Lo smartphone emette un segnale, sullo schermo appare un mittente conosciuto e per un istante la guardia si abbassa. Proprio in quel momento scatta l’inganno. L’Agenzia delle Entrate ha diffuso il 1° aprile 2026 un avviso relativo a nuove comunicazioni truffaldine trasmesse tramite messaggi di testo, che sembrano genuine grazie all’utilizzo della contraffazione del mittente mediante la pratica dello sms spoofing.
L’aspetto più pericoloso risiede proprio qui: lo smartphone visualizza un mittente apparentemente corretto e di conseguenza la mente abbassa le difese. L’annuncio diffuso dall’ente fiscale suggerisce di prestare massima attenzione specialmente di fronte a messaggi imprevisti, come ad esempio la conferma di un incontro mai fissato o una notifica che giunge in circostanze anomale. Il nominativo che compare ha scarsa rilevanza, ciò che conta davvero è la richiesta che quel messaggio tenta di portare con sé.
La questione, peraltro, si colloca in una sequenza già nota. Nell’area riservata al phishing del sito ufficiale figurano anche un comunicato del 30 marzo 2026 riguardante una campagna finalizzata al prelievo di credenziali SPID e un precedente avvertimento del 1° aprile 2025 sui tentativi basati sulla falsificazione telefonica. In altre parole: lo schema si ripete da tempo, muta forma, cambia registro, rimane uguale nell’obiettivo.
L’ente fiscale raccomanda un controllo preventivo
La raccomandazione ufficiale risulta molto chiara: effettuare una verifica anticipata consultando la sezione “Focus sul phishing”, utilizzare i recapiti disponibili sul portale istituzionale oppure contattare la sede territoriale di riferimento. Nelle campagne simili esaminate dal CERT-AGID il suggerimento operativo rimane il medesimo: ignorare il collegamento ricevuto, digitare manualmente l’indirizzo del portale ufficiale, esaminare con cura il dominio e affidarsi esclusivamente ai canali diretti dell’istituzione. Gli organismi pubblici, in queste situazioni, seguono procedure ufficiali; i malintenzionati sfruttano l’urgenza.
La fase successiva generalmente prevede una pagina contraffatta realizzata per apparire autentica. Nelle operazioni di smishing esaminate dal CERT-AGID i portali fraudolenti richiedono informazioni anagrafiche, coordinate bancarie, copie di documenti d’identità, tessera sanitaria, patente di guida, certificazioni di stipendio, autoscatti e persino filmati di riconoscimento. Il cittadino osserva marchi, impaginazione curata, linguaggio pressante, e nel frattempo cede frammenti della propria identità a individui sconosciuti con eccellente capacità di simulazione.
Chi ha già cliccato sul collegamento deve agire immediatamente
Le ripercussioni, nelle operazioni analoghe, possono risultare gravi: sottrazione di identità digitale, tentativi di creazione di SPID utilizzando i dati della vittima, modifiche dell’IBAN per dirottare bonifici, impiego dei documenti in ulteriori frodi. Per chi ha già fornito informazioni o documenti, il CERT-AGID indica un percorso specifico: conservare il materiale probatorio, presentare denuncia presso la Polizia Postale, inviare una segnalazione online e controllare attentamente conti correnti e accrediti nei mesi a venire.
Merita sottolineare un elemento molto elementare. Il mittente ormai inganna. Il display può tranquillizzare, il messaggio può apparire credibile, il linguaggio può riprodurre una notifica autentica. La protezione, a questo punto, si riduce a un’azione quasi ovvia: chiudere il messaggio, riflettere, accedere autonomamente al canale ufficiale. Tutto il resto assomiglia già a un tranello.
Fonte: Agenzia delle Entrate