Negli ultimi giorni, il CERT-AGID ha rilevato una serie di campagne di phishing e vishing che stanno mettendo a rischio i dati finanziari di molti cittadini italiani. I criminali informatici stanno sfruttando il nome, il logo e la grafica dell’Agenzia delle Entrate per indurre le vittime a rivelare informazioni sensibili sui loro cripto-asset e conti bancari.
Queste truffe si distinguono per la loro adattivitàin quanto il flusso di attacco si modifica dinamicamente in base alle risposte fornite dalla vittima. Una campagna specifica, individuata il 19 giugno 2026, combina tecniche di phishing e vishing in un modo particolarmente insidioso.
Il meccanismo della truffa: come funziona il flusso adattivo
La campagna rilevata dal CERT-AGID inizia con un modulo fraudolento che richiede inizialmente il codice fiscale e il numero di telefono cellulare della vittima. Questi dati fungono da identificatori per personalizzare l’attacco successivo. A questo punto, il modulo si biforca in base alla risposta della vittima.
Se la vittima dichiara di possedere cripto-assetil modulo richiede informazioni sul wallet o exchange utilizzato, la data dell’ultimo deposito e il valore stimato del portafoglio. Se invece risponde negativamente, il percorso si sposta verso dati bancari tradizionali, chiedendo l’istituto di credito e il saldo del conto corrente.
Dal modulo alla telefonata: l’escalation verso il vishing
Dopo che la vittima ha compilato e inviato il modulo, indipendentemente dal percorso scelto, il sistema presenta una schermata che simula un errore di sincronizzazione con i server dell’Agenzia delle Entrate. Il messaggio include una minaccia esplicita: avviso di accertamento e blocco cautelativo degli asset.
La schermata di errore presenta un numero di telefono per un presunto “Ufficio Verifiche di Milano“. È in questo momento che il phishing si trasforma in vishing. La vittima, spinta dall’urgenza e dalla paura di conseguenze fiscali, compone il numero e entra in contatto con operatori umani che proseguono la raccolta di dati sensibili.
Le azioni intraprese e come proteggersi
Il CERT-AGID ha richiesto la dismissione dei domini malevoli ai registrar competenti, ha informato l’Agenzia delle Entrate della problematica e ha condiviso gli indicatori di compromissione con gli enti accreditati al proprio feed. Tuttavia, queste azioni non equivalgono a una conferma di neutralizzazione della campagna.
Per i cittadini che ricevono comunicazioni a tema fiscale, la verifica del dominio è il primo filtro. Chi ha già inserito dati in un modulo sospetto deve considerare compromessi il codice fiscale e il numero di telefono forniti nel primo step. Il numero di telefono per l'”Ufficio Verifiche di Milano” va trattato come elemento di attacco, non come canale di assistenza.
Per le organizzazioni, il feed IoC del CERT-AGID è lo strumento di condivisione autorizzato. Gli enti accreditati ricevono indicatori di compromissione verificati dall’ente governativo. L’iscrizione al feed richiede accreditamento formale presso il CERT-AGID.
Questa campagna segnalata dal CERT-AGID rappresenta un’evoluzione tattica rilevante nel panorama del phishing italiano. L’ibridazione con il vishing attraverso un flusso adattivo riduce l’efficacia delle difese basate sul riconoscimento statico di template fraudolenti. La simulazione di errore tecnico come ponte verso il canale vocale aggiunge un livello di plausibilità che sfrutta la familiarità dei cittadini con i malfunzionamenti dei servizi pubblici digitali.
