Il Cert-AgID ha individuato e segnalato una nuova campagna di phishing attiva in Italia che sfrutta la presunta scadenza della tessera sanitaria come leva psicologica per sottrarre dati personali ai cittadini. La minaccia è emersa l’8 gennaio 2026 e si inserisce in una tendenza ormai consolidata: l’uso di temi quotidiani e istituzionali per rendere le frodi digitali più credibili ed efficaci.
Le email fraudolente imitano in modo accurato le comunicazioni ufficiali del Sistema Tessera Sanitaria e del Ministero della Salute, utilizzandone loghi, colori e linguaggio formale. Il messaggio avvisa il destinatario di una scadenza imminente e invita ad agire con urgenza cliccando su un pulsante per il rinnovo, facendo leva su paura, disorientamento e senso di obbligo. Una volta cliccato il collegamento, la vittima viene reindirizzata verso un sito web malevolo che replica graficamente portali istituzionali, inducendo l’utente a inserire una grande quantità di informazioni sensibili, fondamentali per successive frodi di identità.
Cosa leggere
La campagna di phishing nel dettaglio
Secondo l’analisi tecnica diffusa dal Cert-AgID, le email arrivano da mittenti falsificati e sono progettate per superare i controlli automatici antispam. Il messaggio contiene un pulsante ben visibile con diciture come “Rinnova ora la tua tessera sanitaria”, studiato per spingere all’azione immediata.
Il reindirizzamento conduce a un dominio ingannevole, latesserasanitaria[.]com, che non ha alcun collegamento con i servizi pubblici italiani. Qui viene presentato un form strutturato in più passaggi che richiede:
nome e cognome,
data di nascita,
indirizzo di residenza completo,
numero di telefono,
indirizzo email.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
La raccolta sistematica di questi dati consente ai criminali di costruire profili di identità completi, sfruttabili per furti d’identità, frodi finanziarie, apertura di conti, truffe assicurative o ulteriori campagne di social engineering.
Il Cert-AgID ha analizzato il codice della pagina phishing, individuando script JavaScript dedicati alla cattura e all’esfiltrazione dei dati, inviati a server remoti localizzati all’estero. La campagna risulta massiva ma tematica, non mirata a singole vittime, e sfrutta liste di contatti precedentemente compromesse.
La risposta del Cert-AgID e delle istituzioni
L’intervento del Cert-AgID è stato immediato. Il Computer Security Incident Response Team nazionale ha:
richiesto la dismissione urgente del dominio malevolo,
diffuso indicatori di compromissione (IoC) alle organizzazioni accreditate,
informato il Ministero della Salute e il reparto sicurezza del Ministero dell’Economia e delle Finanze,
attivato il monitoraggio di eventuali varianti della campagna.
Parallelamente, le autorità hanno avviato le procedure con i registrar e i provider di hosting per limitare la diffusione della minaccia alla fonte, riducendo l’impatto su larga scala. Questo approccio coordinato rientra nella strategia nazionale di protezione delle infrastrutture critiche e dei cittadini contro le frodi digitali.
Perché questo phishing è particolarmente efficace
La campagna dimostra un’evoluzione significativa delle frodi informatiche in Italia. Non vengono sfruttate vulnerabilità tecniche, ma debolezze umane, attraverso una ingegneria sociale sofisticata. Il tema della sanità pubblica è percepito come urgente, legittimo e non rinviabile, soprattutto in un contesto in cui i cittadini sono abituati a comunicazioni digitali con la pubblica amministrazione.
La combinazione di urgenza artificiale, autorità percepita e assenza di competenze tecniche diffuse rende questo tipo di phishing estremamente pericoloso, soprattutto per le fasce più vulnerabili della popolazione.
I rischi concreti per le vittime
Le conseguenze per chi cade nella trappola non si limitano alla perdita di dati. I criminali possono utilizzare le informazioni raccolte per:
furti d’identità,
accessi fraudolenti a servizi online,
truffe bancarie e finanziarie,
abusi legati a servizi sanitari,
rivendita dei dati nel mercato underground.
Il Cert-AgID sottolinea che il danno può emergere anche a distanza di settimane o mesi, rendendo difficile per le vittime collegare l’abuso all’email iniziale.
Il ruolo del Cert-AgID nella difesa digitale nazionale
Il Cert-AgID rappresenta il punto di riferimento per la cybersecurity della pubblica amministrazione italiana. Opera in coordinamento con enti nazionali ed europei, monitora le minacce attive, analizza incidenti e diffonde bollettini di sicurezza per ridurre l’esposizione al rischio.
In questo caso, l’azione tempestiva ha permesso di contenere la diffusione della campagna e di aumentare il livello di consapevolezza, elemento fondamentale per contrastare il phishing, che resta una delle principali minacce informatiche nel panorama italiano.
FAQ
Il Sistema Tessera Sanitaria invia email per il rinnovo della tessera?
No. La tessera sanitaria non si rinnova tramite email e non vengono richiesti dati personali attraverso link inviati via posta elettronica.
Come riconoscere questo phishing?
Le email fanno leva su urgenza e scadenze imminenti, invitano a cliccare su link esterni e richiedono dati personali completi su siti che non appartengono ai domini ufficiali governativi.
Cosa fare se si è cliccato sul link o inserito i dati?
È necessario cambiare immediatamente le password, monitorare conti bancari e servizi online, e segnalare l’accaduto alle autorità competenti.
Qual è il ruolo del Cert-AgID in questi casi?
Il Cert-AgID individua le campagne di phishing, diffonde indicatori di compromissione, coordina la risposta nazionale e collabora con le istituzioni per ridurre l’impatto delle minacce cyber.
Perché il phishing sanitario è così diffuso?
Perché sfrutta temi sensibili e quotidiani, come la salute e i servizi pubblici, aumentando la probabilità che l’utente agisca senza verificare l’autenticità del messaggio.
