Attenzione alle mail per aggiornare lo SPID: nuova truffa, cosa non fare

L’anno 2026 è iniziato con una grande quantità di truffe online. Qualche utente ha infatti segnalato i rimborsi fake di Iva e Irpef, ma anche della tessera sanitaria, del Truman Show e del Cup. In questi giorni, l’Agenzia delle Entrate ha inoltre fatto sapere che c’è stato di recente un nuovo tentativo di frode. La protagonista della truffa è stata stavolta lo SPID, il Sistema Pubblico di Identità Digitale, un servizio che aiuta i cittadini ad accedere liberamente in tutti i portali di enti pubblici senza il bisogno di avere credenziali singole.

La nuova truffa sullo SPID

Stanno circolando delle comunicazioni email ingannevoli che invitano il destinatario ad accedere gratuitamente alla propria area riservata sul sito dell’Agenzia delle Entrate. In realtà, all’interno del messaggio, si trova un link malevolo che porta l’utente verso un sito web fraudolento creato dai cybercriminali per raccogliere i dati sensibili. Questa pagina riproduce, in modo fedele, l’aspetto grafico del portale ufficiale ma presenta un falso modulo di login tramite SPID. L’indirizzo email appare quindi già precompilato, grazie alla personalizzazione del link mandato via mail, ma viene richiesto l’inserimento della password associata alla propria identità SPID.

Nel momento in cui si inserisce il codice, questo viene subito catturato dai truffatori, che riescono ad avere accesso completo all’account SPID della vittima. Con questi dati, i cybercriminali possono quindi accedere a diversi servizi pubblici online tra cui il portale dell’Agenzia delle Entrate, INPS e Fascicolo Sanitario Elettronico. Possono quindi esserci delle gravi conseguenze in merito alla privacy, ai dati fiscali e patrimoniali della persona colpita.

Esiste però un modo per difendersi dalla truffa che sta colpendo centinaia di cittadini. In primis, la parte più importante è quella di non cliccare mai su link presenti in email sospette, anche se sembrano provenire dall’Agenzia delle Entrate. Non va inoltre mai inserita la password SPID su pagine raggiunte mediante email, e il messaggio fraudolente va subito eliminato senza rispondere o inoltrarlo. Nel caso in cui ci siano ulteriori dubbi, è sempre bene verificare accedendo direttamente al sito ufficiale dell’Agenzia delle Entrate, consultare la sezione “Focus sul phishing” e lì trovare aggiornamenti su campagne in corso e consigli di sicurezza. Per chiarimenti o segnalazioni, si possono inoltre contattare gli uffici territoriali competenti oppure utilizzare i canali ufficiali reperibili sul sito.

Nel caso in cui le credenziali SPID siano state compromesse, il primo step è quello di cambiare immediatamente la password mediante il gestore dell’identità. Dopodiché, si può segnalare l’evento al proprio Identity Provider SPID e alle autorità come Polizia Postale o CERT-PA, che andranno a monitorare gli eventuali accessi non autorizzati ai propri servizi online.