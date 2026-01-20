Il CERT-AGID ha individuato una nuova pericolosa campagna di phishing che sfrutta il nome dello SPID per sottrarre dati personali e bancari agli utenti. La truffa utilizza dei siti fraudolenti ospitati su Google Sites per apparire più credibile.

Come funziona la truffa

La campagna di phishing viene diffusa tramite delle email ingannevoli con oggetti del tipo “Importante: Conferma i tuoi dati SPID” oppure “Verifica richiesta per la tua identità digitale” che invitano l’utente ad accedere alla propria area privata per controllare ed eventualmente aggiornare le informazioni fornite per l’utilizzo dello SPID. Il link presente nel corpo dell’email rimanda, però, ad un finto portale dello SPID ospitato su Google Sites.

La pagina web fraudolenta, approfittando dell’ampia diffusione del Sistema Pubblico di Identità Digitale e utilizzando una grafica molto simile a quella utilizzata dal sito ufficiale, presenta all’utente un modulo che richiede la compilazione di diversi campi con i propri dati personali.

Quali dati vengono richiesti

La vittima è quindi invitata ad inserire le proprie generalità, l’indirizzo di residenza, l’indirizzo email, il numero di telefono, ed infine l’IBAN del proprio conto corrente e il relativo istituto bancario. Inoltre, oltre al logo dell’AgID, la pagina riporta anche quello del Dipartimento per la trasformazione digitale.

Questa è una caratteristica particolarmente insidiosa della truffa: l’utilizzo di loghi ufficiali e una grafica accurata rendono il sito fraudolento molto convincente per gli utenti meno esperti.

Una truffa diversa dalle precedenti

Diversamente da analoghe campagne precedenti, una volta inviati i dati, non vengono in seguito richieste le credenziali, né altre informazioni relative al conto corrente. È plausibile, quindi, che i dati raccolti siano utilizzati per mettere in atto delle truffe mirate: le informazioni personali e i contatti potrebbero servire per fare dei tentativi di phishing più convincenti, per il furto d’identità o per rivendere i dati ottenuti ad altre reti criminali.

Questo cambiamento di strategia rende la truffa ancora più pericolosa: i dati raccolti possono essere utilizzati per compiere attacchi futuri più sofisticati e personalizzati, oppure per essere venduti sul mercato nero ad organizzazioni criminali.

Le azioni di contrasto

Al fine di prevenire ulteriori sottrazioni di dati, il CERT-AGID ha richiesto la disattivazione del sito ospitante la pagina di phishing. Gli indicatori di compromissione relativi alla campagna sono stati diramati attraverso il sistema di condivisione del CERT-AGID verso le strutture accreditate.

Come proteggersi

Per evitare di cadere vittima di questa e di altre truffe simili, è fondamentale seguire alcune semplici regole di sicurezza:

verificare sempre il mittente : lo SPID e gli identity provider ufficiali (tipo Poste Italiane) non inviano mai delle email non richieste chiedendo di confermare o aggiornare i dati;

: lo SPID e gli identity provider ufficiali (tipo Poste Italiane) non inviano mai delle email non richieste chiedendo di confermare o aggiornare i dati; controllare l’URL : anche se ospitato su Google Sites, un sito fraudolento avrà sempre un URL diverso da quello ufficiale;

: anche se ospitato su Google Sites, un sito fraudolento avrà sempre un URL diverso da quello ufficiale; non cliccare sui link sospetti : in caso di dubbi, è sempre meglio accedere direttamente al sito ufficiale digitando l’URL nella barra degli indirizzi del proprio browser;

: in caso di dubbi, è sempre meglio accedere direttamente al sito ufficiale digitando l’URL nella barra degli indirizzi del proprio browser; prestare attenzione ai dettagli : errori grammaticali, tono urgente e richieste di dati sensibili sono tutti segnali d’allarme;

: errori grammaticali, tono urgente e richieste di dati sensibili sono tutti segnali d’allarme; non fornire mai l’IBAN via email o moduli online: nessun servizio legittimo richiede queste informazioni tramite delle email.

Cosa fare se si è già caduti nella truffa

Se hai già inserito i tuoi dati in uno di questi siti fraudolenti:

contatta immediatamente la tua banca per bloccare eventuali operazioni sospette;

modifica le password dei tuoi account online;

segnala l’accaduto alla Polizia Postale;

monitora attentamente i movimenti del tuo conto corrente nei giorni successivi.

Presta sempre la massima attenzione a questo tipo di comunicazioni, in particolare quando contengono dei collegamenti ritenuti sospetti.

Ricorda: in caso di dubbio, è sempre meglio contattare direttamente il proprio gestore dello SPID attraverso i canali ufficiali prima di fornire qualsiasi dato personale.

Fonte.