A partire dalla seconda settimana di gennaio, il CERT-AGID sta rilevando un incremento nella comparsa di campagne di phishing che sfruttano il nome della Tessera Sanitaria per impossessarsi di dati personali e bancari degli utenti. La prima truffa che ha usato tale argomento risale a ottobre 2025, ma è nelle ultime settimane che è stato osservato un netto incremento nella diffusione.

A brevissima distanza dalla precedente campagna di phishing a tema SPID, è stato rilevato dal CERT-AGID un phishing ai danni dell’Agenzia delle Entrate finalizzato ad acquisire le credenziali di accesso delle identità digitali SPID degli utenti.

La campagna viene diffusa tramite comunicazioni ingannevoli che invitano l’utente ad accedere alla propria area riservata dell’Agenzia delle Entrate e contengono al loro interno un link che reindirizza a un sito creato ad hoc per raccogliere credenziali.

È stata individuata dal CERT-AGID una nuova campagna di phishing a tema SPID finalizzata ad acquisire, in modo fraudolento, dati personali e bancari.

La campagna di phishing viene diffusa tramite email ingannevole con oggetti del tipo “Importante: Conferma i tuoi dati SPID” oppure “Verifica richiesta per la tua identità digitale” che invitano l’utente ad accedere alla propria area privata per controllare ed eventualmente aggiornare le informazioni fornite per l’utilizzo di SPID. Il link presente nel corpo dell’email rimanda a un finto portale SPID ospitato su Google Sites.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 63 campagne malevole, di cui 46 con obiettivi italiani e 17 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 487 indicatori di compromissione (IoC) individuati.

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 73 campagne malevole, di cui 55 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 634 indicatori di compromissione (IoC) individuati.

A differenza di bug passati, Ni8mare non richiede credenziali. Un attaccante remoto può sfruttare un difetto nel modo in cui n8n gestisce le richieste ai webhook e ai nodi Form per ottenere accesso non autorizzato al server, estrarre file locali, generare credenziali amministrative e infine comandare l’istanza.

Il CERT-AGID ha individuato una nuova campagna di phishing, attualmente attiva, che sfrutta il loghi del Sistema Tessera Sanitaria, e il nome del Ministero della Salute.

Il CERT-AGID ha avuto evidenza di un dominio malevolo, di recente registrazione, utilizzato per ospitare un falso portale del Ministero dell’Interno (con riferimenti anche alla Polizia di Stato). Il sito si presenta come servizio di verifica dello stato di accettazione o validità del Nulla Osta per pratiche amministrative legate all’immigrazione.​

Venerdì 19 dicembre è stata resa pubblica, direttamente dal team di n8n, una vulnerabilità critica di esecuzione remota di codice, identificata come CVE-2025-68613, con punteggio CVSS 9.9/10. La falla interessa diverse versioni di n8n precedenti alle patch di sicurezza rilasciate a dicembre 2025 (v1.122.0).

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 82 campagne malevole, di cui 46 con obiettivi italiani e 36 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 966 indicatori di compromissione (IoC) individuati.