L’universo delle truffe digitali si arricchisce di un nuovo, pericolosissimo capitolo che mette nel mirino uno dei beni più preziosi dei cittadini: l’identità digitale. Negli ultimi giorni, numerosi utenti hanno segnalato la ricezione di una mail, apparentemente innocua e formale, che sembra provenire direttamente dall’Agenzia delle Entrate. Il testo invita il destinatario ad accedere con urgenza alla propria area riservata utilizzando lo Spid, fornendo un comodo link per velocizzare l’operazione. Tuttavia, dietro quella stringa di testo si nasconde un’insidia: il collegamento non conduce al portale istituzionale, ma a un sito clone, progettato per replicare fedelmente l’interfaccia di login a cui siamo abituati. In alcuni casi, la beffa è ancora più sottile, poiché il campo dell’indirizzo mail risulta già precompilato, inducendo la vittima a inserire con estrema naturalezza la propria password.
L’allarme istituzionale e le dinamiche del furto d’identità
Il controllo dello SPID rappresenta oggi la “chiave maestra” per accedere a una galassia di servizi che spaziano dalla Pubblica Amministrazione ai portali privati. Entrare in possesso di queste credenziali significa, per i criminali, poter operare a nome della vittima, visualizzare dati sensibili e compiere operazioni dispositive. L’ente pubblico ha deciso di intervenire prontamente per mettere in guardia i contribuenti: “È stata individuata una nuova campagna di phishing che sfruttando il logo dell’Agenzia delle Entrate, tenta di acquisire le credenziali di accesso delle identità digitali SPID degli utenti. La campagna viene diffusa tramite comunicazioni email ingannevoli che invitano l’utente ad accedere alla propria area riservata dell’Agenzia delle Entrate e contengono al loro interno un link che reindirizza a un sito creato ad hoc per raccogliere credenziali”. Non è la prima volta che assistiamo a simili tentativi di manipolazione. Recentemente, il CERT-AGID (il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) aveva già intercettato domini contraffatti utilizzati per estorcere non solo password, ma persino scansioni dei documenti d’identità.
Le varianti di questo schema sono molteplici e includono promesse di rimborsi fiscali inaspettati o notifiche di atti urgenti da scaricare tramite piattaforme esterne come WeTransfer. In ogni scenario, l’obiettivo resta la sottrazione di dati. Per proteggersi, la prudenza è l’arma più efficace: non bisogna mai cliccare su link sospetti contenuti in mail o SMS. La procedura corretta prevede l’accesso ai servizi solo tramite le app ufficiali o digitando l’indirizzo del sito direttamente nel browser. In una nota ufficiale, l’ente ha ribadito con forza la propria posizione: “L’Agenzia delle Entrate disconosce come sempre queste comunicazioni, rispetto alle quali si dichiara totalmente estranea. Raccomandiamo come sempre di prestare la massima attenzione qualora si ricevessero email di questo tipo, evitando di cliccare sui link riportati e di fornire informazioni personali e vi invitiamo a procedere immediatamente alla loro eliminazione. In caso di dubbi sulla veridicità di una comunicazione ricevuta, il nostro consiglio è di effettuare una verifica preliminare consultando la pagina “Focus sul phishing” del portale istituzionale dell’Agenzia, oppure rivolgendosi ai contatti reperibili sempre sul portale istituzionale www.agenziaentrate.gov.it o direttamente all’Ufficio territorialmente competente.”
