Phishing via email sul Fascicolo Sanitario Elettronico: come difendersi e riconoscere la truffa

I messaggi legati alla truffa del Fascicolo Sanitario Elettronico. Credit: Ministero della Salute

Il Ministero della Salute ha diramato un avviso riguardante un tentativo di truffa in corso basato sul Fascicolo Sanitario Elettronico (FSE), prezioso strumento digitale che raccoglie l’intera storia clinica del paziente: referti, ricette, prescrizioni, vaccinazioni, ricoveri e molto altro. In termini semplici, la truffa si fonda sull’invio di messaggi fraudolenti via email — con mittente falsificato, che scimmiotta il Ministero stesso — nei quali si afferma che per mantenere attivo l’accesso al servizio sia necessario inserire dati personali e bancari. Il link contenuto nell’email rimanda a una pagina web con un classico form da compilare, utilizzato dai criminali per sottrarre informazioni sensibili e dati finanziari. La raccomandazione del Ministero è chiara: “Non cliccare sui link, non fornire dati personali e cancellare immediatamente il messaggio”.

Sono giunte molteplici segnalazioni, motivo per cui il Ministero ha diramato l’allerta attraverso tutti i canali social e il sito istituzionale. Anche i servizi sanitari regionali stanno diffondendo comunicazioni analoghe. La Regione Lazio, ad esempio, ha dichiarato: “Stanno arrivando una serie di segnalazioni relative all’invio di e-mail che invitano i cittadini a compilare un form per mantenere attivo il Fascicolo Sanitario Elettronico, inserendo i propri dati personali. Non si tratta di comunicazioni ufficiali, ma di un tentativo di truffa. Se ricevi messaggi di questo tipo, non rispondere e non seguire le istruzioni contenute, in particolare quelle che prevedono l’invio dei dati bancari”.

Le segnalazioni indicano una vera e propria campagna a tappeto da parte dei cybercriminali, che stanno sfruttando un periodo particolarmente delicato dal punto di vista sanitario. Le alte temperature registrate negli ultimi giorni hanno causato un incremento degli accessi ai pronto soccorso, soprattutto da parte di anziani e persone fragili, colpite da colpi di calore, disidratazione e problematiche legate all’assunzione di farmaci. In un momento così critico, rischiare di perdere l’accesso al Fascicolo Sanitario Elettronico — tramite il quale si ricevono referti e ricette — può indurre in errore un numero elevato di cittadini. Non solo quelli meno esperti in truffe informatiche, ma anche persone in difficoltà. È proprio questo che rende la truffa particolarmente odiosa.

Ci troviamo di fronte al classico meccanismo del phishing, una sorta di “pesca a strascico”, in cui i criminali inondano le caselle di posta elettronica con email ingannevoli per carpire dati personali e finanziari. Spesso i messaggi sembrano provenire da istituti di credito, banche, corrieri, enti postali o altri soggetti affidabili, e invitano a effettuare l’accesso per presunti problemi di servizio. Talvolta contengono allegati infetti che installano virus e malware in grado di registrare l’attività digitale. I keylogger, ad esempio, tracciano ciò che viene digitato nei siti web e inviano user e password ai malviventi.

In questo caso, i truffatori sfruttano la sensibilità legata alla salute, sperando di raggirare persone preoccupate di perdere l’accesso a dati medici vitali. Nei giorni scorsi, la Regione Lombardia ha segnalato un tentativo simile collegato all’ASL: un SMS ingannevole invitava a chiamare un numero, collegato a servizi telefonici a pagamento estremamente onerosi.
Nel caso specifico del FSE, le email e il sito del form sembrano istituzionali e credibili; spesso i link rimandano a siti clone, molto simili agli originali. Tuttavia, prestando attenzione al mittente e all’URL (l’indirizzo del sito), è possibile notare nomi alterati, lettere sostituite da numeri e altri dettagli sospetti. I testi, inoltre, possono contenere errori grammaticali o essere scritti in modo ambiguo.

Nonostante ciò, non sempre è facile individuare un messaggio malevolo, soprattutto per chi non ha molta confidenza con i servizi digitali. Essere scrupolosi e sospettosi, soprattutto in presenza di richieste legate a dati sensibili, è fondamentale per non cadere nella rete del phishing. A questo link trovate alcuni preziosi consigli per proteggervi da questi e altri crimini analoghi.