Il CERT-AGID ha rilevato numerose campagne di phishing attive che sfruttano il medesimo schema fraudolento su più domini distinti, tutte finalizzate a sottrarre dati personali e informazioni di pagamento ai cittadini italiani mediante l’impersonificazione del Ministero della Salute.

Dettagli dei phishing

Le campagne si basano su un pretesto convincente e di ampia portata: la presunta sostituzione obbligatoria della tessera sanitaria a partire dal 2026, giustificata con l’implementazione di un fantomatico “nuovo sistema elettronico di identificazione sanitaria”. Le pagine fraudolente riportano un “Avviso importante” nel quale si afferma che tutte le tessere emesse prima del gennaio 2023 debbano essere sostituite, e che la vecchia tessere saranno progressivamente disattivate. Il messaggio è costruito per generare urgenza, una tipica tecnica di social engineering comunemente sfruttata dagli attaccanti.

I siti imitano fedelmente l’aspetto grafico dei portali istituzionali, con logo e colori del Ministero della Salute, una finta sezione FAQ con voci espandibili e persino falsi riferimenti a numeri di protocollo e date di aggiornamento verosimili per aumentare la credibilità percepita.

Il funnel di raccolta dati

Una volta atterrato sulla pagina, l’utente viene guidato attraverso un funnel articolato in più step:

1. Modulo anagrafico: vengono richiesti nome, cognome, codice fiscale (oppure patente o passaporto) e numero di telefono. Viene anche offerta la possibilità di indicare un indirizzo di spedizione alternativo, ulteriore dettaglio che conferisce verosimiglianza alla procedura.

2. Riepilogo della richiesta: viene mostrato un prospetto formale con i dati inseriti e un dettaglio dei costi: produzione e personalizzazione della tessera sanitaria (€ 2,50), gestione amministrativa (€ 0,99) e spedizione tramite Poste Italiane (€ 2,90), per un totale di € 6,39. L’importo contenuto è una scelta deliberata: abbassa le difese dell’utente, rendendo il pagamento percepito come trascurabile e non valevole di molta attenzione.

3. Pagina di pagamento: l’utente viene infine reindirizzato a un form che richiede i dati completi della carta di credito (numero carta, data di scadenza, CVV), con la dicitura “Pagamento 100% sicuro. I tuoi dati sono protetti con crittografia SSL”. Si tratta dell’obiettivo finale della campagna.

Si ricorda che:

• Per i cittadini iscritti di diritto al Servizio Sanitario Nazionale, la tessera sanitaria non richiede alcuna procedura di sostituzione attiva e il rinnovo avviene automaticamente e gratuitamente a cura dell’Agenzia delle Entrate, con spedizione all’indirizzo di residenza.
• Anche per le categorie soggette a iscrizione volontaria al SSN (con relativo versamento del contributo annuale previsto dalla legge), le procedure non avvengono mai tramite link inviati via email o SMS e il rinnovo va gestito tramite i canali ufficiali delle ASL.
• Il Ministero della Salute non invia mai comunicazioni dirette con richieste di pagamento online per la tessera sanitaria.
• Per qualsiasi dubbio, fare riferimento esclusivamente al Ministero della Salute, al sito ufficiale dell’Agenzia delle Entrate o agli sportelli della propria ASL di competenza.

Azioni intraprese

Il CERT-AGID ha richiesto la dismissione dei domini malevoli ai rispettivi registrar, che hanno già provveduto nella maggior parte dei casi, e ha informato gli Enti interessati della campagna in corso. Gli indicatori di compromissione (IoC) sono stati condivisi con gli enti accreditati attraverso i canali istituzionali. Inoltre, al fine di rendere pubblici i dettagli di queste campagne si riportano di seguito gli indicatori di compromissione rilevati:

Link: Download IoC