Una nuova truffa informatica sta circolando in queste ore, camuffata da comunicazione ufficiale dell’Agenzia delle Entrate. Si tratta di una falsa email che invita l’utente ad accedere con il proprio SPID tramite un link ingannevole. Il collegamento rimanda in realtà a un sito clone, identico nell’aspetto a quello reale, progettato dai truffatori per sottrarre username e password.
In alcuni casi, l’indirizzo email del destinatario appare già precompilato, inducendo la vittima a completare solo il campo della password, rendendo ancora più rapido il furto dell’identità digitale.
Obiettivo: rubare l’identità digitale
Il bersaglio dei cybercriminali è proprio lo SPID, che oggi rappresenta la chiave d’accesso ai servizi digitali della Pubblica Amministrazione e di numerosi portali privati. Una volta ottenute le credenziali, i truffatori possono prendere il controllo del profilo e accedere a informazioni sensibili o effettuare operazioni fraudolente.
Come funziona la truffa
La campagna è stata segnalata ufficialmente anche dall’Agenzia delle Entrate, che ha smentito qualsiasi coinvolgimento. Le email false sfruttano logo, grafica e linguaggio istituzionale per sembrare autentiche. L’utente viene invitato ad accedere alla propria area riservata tramite SPID, ma cliccando sul link finisce su un sito creato ad hoc per rubare le credenziali.
Si tratta dell’ennesima variante di phishing che prende di mira i cittadini con pretesti credibili, come rimborsi fiscali, notifiche urgenti o richieste di verifica account.
Come difendersi dalla truffa
Per evitare di cadere nel tranello, è fondamentale:
- Non cliccare mai su link contenuti in email o SMS sospetti
- Accedere allo SPID solo tramite l’app ufficiale o il sito del provider certificato
- Verificare sempre il mittente e il dominio dell’email
- In caso di dubbio, contattare direttamente l’Agenzia delle Entrate tramite i canali ufficiali
L’ente ha ribadito la sua totale estraneità alle comunicazioni in questione e invita a cancellare immediatamente ogni email sospetta, evitando di inserire dati personali o credenziali di accesso.
