovrebbe scadere.
Screenshot della truffa. Fonte: Agenzia delle Entrate
L’invito ovviamente è quello di agire subito, completando il rinnovo online.Viene anche indicato chiaramente che la procedura è veloce (~5 min): a un occhio poco attento l’intera procedura appare insospettabile, e cadere nell’inganno è davvero facilissimo.
Il link malevolo e il sito fraudolento
Anche perché, a mo’ di rinforzo positivo, nel corpo della mail si trova anche la richiesta di verificare le proprie informazioni personali. Si viene poi guidati verso un link che, teoricamente, porterebbe al portale del Sistema Sanitario Nazionale.
Agenzia delle EntrateScreenshot della truffa. Fonte: Agenzia delle Entrate
Chiaramente, però, link contenuto nella mail non rimanda ad alcun portale ufficiale, ma a un sito fraudolento costruito per replicare l’aspetto delle piattaforme istituzionali (come già visto per la truffa del pedaggio autostradale, per la truffa PagoPa, per quella dei finti interventi bancari o come accaduto anche alla piattaforma di prenotazione Booking).
Una volta atterrato sulla pagina, l’utente viene guidato attraverso un modulo che richiede dati personali sensibili e, in alcuni casi, anche credenziali di accesso: tutte informazioni che finiscono direttamente nelle mani dei truffatori.
L’obiettivo finale è duplice: i dati raccolti possono essere usati per clonare documenti d’identità oppure rivenduti sul mercato nero del crimine informatico. La scelta della tessera sanitaria come esca non è casuale: è un documento che tutti possiedono, ha una scadenza reale (sei anni), e molti cittadini non ricordano con precisione quando la propria sia stata emessa.
Come riconoscere la truffa
Ma dunque, come capire se la mail ricevuta è una truffa? Il primo segnale da osservare è il mittente: le email fraudolente utilizzano indirizzi o del tutto improbabili (come quella degli screenshot: no-reply@ivfminnesota.com) o che imitano i domini istituzionali senza coincidervi, con piccole variazioni difficili da cogliere a colpo d’occhio (ad esempio @salute-gov.it invece di @salute.gov.it).
Un secondo elemento distintivo è il tono del messaggio: le email di phishing puntano quasi sempre sulla pressione temporale, invitando ad agire “entro 48 ore” o “immediatamente” per evitare la sospensione di un servizio. Le comunicazioni ufficiali dell’Agenzia delle Entrate e del Ministero della Salute non usano questo tipo di linguaggio allarmistico, né chiedono di cliccare su link per accedere con SPID o CIE.
Infine, vale la regola generale: passare il cursore sul link (senza cliccare) permette di vedere l’URL reale di destinazione. Se l’indirizzo non corrisponde a un dominio istituzionale riconoscibile, è quasi certamente una pagina malevola. In caso di dubbio, la cosa più sicura è non cliccare, eliminare l’email e verificare direttamente sul sito ufficiale dell’Agenzia delle Entrate.
FAQ
Controlla il mittente, dominio istituzionale, errori grammaticali, toni urgenti e link a domini sconosciuti.
Cambia subito password e credenziali SPID, contatta il provider SPID e monitora movimenti bancari.
No, il rinnovo non avviene tramite link in email; avviene automaticamente e viene spedita dall'Anagrafe Tributaria.
Spesso chiedono nome, indirizzo, codice fiscale, credenziali SPID e talvolta dati bancari o carta di credito.
Non cliccare link, cancella il messaggio e verifica le comunicazioni solo sui siti ufficiali delle istituzioni.
