“Ricevuto un sms che conferma l’appuntamento con il tecnico? Non si tratta dell’Agenzia delle Entrate, ma di una frode.”
Il cellulare vibra, sullo schermo appare un nome noto, e per un attimo la mente si distacca dalla realtà. È proprio in questo momento che si insinua la truffa. Il 1° aprile 2026, l’Agenzia delle Entrate ha segnalato nuove comunicazioni ingannevoli inviate tramite SMS, con messaggi che sembrano genuini poiché sfruttano la falsificazione del mittente attraverso la tecnica dello sms spoofing.
Il particolare più subdolo risiede qui: il telefono visualizza un mittente che appare legittimo e di conseguenza il cervello si rilassa. L’avviso pubblicato dall’Agenzia esorta a mantenere alta l’attenzione, soprattutto di fronte a messaggi inattesi, come ad esempio una conferma di un appuntamento mai fissato o una comunicazione che giunge fuori contesto. Il nome mostrato ha poca importanza, ciò che conta davvero è la richiesta che quel messaggio cerca di portare con sé.
BlurryBay
Inoltre, la questione si inserisce in un contesto già evidente. Nella sezione dedicata al phishing del sito istituzionale è presente anche un avviso del 30 marzo 2026 riguardante una campagna mirata al furto di credenziali SPID e un precedente allerta del 1° aprile 2025 sui tentativi basati sullo spoofing telefonico. In altre parole: il copione è in circolazione da un po’, cambia forma, cambia tono, ma rimane invariato nel bersaglio.
L’Agenzia raccomanda una verifica preventiva
L’indicazione ufficiale è molto chiara: effettuare una verifica preliminare sulla pagina “Focus sul phishing”, utilizzare i contatti presenti sul portale istituzionale oppure contattare l’ufficio territoriale competente. Nelle campagne simili analizzate dal CERT-AGID, il consiglio operativo rimane lo stesso: non cliccare sul link ricevuto, digitare manualmente l’indirizzo del sito ufficiale, controllare attentamente il dominio e utilizzare i canali diretti dell’ente. Gli enti pubblici, in queste circostanze, seguono percorsi ufficiali; i truffatori invece puntano sulla fretta.
Il passo successivo di solito si presenta con una pagina falsa creata per sembrare autentica. Nelle campagne di smishing esaminate dal CERT-AGID, i siti ingannevoli richiedono dati personali, IBAN, copie di documenti, tessera sanitaria, patente, buste paga, selfie e persino video di riconoscimento. Il cittadino osserva loghi, grafica ordinata, toni urgenti, e nel frattempo fornisce informazioni personali a sconosciuti con un’ottima abilità nella messinscena.
Chi ha già aperto il link deve agire immediatamente
Le conseguenze, in campagne simili, possono rivelarsi gravi: furto d’identità digitale, tentativi di attivazione di SPID a nome della vittima, modifiche dell’IBAN per deviare pagamenti, utilizzo dei documenti in ulteriori frodi. Per chi ha già inserito dati o documenti, il CERT-AGID suggerisce un percorso preciso: raccogliere il materiale utile, presentare denuncia alla Polizia Postale, effettuare una segnalazione online e monitorare con attenzione conti e accrediti nei mesi successivi.
È importante ricordare un fatto molto semplice. Il mittente ormai recita. Lo schermo può apparire rassicurante, il testo può sembrare credibile, il tono può imitare una comunicazione autentica. A quel punto, la difesa si riduce a un gesto quasi banale: chiudere l’SMS, respirare, accedere autonomamente al canale ufficiale. Tutto il resto assomiglia già a una trappola.
fonte: Agenzia delle Entrate
