Una nuova campagna di phishing sta mettendo nel mirino i cittadini italiani con un inganno tanto semplice quanto efficace: una finta comunicazione di scadenza della tessera sanitaria. L’allarme arriva dal CERT-AGID, il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, che monitora costantemente le minacce informatiche rivolte sia alla Pubblica Amministrazione che ai privati cittadini. La truffa è attualmente attiva e sfrutta un meccanismo classico ma sempre pericoloso. Le vittime ricevono un’email che appare ufficiale, con loghi del Ministero della Salute, riferimenti al Sistema Tessera Sanitaria o al Servizio Sanitario Nazionale. Il messaggio è costruito per generare ansia immediata: la tessera starebbe per scadere e, senza un intervento urgente, si rischierebbero disservizi nell’accesso alle cure.
Il testo dell’email contiene un pulsante o un link con diciture come Rinnova ora la tua tessera o Aggiorna i tuoi dati. Chi clicca viene reindirizzato verso una pagina web malevola che replica fedelmente l’aspetto delle piattaforme istituzionali. Qui compare un modulo che richiede l’inserimento di numerosi dati personali: nome, cognome, data di nascita, indirizzo di residenza, numero di telefono ed email. Il CERT-AGID ha già identificato e segnalato il dominio utilizzato nella campagna: latesserasanitaria.com. Secondo le analisi tecniche, il sito è stato registrato il 7 gennaio su un servizio europeo, ma risulta fisicamente ospitato in Pakistan, con un indirizzo IP venduto da un fornitore canadese. Questa struttura geografica frammentata è una tattica deliberata: rende più lento e complesso l’oscuramento del sito, permettendo ai truffatori di colpire il maggior numero possibile di vittime prima che le autorità riescano a intervenire efficacemente.
La truffa gioca su due leve psicologiche potenti. La prima è l’urgenza: il messaggio fa credere che sia necessario agire subito per evitare conseguenze negative. La seconda è l’autorevolezza: l’uso sapiente di loghi, terminologia tecnica e riferimenti a enti pubblici reali induce le persone a fidarsi del contenuto, abbassando le difese naturali contro le comunicazioni sospette. Eppure c’è un elemento decisivo che smonta completamente la credibilità di queste email. La tessera sanitaria ha una validità di sei anni e, in prossimità della scadenza, viene inviata automaticamente dall’Agenzia delle Entrate a tutti i cittadini aventi diritto all’assistenza sanitaria. Non esiste alcun processo di rinnovo tramite email o link, né viene mai richiesto l’inserimento di dati personali attraverso pagine raggiunte da messaggi non sollecitati. Nel caso di smarrimento o furto, la richiesta di duplicato va effettuata esclusivamente attraverso i canali ufficiali dell’Agenzia delle Entrate.
I dati raccolti dai truffatori non vengono semplicemente cestinati dopo l’inganno. Possono essere rivenduti nel dark web, utilizzati per clonare documenti, orchestrare furti d’identità, effettuare il cosiddetto SIM swap (sostituzione fraudolenta della scheda telefonica) o alimentare nuove campagne di phishing ancora più mirate e personalizzate. In sostanza, cadere in questa trappola significa aprire la porta a una cascata di possibili frodi successive. Come difendersi allora? Gli esperti di sicurezza informatica forniscono alcune raccomandazioni fondamentali. Prima di tutto, non cliccare mai sui link contenuti in email che invitano a rinnovare la tessera sanitaria. Qualsiasi messaggio di questo tipo va considerato sospetto per definizione. Secondo: verificare sempre il dominio del sito. Anche se il testo cita Ministeri o il Servizio Sanitario Nazionale, ciò che conta davvero è l’indirizzo effettivo della pagina web.
Per controllare la scadenza della propria tessera sanitaria bisogna utilizzare esclusivamente fonti ufficiali, mai i link proposti dall’email ricevuta. Non va mai inserito alcun dato personale su pagine aperte tramite collegamenti ricevuti via mail. Informazioni apparentemente innocue come la data di nascita, l’indirizzo di residenza o il numero di telefono possono diventare armi nelle mani dei criminali informatici. Un’altra misura importante riguarda la protezione degli accessi digitali. Attivare l’autenticazione a due fattori, dove possibile, rappresenta una barriera aggiuntiva fondamentale. Questo vale soprattutto per la casella email, che costituisce spesso il primo obiettivo dei truffatori: conquistare l’accesso alla posta elettronica di una persona significa poter reimpostare password di altri servizi, intercettare comunicazioni sensibili e impersonare la vittima.
Cosa fare se si sospetta di essere caduti nella trappola? Innanzitutto chiudere immediatamente la pagina senza completare ulteriori passaggi. Poi cambiare subito la password della propria email e di tutti i servizi online in cui si è riutilizzata la stessa credenziale, una pratica purtroppo ancora molto diffusa ma estremamente rischiosa. È utile conservare screenshot e indirizzi web della pagina fraudolenta come documentazione. Infine, va valutata la possibilità di presentare una segnalazione formale alla Polizia Postale, che si occupa specificamente di crimini informatici. Il CERT-AGID ha comunicato di aver informato tempestivamente il Ministero della Salute e le strutture di sicurezza del Ministero dell’Economia e delle Finanze, chiedendo la dismissione immediata del dominio fraudolento. Gli indicatori tecnici di compromissione sono stati diffusi a tutte le organizzazioni accreditate per permettere un monitoraggio più capillare della minaccia.
Questa vicenda riporta l’attenzione su un tema cruciale: la prudenza digitale resta la prima e più efficace linea di difesa contro le truffe online. Diffidare delle comunicazioni allarmistiche, non farsi prendere dalla fretta indotta da messaggi che creano false urgenze, verificare sempre dalle fonti ufficiali prima di compiere qualsiasi azione. Sono gesti semplici, che richiedono pochi secondi in più, ma possono fare la differenza tra la sicurezza dei propri dati e il danno di una truffa che può avere conseguenze anche gravi e prolungate nel tempo. La tessera sanitaria continuerà ad arrivare per posta quando necessario. Nessuna email, per quanto credibile possa sembrare, potrà mai sostituire questo processo. Ricordarlo può sembrare banale, ma in un’epoca di sovraccarico informativo e notifiche continue, tenere a mente questo semplice principio può proteggerci da chi sfrutta proprio la nostra distrazione quotidiana per colpire.
