Negli ultimi mesi è circolata una truffa via email che imita le comunicazioni ufficiali dell’Agenzia delle Entrate (ora Agenzia delle Entrate-Riscossione). Il messaggio truffaldino recita, in genere, una formula simile a:
“Gentile contribuente, Agenzia delle Entrate-Riscossione La informa che è disponibile una nuova notifica per [indirizzo email] con le seguenti informazioni: Ente emittente: Agenzia delle Entrate … Protocollo n.: AR2057EITSQ. Può accedere alla notifica su https://www.agenziaentrateriscossione.gov.it/it/, disponibile per 24 ore. Le forniamo il link diretto alla notifica. … La comunicazione sarà comunque spedita in forma cartacea inviando una raccomandata semplice.”
L’obiettivo è indurre il destinatario a cliccare su un link malevolo o a fornire dati sensibili (dati personali, credenziali, dati bancari) oppure a scaricare allegati contenenti malware.
Segnali d’allarme (come riconoscerla)
- Link che sembrano ufficiali ma reindirizzano a siti falsi o a domini simili ma non identici.
- Messaggi che richiedono azione urgente (“disponibile per 24 ore”) per creare panico.
- Errori di forma, grammatica o punteggiatura; frasi goffe o traduzioni imprecise.
- Mittente che non corrisponde al dominio ufficiale dell’ente o indirizzo PEC non valido.
- Richieste di dati personali, accesso a portali tramite credenziali, o di pagare somme immediatamente.
- Allegati inattesi o file eseguibili (.exe, .scr, .bat) o documenti Office con macro.
Come verificarne l’autenticità
- Non cliccare sul link presente nell’email. Aprire un browser e digitare manualmente l’indirizzo ufficiale dell’Agenzia delle Entrate (controllare che sia il dominio esatto e che la connessione sia sicura – https).
- Confrontare il mittente con gli indirizzi ufficiali pubblicati sul sito istituzionale.
- Verificare sul portale dell’ente (digitando l’indirizzo manualmente) se esistono notifiche o comunicazioni a tuo nome.
- Controllare eventuali raccomandate cartacee: gli enti pubblici che inviano avvisi importanti spesso usano più canali.
- Contattare direttamente l’ente tramite i numeri ufficiali presenti sul sito istituzionale per confermare la comunicazione.
Cosa fare se hai cliccato sul link o fornito dati
- Se hai inserito credenziali: cambia immediatamente la password del servizio interessato e, se usi la stessa password altrove, cambiala ovunque.
- Abilita l’autenticazione a due fattori (2FA) sui servizi che la supportano.
- Se hai fornito dati bancari o numeri di carta: contatta la banca e segnala il rischio di frode; valuta di bloccare la carta o richiederne una nuova.
- Se hai scaricato un file o sospetti di aver installato malware: scollega il dispositivo dalla rete, esegui una scansione completa con un antivirus aggiornato e, se necessario, rivolgiti a un tecnico.
- Conserva l’email e ogni prova (intestazioni, link) per eventuali segnalazioni alle autorità competenti.
Segnalare la truffa
- Segnala l’email come phishing al provider di posta (opzione “segnala phishing”).
- In Italia, puoi segnalare tentativi di truffa informatica alla Polizia Postale (Commissariato di PS online) e, se coinvolte truffe fiscali false, all’Agenzia delle Entrate stessa tramite i canali ufficiali.
- Invia la mail sospetta anche al tuo istituto bancario se hai fornito dati finanziari.
Consigli pratici di prevenzione
- Non cliccare su link in email sospette; digita sempre manualmente gli indirizzi dei siti istituzionali.
- Usa password uniche per ogni servizio e un gestore di password.
- Attiva l’autenticazione a due fattori.
- Mantieni sistema operativo, browser e antivirus aggiornati.
- Diffida di messaggi che generano urgenza o minacce; prendi tempo per verificare.
- Se ricevi notifiche via email relative a procedure amministrative importanti, verifica sempre anche la corrispondenza cartacea: enti pubblici spesso inviano raccomandate per atti formali.
Esempio pratico: come controllare un link sospetto
- Passa il puntatore sul link (senza cliccare) per vedere l’URL reale.
- Se l’URL differisce anche leggermente dal dominio ufficiale (ad es. agenziariscossione[.]it vs. agenziaentrateriscossione[.]gov[.]it), non cliccare.
- Apri una nuova finestra del browser e digita manualmente l’indirizzo ufficiale dell’Agenzia delle Entrate per controllare eventuali comunicazioni.
Conclusione
Questa truffa sfrutta l’aspetto ufficiale e il timore di sanzioni per indurre azioni impulsive. Restare prudenti, verificare sempre i mittenti e usare canali ufficiali sono le difese più efficaci. Se sospetti di essere vittima, agisci rapidamente per tutelare account e denaro e segnala l’accaduto alle autorità.