Cresce l’allarme in Italia per una nuova e pericolosa campagna di phishing che prende di mira le credenziali SPID. L’Agenzia delle Entrate ha diffuso un avviso ufficiale il 30 marzo 2026, segnalando diverse attività fraudolente in corso.
I truffatori utilizzano loghi e grafiche riconducibili a enti istituzionali come SPID e AgID per ingannare gli utenti e convincerli a inserire i propri dati personali. Non si tratta di un episodio isolato: già nelle settimane precedenti erano state individuate campagne simili, segno di un’escalation preoccupante.
Le vittime potenziali sono milioni di cittadini, considerando l’ampia diffusione dello SPID per accedere ai servizi pubblici digitali.
Come funziona la truffa: email, link falsi e pagine clone
Le email fraudolente appaiono credibili e ben costruite. Contengono link che rimandano a siti web falsi, progettati per imitare perfettamente le pagine ufficiali dell’Agenzia delle Entrate.
Una volta cliccato sul collegamento, l’utente viene indirizzato su una schermata che replica il sistema di accesso SPID. L’elemento più insidioso è che l’indirizzo email risulta già inserito automaticamente, aumentando la fiducia della vittima e riducendo i sospetti.
A questo punto viene richiesta solo la password. Dopo l’inserimento, i dati finiscono direttamente nelle mani dei truffatori. Subito dopo, l’utente viene reindirizzato al sito ufficiale, dove compare un errore simulato che fa pensare a un semplice malfunzionamento tecnico.
Questo meccanismo rende la truffa particolarmente efficace, perché la vittima spesso non si accorge immediatamente del furto.
I rischi: accesso a dati fiscali, INPS e servizi sanitari
Le credenziali SPID rappresentano molto più di una semplice password. Consentono infatti di accedere a numerosi servizi pubblici digitali, tra cui quelli dell’INPS, della sanità e della pubblica amministrazione.
Chi entra in possesso di queste informazioni può consultare dati fiscali, verificare rimborsi, accedere a bonus e persino operare modifiche a nome del contribuente. Il problema principale è che il danno emerge spesso dopo settimane o mesi, quando le operazioni fraudolente sono già state completate.
Per questo motivo, la prevenzione è fondamentale e rappresenta l’unica vera difesa contro questo tipo di attacchi informatici.
Come difendersi: le regole per evitare la truffa
L’Agenzia delle Entrate ricorda che nessuna comunicazione ufficiale richiede l’inserimento di credenziali tramite email o SMS. I servizi sono accessibili esclusivamente attraverso il sito istituzionale.
Per proteggersi è importante seguire alcune regole essenziali: non cliccare su link sospetti, verificare sempre l’indirizzo web digitandolo manualmente nel browser e non inserire mai dati sensibili su pagine non ufficiali.
In caso di dubbi, è possibile controllare le comunicazioni direttamente sul portale dell’Agenzia o segnalare messaggi sospetti agli indirizzi ufficiali dedicati al phishing. Riconoscere i segnali di pericolo, come domini anomali o richieste urgenti di dati, può fare la differenza.
L’articolo Allarme phishing SPID: false email Agenzia delle Entrate rubano credenziali, cosa fare subito proviene da Blitz quotidiano.