Allarme truffe, nuove campagne di phishing SPID: analisi delle tecniche e dei rischi

Il CERT-AgID ha individuato una nuova campagna di phishing ai danni dell’Agenzia delle Entrate finalizzata non solo ad acquisire le credenziali di accesso delle identità digitali SPID degli utenti, ma anche a impersonare la vittima in contesti ufficiali. Ecco come difendersi

Pubblicato il 27 gen 2026
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Truffa SPID come difendersi

Il CERT-AgID ha recentemente segnalato una nuova campagna di phishing mirata agli utenti SPID, che conferma come l’identità digitale continui a rappresentare un obiettivo ad alto valore per i gruppi criminali.

Lo SPID è diventato negli ultimi anni il principale strumento di autenticazione per l’accesso ai servizi della Pubblica Amministrazione e questo ruolo centrale ne fa un bersaglio privilegiato per il phishing, poiché la compromissione di un’identità digitale consente agli attaccanti di accedere a un ampio spettro di servizi, dai portali fiscali a quelli previdenziali e sanitari.

Il valore di questa compromissione non risiede infatti solo nei dati personali, ma anche nella possibilità di impersonare la vittima in contesti ufficiali.

E-mail di verifica dei dati personali

L’ultima campagna phishing individuata dal CERT-AgID, una variante di un’altra precedentemente censita, si diffonde tramite e-mail ingannevoli con oggetto “Il tuo profilo SPID necessita di verifica”, che invitano l’utente ad accedere alla propria area privata per “verificare” o “aggiornare” i dati personali e i metodi di sicurezza associati al relativo profilo SPID.

Fonte: CERT-AgID.

Il messaggio che fa leva su un senso di urgenza, in realtà propina, nel corpo dell’e-mail, un link che conduce a un sito web malevolo riportante oltre al logo di AgID anche quello del Dipartimento per la Trasformazione Digitale.

Qui alla vittima viene richiesto di inserire delle informazioni anagrafiche dettagliate e dati relativi al suo conto corrente.

Fonte: CERT-AgID.

Quest’ultimi elementi suggeriscono che la campagna non sia limitata al semplice furto di identità digitale, ma punti piuttosto a un profilo più ampio di frode finanziaria o di rivendita dei dati sul mercato underground.

“Una volta inviati i dati, non vengono in seguito richieste le credenziali né altre informazioni relative al conto corrente. È plausibile quindi che i dati raccolti siano utilizzati per mettere in atto truffe mirate: informazioni personali e contatti potrebbero servire per phishing più convincenti, furto d’identità o per rivendere i dati ad altre reti criminali.”, commentano gli analisti del CERT-AgID.

Anche abuso del logo Agenzia delle Entrate

Più o meno in contemporanea si sta facendo strada anche un’altra campagna di phishing a tema SPID ancora più insidiosa perché sfrutta anche il nome e il logo dell’Agenzia delle Entrate, aumentando notevolmente la credibilità del messaggio agli occhi dell’utente.

In questo caso, le comunicazioni fraudolente invitano ad accedere all’area riservata dell’Agenzia per presunte notifiche o adempimenti fiscali, presentando un finto modulo di login SPID.

Le informazioni vengono quindi intercettate dagli attaccanti, per poi essere riutilizzate o rivendute.

Fonte: CERT-AgID.

Possibili impatti per gli utenti e per la PA

Il furto di credenziali SPID e dei relativi dati anagrafici hanno conseguenze che vanno oltre il singolo furto. Una identità digitale compromessa può essere infatti utilizzata per accedere a dati sensibili, presentare istanze fraudolente o modificare informazioni amministrative.

Inoltre, la raccolta combinata di dati personali e bancari aprirebbe la strada a forme di frode più complesse, come il furto d’identità completo o le truffe finanziarie mirate.

Per tali motivi è fondamentale ricordare agli utenti che le amministrazioni pubbliche non richiedono mai l’inserimento di credenziali e informazioni relative allo SPID tramite link ricevuti via e-mail. E che l’accesso ai servizi dovrebbe avvenire esclusivamente digitando manualmente l’indirizzo del sito ufficiale.

La verifica attenta dell’URL, la diffidenza verso comunicazioni che generano urgenza e l’adozione diffusa dell’autenticazione multi-fattore restano delle contromisure essenziali.

Dal punto di vista delle organizzazioni pubbliche è importante invece rafforzare le campagne di sensibilizzazione e migliorare i meccanismi di rilevamento e segnalazione dei domini fraudolenti.

