Nuove campagne di phishing stanno sfruttando il nome dell’Agenzia delle Entrate per colpire utenti interessati al mondo delle criptovalute e, più in generale, cittadini in possesso di patrimoni finanziari. L’allarme arriva dal CERT-AGID, che ha individuato diverse operazioni fraudolente progettate per sottrarre informazioni sensibili attraverso siti web falsi, comunicazioni ingannevoli e tecniche di vishing. Gli attaccanti utilizzano loghi istituzionali, grafica ufficiale e riferimenti fiscali credibili per convincere le vittime a fornire dati patrimoniali, dettagli bancari e informazioni relative a wallet ed exchange crypto. La campagna più recente, rilevata il 19 giugno 2026, mostra un livello di sofisticazione superiore rispetto alle tradizionali truffe online grazie a un flusso adattivo che modifica le richieste in base alle risposte dell’utente e culmina in una fase telefonica studiata per aumentare la pressione psicologica.
Cosa leggere
CERT-AGID individua nuove campagne di phishing a tema criptovalute
Le attività monitorate dal CERT-AGID sfruttano la crescente attenzione normativa verso il settore delle criptovalute per costruire scenari credibili agli occhi delle vittime. I messaggi fraudolenti richiamano presunti obblighi fiscali relativi ai crypto-asset e fanno riferimento a verifiche patrimoniali, controlli automatici e imminenti scadenze amministrative. L’obiettivo è creare un forte senso di urgenza che spinga l’utente ad agire rapidamente senza effettuare controlli approfonditi. Gli attaccanti replicano fedelmente il logo, la grafica e il linguaggio istituzionale dell’Agenzia delle Entrate, aumentando così il livello di fiducia percepito. Alcune campagne sono focalizzate esclusivamente sulla raccolta di informazioni riguardanti wallet ed exchange, mentre altre estendono il raggio d’azione ai conti correnti tradizionali e ad altri dati patrimoniali. In tutti i casi il denominatore comune è l’abuso dell’identità dell’amministrazione fiscale italiana per ottenere informazioni che possono successivamente essere utilizzate in attività fraudolente o vendute all’interno di circuiti criminali.
Il sito falso simula una verifica fiscale in corso
La campagna individuata il 19 giugno utilizza un sito web che riproduce in modo estremamente accurato il portale dell’Agenzia delle Entrate. Nella prima fase viene richiesto l’inserimento del codice fiscale e del numero di telefono cellulare. Dopo aver compilato il modulo, la vittima viene reindirizzata a una nuova schermata nella quale il codice fiscale compare già precompilato e viene mostrato uno stato indicato come “In attesa di verifica patrimoniale”.
Questo passaggio è studiato per far credere all’utente che una procedura amministrativa sia già stata avviata e che le autorità dispongano già delle sue informazioni personali. La simulazione di una pratica fiscale esistente rappresenta un potente strumento di manipolazione psicologica perché induce la vittima a percepire l’interazione come legittima e inevitabile. A questo punto il sito prosegue con una serie di domande progettate per raccogliere dettagli finanziari e patrimoniali sempre più specifici.
Il modulo si adatta alle risposte della vittima
Uno degli aspetti più sofisticati dell’operazione riguarda la natura dinamica del modulo utilizzato dagli attaccanti. Il sistema modifica infatti le domande successive in base alle risposte fornite dall’utente. Se la vittima dichiara di utilizzare wallet o exchange di criptovalute, vengono richiesti il nome della piattaforma utilizzata, la data dell’ultimo deposito effettuato e una stima del valore complessivo degli asset detenuti. Se invece l’utente dichiara di non possedere criptovalute, il flusso cambia direzione e vengono richiesti dettagli sul conto corrente bancario, inclusi il nome dell’istituto di credito e l’ultimo saldo disponibile.
Questa struttura adattiva consente agli attaccanti di massimizzare la raccolta di dati indipendentemente dal profilo della vittima. La campagna non è quindi limitata agli investitori crypto ma si estende potenzialmente a qualsiasi cittadino in possesso di un conto bancario, ampliando enormemente la platea di possibili bersagli.
La minaccia di accertamenti fiscali aumenta la pressione psicologica
Dopo aver raccolto le informazioni richieste, il sito mostra una schermata che simula un errore di sincronizzazione con l’anagrafe tributaria. Il messaggio informa la vittima che i dati forniti non risultano coerenti con quelli presenti negli archivi fiscali e avverte della possibile emissione automatica di un avviso di accertamento. In alcuni casi viene addirittura evocato il rischio di un presunto blocco cautelativo degli asset, una formulazione studiata per generare allarme soprattutto tra chi possiede patrimoni digitali o investimenti finanziari. L’utilizzo di termini tecnici e riferimenti a procedure amministrative reali aumenta la credibilità della truffa e spinge molti utenti a cercare immediatamente una soluzione per evitare conseguenze economiche o fiscali. È proprio in questo momento che entra in gioco la seconda fase dell’operazione, quella basata sul contatto telefonico diretto.
Il vishing completa l’attacco e aumenta il rischio di frode
La schermata finale invita la vittima a contattare un numero telefonico presentato come appartenente a un presunto “Ufficio Verifiche di Milano”. Si tratta della fase di vishing, una tecnica che combina elementi di ingegneria sociale e comunicazione vocale per ottenere informazioni aggiuntive. L’utente, già preoccupato dalle minacce di accertamenti e blocchi patrimoniali, è più incline a fidarsi dell’interlocutore e a fornire dati sensibili.
Durante la conversazione i criminali possono richiedere ulteriori dettagli finanziari, codici di autenticazione, informazioni bancarie o persino convincere la vittima a effettuare bonifici o pagamenti fraudolenti. L’integrazione tra phishing web e vishing telefonico rende l’attacco particolarmente efficace perché sfrutta due canali differenti e aumenta la pressione psicologica attraverso un’interazione diretta con operatori apparentemente qualificati.
Le criptovalute diventano un tema ideale per le campagne fraudolente
Il successo di queste campagne è legato anche all’evoluzione del contesto normativo che riguarda gli asset digitali. Negli ultimi anni l’attenzione delle autorità fiscali verso le criptovalute è aumentata sensibilmente, rendendo credibili richieste che coinvolgono wallet, exchange e dichiarazioni patrimoniali. I criminali sfruttano questa situazione per costruire scenari verosimili che si inseriscono nelle preoccupazioni reali degli utenti. Chi possiede criptovalute teme infatti possibili errori dichiarativi o controlli fiscali, mentre chi non le possiede può comunque essere indotto a credere di essere coinvolto in verifiche patrimoniali generiche. La flessibilità della campagna consente quindi agli attaccanti di adattarsi rapidamente a profili differenti mantenendo elevata la probabilità di successo.
CERT-AGID e Agenzia delle Entrate intervengono contro i domini malevoli
Dopo aver identificato la campagna, il CERT-AGID ha avviato le procedure di contrasto richiedendo la dismissione dei domini utilizzati per le attività fraudolente. L’Agenzia delle Entrate è stata informata dell’abuso della propria immagine istituzionale e sono stati condivisi gli Indicatori di Compromissione (IoC) con gli enti accreditati ai feed di intelligence gestiti dal CERT. Le informazioni tecniche raccolte consentono agli operatori di sicurezza di identificare rapidamente eventuali ulteriori infrastrutture collegate alla campagna e di aggiornare strumenti di monitoraggio, filtri DNS e piattaforme di protezione aziendale. La diffusione degli IoC rappresenta una componente essenziale della risposta coordinata poiché permette di ridurre la finestra operativa a disposizione degli attaccanti.
Le campagne evolvono e combinano più tecniche di ingegneria sociale
L’operazione individuata dal CERT-AGID evidenzia una tendenza sempre più evidente nel panorama delle minacce informatiche: l’abbandono delle campagne statiche a favore di attacchi multicanale altamente personalizzati. Gli autori non si limitano più a inviare email o creare siti falsi, ma costruiscono percorsi dinamici che raccolgono informazioni progressive e culminano in contatti diretti con le vittime. L’uso combinato di phishing, vishing, loghi istituzionali, riferimenti fiscali e moduli adattivi aumenta notevolmente l’efficacia dell’ingegneria sociale. Questa evoluzione rende fondamentale mantenere alta l’attenzione nei confronti di comunicazioni che richiedono dati personali, patrimoniali o finanziari, soprattutto quando fanno leva su presunte urgenze amministrative. Il caso dimostra come le campagne moderne siano progettate per apparire sempre più realistiche e come la protezione degli utenti richieda una combinazione di monitoraggio tecnico, consapevolezza e collaborazione tra istituzioni e operatori della sicurezza.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
