Il fisco digitale diventa la nuova frontiera del crimine informatico. Nelle ultime settimane è stata segnalata una campagna di phishing particolarmente aggressiva e strutturata che sfrutta l’immagine del fisco italiano. Il gancio utilizzato dai malintenzionati è una mail truffa dell’Agenzia delle Entrate che invita i contribuenti a verificare e dichiarare il possesso di valute digitali. La scelta del tema non è affatto casuale: le rendite finanziarie derivanti da questi asset sono soggette a rigidi obblighi fiscali e i truffatori fanno leva proprio sui timori di sanzioni per indurre le vittime a cedere informazioni sensibili, fino a svuotare i conti correnti.
La trappola del portale fake e il finto controllo patrimoniale
Tutto inizia con un messaggio di posta elettronica che mostra loghi, grafiche e indirizzi apparentemente identici a quelli istituzionali, chiedendo una dichiarazione obbligatoria sui cripto-asset sotto la minaccia di scadenze imminenti. Cliccando sul link interno, l’utente viene reindirizzato su un sito civetta che riproduce fedelmente il portale dell’Anagrafe tributaria. All’interno di questa pagina, all’utente viene richiesto di inserire il codice fiscale e il numero di cellulare.
Subito dopo compare la dicitura “In attesa di verifica patrimoniale”. Il sistema fraudolento chiede poi se si posseggano wallet digitali: in caso positivo, esige dati sulle piattaforme di scambio e sul valore del portafoglio; in caso negativo, domanda il nome della banca e il saldo del conto corrente. Al termine, il portale simula un errore di sincronizzazione, prospettando accertamenti fiscali o il blocco cautelativo dei beni.
Dal phishing al vishing: l’inganno telefonico dell’Ufficio Verifiche
La vera e propria svolta criminale di questa mail truffa dell’Agenzia delle Entrate si consuma nell’ultima fase. Per sbloccare la finta anomalia, il sito invita la vittima a contattare urgentemente un inesistente “Ufficio Verifiche di Milano”. Spaventati dalle possibili ripercussioni legali, i cittadini telefonano direttamente ai cybercriminali cadendo nella trappola del vishing (il phishing vocale).
Dall’altro capo del telefono, finti operatori istruiscono l’utente per farsi consegnare codici di sicurezza, chiavi d’accesso bancarie o disporre pagamenti immediati. I dati personali così sottratti finiscono nei circuiti del mercato nero digitale per essere rivenduti o usati per furti d’identità. L’Agenzia delle Entrate ha confermato la propria totale estraneità a tali messaggi, ricordando che le comunicazioni ufficiali avvengono solo tramite PEC o raccomandata con ricevuta di ritorno, e ha invitato a cestinare immediatamente ogni email sospetta.