Immagine: AgID

L'Agenzia per l'Italia Digitale (AgID), tramite il suo Computer Emergency Response Team (CERT-AgID), ha recentemente segnalato una nuova campagna di phishing mirata agli utenti del Sistema Pubblico di Identità Digitale (SPID). Questa campagna utilizza email fraudolente che sfruttano indebitamente il nome e il logo di AgID per ingannare i destinatari e sottrarre credenziali di accesso e informazioni sensibili, come documenti di identità e persino video di riconoscimento.

Il meccanismo della campagna è ormai collaudato, ma reso più insidioso dalla qualità grafica e dalla credibilità apparente dei messaggi. Le email fraudolente invitano gli utenti ad aggiornare la propria documentazione personale, spesso con messaggi dai toni allarmistici quali Sospensione imminente SPID: azione obbligatoria. All'interno del messaggio, un link conduce a un sito malevolo ma con un dominio credibile, come il dominio it-spid.com, registrato di recente ma non riconducibile in alcun modo ad AgID o al sistema SPID. Una volta sul sito, che imita il design dei portali ufficiali della Pubblica Amministrazione, agli utenti viene chiesto di inserire le proprie credenziali SPID, caricare copie di documenti di identità e, in alcuni casi, registrare un video seguendo istruzioni specifiche. Questi elementi, in particolare i video biometrici, possono essere utilizzati per furti di identità o per accedere fraudolentemente a servizi sensibili, come conti bancari o piattaforme istituzionali come quella dell'INPS.

L'AgID ha agito rapidamente, richiedendo la disattivazione del dominio malevolo e condividendo gli Indicatori di Compromissione (IoC) con le strutture accreditate tramite il feed del CERT-AgID. Tuttavia i cybercriminali possono registrare nuovi domini simili in breve tempo, rendendo questa minaccia persistente. Per esempio, una campagna simile era stata segnalata a maggio 2025, utilizzando il dominio agidgov.com, anch'esso progettato per ingannare gli utenti con una grafica convincente e richieste di video di riconoscimento. C'è una chiara evoluzione nelle tattiche di phishing: sfruttano tecniche di ingegneria sociale sempre più raffinate per sfruttare la fiducia degli utenti nei confronti di SPID, un sistema ormai centrale (sebbene apparentemente in via di dismissione a favore della CIE) per l'accesso ai servizi pubblici e privati in Italia.

Il contesto di questa campagna si inserisce in un panorama più ampio di attacchi informatici. Il CERT-AgID segnala un aumento delle campagne di phishing a tema SPID e PagoPA, con 47 campagne malevole analizzate in una sola settimana a maggio 2025. Questi attacchi non si limitano al furto di credenziali ma possono anche veicolare malware, come nel caso di una campagna che utilizzava lo spazio di una casella Aruba per distribuire il malware XWorm. I cybercriminali stanno prendendo di mira anche altri enti come l'Agenzia delle Entrate e l'INPS, sfruttando la fiducia degli utenti nelle comunicazioni ufficiali. Per esempio, campagne di smishing (phishing via SMS) a tema INPS hanno cercato di sottrarre dati personali per creare false identità SPID; attacchi mirati a banche hanno utilizzato SPID come esca per rubare credenziali di accesso a diversi istituti bancari italiani.

Per approfondire:

Addio, vecchia carta d'identità: è obbligatorio passare alla CIE e...

WhatsApp, ecco perché stai ricevendo un messaggio che ti chiede di aggiunge...

Seagate, la truffa dei dischi usati si fa più sofisticata

L'utilità che rivela i drive USB farlocchi

Per i cittadini, il rischio di cadere vittima di queste truffe è aggravato dall'ampia diffusione dello SPID, che al 15 giugno 2025 contava milioni di identità digitali emesse: ciò lo rende un obiettivo primario per i criminali informatici. Le email fraudolente spesso sfruttano toni urgenti e minacce di sospensione del servizio per spingere gli utenti ad agire senza riflettere. L'uso di domini simili a quelli ufficiali e di grafiche ben curate rende difficile per l'utente medio riconoscere l'inganno.

Per proteggersi, AgID e il CERT-AgID raccomandano alcune precauzioni. In primo luogo è essenziale verificare l'autenticità del mittente delle email e degli URL contenuti nei messaggi. Comunicazioni ufficiali da parte di AgID o dei gestori SPID (come Poste, Sielte o Namirial) non contengono richieste generiche di aggiornamento dati tramite link, né sollecitano la registrazione di video. In caso di dubbi, gli utenti possono inoltrare le email sospette alla casella malware@cert-agid.gov.it per una verifica. Inoltre è consigliabile controllare attentamente gli indirizzi web, evitando di cliccare su link sospetti, e utilizzare solo il sito ufficiale spid.gov.it per accedere ai servizi SPID.

L'AgID sta anche promuovendo iniziative per aumentare la consapevolezza digitale: per esempio i corsi gratuiti di AgID Academy, rivolti a dipendenti pubblici, privati e cittadini interessati all'accessibilità digitale. Questi programmi, attivi dal 2021, mirano a educare gli utenti sui rischi informatici e sulle buone pratiche di sicurezza. Queste misure tuttavia devono essere sempre accompagnate da una robusta vigilanza da parte degli utenti: è questa la prima linea di difesa contro il phishing.

Articoli suggeriti:

La vecchietta digitale che fa perdere tempo ai truffatori telefonici

La misteriosa ''raccomandata elettronica'' da TIM

La truffa delle schede video rivendute senza GPU né RAM

Dietro le quinte delle truffe sugli investimenti in criptovalute