Il CERT-AgID ha segnalato il ritorno delle campagne di smishing, ovvero il phishing veicolato tramite SMS che, in queste settimane, stanno colpendo in modo mirato i cittadini italiani fingendosi comunicazioni ufficiali dell’INPS.
Gli aggressori hanno perfezionato le loro tecniche, riuscendo a convincere molte vittime a fornire non soltanto dati anagrafici e credenziali, ma anche copie digitali dei propri documenti d’identità e persino selfie o brevi video di riconoscimento.
Questo materiale, come già accaduto in passato, una volta raccolto, potrebbe venire utilizzato per creare falsi profili SPID, deviare accrediti come pensioni o stipendi, oppure viene direttamente rivenduto in pacchetti completi all’interno di forum e marketplace nel dark web.
Il fenomeno è oggi in crescita. Nei primi mesi del 2025 sono stati individuati decine di domini fasulli registrati con l’unico scopo di ospitare pagine truffaldine a tema INPS.
Parallelamente, sono stati rintracciati nel web sommerso interi archivi di documenti trafugati, pronti per essere sfruttati da chiunque voglia compiere furti d’identità o aprire conti correnti e servizi online a nome di ignare vittime.
Indice degli argomenti
Smishing a tema INPS: la tecnica di inganno
Il meccanismo è ormai collaudato. Tutto parte da un SMS che appare come proveniente dall’INPS e che avvisa l’utente della necessità di aggiornare i dati, evitare blocchi o sanzioni, o addirittura minaccia conseguenze penali in caso di omissioni fiscali.
L’urgenza e la pressione psicologica spingono molti destinatari a cliccare sul link contenuto nel messaggio, che conduce a un sito web falsificato con grafica e struttura identiche a quelle del portale ufficiale dell’istituto.
Una volta entrati, viene chiesto di caricare documenti, fotografie e informazioni bancarie, come se si trattasse di una procedura di verifica identità legittima.
In realtà, tutto ciò alimenta un sistema di frode organizzato che trae vantaggio sia dall’uso diretto dei dati sia dalla loro commercializzazione clandestina.
Come riconoscere i falsi SMS
Di fronte a questo scenario, è fondamentale ricordare che l’INPS non invia mai SMS contenenti link cliccabili e non richiede attraverso messaggi telefonici l’invio di documenti o credenziali.
Le comunicazioni autentiche servono solo a informare l’utente della presenza di nuove notifiche all’interno dell’area personale MyINPS, che va consultata digitando manualmente l’indirizzo ufficiale nel browser.
Qualsiasi messaggio che induca a cliccare su link esterni e a caricare dati personali deve essere considerato sospetto e segnalato immediatamente al CERT-AgID o alla Polizia Postale, conservando le prove del tentativo di frode.
Contromisure adottate contro lo smishing a tema INPS
L’istituto previdenziale ha avviato una campagna informativa di sensibilizzazione che coinvolge e-mail, notifiche sulle app ufficiali, manifesti nelle sedi territoriali e contenuti divulgativi sui social.
Parallelamente, il CERT-AgID continua a monitorare il fenomeno, richiedendo la rimozione dei domini malevoli e diffondendo indicatori di compromissione per aiutare le strutture pubbliche e private a riconoscere tempestivamente le minacce.
Come ridurre l’impatto
Lo smishing a tema INPS rappresenta dunque un pericolo concreto per la sicurezza digitale dei cittadini.
Non si tratta più soltanto di messaggi ingannevoli che mirano a carpire password, ma di vere e proprie operazioni di furto identità, capaci di generare conseguenze economiche e legali di grande portata.
Riconoscere i segnali di allarme, diffidare di comunicazioni sospette e informare tempestivamente le autorità permette di ridurre sensibilmente l’impatto di queste truffe sempre più sofisticate.
