È stato rilasciato un archivio RAR contenente documenti di identità di cittadini italiani attraverso un canale Telegram attivo dal novembre 2025 che si firma con il nome “Anonymous Algeria“. Al momento non è possibile attribuire con certezza tale attività al noto collettivo, né escludere che si tratti di un soggetto terzo che ne utilizzi il nome a fini di visibilità.

Anonymous agisce solitamente per motivazioni ideologiche e accompagnano le loro azioni con una causa chiara. In questo caso, però, questo elemento non emerge.

Il contenuto dell’archivio

L’archivio, dalla dimensione di oltre 500 MB, contiene esattamente 500 file comprendenti scansioni di documenti di identità: carte d’identità, passaporti e patenti di guida corredati da immagini di selfie identification, ovvero fotografie dei titolari con il documento in mano accanto al volto. Questa tipologia di dato è particolarmente sensibile in quanto consente di superare i controlli KYC (Know Your Customer) adottati da banche, piattaforme di trading, exchange di criptovalute e altri servizi online.

È la prima volta che il CERT-AGID rileva documenti di cittadini italiani distribuiti a titolo completamente gratuito su canali pubblici. In tutti i precedenti casi monitorati, materiale analogo era oggetto di compravendita su forum del dark web, come già documentato nel marzo 2025 a seguito delle campagne di smishing a tema INPS.

Analisi dei metadati: dati verosimilmente non recenti

Un’analisi a campione dei metadati dei file rilasciati indica che la maggior parte dei documenti risale al periodo 2020-2021. Alcuni dei documenti presenti nell’archivio risultano inoltre già scaduti alla data odierna. Questo elemento, unito alla natura campionaria dell’archivio – esattamente 500 file, una quantità che appare deliberatamente circoscritta – non consente di escludere che si tratti di dati vecchi, riciclati o già in precedente circolazione in ambienti underground.

Il CERT-AGID non ha ad oggi evidenza che questi documenti provengano da una violazione recente o inedita. La loro pubblicazione gratuita potrebbe configurarsi come un’azione dimostrativa finalizzata a ottenere visibilità, più che come la divulgazione di un dataset acquisito di recente. La scelta di rilasciare esattamente 500 file lascia tuttavia aperta l’ipotesi che l’archivio rappresenti solo un campione di un corpus più ampio.

Connessione con le campagne di smishing a tema INPS

Come già illustrato nella nostra analisi del marzo 2025, i documenti di identità italiani corredati da selfie costituiscono da anni un obiettivo privilegiato di campagne di phishing e smishing. La tipologia di materiale ora distribuito – scansioni di documenti più selfie di identificazione – corrisponde perfettamente al format richiesto dai falsi siti INPS individuati nel corso delle campagne monitorate negli ultimi anni. Non è possibile stabilire con certezza la provenienza originaria dei file, ma la natura del materiale è coerente con quanto sottratto attraverso tali campagne.

Rischi per i cittadini

Indipendentemente dalla fonte e dall’attualità dei dati, la disponibilità pubblica di questi documenti comporta rischi concreti per i soggetti coinvolti:

• Furto di identità digitale, inclusa l’apertura di SPID non autorizzati.
• Apertura di conti correnti, carte di credito o richieste di micro-prestiti a nome della vittima.
• SIM swapping, per intercettare codici di autenticazione a due fattori.
• Spear phishing mirato, basato su dati documentali specifici e verificabili.

Raccomandazioni

Il CERT-AGID raccomanda ai cittadini che negli ultimi anni abbiano ricevuto SMS sospetti a tema INPS, o abbiano interagito con siti che richiedevano l’upload di documenti di identità e selfie, di:

1. presentare denuncia alla Polizia Postale, online su commissariatodips.it o recandosi presso gli uffici competenti;
2. verificare eventuali identità SPID non autorizzate contattando i singoli Identity Provider;
3. monitorare con attenzione i propri conti correnti e le coordinate IBAN associate a erogazioni della Pubblica Amministrazione;
4. non rispondere a comunicazioni – anche apparentemente legittime – che citino dati specifici del proprio documento d’identità.

Per ulteriori informazioni su come riconoscere la truffa e su come comportarsi in caso di furto dei dati, si rimanda alla guida dedicata: Smishing a tema INPS: come comportarsi in caso di furto dei dati.

Segnalazioni relative a SMS, domini o contenuti sospetti possono essere inviate a malware@cert-agid.gov.it.