“Accedi subito allo SPID”: come i falsi avvisi dell’Agenzia delle Entrate provano a rubarti l’identità digitale

Immagina di essere in treno, tra una fermata e l’altra. Una notifica vibra sullo smartphone: “Gentile utente, per continuare ad accedere ai servizi dell’Agenzia delle Entrate è necessario aggiornare le credenziali SPID. Accedi subito.” Il mittente sembra credibile, i loghi sono al loro posto, il tono è urgente ma istituzionale. Clicchi. Ti si apre una pagina perfettamente familiare, con il pulsante di login via SPID e — dettaglio rassicurante — la tua email appare già compilata. Ti chiedono solo la password. A quel punto, in meno di 30 secondi, potresti aver consegnato la tua identità digitale a chi l’ha costruita con pazienza: un clone, curato nei minimi particolari, dell’ente fiscale. È lo schema della nuova ondata di phishing individuata dal CERT‑AgID il 20 gennaio 2026: email esca, link a un sito creato ad hoc, form di accesso contraffatto che richiede la sola password SPID, con l’indirizzo già precompilato per aumentare l’effetto di autenticità.

Il perimetro dell’allarme: cosa sta succedendo

Secondo l’avviso del CERT‑AgID, i truffatori “sfruttano il logo” dell’Agenzia delle Entrate e veicolano comunicazioni ingannevoli che invitano ad accedere all’area riservata tramite un link che rimanda a una pagina di raccolta credenziali. La schermata di login finge un accesso SPID e chiede la sola password: l’email della vittima è precompilata perché ricavata dal link personalizzato.

L’allerta risuona anche sui media e nelle pagine informative di settore: negli ultimi giorni diverse testate hanno riportato l’avviso dell’Agenzia e i dettagli operativi della truffa, compresa la prassi del reindirizzamento a siti “gemelli” di quello istituzionale.

Siamo davanti a un’evoluzione di un fenomeno già visto: nel tempo i criminal hacker hanno usato vari pretesti — presunti rimborsi, notifiche amministrative, “codici atto” inventati, documenti da scaricare — sempre con lo stesso obiettivo: rubare credenziali e dati. Anche la pubblicazione ufficiale dell’Agenzia delle Entrate, FiscoOggi, ha più volte elencato segnali ricorrenti: errori di ortografia, minacce di sanzioni, senso di urgenza, link esterni verso domini non istituzionali.

Perché lo SPID è nel mirino: una “chiave universale”

Lo SPID è la “chiave” con cui accediamo non solo ai servizi pubblici, ma anche a numerosi servizi privati che richiedono un’autenticazione forte: da sanità e previdenza a pratiche fiscali, pagamenti e anagrafe digitale. Per i criminali, impossessarsi di un’identità SPID significa potenzialmente aprire varchi su più fronti. L’Agenzia per l’Italia Digitale ricorda che SPID è il Sistema Pubblico di Identità Digitale: un insieme di credenziali rilasciate da gestori accreditati, con regole tecniche e organizzative stringenti fissate dalle Linee guida AgID.

1. I livelli di sicurezza sono tre:
2. Livello 1: nome utente e password.
3. Livello 2: password + una seconda verifica (es. codice OTP o approvazione da app).
4. Livello 3: fattore fisico ad alta sicurezza (es. CIE con PIN, smart card).È importante ricordare che non tutti i gestori SPID supportano il livello 3, e che molti servizi della PA richiedono almeno il livello 2.

Il valore di un’identità SPID rubata è dunque elevatissimo: consente accesso a dati sensibili, pratiche delicate, potenziali movimenti finanziari. Per questo il phishing “a tema SPID” è diventato uno dei bersagli privilegiati nelle campagne che imitano la comunicazione delle istituzioni.

Dentro la trappola: com’è costruita l’email (e la pagina fake)

Gli elementi ricorrenti nelle campagne osservate in questi mesi:

1. Loghi istituzionali di Agenzia delle Entrate e talvolta persino del “Governo Italiano”, impaginati in modo convincente.
2. Oggetto e testo che evocano urgenza: “Aggiorna subito lo SPID”, “Avviso importante”, “Irregolarità riscontrate”, “Rimborso disponibile di 500 euro”.
3. Link che non punta al dominio ufficiale ma a un indirizzo “mimetico” (talvolta typosquatting) o a un dominio di fresca registrazione, per poi reindirizzare alla landing clonata.
4. Pagina di login che replica l’interfaccia: in alcuni casi chiede soltanto la password SPID, mostrando l’email già compilata per simulare un flusso “single click” e convincere l’utente a completare l’operazione.

La stessa tecnica — convincere la vittima a un gesto minimo ma decisivo — è emersa in campagne parallele che usavano la scusa del “rimborso” o la minaccia di “notifiche amministrative” con “codici atto” inventati. L’Agenzia ha ribadito che non invia link per inserire credenziali o dati bancari e invita sempre a verificare la sezione “Focus sul phishing” del portale istituzionale.

Il contesto: l’Italia resta un bersaglio “caldo”

Il fenomeno non va letto come un episodio isolato: il Rapporto Clusit 2025 (che analizza il 2024) segnala 3.541 incidenti cyber gravi a livello globale, in crescita del 27,4% sull’anno precedente, con una media di 295 al mese. L’Italia continua a figurare tra i Paesi più colpiti, con un aumento degli episodi e impatti “gravi o gravissimi” nel 79% dei casi.

Sebbene le statistiche Clusit non segmentino il sottoinsieme “furti di identità SPID”, la pressione delle campagne che sfruttano brand istituzionali, e in particolare Agenzia delle Entrate, è attestata costantemente da CERT‑AgID, FiscoOggi e dalle principali testate che riportano gli avvisi. Il phishing rimane il vettore più “democratico”: pochi costi, alta scalabilità, ritorni significativi quando intercetta credenziali “pregiate” come quelle SPID.