Truffa dello SPID: L’INPS non invia SMS con link

Negli ultimi mesi si è registrato un preoccupante aumento delle truffe online. Il bersaglio? L’identità digitale, in particolare lo SPID. Il mezzo? SMS truffaldini che sembrano provenire dall’INPS ma che in realtà sono parte di sofisticate campagne di phishing, note come smishing. Per questo motivo l’INPS ha chiarito ufficialmente che non invia mai SMS contenenti link cliccabili. Una scelta precisa, adottata “al fine di garantire la sicurezza dei dati personali dei cittadini e la prevenzione di tentativi di phishing e frodi informatiche”. Vediamo di cosa si tratta e come correre ai ripari…

Come accennato, in questo periodo l’INPS ha segnalato un aumento dei tentativi di frode attraverso il meccanismo dello SPID, ma non è l’unico ente ad aver notato questo incremento degli attacchi. Anche il CERT-AGID, l’organismo che si occupa di sicurezza informatica nella Pubblica Amministrazione, ha riscontrato un netto aumento delle truffe che sfruttano il nome dell’INPS per rubare dati sensibili e creare identità digitali false.

Come funziona la truffa dello SPID

Il meccanismo su cui si basa questo tipo di truffa è tanto semplice quanto insidioso. Il cittadino riceve un SMS che sembra arrivare dall’INPS. I messaggi variano nei toni:

• Intimidatori: “Gentile utente, la sua dichiarazione dei redditi risulta mancante…”
• Urgenti: “Il tuo profilo INPS è scaduto, aggiorna i dati per evitare la sospensione…”

Lo scopo è sempre lo stesso: spingere l’utente a cliccare su un link che conduce a un sito falso, praticamente indistinguibile da quello reale dell’INPS. Grafica, loghi, colori: tutto è studiato per sembrare autentico.

Cosa viene chiesto?

Il finto sito, che replica fedelmente l’aspetto di quello ufficiale, ha lo scopo di raccogliere quanti più dati sensibili possibile. Il cittadino, spesso confuso dall’urgenza del messaggio, si trova di fronte a un modulo da compilare in cui vengono richieste informazioni molto dettagliate.

Tra i dati comunemente richiesti:

• Dati anagrafici completi: nome, cognome, indirizzo di residenza, codice fiscale.
• Coordinate bancarie: numero di conto e codice IBAN, che possono essere utilizzati per deviare pagamenti o commettere frodi finanziarie.
• Documenti d’identità: copia fronte/retro di carta d’identità, tessera sanitaria o patente.
• Prove di reddito: richieste di buste paga o certificazioni.
• Verifica biometrica: in alcuni casi viene richiesto di caricare un selfie con il documento in mano o un breve video in cui si muove la testa, utile per superare i controlli nei sistemi di riconoscimento automatici.

Una volta inseriti questi dati e cliccato sul pulsante “Conferma” o “Avanti”, i truffatori acquisiscono tutto il necessario per impersonare digitalmente la vittima.

Cosa fare se si è caduti nella trappola

Se ti accorgi di aver inserito i tuoi dati in un sito sospetto, non perdere tempo. Ogni minuto è prezioso per limitare i danni.

Agisci così:

1. Recati il prima possibile presso la Polizia Postale per sporgere denuncia. Porta con te:
   • Screenshot dell’SMS ricevuto;
   • Eventuali email o comunicazioni successive;
   • I documenti caricati sul sito truffaldino.
2. Effettua una segnalazione online sul portale della Polizia di Stato, all’indirizzo commissariatodips.it.
3. Controlla attentamente i tuoi conti correnti, in particolare quelli su cui ricevi pensioni, stipendi o altri emolumenti statali. Se noti modifiche nell’IBAN o mancate erogazioni, contatta subito il tuo istituto bancario e l’ente erogatore.
4. Blocca o revoca lo SPID, se hai il sospetto che possa essere stato attivato o modificato fraudolentemente.
5. Monitora nel tempo eventuali anomalie, ad esempio l’arrivo di comunicazioni su contratti non richiesti o iscrizioni a servizi mai attivati.

Come prevenire lo smishing

La prevenzione è la tua migliore difesa. Ecco alcune buone pratiche da seguire per evitare di cadere vittima di truffe:

• Diffida sempre di SMS che contengono link. Gli enti pubblici (come INPS, Agenzia delle Entrate, ecc.) non usano questo metodo per richiedere dati.
• Verifica sempre l’indirizzo web (URL): prima di inserire qualsiasi dato, controlla che il sito sia effettivamente www.inps.it. Attenzione a domini che sembrano simili ma non lo sono (es. inpps.it, lnps.it, inps-online.com).
• Non inserire mai dati personali, bancari o documenti su siti raggiunti tramite link ricevuti via SMS o email. Accedi sempre tramite la digitazione manuale dell’indirizzo ufficiale nel browser.
• Utilizza un antivirus aggiornato e un filtro anti-phishing, soprattutto se navighi da smartphone.
• Segnala tempestivamente qualsiasi SMS sospetto. Puoi:
  • Contattare il Contact Center INPS (803.164 da fisso, 06.164.164 da cellulare);
  • Inviare l’SMS sospetto a malware@cert-agid.gov.it;
  • Avvisare familiari e amici, soprattutto persone anziane, che possono essere più vulnerabili.

La consapevolezza è l’arma più efficace. Se hai anche il minimo dubbio, meglio fermarsi e verificare, piuttosto che fornire dati a occhi chiusi.

Conclusione

Il furto d’identità digitale non è un problema futuro: è già realtà, e riguarda tutti. Un semplice SMS può diventare la porta d’accesso a un’intera esistenza digitale. Serve consapevolezza, prudenza e — come sempre in ambito informatico — buon senso. Non abbassiamo la guardia. un po’ di sano scetticismo è alla base di una solida sicurezza online.