Messaggi apparentemente ufficiali segnalano debiti inesistenti e allegati pericolosi: come riconoscerli.
Negli ultimi giorni si è intensificata la circolazione di email fraudolente che fingono di provenire dall’Agenzia delle Entrate. Il messaggio è ben confezionato, usa il logo corretto, il linguaggio è quasi identico a quello degli uffici tributari, e il mittente sembra ufficiale. Nella casella di posta di molti cittadini sta arrivando una finta comunicazione di addebito o presunto avviso bonario, con tanto di link o file allegato. Aprirlo è il primo passo per compromettere il proprio dispositivo o fornire dati sensibili ai criminali informatici.
A segnalare l’ondata di phishing è stata la stessa Agenzia, che in una nota pubblicata il 6 settembre ha chiarito che non invia mai comunicazioni con allegati eseguibili o link cliccabili. Chi riceve una mail con oggetto simile, soprattutto se contiene minacce di pignoramenti o accertamenti urgenti, deve sospettare subito. Il rischio è quello di scaricare un malware capace di sottrarre dati bancari, accedere a documenti sensibili o installare trojan che restano nascosti nei sistemi per mesi.
I messaggi truffaldini non riguardano solo privati cittadini: anche studi commerciali, liberi professionisti e piccole aziende sono tra gli obiettivi. I criminali mirano in particolare ai soggetti che interagiscono frequentemente con il Fisco, nella speranza che la familiarità con la terminologia li porti a cliccare senza verificare l’autenticità del messaggio.
Come agisce la truffa e quali segnali devono allarmare
Il meccanismo della truffa è ormai collaudato. L’utente riceve una finta PEC o una normale email con oggetto allarmante: “Avviso di addebito”, “Comunicazione urgente”, “Sollecito di pagamento Agenzia delle Entrate”. Il corpo del messaggio è studiato per creare ansia: si parla di somme da versare immediatamente, di conseguenze legali, di accertamenti in corso. Ma il cuore dell’inganno è sempre nello zip allegato o nel link interno, spesso nascosto dietro un testo apparentemente innocuo.
Chi apre l’allegato o clicca sul collegamento finisce su un sito clone, identico nella grafica al portale ufficiale dell’Agenzia. A quel punto viene invitato a inserire credenziali SPID, dati fiscali o coordinate bancarie. In alcuni casi, il file scaricato installa un programma invisibile che monitora l’attività del computer, rubando informazioni o cifrando i file per chiedere un riscatto (ransomware). I messaggi non provengono da indirizzi dell’Agenzia: si tratta di domini falsi che simulano quelli reali, con piccole variazioni che passano inosservate a un occhio poco attento. Ad esempio, si può ricevere una mail da “agenziaentrate.gov-it.com” o “info@entrate-agenzia.net
Il fenomeno non è nuovo, ma ha assunto proporzioni rilevanti dopo l’introduzione massiccia delle comunicazioni digitali nella Pubblica Amministrazione. Proprio per questo, l’Agenzia invita a non fidarsi mai di allegati inaspettati, anche se il mittente sembra legittimo, e a verificare ogni comunicazione accedendo direttamente al cassetto fiscale personale tramite SPID o CNS.
Le istruzioni dell’Agenzia delle Entrate e cosa fare in caso di sospetto
L’Agenzia ha pubblicato un vademecum per riconoscere i tentativi di truffa e agire correttamente. Il primo consiglio è non aprire allegati con estensione .zip, .exe o .rar, né cliccare su link ricevuti per email, anche se firmati con nomi di funzionari reali. In caso di dubbio, è sempre meglio consultare il proprio consulente fiscale o accedere al portale ufficiale www.agenziaentrate.gov.it Chi ha già aperto l’allegato o inserito i dati su un sito sospetto deve intervenire subito. La Polizia Postale invita a segnalare l’accaduto sul portale www.commissariatodips.it
Secondo gli esperti, questi attacchi sono sempre più sofisticati perché sfruttano tecniche di ingegneria sociale, puntando sulla paura di multe e sanzioni per indurre la vittima a reagire d’impulso. Non a caso, molte email arrivano proprio nei momenti in cui l’Agenzia delle Entrate sta davvero inviando comunicazioni ufficiali, rendendo più difficile distinguere quelle vere da quelle false.
Per limitare i danni, l’Agenzia ribadisce che non invia richieste di pagamento via email, e che ogni comunicazione ufficiale passa per i canali certificati: PEC, area riservata sul portale o raccomandata. Anche gli avvisi bonari o gli accertamenti esecutivi vengono caricati nel cassetto fiscale, mai trasmessi tramite file zip o link diretti.
Chi riceve una mail sospetta dovrebbe ignorare il messaggio, segnalarlo e cancellarlo. E chi ha dei dubbi, dovrebbe sempre fare riferimento ai contatti ufficiali dell’Agenzia o chiedere supporto a un professionista abilitato. Le truffe digitali, oggi, sono meno riconoscibili di un tempo. Ma con le giuste precauzioni, si possono evitare.
