Hai ricevuto un’e-mail che ti invita ad accedere con SPID all’area riservata dell’Agenzia delle Entrate? Fermati un attimo prima di cliccare. Potrebbe trattarsi di una truffa informatica studiata nei minimi dettagli per sottrarre le tue credenziali fiscali e l’identità digitale.

L’allarme arriva direttamente dall’Agenzia delle Entrate, che ha segnalato una nuova campagna di phishing attiva in questi giorni. Una truffa sofisticata, che sfrutta il nome, il logo e il linguaggio istituzionale dell’amministrazione finanziaria per ingannare i cittadini.

Il rischio non riguarda solo un accesso non autorizzato. Chi cade nella trappola può subire conseguenze gravi: dichiarazioni fiscali manipolate, rimborsi sottratti, dati personali usati per ulteriori frodi. Per questo è fondamentale sapere come funziona la truffa, quali sono i segnali d’allarme e cosa fare per proteggersi.

Ora, negli ultimi anni, lo SPID è diventato la chiave di accesso a decine di servizi pubblici: fisco, sanità, bonus, pensioni. Ed è proprio per questo che è diventato uno degli obiettivi preferiti dei cybercriminali.

Secondo quanto spiegato nelle comunicazioni ufficiali, i truffatori inviano false e-mail che sembrano provenire dall’Agenzia delle Entrate. Il messaggio invita il destinatario ad accedere con urgenza alla propria area riservata per presunte anomalie, comunicazioni fiscali o verifiche in corso.

In realtà, non si tratta in alcun modo di note ufficiali.

Come funziona la nuova truffa SPID

Il meccanismo è tanto semplice quanto pericoloso. L’e-mail contiene un link che rimanda a un sito web fraudolento, creato appositamente per imitare il portale istituzionale dell’Agenzia delle Entrate.

La pagina mostra una falsa schermata di accesso all’area riservata, apparentemente identica a quella reale. Il dettaglio che fa la differenza è nascosto nei particolari.

Come spiegato dall’Agenzia, il modulo di login è contraffatto e presenta una caratteristica sospetta:

  • all’utente viene chiesto di inserire solo la password SPID;
  • l’indirizzo e-mail risulta già precompilato, grazie a una personalizzazione del link contenuto nel messaggio.
  • È proprio questo passaggio che consente ai truffatori di carpire le credenziali dell’identità digitale e di utilizzarle a insaputa della vittima.

Lo screenshot della pagina di phishing.

Perché questa truffa è particolarmente insidiosa

A rendere questa campagna di phishing particolarmente efficace è il livello di realismo. I messaggi utilizzano:

  • logo e intestazioni ufficiali;
  • linguaggio formale e istituzionale;
  • riferimenti credibili a servizi fiscali reali;
  • richiami all’urgenza, che spingono ad agire in fretta.

Molti utenti, soprattutto meno esperti di sicurezza digitale, possono cadere nella trappola pensando di trovarsi davanti a una comunicazione autentica.

L’Agenzia delle Entrate ha però chiarito in modo netto che disconosce completamente queste comunicazioni e si dichiara totalmente estranea all’invio di tali e-mail.

Accesso con SPID: cosa non fa mai l’Agenzia delle Entrate

Un punto chiave per difendersi è sapere cosa non fa l’amministrazione finanziaria. L’Agenzia delle Entrate:

  • non chiede mai via e-mail di inserire password o codici di accesso;
  • non invia link diretti per l’autenticazione SPID;
  • non precompila indirizzi e-mail nei moduli di login;
  • non comunica urgenze fiscali attraverso messaggi non verificabili.

Ogni accesso ai servizi digitali deve avvenire solo dal sito ufficiale, digitando manualmente l’indirizzo nel browser o utilizzando i canali già noti.

Come riconoscere una e-mail di phishing

Anche se il messaggio sembra credibile, ci sono alcuni segnali che devono far scattare l’allarme:

  • richiesta di inserire password o dati sensibili;
  • link che non rimandano chiaramente al dominio ufficiale;
  • tono allarmistico o minaccioso;
  • inviti ad agire “entro poche ore” o “per evitare sanzioni”;
  • errori minimi di formattazione o incongruenze nei testi.

In caso di dubbio, la regola d’oro è sempre la stessa: non cliccare e non rispondere.

Cosa fare se ricevi una comunicazione sospetta

L’Agenzia delle Entrate fornisce indicazioni precise su come comportarsi. In presenza di una possibile truffa:

  • Non cliccare sui link contenuti nel messaggio.
  • Non fornire alcuna informazione personale o fiscale.
  • Cancellare immediatamente l’e-mail o il messaggio ricevuto.

Se restano dubbi sulla veridicità della comunicazione, è possibile effettuare una verifica preliminare consultando la sezione “Focus sul phishing” del portale istituzionale dell’Agenzia oppure rivolgendosi ai contatti ufficiali presenti sul sito www.agenziaentrate.gov.it.

In alternativa, ci si può rivolgere direttamente all’ufficio territorialmente competente.

SPID nel mirino dei truffatori: perché è così appetibile

Lo SPID è oggi una vera e propria chiave universale per i servizi pubblici digitali. Con un solo accesso è possibile:

  • consultare il cassetto fiscale;
  • inviare dichiarazioni;
  • richiedere bonus e agevolazioni;
  • accedere ai servizi sanitari;
  • gestire pratiche previdenziali.

Per i criminali informatici, ottenere queste credenziali significa avere accesso a una quantità enorme di dati e possibilità di frode. È per questo che le truffe legate allo SPID sono in costante aumento e diventano sempre più sofisticate.

Lo sapevi che…

  • L’Agenzia delle Entrate non invia mai link diretti per l’accesso SPID.
  • Le truffe di phishing aumentano nei periodi di scadenze fiscali.
  • Basta inserire una sola volta la password per compromettere l’identità digitale.

FAQ – Domande frequenti sulla truffa SPID

Se ho cliccato sul link ma non ho inserito dati, sono a rischio?
Il rischio è basso, ma è consigliabile comunque cambiare le password e monitorare gli accessi.

L’Agenzia delle Entrate comunica mai via e-mail?
Sì, ma non chiede mai credenziali o accessi tramite link diretti.

Cosa fare se ho inserito la password SPID?
Contattare immediatamente il proprio gestore SPID e cambiare le credenziali.