Una campagna di phishing sulla tessera sanitaria circola in Italia con email e Sms che imitano i canali istituzionali. Il CERT-AgID l’ha individuata e ha rilevato link a siti clonati predisposti per raccogliere dati personali, sensibili e informazioni di pagamento. Il ministero della Salute ha invitato a non cliccare sui collegamenti sospetti: «si tratta di una campagna di phishing finalizzata a sottrarre dati personali e sensibili. Non si tratta di comunicazioni ufficiali».
Secondo le ricostruzioni del dicastero e del CERT-AgID, i messaggi – diffusi via mail o Sms – annunciano una presunta sostituzione obbligatoria della tessera e offrono un link a pagine che riproducono la grafica delle piattaforme istituzionali. Agli utenti viene chiesto di compilare moduli online con numerosi campi, inclusi dati di pagamento. In più varianti compare un avviso secondo cui la mancata sostituzione potrebbe portare alla progressiva disattivazione della tessera e a limitazioni nell’accesso ai servizi sanitari: per gli specialisti questa formula costituisce l’elemento di pressione utilizzato per spingere a procedere.
Come riconoscere i messaggi e cosa contengono
Il ministero ha ricordato che non invia comunicazioni con link per il rinnovo della tessera sanitaria e non richiede l’inserimento di dati personali tramite moduli non istituzionali. Ha inoltre precisato: «La tessera sanitaria ha una validità di sei anni» e, alla scadenza, «viene inviata automaticamente all’indirizzo di residenza del cittadino interessato». In altre parole, l’eventuale sostituzione non si attiva tramite link ricevuti via posta elettronica o Sms, ma segue canali ufficiali già previsti.
Nei casi di smarrimento o furto, il ministero indica di non avviare procedure attraverso link esterni: occorre presentare denuncia alle autorità competenti e utilizzare esclusivamente i canali ufficiali, come il sito dell’Agenzia delle Entrate. Le autorità richiamano inoltre l’attenzione sull’indirizzo del mittente e sul dominio delle pagine collegate, che nei tentativi di truffa spesso imitano ma non coincidono con i siti istituzionali.
Indicazioni pratiche segnalate dalle autorità:
– non cliccare sui link contenuti in mail o Sms sospetti;
– non fornire dati personali, sensibili o finanziari su moduli non istituzionali;
– cancellare i messaggi fraudolenti e, se possibile, bloccare il mittente;
– verificare ogni comunicazione confrontandola con le informazioni pubblicate sui canali ufficiali del ministero o dell’Agenzia delle Entrate;
– inviare eventuali segnalazioni tecniche al CERT-AgID all’indirizzo dedicato.
Diffusione, rischi e canali di segnalazione
Il ministero della Salute ha pubblicato un avviso sul proprio sito istituzionale e invita i cittadini a consultare i canali ufficiali per conferme e chiarimenti. Il CERT-AgID ha confermato l’attività di monitoraggio e ha messo a disposizione indicazioni per le segnalazioni tecniche. Per contatti e segnalazioni operative è attivo l’indirizzo info@cert-agid.gov.it, da utilizzare allegando, se possibile, i messaggi ricevuti e gli elementi utili all’analisi (senza aprire o visitare i link sospetti).
Resta valido il principio ribadito dal ministero: la sostituzione o il rinnovo della tessera sanitaria non si avvia da link ricevuti via posta o Sms, ma procede tramite i canali istituzionali già previsti, con spedizione automatica alla scadenza all’indirizzo di residenza. Il CERT-AgID mantiene la sorveglianza sulla campagna e raccoglie le segnalazioni direttamente a info@cert-agid.gov.it.
