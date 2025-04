(Adnkronos) – “L’Inps invia solo sms senza link cliccabili”. Il messaggio dell’Istituto di previdenza, “al fine di garantire la sicurezza dei dati personali dei cittadini e la prevenzione di tentativi di phishing e frodi informatiche”, si è reso necessario poiché sempre più spesso truffatori inviano sms facendo apparire come mittente l’Inps stesso. Obiettivo? Rubare informazioni personali sensibili in modo da creare un falso Spid, poi usato per compiere illeciti. A intervenire sull’argomento con una nota anche Cert-AgID, la struttura dell’Agenzia per l’Italia digitale che si occupa di sicurezza informatica nella pubblica amministrazione, che ha riscontrato un notevole incremento nelle truffe che sfruttano il nome dell’Istituto nazionale della previdenza sociale per rubare dati personali. Lo “smishing” è una forma di truffa online che utilizza messaggi sms (da cui ‘sms phishing’ o, in breve, ‘smishing’) per ingannare gli utenti. In questo caso, i truffatori inviano un messaggio facendo credere alle vittime di aver ricevuto comunicazioni ufficiali dall’Inps, solitamente con la promessa di benefici o, più di recente, con toni intimidatori. I messaggi possono essere di tipo diverso: minacce – avvisano di presunte irregolarità nella dichiarazione dei redditi, omissioni o mancati aggiornamenti, minacciando conseguenze penali o sanzioni in caso di inadempienza. Un esempio può essere: “Gentile utente, la sua dichiarazione dei redditi risulta mancante. È necessario verificare con urgenza i documenti. Si ricorda che l’omessa dichiarazione dei documenti richiesti può comportare conseguenze di natura penale, ai sensi della normativa vigente“, urgenza – avvisano che il profilo INPS è scaduto o deve essere aggiornato per evitare la sospensione dei servizi. Un esempio è: “Il tuo profilo Inps va aggiornato perché scaduto, rinnova i dati per evitare la sospensione da Inps“. Il messaggio contiene un link che indirizza la vittima a un sito web fraudolento che imita l’aspetto del sito ufficiale Inps, utilizzando loghi, immagini e una struttura simile per sembrare autentico. Il sito web fraudolento richiede l’inserimento di dati personali. Le richieste possono includere Dati anagrafici: nome, cognome, indirizzo, ecc. Codice IBAN: coordinate bancarie. Documenti d’identità: copia fronte/retro di carta d’Identità, tessera sanitaria, patente di guida. Buste paga: copia delle ultime buste paga. Selfie e video-riconoscimento: in alcune varianti, viene richiesto anche un selfie con un documento identificativo o un breve video in cui si muove la testa per “verificare l’identità”. Una volta cliccato sul tasto ‘Conferma’ o ‘Avanti’, i criminali entrano definitivamente in possesso dei dati. In alcuni casi, viene simulato un errore e richiesto nuovamente l’upload dei documenti, in modo da garantire ai truffatori un maggior numero di selfie e copie di documenti per massimizzare le probabilità di ottenere file adeguati e in buona definizione grafica. Cosa può succedere se si cade vittima della truffa? I dati rubati possono venire utilizzati per diverse attività illecite, tra cui: – Furto d’identità digitale (Spid): uno degli scopi principali è quello di utilizzare i documenti rubati per tentare di registrare una nuova identità digitale SPID a nome della vittima. Questo permette ai criminali di accedere a numerosi servizi online della Pubblica Amministrazione a nome del cittadino truffato. – Modifica Iban e deviazione di pagamenti: attraverso l’identità Spid, i truffatori possono accedere ai servizi Inps e/o di altre Pubbliche amministrazioni, modificando l’Iban associato a pagamenti di stipendi, pensioni o altri emolumenti statali. In questo modo, possono dirottare somme di denaro su conti correnti da loro controllati . – Vendita dei dati nel dark web: i documenti e i dati personali rubati possono essere inoltre venduti nel dark web, aumentando il rischio di ulteriori truffe a danno della vittima. Qui un approfondimento. – Utilizzo per altre frodi: i dati sottratti possono essere utilizzati, infine, per perpetrare differenti truffe di vario genere, come, ad esempio, la sottoscrizione di contratti fraudolenti. Qualora si siano caricate le informazioni e i documenti personali e si sia fatto click sui pulsanti “Conferma” o “Avanti”, è bene intraprendere le seguenti misure di mitigazione del rischio: – Sporgere denuncia alla Polizia Postale per furto di dati personali recandosi al più presto presso un ufficio territoriale della Polizia Postale. È bene portare con se tutta la documentazione utile (SMS ricevuto, documenti forniti, ecc.). – Segnalazione online alla Polizia postale: oltre alla denuncia formale, è possibile effettuare una segnalazione online tramite il servizio messo a disposizione dalla Polizia di Stato: https://www.commissariatodips.it/segnalazioni/segnala-online/index.html. – Monitorare i conti correnti bancari: controllare attentamente, nei mesi successivi alla truffa, i conti bancari sui quali si ricevono erogazioni statali, in modo da individuare precocemente la mancata ricezione degli emolumenti di cui si ha diritto (assegno pensionistico, stipendio statale, etc.), sincerandosi quindi che l’IBAN di ricezione non sia stato modificato senza consenso. È fondamentale prestare la massima attenzione e adottare alcune precauzioni: – Verificare la veridicità del messaggio: diffidare sempre di SMS che richiedono l’inserimento di dati tramite l’accesso a link esterni. E’ una pratica che gli Enti pubblici (e le banche) molto difficilmente usano, preferendo i canali diretti con l’utenza. – Controllare attentamente l’indirizzo web di provenienza (URL): se si è cliccato sul link inviato, prima di inserire qualsiasi dato, verificare che il dominio presente nell’indirizzo web (URL) nella barra del browser sia quello ufficiale dell’INPS (inps.it). Presta attenzione a eventuali errori di ortografia (“l” al posto della “i“, o “m” al posto della “n“) o domini con nomi anomali (ad esempio “erogazioni-inps“). In caso di dubbi, digitare direttamente l’indirizzo www.inps.it nel browser e navigare sul sito ufficiale per verificare le eventuali comunicazioni, oppure contattare l’Ente tramite email o numero di telefono per chiedere chiarimenti. – Non fornire dati personali tramite link ricevuti: non inserire mai dati personali, bancari o documenti d’identità attraverso link ricevuti via SMS o email sconosciute. Per aggiornare i dati relativi alle utenze INPS, la prassi prevede l’accesso diretto tramite il sito ufficiale (www.inps.it) e l’utilizzo di canali di comunicazione sicuri dell’ente. – Segnalare i messaggi sospetti: se si ricevono comunicazioni sospette, è consigliabile segnalarle. INPS mette a disposizione un contact center (803.164 da fisso, 06.164.164 da cellulare) o i profili social ufficiali dell’Istituto. E’ possibile anche inoltrarle al CERT-AGID all’indirizzo email malware@cert-agid.gov.it. Questo ci aiuta a monitorare e contrastare tale tipologia di truffe. —cronacawebinfo@adnkronos.com (Web Info)