Il CERT-AGID ha identificato una campagna di phishing contro l’Agenzia delle Entrate che sfrutta la crescente attenzione verso le dichiarazioni fiscali sulle criptovalute per rubare dati personali e accessi ai wallet digitali. La minaccia, riscontrata il 5 novembre 2025, è stata inclusa nella sintesi settimanale delle campagne malevole in Italia relativa al periodo 1–7 novembre 2025, confermando la persistenza di attività fraudolente mirate a sfruttare temi fiscali e crypto. Gli attaccanti hanno diffuso una pagina fraudolenta denominata “Dichiarazione Fiscale Criptovalute”, utilizzando il logo e l’immagine istituzionale dell’Agenzia delle Entrate per guadagnare credibilità. Il sito replica il linguaggio grafico dei portali ufficiali, inserendo anche riferimenti al GDPR e sezioni FAQ per rafforzare la percezione di legittimità. Attraverso moduli progressivi, gli utenti sono indotti a fornire nome, cognome, codice fiscale, email, numero di telefono e successivamente screenshot dei propri wallet crypto insieme a dettagli finanziari. La fase finale del flusso prevede l’importazione di transazioni su blockchain Solana ed Ethereum o il collegamento diretto del wallet, che consente ai criminali di assumere il controllo degli asset digitali delle vittime. Il CERT-AGID ha notificato l’incidente all’ente coinvolto e ha richiesto al registrar la dismissione immediata del dominio malevolo, mentre gli indicatori di compromissione (IoC) sono stati diffusi in formato JSON per permettere alle organizzazioni accreditate di integrare rapidamente le difese nei propri sistemi.
Cosa leggere
Descrizione della campagna phishing
La pagina fraudolenta creata dagli attaccanti simula perfettamente la struttura dei portali fiscali italiani, includendo sezioni informative e un linguaggio burocratico coerente con quello ufficiale. L’utente, convinto di trovarsi su un sito autentico dell’Agenzia delle Entrate, viene guidato attraverso una sequenza di passaggi che alternano raccolta di dati personali e richieste di caricamento file.
Il primo modulo richiede le informazioni anagrafiche di base, seguito da campi per codice fiscale, indirizzo email e numero di telefono. La seconda sezione introduce un modulo per caricare screenshot dei portafogli crypto, apparentemente necessari per la “verifica di conformità fiscale”. La terza e ultima sezione invita a collegare il wallet Solana o Ethereum, oppure ad autorizzare l’importazione delle transazioni, momento in cui gli aggressori ottengono il pieno controllo dei fondi.
L’intero processo è orchestrato secondo una logica di social engineering avanzato, che sfrutta urgenze fiscali fittizie per indurre l’utente all’azione immediata. Le pagine includono frasi che richiamano “scadenze per la dichiarazione crypto” o “verifiche obbligatorie sui wallet”, elementi studiati per generare pressione psicologica.
Metodi di diffusione e vettori di attacco
Il CERT-AGID non ha specificato nel dettaglio i canali di diffusione, ma analisi comparate con campagne precedenti indicano una probabile distribuzione tramite email di phishing, SMS e post sui social network. I messaggi contenevano link diretti alla pagina fraudolenta, registrata su domini temporanei creati appositamente per la campagna.
Tali domini, spesso registrati poche ore prima della diffusione del phishing, vengono rapidamente dismessi dopo la segnalazione alle autorità. Le infrastrutture sfruttate utilizzano server effimeri e indirizzi IP multipli, elementi ricorrenti nelle operazioni di cybercrime italiane. Il CERT-AGID ha condiviso gli IoC collegati — IP, hash, URL e stringhe — attraverso il file phishing_AdE_05-11-2025.json, disponibile per i partner accreditati. I dati raccolti sono compatibili con campagne simili osservate nel 2024, che utilizzavano temi fiscali e blockchain come leva di credibilità. L’assenza di un dominio ufficiale gov.it, unita a richieste di connessione diretta con wallet crypto, costituisce il principale indicatore di falsificazione.
Impatto sulle vittime e rischi associati
Le vittime del phishing subiscono un furto completo di dati personali e finanziari. Il possesso di nome, cognome e codice fiscale consente ai criminali di realizzare frodi fiscali e furti d’identità, mentre email e telefono vengono riutilizzati in campagne di smishing e credential stuffing. Il caricamento di screenshot dei wallet crypto e dei dettagli finanziari fornisce informazioni precise sugli asset detenuti. Il collegamento diretto del wallet, presentato come “fase finale di verifica fiscale”, comporta la trasmissione delle chiavi private e quindi la sottrazione immediata dei fondi digitali. Il CERT-AGID evidenzia che l’Agenzia delle Entrate non richiede mai operazioni di importazione wallet o collegamenti a reti blockchain. Ogni comunicazione autentica avviene attraverso i canali istituzionali agenziaentrate.gov.it e io.italia.it. Le perdite subite dalle vittime sono irreversibili, poiché le transazioni su blockchain sono immutabili.
Azioni di contrasto del CERT-AGID
Dopo la rilevazione della campagna, il CERT-AGID ha informato tempestivamente l’Agenzia delle Entrate e il registrar del dominio fraudolento, ottenendone la rimozione entro poche ore. Il dominio e gli indirizzi IP associati sono stati inclusi negli indicatori di compromissione condivisi con i partner del network di difesa nazionale. Gli esperti di sicurezza hanno aggiornato i sistemi di firewall e SIEM per bloccare le connessioni ai domini sospetti e monitorare attività anomale compatibili con la campagna. Gli IoC in formato JSON permettono integrazioni automatizzate nei sistemi di rilevamento, rafforzando la risposta coordinata tra enti pubblici e privati. La campagna è stata classificata come spear-phishing tematico, categoria che unisce tecniche di ingegneria sociale e sfruttamento di eventi fiscali o economici. L’analisi del CERT-AGID suggerisce che la stessa infrastruttura potrebbe essere riutilizzata per altre frodi future, modificando soltanto i contenuti testuali o il tema dell’attacco.
Elementi di social engineering e analisi comportamentale
La forza della campagna risiede nell’efficace uso del social engineering. Gli attori malevoli hanno costruito una narrativa che unisce urgenza, autorità e legittimità apparente, tre elementi chiave per indurre l’errore umano. Il logo dell’Agenzia delle Entrate, le diciture “verifica fiscale obbligatoria” e i riferimenti normativi al GDPR generano fiducia nell’utente, mentre la struttura del sito — comprensiva di una sezione FAQ e di una guida passo-passo — replica fedelmente le logiche di un portale amministrativo. La campagna si differenzia da phishing generici per la profondità dell’interazione: l’utente non riceve un semplice link, ma partecipa a un processo articolato, convincente e apparentemente ufficiale.
Contesto settimanale e trend nazionale
La campagna AdE è stata una delle principali minacce attive in Italia nella settimana 1–7 novembre 2025, insieme a operazioni malware basate su RAT e ad attività di smishing bancario. Il CERT-AGID ha inserito il caso nel report riepilogativo settimanale, sottolineando la ricorrenza di frodi fiscali legate alle criptovalute e l’importanza della collaborazione tra enti pubblici e aziende private.
Le frodi fiscali restano tra le minacce più diffuse nel panorama nazionale, complicate dall’uso di tecnologie blockchain e dalla scarsa conoscenza delle procedure crypto-fiscali ufficiali. L’ente raccomanda agli utenti di verificare sempre i domini visitati, diffidare da comunicazioni che richiedono dati finanziari e segnalare ogni sospetto attraverso i canali di sicurezza dedicati.
