Il CERT-AGID ha individuato oggi un dominio utilizzato per attività di phishing che sfrutta l’avvio del Sistema di Ingressi/Uscite (EES), la cui piena operatività è stata avviata il 12 ottobre 2025, come riportato sul relativo sito istituzionale, e che ha lo scopo di registrare i dati personali dei cittadini di paesi extra UE e non Schengen che viaggiano in Italia per brevi periodi.

Il dominio fraudolento, registrato il 13 ottobre 2025 – il giorno successivo all’avvio del sistema – riproduce una grafica ingannevole e invita l’utente a inserire il proprio cognome e numero di documento.

Durante l’analisi, è stato osservato che la pagina malevola non trasmette i dati a un server remoto. La verifica delle informazioni avviene localmente tramite uno script JavaScript che confronta i valori inseriti con un set predefinito di oggetti.

Non è al momento chiaro quale sia la finalità della pagina ingannevole ed è probabile che sia ancora in costruzione. Tuttavia, è verosimile che i dati raccolti quando le pagine saranno del tutto attive e funzionanti vengano utilizzati per successive attività malevole finalizzate a frodi o falsificazioni, come richieste di pagamento per “accelerare la pratica” o comunicazioni false a nome di ambasciate o questure.

È interessante sottolineare come le vittime siano cittadini stranieri, che spesso hanno scarsa dimestichezza con la lingua italiana e con i servizi online delle Pubbliche Amministrazioni italiane.

Attività di contrasto

Il CERT-AGID ha prontamente informato il reparto di sicurezza del Ministero degli Affari Esteri e della Cooperazione Internazionale, richiesta la dismissione del dominio e diramato gli indicatori di compromissione con le organizzazioni accreditate al flusso IoC.