“Accedi subito allo SPID”: la finta mail dell’Agenzia delle Entrate che ti ruba il profilo
Arriva un mail firmata Agenzia delle Entrate. Il messaggio chiede di accedere alla propria area riservata tramite Spid. Sotto c'è un link. Non è il collegamento alla pagina ufficiale, ma porta a un sito web fraudolento. Una volta cliccato il link, infatti, la vittima si ritrova davanti a una pagina di accesso che riproduce fedelmente l’interfaccia SPID, ma è controllata dai truffatori. In alcuni casi, l’indirizzo mail della vittima è già precompilato nel form di login fake, e viene richiesto solo l’inserimento della password SPID.
L'obiettivo dei truffatori è rubare l’identità digitale. Una volta ottenuta la password possono prendere il controllo dello SPID. Lo Sistema Pubblico di Identità Digitale rappresenta oggi una delle chiavi più importanti per accedere non solo ai servizi della Pubblica Amministrazione, ma anche a molti portali privati che richiedono una verifica dell’identità. Questo lo rende un bersaglio molto prezioso per i truffatori.
Come funziona la truffa dello Spid
L'allarme è stato lanciato dalla pagina ufficiale della Agenzia delle Entrate: "È stata individuata una nuova campagna di phishing che sfruttando il logo dell’Agenzia delle Entrate, tenta di acquisire le credenziali di accesso delle identità digitali SPID degli utenti. La campagna viene diffusa tramite comunicazioni email ingannevoli che invitano l’utente ad accedere alla propria area riservata dell’Agenzia delle Entrate e contengono al loro interno un link che reindirizza a un sito creato ad hoc per raccogliere credenziali".
Il phishing via email non è purtroppo un fenomeno nuovo. Negli ultimi mesi le truffe informatiche a nome dell’Agenzia delle Entrate hanno assunto diverse forme, includendo anche richieste di presunti rimborsi fiscali o notifiche di documenti urgenti da scaricare tramite servizi di terze parti come WeTransfer, tutte con l’obiettivo di sottrarre informazioni sensibili.
Allo stesso modo, campagne simili che prendono di mira lo SPID non sono un caso isolato: il CERT-AGID (il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) aveva già segnalato campagne dove domini falsi vengono utilizzati per convincere gli utenti a inserire username, password e persino copie di documenti d’identità.
Come difendersi dalla truffa
La regola d'oro è non aprire mail link inviato via mail o sms. Sono spesso l'esca utilizzata dai truffatori, nel caso dello Spid è consigliato accedere solo dall'app ufficiale e, in casi di dubbi, contattare il presunti mittente, in questo caso l'Agenzia dell'Entrate, per chiedere chiarimenti.
In una nota sulla pagina ufficiale l'ente ha specificato: "L’Agenzia delle Entrate disconosce come sempre queste comunicazioni, rispetto alle quali si dichiara totalmente estranea.
Raccomandiamo come sempre di prestare la massima attenzione qualora si ricevessero email di questo tipo, evitando di cliccare sui link riportati e di fornire informazioni personali e vi invitiamo a procedere immediatamente alla loro eliminazione. In caso di dubbi sulla veridicità di una comunicazione ricevuta, il nostro consiglio è di effettuare una verifica preliminare consultando la pagina “Focus sul phishing” del portale istituzionale dell’Agenzia, oppure rivolgendosi ai contatti reperibili sempre sul portale istituzionale www.agenziaentrate.gov.it o direttamente all’Ufficio territorialmente competente."
