È stata segnalata una truffa che si basa sull’invio di false e-mail a nome dell’Agenzia delle Entrate e di AgID per rubare credenziali di posta elettronica.
Al riguardo, il 19 marzo scorso, l’Agenzia delle Entrate ha diramato un avviso con cui spiega come il messaggio galeotto venga correttamente intercettato e classificato come spam solo per i primi tre recapiti. Dal quarto invio in poi, lo stesso messaggio riesce a superare i controlli e a collocarsi nella casella principale del destinatario.
L’email fraudolenta ha una formattazione curata e un linguaggio verosimile che la rendono convincente per un utente non esperto. Il segnale di riconoscimento più affidabile è l’indirizzo completo del mittente: il nome visualizzato — il cosiddetto display name — può sembrare legittimo, ma l’indirizzo reale associato appartiene al dominio @propiski.com, che non ha alcun legame con l’Agenzia delle Entrate né con AgID.Anche il link nel corpo del messaggio si riferisce a siti esterni come sushicool.net, del tutto estranei alle due istituzioni.
Cliccando sul link, la vittima viene reindirizzata su una falsa pagina di accesso che riporta il logo di AgID e richiama visivamente l’interfaccia SPID. Inserendo le credenziali di posta elettronica, i dati vengono trasmessi direttamente ai truffatori. Per mascherare l’avvenuto furto e non insospettire la vittima, il sistema reindirizza poi automaticamente al vero sito dell’Agenzia delle Entrate-Riscossione (AdER), simulando un generico errore tecnico. Chi non è esperto attribuisce il mancato accesso a un normale malfunzionamento del portale, senza sospettare che le proprie credenziali siano già state sottratte.
L’Agenzia delle Entrate raccomanda di cestinare immediatamente questi messaggi senza cliccare su alcun link e senza inserire credenziali in nessuna pagina raggiunta tramite e-mail.
La regola pratica più efficace è verificare sempre l’indirizzo completo del mittente, non solo il nome visualizzato: qualsiasi dominio diverso da agenziaentrate.gov.it è un segnale di allarme. In caso di dubbi sull’autenticità di una comunicazione, l’Agenzia invita a consultare la sezione “Focus sul phishing” del portale istituzionale agenziaentrate.gov.it, oppure a rivolgersi direttamente all’Ufficio territorialmente competente.
