È stata individuata una nuova campagna di phishing che sfrutta in modo fraudolento nome e logo dell’Agenzia delle Entrate per sottrarre dati finanziari ai contribuenti. Le comunicazioni segnalano un presunto rimborso fiscale di €1.495,39 e invitano a cliccare su un link che rimanda al sito agenziaentrate-rimborsi[.]com, dove viene chiesto di selezionare la propria banca e inserire le credenziali di accesso.
Si tratta di un sito falso e pericoloso, attraverso il quale le informazioni immesse vengono inviate a un bot Telegram.
Come difendersi
- Non cliccare su link o allegati contenuti in email sospette.
- Non fornire mai credenziali bancarie o dati personali.
- Verificare sempre la fonte della comunicazione.
L’Agenzia delle Entrate ha dichiarato la propria totale estraneità alla campagna e invita i cittadini a consultare la sezione “Segnalazioni e approfondimenti – Focus sul phishing” del proprio sito istituzionale per maggiori informazioni. Si ricorda che il sito ufficiale dell’Agenzia delle Entrate è https://www.agenziaentrate.gov.it e non termina con “.com”.
Il consiglio del Commercialista – Michele Vito Falagario
Come commercialista, mi capita spesso di assistere clienti che cadono vittima di comunicazioni di phishing, in particolare quando queste imitano il tono e la grafica delle email ufficiali dell’Agenzia delle Entrate.
Si tratta di episodi sempre più frequenti e insidiosi, perché sfruttano la fiducia dei contribuenti nei confronti dell’Amministrazione finanziaria.
Per esperienza, posso dire che alcuni comportamenti semplici ma consapevoli aiutano a prevenire danni economici e furti di dati — non solo per i messaggi dell’Agenzia, ma anche per ogni altra comunicazione digitale che sembri “ufficiale”.
Controlla sempre il dominio
I siti istituzionali dell’Agenzia terminano con “gov.it“. Qualsiasi altra estensione (come .com, .net, .org) indica una comunicazione probabilmente falsa.
Verifica il canale di comunicazione
L’Agenzia non invia mai link diretti per rimborsi o per l’accesso a portali. Le comunicazioni autentiche si trovano esclusivamente:
- nell’area riservata del Cassetto fiscale,
- tramite PEC istituzionale,
- oppure tramite notifica cartacea ufficiale.
Analizza il tono e il linguaggio del messaggio
Le comunicazioni ufficiali sono scritte in modo formale e corretto. Email che usano toni urgenti (“clicca subito”, “rimborso immediato”) o contengono errori grammaticali sono quasi sempre tentativi di phishing.
Controlla i link prima di cliccare
Passa sempre il cursore sopra il link (senza cliccare): se non rimanda a “www.agenziaentrate.gov.it“, è un sito falso. Il sito ufficiale dell’Agenzia è solo: https://www.agenziaentrate.gov.it/portale/home
Consulta la sezione “Focus sul phishing”
In caso di dubbi, visita la pagina dedicata alle segnalazioni aggiornate: https://www.agenziaentrate.gov.it/portale/focus-sul-phishing/segnalazioni-e-approfondimenti
Aspetta prima di agire: la calma è la miglior difesa
Quando arriva una mail che promette un rimborso, la reazione istintiva è cliccare subito. È comprensibile, ma è proprio ciò che i truffatori si aspettano.
Fermati un momento: aspetta qualche ora o anche un giorno. Rileggendo a mente fredda, noterai spesso piccoli dettagli sospetti – un link strano, un tono troppo urgente, un errore nel testo – che rivelano la truffa.
Non temere di perdere tempo, le comunicazioni ufficiali dell’Agenzia hanno tempi di risposta ampi, anche di giorni o mesi. Meglio una pausa in più che un clic sbagliato.