L’Agenzia delle Entrate ha diffuso un avviso ufficiale su una sofisticata campagna di phishing in atto. Ecco le regole d’oro per non cadere in trappola.
Cresce l’allarme in Italia per una sofisticata operazione di pirateria informatica che punta a sottrarre le credenziali SPID a milioni di utenti. L’Agenzia delle Entrate ha diffuso un avviso ufficiale lo scorso 30 marzo 2026, confermando un’escalation di attività fraudolente che utilizzano impropriamente i loghi di SPID e AgID per ingannare i contribuenti. La truffa si distingue per un livello di cura grafica e tecnica superiore alla media, rendendo le email e i siti contraffatti quasi indistinguibili dalle pagine originali della Pubblica Amministrazione.
Il meccanismo dell’inganno: il “finto errore”
La strategia dei cyber-criminali è studiata per ridurre al minimo i sospetti della vittima attraverso passaggi psicologici precisi. L’utente riceve un’email che sembra provenire dall’Agenzia delle Entrate, contenente un link a una pagina di accesso che appare identica a quella ufficiale.
Una volta cliccato il collegamento, l’utente trova il proprio indirizzo email già inserito nel campo di login. Questo dettaglio aumenta la fiducia nel sito, facendo percepire il sistema come “intelligente” e legittimo. Dopo aver inserito la password, però, i dati vengono inviati ai server dei truffatori.
Per evitare che la vittima cambi immediatamente le credenziali, il sistema la reindirizza al vero sito istituzionale mostrando un finto messaggio di errore tecnico. L’utente, convinto di un semplice malfunzionamento, spesso abbandona la pagina senza sospettare il furto dello SPID.
Riportiamo di seguito due esempi relativi a questa campagna:
I rischi: un portale aperto sulla vita digitale
Entrare in possesso dello SPID significa, per un malintenzionato, avere libero accesso a una mole enorme di dati sensibili. Attraverso l’identità digitale è possibile:
- Consultare il cassetto fiscale e verificare rimborsi o pendenze.
- Accedere ai servizi INPS e della sanità regionale.
- Richiedere bonus o sussidi a nome del contribuente, deviando i fondi su conti correnti illeciti.
Il danno principale è la latenza: spesso il cittadino si accorge delle operazioni fraudolente solo dopo settimane o mesi, quando le tracce dei criminali sono ormai svanite.
Come difendersi: le regole d’oro
L’Agenzia delle Entrate ribadisce con fermezza che nessun ente istituzionale richiede l’inserimento di credenziali o dati sensibili tramite link inviati via email o SMS.
Per proteggere la propria identità digitale, è fondamentale digitare sempre manualmente l’indirizzo del sito istituzionale nel browser e attivare, laddove possibile, l’autenticazione a due fattori tramite app ufficiale del proprio provider SPID. In caso di messaggi sospetti, la raccomandazione è di non interagire con il contenuto e segnalare l’accaduto ai portali dedicati al phishing dell’Agenzia delle Entrate o della Polizia Postale.