Identità Digitali a rischio: l’INPS vittima di campagne di smishing e furto dati

L’Agenzia per l’Italia Digitale (AgID) ha recentemente segnalato un’intensificazione delle campagne di smishing che sfruttano il tema dell’INPS per sottrarre dati personali ai cittadini. Queste campagne mirano a ottenere informazioni sensibili, successivamente utilizzate per creare false identità digitali SPID e rivendere i dati trafugati online.Oltre a vagliare le segnalazioni quotidiane provenienti dalle pubbliche amministrazioni –…

Data

Categoria

L’Agenzia per l’Italia Digitale (AgID) ha recentemente segnalato un’intensificazione delle campagne di smishing che sfruttano il tema dell’INPS per sottrarre dati personali ai cittadini. Queste campagne mirano a ottenere informazioni sensibili, successivamente utilizzate per creare false identità digitali SPID e rivendere i dati trafugati online.
Oltre a vagliare le segnalazioni quotidiane provenienti dalle pubbliche amministrazioni – con l’INPS in prima linea – e dai cittadini che riportano le attività sospette in corso, il CERT-AGID ha attivato un monitoraggio costante dedicato del fenomeno, avviando, laddove possibile, le procedure di takedown per richiedere ai registrar la rimozione immediata dei domini individuati e condividendo gli indicatori di compromissione (IoC) rilevati con le strutture pubbliche accreditate.
Nonostante gli sforzi congiunti con le strutture proposte, negli ultimi cinque anni le attività fraudolente si sono intensificate in modo significativo e, solo nei primi tre mesi del 2025, sono stati individuati 33 falsi domini INPS creati appositamente per sottrarre documenti di identità alle vittime.
I dati rubati possono essere utilizzati per diverse attività illecite, principalmente per il furto d’identità digitale (SPID) o per la vendita dei documenti nel dark web. Proprio riguardo a quest’ultima attività, il CERT-AGID ha rilevato la vendita online di documenti di cittadini italiani, completi di selfie, su un noto forum del deep web.
La notizia recentemente pubblicata dall’AgID in merito alla diffusione di campagne di smishing a tema INPS costituisce un importante punto di riflessione sullo stato attuale della sicurezza informatica e della protezione dei dati personali in Italia. L’episodio non solo evidenzia l’uso crescente di tecniche di ingegneria sociale da parte dei cybercriminali, ma mostra anche come gli strumenti digitali legati all’identità e ai servizi pubblici possano diventare obiettivi privilegiati per attività illecite.
Il fenomeno dello smishing, una forma di phishing veicolata tramite SMS, è ormai noto per la sua efficacia nel colpire utenti meno esperti o distratti, inducendoli a cliccare su link fraudolenti o a fornire informazioni riservate. Ciò che rende particolarmente insidiosa questa nuova ondata di attacchi è il riferimento all’INPS, un ente che evoca immediatamente un senso di ufficialità e urgenza, soprattutto per chi riceve comunicazioni relative a prestazioni assistenziali o pensionistiche. Il meccanismo sfrutta quindi il contesto psicologico e la fiducia nelle istituzioni pubbliche per carpire dati personali, come il numero di telefono, il codice fiscale, credenziali SPID, o altre informazioni utili alla creazione di un’identità digitale fasulla.
Una volta ottenute queste informazioni, i criminali le utilizzano per generare SPID falsi o accedere ad account legittimi, e successivamente vendere tali dati nel mercato nero online. Questa dinamica non rappresenta solo una violazione della privacy individuale, ma costituisce anche una minaccia sistemica all’integrità dell’identità digitale e, di conseguenza, al corretto funzionamento dei servizi pubblici digitali. L’identità digitale è oggi uno strumento cruciale per l’accesso a una vasta gamma di servizi pubblici e privati, ed è quindi evidente quanto sia pericoloso un suo uso fraudolento.
Dal punto di vista giuridico e normativo, l’incidente richiama l’attenzione su diversi aspetti rilevanti del Regolamento Generale sulla Protezione dei Dati (GDPR), in particolare sull’obbligo di garantire un trattamento sicuro dei dati personali e di adottare misure tecniche e organizzative adeguate per prevenire accessi non autorizzati. L’uso di tecniche di ingegneria sociale per ottenere illecitamente dati personali evidenzia una delle falle più difficili da prevenire: il fattore umano. Anche in presenza di sistemi informatici robusti, la disattenzione o la mancata formazione degli utenti può rappresentare un punto debole fatale.
La comunicazione dell’AgID, che collabora con il CERT-AgID (Computer Emergency Response Team), mostra l’importanza della sinergia istituzionale tra enti che si occupano di sicurezza cibernetica e protezione dei dati. Tuttavia, essa non può prescindere dall’attuazione di campagne di sensibilizzazione capillari, rivolte non solo agli operatori del settore pubblico e privato, ma anche e soprattutto ai cittadini. Occorre infatti rendere le persone consapevoli dei pericoli legati all’uso disattento della propria identità digitale e fornire strumenti educativi per riconoscere le truffe e reagire tempestivamente.
Un ulteriore elemento di preoccupazione è rappresentato dalla possibilità che i dati trafugati vengano aggregati con altre fonti di informazioni già disponibili online, potenziando il rischio di furto d’identità, frodi bancarie o manipolazione di profili sociali e professionali. Le implicazioni, dunque, non sono solo personali, ma anche collettive: la sicurezza dell’identità digitale è infatti una condizione indispensabile per la fiducia nei servizi digitali pubblici e privati.
Le istituzioni devono inoltre interrogarsi sull’efficacia degli strumenti attuali di autenticazione e sulla necessità di potenziare i meccanismi di sicurezza. In particolare, l’adozione obbligatoria di sistemi di autenticazione a più fattori per l’accesso ai servizi sensibili, l’implementazione di tecnologie di monitoraggio degli accessi anomali e la possibilità di revocare tempestivamente identità digitali compromesse sono alcune delle misure che possono rafforzare il sistema. Anche l’introduzione di strumenti di intelligenza artificiale per il rilevamento automatico di pattern sospetti nei flussi di autenticazione può fornire un supporto rilevante.
Inoltre, il fenomeno solleva questioni etiche sul ruolo delle piattaforme di telecomunicazione e dei fornitori di servizi digitali nel prevenire e contrastare il fenomeno. Questi soggetti devono essere coinvolti nella costruzione di un ecosistema di cybersicurezza integrato, attraverso l’adozione di filtri anti-smishing, la condivisione di intelligence tra operatori e istituzioni, e la collaborazione nelle attività di incident response.
In conclusione, la notizia diffusa da AgID rappresenta un segnale d’allarme da non sottovalutare. La minaccia della sottrazione di identità digitale tramite smishing non è episodica, ma sistemica. È quindi essenziale che le misure reattive e preventive siano coordinate, sostenute da una normativa chiara e applicata con rigore, e accompagnate da un’opera continuativa di educazione digitale. Solo così sarà possibile garantire una protezione effettiva dei dati personali, preservare l’integrità dell’identità digitale e salvaguardare la fiducia dei cittadini nelle infrastrutture digitali dello Stato.

Leggi anche

Articoli correlati selezionati per te