Allarme SPID: la nuova trappola “svuota-dati”. Ecco come difendersi dal phishing

L’allarme arriva da Adiconsum: una comunicazione ingannevole che sembra provenire dall’Agenzia delle Entrate punta a rubare l’identità digitale dei cittadini. Una volta ottenuto l’accesso, i criminali possono mettere le mani su dati fiscali, sanitari e previdenziali.

In un mondo sempre più digitale, la nostra “chiave universale” è diventata il bersaglio preferito dei cybercriminali. L’ultima frontiera della frode informatica punta direttamente allo SPID (Sistema Pubblico di Identità Digitale). L’associazione dei consumatori Adiconsum ha lanciato un avviso urgente: è in corso una massiccia campagna di phishing che rischia di esporre migliaia di cittadini a furti di identità dai danni incalcolabili.

La trappola: un’email “urgente”

Il meccanismo è tanto semplice quanto efficace. Tutto inizia con una email (o talvolta un SMS) che sembra provenire da enti autorevoli come l’Agenzia delle Entrate o l’INPS. Il tono è perentorio: viene richiesto di “accedere con urgenza” alla propria area riservata per consultare comunicazioni importanti o risolvere anomalie.

All’interno del messaggio è presente un link. Cliccandoci, l’utente viene reindirizzato su un sito web che è la copia speculare di quello originale.

Il dettaglio che inganna: Spesso, nella pagina di login contraffatta, l’indirizzo email della vittima appare già precompilato. All’utente viene chiesto solo di inserire la password. È in quel preciso istante che avviene il furto: le credenziali finiscono direttamente nel database dei truffatori.

Cosa rischiano le vittime?

Lo SPID non è una semplice password: è il ponte verso la nostra intera vita burocratica e finanziaria. Chi entra in possesso di queste credenziali può accedere a:

• Agenzia delle Entrate: per visionare dichiarazioni dei redditi e dati patrimoniali.

• INPS: per gestire prestazioni previdenziali e dati personali.

• Fascicolo Sanitario Elettronico: violando la privacy sui dati sensibili della salute.

Come difendersi, il manuale della sicurezza

Difendersi è possibile, a patto di mantenere alta la guardia e seguire alcune regole d’oro suggerite dagli esperti:

1. Diffidate dei link: Non cliccate mai su collegamenti presenti in email o SMS, anche se sembrano ufficiali. Gli enti pubblici non chiedono quasi mai l’inserimento di password tramite link diretti.

2. Verifica manuale: Se avete il dubbio che la comunicazione sia reale, aprite il browser e digitate manualmente l’indirizzo ufficiale (es. www.agenziaentrate.gov.it).

3. Osservate l’URL: Spesso i siti truffaldini hanno indirizzi simili a quelli veri ma con piccole variazioni (es. .net invece di .gov.it, o errori di ortografia).

4. Usa il portale istituzionale: L’Agenzia delle Entrate ha una sezione dedicata, “Focus sul phishing”, dove vengono segnalate tutte le truffe in corso.

Cosa fare se pensi di essere stato truffato?

Se hai inserito i tuoi dati su un sito sospetto, non perdere tempo:

• Cambia subito la password dello SPID tramite il tuo gestore (Identity Provider).

• Contatta il tuo Provider per segnalare l’accaduto e bloccare eventuali accessi non autorizzati.

• Denuncia l’episodio alla Polizia Postale o al CERT-PA.

• Monitora i tuoi account: Controlla regolarmente lo storico degli accessi ai servizi della Pubblica Amministrazione.

Il phishing si basa sull’ingegneria sociale, ovvero sulla capacità di manipolare le emozioni (come la paura o l’urgenza) per spingerci a commettere errori. La miglior difesa resta, come sempre, la consapevolezza.