La digitalizzazione dei servizi bancari e fiscali ha reso le nostre vite più comode, ma ha spalancato le porte a una nuova generazione di criminali informatici. Negli ultimi mesi, le segnalazioni di truffe online sono esplose con una velocità allarmante, colpendo indiscriminatamente risparmiatori esperti e utenti convinti di sapersi destreggiare nel mondo digitale. Il fenomeno non accenna a rallentare, anzi: le tecniche si affinano, i dettagli si perfezionano, e la linea tra comunicazione autentica e inganno si assottiglia fino a diventare quasi invisibile. Due nuove campagne di phishing stanno mettendo in ginocchio la sicurezza finanziaria degli italiani. Entrambe sfruttano la credibilità di istituzioni che consideriamo intoccabili: l’Agenzia delle Entrate e la Banca d’Italia. I truffatori hanno capito che il modo più efficace per abbassare le difese delle persone è vestirsi con i panni dell’autorità. E funziona, maledettamente bene.
Il phishing, quella tecnica che simula comunicazioni ufficiali per carpire informazioni sensibili, è ancora oggi l’arma più affilata nell’arsenale dei cybercriminali. Ma quello che rende queste nuove truffe particolarmente pericolose è la cura maniacale dei dettagli: domini web quasi identici a quelli originali, grafiche perfettamente replicate, procedure che sembrano legittime in ogni passaggio. Basta un clic distratto, un modulo compilato in fretta, un codice OTP inserito senza riflettere, e i tuoi fondi evaporano. La prima truffa gioca sulla paura di non essere in regola con il fisco, un timore profondamente radicato nella psiche degli italiani. Arriva un’email che sembra provenire dall’Agenzia delle Entrate, con un indirizzo mittente costruito per ingannare anche l’occhio più attento. Il messaggio è chiaro e imperativo: devi compilare una dichiarazione obbligatoria sulle tue operazioni in criptovalute. Se possiedi Bitcoin, Ethereum o qualsiasi altro asset digitale, il messaggio ti mette immediatamente in allerta.
Cliccando sul link, ti ritrovi su un sito che replica in modo quasi perfetto l’interfaccia dell’Agenzia delle Entrate. Ogni elemento è al suo posto: loghi, colori, persino il linguaggio burocratico suona autentico. Ti viene chiesto di inserire dati personali sempre più dettagliati: nome, cognome, codice fiscale, indirizzo. Poi arrivano le richieste più invasive: screenshot del tuo wallet, provenienza dei fondi, dettagli sulle transazioni effettuate. Il culmine della truffa arriva quando compare l’invito a “importare le transazioni” tramite reti blockchain come Solana o Ethereum, oppure a collegare direttamente il tuo portafoglio digitale. Se accetti, senza rendertene conto stai consegnando ai criminali le chiavi di accesso al tuo wallet. In pochi istanti, le tue criptovalute vengono trasferite e svaniscono nel nulla, impossibili da recuperare per la natura stessa della tecnologia blockchain. È fondamentale sottolinearlo: l’Agenzia delle Entrate non richiede mai queste procedure. La dichiarazione delle plusvalenze su criptovalute avviene esclusivamente attraverso i modelli fiscali ufficiali, come il Quadro RW del modello Redditi. Nessuna email, nessun link esterno, nessuna richiesta di collegare wallet. Mai.
La seconda campagna prende di mira i conti correnti tradizionali, quelli su cui la maggior parte degli italiani tiene i risparmi di una vita. Anche qui, l’email sembra provenire da un mittente affidabile e invita ad aggiornare i dati personali per adeguarsi alla normativa antiriciclaggio. Il tema è perfetto: chi non ha sentito parlare delle nuove regole europee contro il riciclaggio di denaro? La preoccupazione scatta automatica. Il link porta a una pagina dove campeggiano i loghi della Banca d’Italia e di diversi istituti bancari italiani. L’effetto è potente: la presenza del simbolo della banca centrale conferisce un’aura di ufficialità che disarma anche gli utenti più scettici. Selezioni il logo della tua banca, e inizia un percorso che sembra una normale procedura di aggiornamento dati.
Ti vengono richiesti nome, cognome, numero di telefono, indirizzo email. Poi arriva la richiesta cruciale: le credenziali di accesso al tuo conto corrente online. Username e password. Per rendere tutto ancora più credibile, il sistema ti chiede di inserire il codice OTP che ricevi via SMS, quella stringa numerica che le banche usano per confermare le operazioni sensibili. A quel punto, i truffatori hanno tutto ciò che serve per accedere al tuo conto e svuotarlo prima che tu possa accorgertene. Cosa accomuna queste due truffe? Entrambe sfruttano due leve psicologiche potentissime: la fretta e la paura. La fretta di mettersi in regola, di non incorrere in sanzioni, di risolvere un problema che sembra urgente. La paura di perdere denaro, di finire nei guai con il fisco, di non essere conformi alle normative. In questo stato emotivo alterato, le nostre difese cognitive si abbassano e diventiamo vulnerabili.
Come difendersi? La regola d’oro è semplice ma richiede disciplina: prima di cliccare su qualunque link ricevuto via email o SMS, fermarsi. Verificare il mittente guardando con attenzione l’indirizzo email completo, non solo il nome visualizzato. Controllare il dominio del sito web: spesso i truffatori usano varianti quasi identiche a quelle originali, cambiando una lettera o aggiungendo un trattino. Digitare manualmente l’indirizzo del sito ufficiale invece di seguire link. Quando hai dubbi, contatta direttamente l’ente o la banca tramite i canali ufficiali: numero verde, sportello fisico, app ufficiale. Non rispondere mai all’email sospetta e non chiamare eventuali numeri di telefono indicati nel messaggio. Nessuna banca, nessuna istituzione pubblica ti chiederà mai di inviare credenziali, password o codici OTP via email. Se qualcuno te lo chiede, è una truffa. Sempre.
