Si concretizza il rischio per le vittime della truffa a tema INPS che, a inizio del mese, ha colpito numerosi utenti italiani indotti dai criminali informatici a comunicare loro dati personali e documenti sensibili come carta d’identità, tessera sanitaria, patente di guida e copie delle ultime buste paga.
Gli attori della minaccia, infatti, hanno ora messo in vendita nel dark web proprio quegli stessi documenti, esponendo le vittime a tutta una serie di altre possibili truffe e furti di identità.
Indice degli argomenti
Smishing a tema INPS, documenti trafugati e venduti online
In questa nuova campagna malevola, i cyber criminali hanno sfruttato la fiducia dei cittadini riposta nell’INPS, ente preposto alla gestione delle prestazioni sociali e pensionistiche, per portare avanti la loro truffa.
“Negli ultimi cinque anni le attività fraudolente si sono intensificate in modo significativo e, solo nei primi tre mesi del 2025, sono stati individuati 33 falsi domini INPS creati appositamente per sottrarre documenti di identità alle vittime”, si legge nel bollettino del CERT-AgID. “I dati rubati possono essere utilizzati per diverse attività illecite, principalmente per il furto d’identità digitale (SPID) o per la vendita dei documenti nel dark web”.
Il CERT-AgID ha segnalato, nello specifico, che i documenti rubati includono carte d’identità, passaporti e selfie con documenti in mano, tipicamente richiesti per la verifica di identità in servizi bancari e finanziari e che le informazioni sono state messe in vendita su forum del dark web, dove vengono acquistate da altri criminali per furti d’identità e frodi finanziarie.
“Proprio riguardo a quest’ultima attività, il CERT-AgID ha rilevato la vendita online di documenti di cittadini italiani, completi di selfie, su un noto forum del deep web”, prosegue il rapporto.
Fonte: CERT-AgID.
Smishing a tema INPS: le conseguenze del furto d’identità
Nonostante siano state avviate azioni di takedown per rimuovere i siti fraudolenti e limitare la diffusione dei dati rubati il danno potenziale è enorme: chiunque abbia subito il furto dei propri documenti potrebbe trovarsi coinvolto in operazioni fraudolente, con possibili conseguenze legali e finanziarie.
Essere vittima di un furto d’identità può avere ripercussioni molto serie:
- Apertura di conti bancari falsi: i documenti possono essere usati per aprire conti correnti a nome della vittima e compiere operazioni illecite.
- Richiesta di prestiti o finanziamenti: i truffatori possono presentare richieste di finanziamento, che poi la vittima potrebbe essere chiamata a rimborsare.
- Attività criminali a nome della vittima: il nome e i documenti possono essere utilizzati per frodi fiscali, contrabbando o altre attività illecite.
Per tutti questi motivi è essenziale agire rapidamente se si sospetta di essere stati vittima di attacchi del genere e di truffe smishing a tema INPS.
Cos’è lo smishing e come funziona
Lo smishing (il phishing via SMS) è una tecnica di truffa che utilizza messaggi SMS falsi per convincere gli utenti a fornire informazioni personali, accedere a link fraudolenti o scaricare malware. I truffatori simulano comunicazioni di enti ufficiali, come banche, poste o l’INPS, per creare un senso di urgenza.
Un tipico meccanismo di truffa a tema INPS
L’utente riceve un SMS apparentemente inviato dall’INPS, che lo avvisa di un presunto problema con un pagamento, un bonus da riscuotere o un aggiornamento obbligatorio dei dati.
Il messaggio contiene un link che rimanda a un sito falso, identico a quello ufficiale dell’INPS. L’utente, credendo di trovarsi sul sito autentico, inserisce le proprie credenziali, il codice fiscale e carica i propri documenti d’identità per la verifica.
I dati vengono sottratti e successivamente utilizzati per compiere truffe, aprire conti bancari falsi e richiedere prestiti a nome delle vittime.
Come proteggersi dallo smishing
Ecco alcune regole fondamentali per evitare di cadere in queste truffe.
Innanzitutto, ricordiamo sempre che l’INPS e altri enti ufficiali non inviano SMS con link diretti a siti dove inserire dati personali. Se riceviamo un messaggio simile, verifichiamone sempre la veridicità sul sito ufficiale dell’ente stesso.
Inoltre, facciamo attenzione agli errori ortografici e grammaticali nei messaggi ed evitiamo di cliccare sul link indicato nel messaggio.
Importante ricordare, inoltre, che nessuna istituzione chiede documenti d’identità o selfie via SMS o e-mail (se ti viene chiesto, è probabilmente un tentativo di frode).
Infine, quando possibile, è sempre raccomandabile preimpostare l’autenticazione a due fattori per proteggere account e servizi sensibili.
Qualora si siano inseriti i propri dati in un sito truffa, occorre agire immediatamente:
- Presentando denuncia alla Polizia Postale.
- Bloccando i documenti compromessi.
- Controllando i movimenti sospetti e se necessario avvisando la propria banca.
Conclusioni
Lo smishing a tema INPS è solo uno degli esempi di come i cyber criminali sfruttano la fiducia nei servizi pubblici per truffare i cittadini. La vendita dei documenti rubati nel dark web rappresenta un rischio concreto per chiunque sia caduto nella truffa.
La protezione dai furti d’identità richiede attenzione, prevenzione e azione rapida in caso di compromissione dei dati.
Seguire le buone pratiche di sicurezza digitale può fare davvero la differenza.
