1 Aprile 2026, di Teresa Barone – PMI.it
Una nuova ondata di phishing punta direttamente alle credenziali SPID dei contribuenti italiani. L’Agenzia delle Entrate ha emesso un avviso il 30 marzo 2026 per segnalare diverse campagne attive che sfruttano indebitamente i loghi ufficiali di AdE, SPID e AgID per indurre le vittime a inserire le proprie credenziali su pagine false. Non è la prima volta nel 2026: a metà marzo l’AdE aveva già segnalato una campagna di phishing basata su un bug dei filtri antispam, che aveva lo stesso obiettivo ma un meccanismo tecnico diverso. L’escalation è rapida e la platea dei potenziali colpiti è vastissima.
Come funziona la truffa del 30 marzo e la pagina falsa
Le email fraudolente contengono link che rimandano a domini costruiti per sembrare ufficiali — ad esempio https[://]agenziadelleentrate[.]live/ e hxxps[://]wp-dev[.]typhur[.]com/agenziaentrate/ — oppure moduli da compilare. Una volta cliccato, l’utente atterra su una pagina che riproduce graficamente l’interfaccia di accesso SPID con il logo AgID.
Il dettaglio più insidioso è che l’indirizzo email risulta già precompilato tramite personalizzazione del link: all’utente viene chiesta solo la password, abbassando ulteriormente la soglia di sospetto. Dopo l’invio, le credenziali raggiungono i truffatori e la vittima viene reindirizzata al vero sito dell’Agenzia delle Entrate-Riscossione, dove compare un errore simulato che imita un generico malfunzionamento del sistema.
Chi non è esperto attribuisce il mancato accesso a un problema tecnico, senza sospettare che le proprie credenziali siano già state sottratte.
Furto di credenziali SPID più grave di account email compromesse
Lo SPID non è una semplice password: è la chiave di accesso unica a una vasta rete di servizi pubblici digitali. Chi ottiene le credenziali SPID di un contribuente può accedere all’area riservata dell’Agenzia delle Entrate, consultare e modificare dati fiscali, visualizzare i rimborsi spettanti, accedere ai servizi INPS, alla sanità digitale, ai bonus attivi e alla fatturazione elettronica. Il danno spesso emerge a distanza di tempo, quando le operazioni illecite sono già consolidate.
L’Agenzia delle Entrate ricorda inoltre che le pubbliche amministrazioni non chiedono mai credenziali o password tramite email, e che i propri canali ufficiali sono raggiungibili esclusivamente tramite il sito istituzionale www.agenziaentrate.gov.it.
Come riconoscere i messaggi falsi e cosa fare subito
Gli elementi comuni a tutte le campagne in corso sono la presenza di loghi istituzionali, l’utilizzo di domini che richiamano l’AdE senza esserne (come il suffisso .live al posto di .gov.it), e la richiesta esplicita di inserire credenziali. Per non cadere nella trappola è sufficiente applicare alcune regole di base:
- cestinare immediatamente qualsiasi email che contenga link a pagine diverse dal dominio ufficiale agenziaentrate.gov.it, senza cliccare su nulla;
- non inserire mai credenziali SPID, CIE o CNS su pagine raggiunte tramite link ricevuti via email o SMS;
- in caso di dubbio, verificare la propria posizione accedendo direttamente al portale istituzionale digitando l’indirizzo nel browser;
- segnalare le email sospette all’indirizzo [email protected], contribuendo al monitoraggio delle campagne attive.
Per verificare la veridicità di una comunicazione ricevuta a nome dell’AdE, il punto di riferimento rimane la pagina “Focus sul phishing” del portale istituzionale, oppure i contatti ufficiali o l’Ufficio territorialmente competente.