Una nuova campagna di phishing sfrutta lo Spid per sottrarre dati e denaro. Le email imitano enti pubblici e portano a siti falsi.
Negli ultimi mesi l’attenzione sulla sicurezza digitale è tornata alta a causa di una nuova truffa dello Spid che sta colpendo migliaia di utenti italiani. La comunicazione istituzionale passa sempre più spesso attraverso strumenti online e questo rende lo Spid un bersaglio perfetto per i criminali informatici. La campagna segnalata dal Cert-AgID sfrutta l’autorevolezza di enti pubblici come il Ministero della Salute e il Sistema Tessera Sanitaria, utilizzando loghi e grafica ufficiale per rendere credibile il messaggio.
L’email arriva nella casella di posta con toni allarmistici e parla di una presunta scadenza o di un problema urgente legato ai propri dati. Il testo invita ad agire subito, facendo leva sulla paura di perdere l’accesso ai servizi pubblici digitali. È proprio questa urgenza apparente a spingere molte persone a cliccare senza riflettere.
Come funziona la truffa dello Spid
Il meccanismo è semplice ma estremamente efficace. L’utente riceve un messaggio che segnala un’irregolarità, spesso collegata alla tessera sanitaria o all’identità digitale. All’interno è presente un pulsante che promette di risolvere il problema in pochi secondi. Cliccando, si viene reindirizzati verso un sito che imita perfettamente un portale istituzionale.
Su questa pagina vengono richiesti dati personali come nome, cognome, data di nascita, indirizzo e recapiti. In alcune varianti della truffa compare anche una seconda schermata che simula la spedizione di una nuova tessera e chiede di inserire i dati della carta per coprire costi minimi. In realtà, ogni informazione fornita finisce direttamente nelle mani dei truffatori, che possono usarla per furti di identità, accessi fraudolenti e prelievi non autorizzati.
Truffa Spid, l’allarme delle autorità
Il Cert-AgID ha chiarito che nessun ente pubblico invia email con link per aggiornare lo Spid o rinnovare documenti. La Pubblica Amministrazione non chiede mai dati sensibili tramite posta elettronica. Questo principio è fondamentale per riconoscere subito un tentativo di phishing.
In caso di dubbio, l’unica strada sicura è accedere ai servizi digitando manualmente l’indirizzo ufficiale nel browser, senza usare collegamenti ricevuti via email. Chi ha già inserito dati personali o bancari deve agire immediatamente, contattando la propria banca per bloccare eventuali operazioni e presentando denuncia.
La sicurezza digitale oggi passa soprattutto dalla consapevolezza. Riconoscere una email falsa significa proteggere non solo il proprio Spid, ma anche la propria identità e i propri risparmi.
