Dopo la truffa della tessera sanitaria, su cui si faceva leva sulla sua falsa scadenza, una nuova campagna di phishing sta circolando nelle caselle di posta elettronica degli italiani e prende di mira uno degli strumenti digitali più utilizzati: lo SPID. I messaggi, apparentemente firmati dall’Agenzia delle Entrate, invitano gli utenti ad “accedere subito” alla propria area riservata per presunte comunicazioni urgenti. In realtà si tratta di una truffa studiata nei minimi dettagli per rubare le credenziali e appropriarsi dell’identità digitale.

Una truffa preparata ad hoc

La mail fraudolenta utilizza loghi, colori e linguaggio molto simili a quelli ufficiali. All’interno è presente un link che rimanda a un sito falso, graficamente quasi identico alla pagina di accesso dello SPID.
Una volta atterrati sul portale clone, agli utenti viene chiesto di inserire la password: in alcuni casi l’indirizzo email risulta già compilato, un dettaglio che aumenta la credibilità del raggiro.

Inserendo le credenziali, però, queste finiscono direttamente nelle mani dei criminali informatici, che possono così prendere il controllo completo dello SPID e accedere a servizi pubblici e privati, con conseguenze potenzialmente molto gravi.

Perché lo SPID è un obiettivo così ambito

Lo SPID è oggi la chiave d’accesso a decine di servizi della Pubblica Amministrazione: dal fascicolo fiscale alla sanità digitale, fino a portali bancari e assicurativi. Proprio per questo rappresenta un bersaglio estremamente appetibile per i truffatori, che puntano a un “accesso unico” a dati sensibili e operazioni personali.

Non si tratta di un episodio isolato: anche il CERT-AGID ha più volte segnalato campagne simili, basate su domini falsi e richieste ingannevoli di documenti o credenziali.

I segnali per riconoscere la mail falsa

Ci sono alcuni campanelli d’allarme che possono aiutare a individuare la truffa:

• toni allarmistici o richieste di azione immediata;
• link che non portano a domini ufficiali;
• richieste di password o dati personali via email;
• mittenti che imitano indirizzi istituzionali ma con piccole variazioni.

Come difendersi e cosa fare

La regola fondamentale è non cliccare mai sui link ricevuti via email o SMS quando si parla di SPID o dati sensibili. L’accesso va effettuato solo tramite i canali ufficiali o le app certificate.
In caso di dubbi, è sempre consigliabile verificare direttamente sul sito istituzionale dell’ente o contattare l’assistenza ufficiale.

L’Agenzia delle Entrate ha ribadito di essere completamente estranea a queste comunicazioni e invita i cittadini a eliminare immediatamente i messaggi sospetti, segnalando eventuali tentativi di phishing attraverso i canali dedicati.

Leggi anche: Tessera sanitaria scaduta: cosa fare se la nuova non arriva a casa