CERT-AGID
Computer Emergency Response Team
AGID

Agenzia per
l'Italia Digitale

Seguici su

Menu

Menu di navigazione

Smishing a tema INPS: come comportarsi in caso di furto dei dati

10/03/2025

inps phishing SPID

Negli ultimi mesi il CERT-AGID ha riscontrato un notevole incremento nelle truffe che sfruttano il nome dell’Istituto Nazionale della Previdenza Sociale (INPS) per rubare dati personali, come documentato nelle recenti news pubblicate. Quali sono i rischi, come è possibile proteggersi e cosa bisogna fare se si è caduti vittime della truffa? Ecco una guida per fare chiarezza e per rispondere a quesiti che ci vengono posti con sempre maggior frequenza.

Indice

Di cosa si tratta

Cosa significa “smishing INPS”?
Lo “smishing” è una forma di truffa online che utilizza messaggi SMS (da cui “SMS phishing” o, in breve, “smishing”) per ingannare gli utenti. In questo caso, i truffatori inviano SMS facendo credere alle vittime di aver ricevuto comunicazioni ufficiali dall’INPS, solitamente con la promessa di benefici o, più di recente, con toni intimidatori.

Come si svolge la truffa?
Tipicamente, il meccanismo è il seguente:

  1. SMS ingannevole: la vittima riceve un SMS che sembra provenire dall’INPS. Questi messaggi possono utilizzare diverse strategie:
    • Minacce: avvisano di presunte irregolarità nella dichiarazione dei redditi, omissioni o mancati aggiornamenti, minacciando conseguenze penali o sanzioni in caso di inadempienza. Un esempio può essere: “Gentile utente, la sua dichiarazione dei redditi risulta mancante. È necessario verificare con urgenza i documenti. Si ricorda che l’omessa dichiarazione dei documenti richiesti può comportare conseguenze di natura penale, ai sensi della normativa vigente“.
    • Urgenza: avvisano che il profilo INPS è scaduto o deve essere aggiornato per evitare la sospensione dei servizi. Un esempio è: “Il tuo profilo INPS va aggiornato perché scaduto, rinnova i dati per evitare la sospensione da INPS“.
  2. Link: il messaggio SMS contiene un link che indirizza la vittima ad un sito web fraudolento.
  3. Sito fasullo: il sito web imita l’aspetto del sito ufficiale INPS, utilizzando loghi, immagini e una struttura simile per sembrare autentico.
  4. Richiesta di dati: Il sito web fraudolento richiede l’inserimento di dati personali. Le richieste possono includere:
    • Dati anagrafici: nome, cognome, indirizzo, ecc.
    • Codice IBAN: coordinate bancarie.
    • Documenti d’identità: copia fronte/retro di carta d’Identità, tessera sanitaria, patente di guida.
    • Buste paga: copia delle ultime buste paga.
    • Selfie e video-riconoscimento: in alcune varianti, viene richiesto anche un selfie con un documento identificativo o un breve video in cui si muove la testa per “verificare l’identità”.
  5. Furto di dati: una volta cliccato sul tasto “Conferma” o “Avanti“, i criminali entrano definitivamente in possesso dei dati. In alcuni casi, viene simulato un errore e richiesto nuovamente l’upload dei documenti, in modo da garantire ai truffatori un maggior numero di selfie e copie di documenti per massimizzare le probabilità di ottenere file adeguati e in buona definizione grafica.

Conseguenze

Cosa può succedere se si cade vittima della truffa?
I dati rubati possono venire utilizzati per diverse attività illecite, tra cui:

  1. Furto d’identità digitale (SPID): uno degli scopi principali è quello di utilizzare i documenti rubati per tentare di registrare una nuova identità digitale SPID a nome della vittima. Questo permette ai criminali di accedere a numerosi servizi online della Pubblica Amministrazione a nome del cittadino truffato.
  2. Modifica IBAN e deviazione di pagamenti: attraverso l’identità SPID, i truffatori possono accedere ai servizi INPS e/o di altre Pubbliche Amministrazioni, modificando l’IBAN associato a pagamenti di stipendi, pensioni o altri emolumenti statali. In questo modo, possono dirottare somme di denaro su conti correnti da loro controllati .
  3. Vendita dei dati nel dark web: i documenti e i dati personali rubati possono essere inoltre venduti nel dark web, aumentando il rischio di ulteriori truffe a danno della vittima.
  4. Utilizzo per altre frodi: i dati sottratti possono essere utilizzati, infine, per perpetrare differenti truffe di vario genere, come, ad esempio, la sottoscrizione di contratti fraudolenti.

Cosa fare se si è stati truffati

Cosa fare se si sono forniti i dati personali?
Qualora si siano caricate le informazioni e i documenti personali e si sia fatto click sui pulsanti “Conferma” o “Avanti”, è bene intraprendere le seguenti misure di mitigazione del rischio:

  1. Sporgere denuncia alla Polizia Postale per furto di dati personali recandosi al più presto presso un ufficio territoriale della Polizia Postale. È bene portare con se tutta la documentazione utile (SMS ricevuto, documenti forniti, ecc.).
  2. Segnalazione online alla Polizia Postale: oltre alla denuncia formale, è possibile effettuare una segnalazione online tramite il servizio messo a disposizione dalla Polizia di Stato: https://www.commissariatodips.it/segnalazioni/segnala-online/index.html.
  3. Monitorare i conti correnti bancari: controllare attentamente, nei mesi successivi alla truffa, i conti bancari sui quali si ricevono erogazioni statali, in modo da individuare precocemente la mancata ricezione degli emolumenti di cui si ha diritto (assegno pensionistico, stipendio statale, etc.), sincerandosi quindi che l’IBAN di ricezione non sia stato modificato senza consenso.

Come prevenire lo smishing

Come è possibile riconoscere un tentativo di smishing?
È fondamentale prestare la massima attenzione e adottare alcune precauzioni:

  1. Verificare la veridicità del messaggio: diffidare sempre di SMS che richiedono l’inserimento di dati tramite l’accesso a link esterni. E’ una pratica che gli Enti pubblici (e le banche) molto difficilmente usano, preferendo i canali diretti con l’utenza.
  2. Controllare attentamente l’indirizzo web di provenienza (URL): se si è cliccato sul link inviato, prima di inserire qualsiasi dato, verificare che il dominio presente nell’indirizzo web (URL) nella barra del browser sia quello ufficiale dell’INPS (inps.it). Presta attenzione a eventuali errori di ortografia (“l” al posto della “i“, o “m” al posto della “n“) o domini con nomi anomali (ad esempio “erogazioni-inps“). In caso di dubbi, digitare direttamente l’indirizzo www.inps.it nel browser e navigare sul sito ufficiale per verificare le eventuali comunicazioni, oppure contattare l’Ente tramite email o numero di telefono per chiedere chiarimenti.
  3. Non fornire dati personali tramite link ricevuti: non inserire mai dati personali, bancari o documenti d’identità attraverso link ricevuti via SMS o email sconosciute. Per aggiornare i dati relativi alle utenze INPS, la prassi prevede l’accesso diretto tramite il sito ufficiale (www.inps.it) e l’utilizzo di canali di comunicazione sicuri dell’ente.
  4. Segnala i messaggi sospetti: se si ricevono comunicazioni sospette, è consigliabile segnalarle. INPS mette a disposizione un contact center (803.164 da fisso, 06.164.164 da cellulare) o i profili social ufficiali dell’Istituto. E’ possibile anche inoltrarle al CERT-AGID all’indirizzo email malware@cert-agid.gov.it. Questo ci aiuta a monitorare e contrastare tale tipologia di truffe.
  5. Mantieniti informato: sia INPS (al seguente indirizzo: https://www.inps.it/it/it/inps-comunica/dossier/attenzione-alle-truffe/consigli-utili.html) che il CERT-AGID, ad esempio, pubblicano costantemente notizie ufficiali per rimanere aggiornati sulle nuove tecniche di truffa e sulle misure di sicurezza da adottare.

In conclusione, la consapevolezza e la prudenza sono le armi migliori per difendersi dallo smishing e, in generale, da altri tipi di truffe online.

Taggato  inps phishing SPID