Truffa dello Spid, un falso sms dell’Inps per duplicare l'identità digitale. Cosa sapere
Economia
NEWS
Truffe agli anziani, maxi operazione della polizia contro una rete criminale
00:01:46 min
Introduzione
L’11 aprile l’Istituto di previdenza ha diffuso un messaggio per mettere in guardia cittadini e cittadine sulle frodi informatiche. Sempre più spesso ultimamente infatti i truffatori inviano un SMS agli utenti facendo apparire come mittente l’Inps stesso. La comunicazione invita a cliccare su un link per aggiornare i propri dati: il sito su cui si viene reindirizzati è una copia di quello ufficiale, ma non è autentico. A questo punto viene chiesto di inserire informazioni personali sensibili come dati anagrafici, codice fiscale, Iban, copia di documenti, un selfie o un video. Con il materiale raccolto viene creato un falso Spid, poi usato per compiere illeciti. È la cosiddetta truffa del secondo Spid, popolare soprattutto in questi giorni perché si avvicina il periodo in cui si presenta il 730.
Quello che devi sapere
I falsi domini Inps
- Una nota della Cert-AgID, la struttura dell’Agenzia per l’Italia digitale che si occupa di sicurezza informatica nella pubblica amministrazione, ha messo in luce che le campagne di smishing (cioè truffe via sms) a tema Inps sono diffuse. Negli ultimi cinque anni le attività fraudolente si sono intensificate in modo significativo e, solo nei primi tre mesi del 2025, sono stati individuati 33 falsi domini Inps creati appositamente per sottrarre documenti di identità alle vittime.
Per approfondire: Truffe, allerta dell'Asl per gli sms che invitano i cittadini a contattare gli uffici Usi
Come si usano i dati rubati
- I dati rubati possono essere utilizzati per diverse attività illecite, principalmente per il furto d’identità digitale (SPID) o per la vendita dei documenti nel dark web. Proprio riguardo a quest’ultima attività, il CERT-AGID ha rilevato la vendita online di documenti di cittadini italiani, completi di selfie, su un noto forum del deep web. L’annuncio descrive in modo esplicito il contenuto del pacchetto in vendita: documenti di identità con selfie e copie fronte-retro dei documenti. A supporto, vengono forniti tre link a immagini che mostrano cittadini italiani con il proprio documento di identità accanto al volto. Il tutto corrisponde esattamente alle richieste di documenti avanzate dai falsi siti che si spacciano per quello di Inps, promettendo un rimborso economico inesistente
I messaggi Inps veri non hanno link cliccabili
- “L'Inps, al fine di garantire la sicurezza dei dati personali dei cittadini e la prevenzione di tentativi di phishing e frodi informatiche, informa che le notifiche ufficiali dell’Istituto inviate tramite SMS, relative agli esiti di lavorazione delle pratiche o ai pagamenti, non contengono mai link cliccabili”, si legge nel messaggio dell’istituto. “Gli SMS inviati hanno esclusivamente una funzione informativa, per segnalare la presenza di nuove comunicazioni disponibili per la consultazione. Questi messaggi non contengono mai alcun collegamento ipertestuale attivo”
L’area riservata MyInps
- “Per accedere alle informazioni dettagliate riguardanti le proprie pratiche e i pagamenti, l'Inps invita sempre gli utenti a utilizzare l'area riservata MyINPS. L'accesso a questa sezione protetta è possibile esclusivamente tramite autenticazione con le proprie credenziali SPID o CIE, garantendo un elevato livello di sicurezza”
Diffidare da SMS con link cliccabili
- “Accedendo direttamente alla propria area riservata, i cittadini possono visualizzare in modo sicuro tutte le comunicazioni relative alle loro domande e ai loro pagamenti, evitando così il rischio di cliccare su link potenzialmente dannosi presenti in SMS fraudolenti. All'interno della sezione MyINPS", prosegue il messaggio dell’Istituto, "gli utenti troveranno informazioni complete e dettagliate sugli esiti delle loro richieste, garantendo trasparenza e facilità di consultazione. L'Inps raccomanda di diffidare da qualsiasi SMS che contenga link cliccabili e che si presenti come proveniente dall'Istituto, invitando sempre ad accedere alla propria area riservata tramite SPID o CIE per una consultazione sicura”
Cos’è lo smishing
- Lo “smishing” è una forma di truffa online che utilizza messaggi SMS (da cui “SMS phishing” o, in breve, “smishing”) per ingannare gli utenti. In questo caso, come visto, i truffatori inviano SMS facendo credere alle vittime di aver ricevuto comunicazioni ufficiali dall’Inps, solitamente con la promessa di benefici o, più di recente, con toni intimidatori
Cosa fare in caso di truffa
Chi teme di essere stato truffato può svolgere questi passaggi, suggeriti da Cert-Agid:
- Sporgere denuncia alla Polizia Postale per furto di dati personali recandosi al più presto presso un ufficio territoriale della Polizia Postale. È bene portare con se tutta la documentazione utile (SMS ricevuto, documenti forniti, ecc.)
- Segnalazione online alla Polizia Postale: oltre alla denuncia formale, è possibile effettuare una segnalazione online tramite il servizio messo a disposizione dalla Polizia di Stato
- Monitorare i conti correnti bancari: controllare attentamente, nei mesi successivi alla truffa, i conti bancari sui quali si ricevono erogazioni statali, in modo da individuare precocemente la mancata ricezione degli emolumenti di cui si ha diritto (assegno pensionistico, stipendio statale, etc.), sincerandosi quindi che l’IBAN di ricezione non sia stato modificato senza consenso
La guida per difendersi
- Per aumentare la consapevolezza sull’argomento e rispondere ai numerosi quesiti degli utenti, il CERT-AGID ha realizzato una guida che spiega nel dettaglio come riconoscere i segnali della truffa e come agire se si è vittime di questo genere di frode.
Per approfondire: Deepfake online, così la maxi truffa da 33 milioni ha colpito pensionati e imprenditori