CERT-AGID: 131 campagne in Italia, PagoPA e INPS nel mirino

CERT-AGID: 131 campagne in Italia, PagoPA e INPS nel mirino

Nel periodo 9-15 maggio 2026 il CERT-AGID ha rilevato 131 campagne malevole in Italia, distribuendo 1.382 indicatori di compromissione agli enti accreditati. Rispetto alla settimana precedente, quando erano state contate 116 campagne con 854 IoC, il dato segna un'escalation del 13% nel numero di operazioni e un incremento superiore al 60% degli indicatori distribuiti. La combinazione di phishing istituzionale su multe PagoPA, smishing INPS e dieci famiglie malware attive mostra una fase di intensificazione che colpisce cittadini e potenziali infrastrutture.

131 campagne malevole rilevate in Italia nel periodo 9-15 maggio 2026, con 1.382 indicatori di compromissione distribuiti agli enti accreditati.

Phishing istituzionale: PagoPA e Agenzia delle Entrate come esca

Il vettore più massiccio della settimana è il phishing a tema multe PagoPA: il CERT-AGID conta 24 campagne italiane che inviano email fingendo richieste di pagamento per sanzioni stradali non saldate. I messaggi sfruttano il nome e la grafica istituzionale di PagoPA per indurre il ricevente a cliccare link malevoli o a inserire dati sensibili su pagine contraffatte. In parallelo, emerge una nuova campagna che impersona l'Agenzia delle Entrate promettendo un falso rimborso per la dichiarazione dei redditi 2025: l'obiettivo è il furto dei dati della carta di credito.

Entrambe le operazioni confermano una strategia mirata ai servizi pubblici digitali italiani, dove la familiarità dell'utente con il brand abbassa la guardia percettiva. Il rischio non si limita al singolo furto di credenziali, ma si estende alla raccolta di dati personali utilizzabili in attacchi successivi o per frodi di identità. L'assenza di exploitation tecnica avanzata nei report CERT-AGID conferma che l'efficacia dell'attacco risiede quasi interamente nell'ingegneria sociale e nella qualità del mascheramento visivo.

Smishing e banking: 34 campagne tra INPS e istituti di credito

Il CERT-AGID segnala 17 campagne di phishing bancario e altrettante di smishing che impersonano l'INPS. Gli attacchi di smishing sono stati realizzati sfruttando la piattaforma PhaaS Darcula, un servizio di phishing-as-a-service che consente di orchestrare campagne su larga scala senza che l'attaccante gestisca direttamente l'infrastruttura di hosting e invio. I messaggi SMS fingono comunicazioni istituzionali e reindirizzano verso pagine di raccolta credenziali o dati personali.

Le 17 campagne banking confermano un interesse per i conti correnti, con tecniche di ingegneria sociale che riproducono allerte di sicurezza o richieste di verifica dell'identità. Non risulta, dai dati del CERT-AGID, che le campagne sfruttino vulnerabilità zero-day nei sistemi bancari: il punto di ingresso resta il fattore umano. La piattaforma Darcula, citata dal CERT-AGID come strumento per le campagne INPS, non risulta sviluppata o gestita in Italia. La scalabilità offerta da servizi PhaaS permette di raggiungere migliaia di vittime in poche ore, aumentando le probabilità di successo.

Dieci famiglie malware attive: FormBook, Remcos e XWorm in testa

La settimana ha visto l'attività di dieci famiglie malware diverse: FormBook, Remcos, XWorm, AgentTesla, RelayNFC, TrickMo, Guloader, PhantomStealer, Grandoreiro e Lokibot. La distribuzione avviene principalmente tramite allegati email camuffati da documenti ufficiali, spesso contenuti in archivi compressi con estensioni ZIP, 7Z, GZ, RAR o in formati come JS, XLS e XLAM. Una volta aperti, i payload installano infostealer o Remote Access Trojan capaci di rubare credenziali, documenti d'identità e dati di navigazione.

La presenza simultanea di così tante famiglie in una sola settimana indica non un'operazione monolitica, ma un ecosistema frammentato di attori che acquistano, personalizzano e rilanciano toolkit già disponibili sul mercato criminale. Questa varietà complica il lavoro dei difensori, che devono gestire firme, comportamenti e comunicazioni di comando e controllo differenti per ogni ceppo. Per le aziende, questo si traduce in una maggiore pressione sui sistemi di endpoint detection, che devono aggiornare rapidamente le firme per coprire l'intero spettro di minacce attivo.

Trend in crescita: +13% campagne e oltre 1.300 IoC in sette giorni

Il confronto con la settimana precedente (2-8 maggio 2026) rende la progressione evidente: le campagne totali sono passate da 116 a 131, con un incremento del 13%, mentre gli IoC distribuiti sono saliti da 854 a 1.382, registrando un balzo superiore al 60%. Nella rilevazione precedente il CERT-AGID aveva contato 78 campagne italiane e 38 generiche, con 12 famiglie malware attive. L'incremento degli indicatori di compromissione suggerisce che gli attori stiano diversificando infrastrutture, domini e hash per sfuggire ai filtri di sicurezza.

Non è noto il numero effettivo di vittime o l'entità del danno economico, ma la crescita quantitativa è un segnale oggettivo di escalation. Il passaggio da 12 a 10 famiglie malware attive non indica una riduzione della varietà, ma una diversa distribuzione temporale dei toolkit criminali.

Nello stesso arco temporale, il panorama globale registra il rilascio di patch critiche per vendor come Ivanti, Fortinet, SAP, VMware e n8n, oltre alla vulnerabilità Ollama CVE-2026-7482, ribattezzata Bleeding Llama, che consente il leak remoto della memoria di processo su circa 300.000 server esposti. Sebbene non risulti alcuna connessione diretta tra queste falle e le campagne italiane rilevate dal CERT-AGID, la concentrazione simultanea di vulnerabilità critiche aumenta la superficie di attacco complessiva anche per le infrastrutture nazionali.

Cosa fare adesso

• Verificare il mittente istituzionale di ogni email relativa a PagoPA, INPS o Agenzia delle Entrate e accedere ai servizi solo digitando manualmente l'URL ufficiale, senza cliccare link diretti.
• Rifiutare il download di allegati inattesi, in particolare archivi compressi o fogli elettronici con estensioni come ZIP, 7Z, GZ, RAR, JS, XLS e XLAM, che possono nascondere payload malware.
• Segnalare SMS sospetti che impersonano INPS attraverso i canali ufficiali dell'ente, evitando di rispondere o di cliccare su eventuali link inseriti nel messaggio.
• Gli enti accreditati presso il CERT-AGID devono integrare gli 1.382 IoC distribuiti nella settimana del 9-15 maggio nei sistemi di rilevamento e verificare l'assenza di comunicazioni con i domini e gli hash indicati.

La crescita misurabile del 13% delle campagne e il balzo superiore al 60% degli indicatori di compromissione suggeriscono che gli attori della minaccia stiano ampliando le infrastrutture di attacco, non solo i target. L'uso massiccio di brand istituzionali italiani come PagoPA e INPS indica una raccolta di intelligence precedente sui servizi pubblici digitali. In questo scenario, la distinzione tra utente finale e infrastruttura nazionale si assottiglia: ogni credenziale rubata o ogni malware installato può diventare il punto di ingresso per movimenti laterali più ampi.

Domande frequenti

Che cosa sono gli IoC distribuiti dal CERT-AGID?

Sono indicatori di compromissione, come hash di file, URL malevoli o indirizzi IP sospetti, che il CERT-AGID mette a disposizione degli enti accreditati per rilevare attività malevole nei propri sistemi. Nel periodo 9-15 maggio 2026 ne sono stati distribuiti 1.382.

Perché le campagne smishing INPS usano la piattaforma Darcula?

Darcula è una piattaforma PhaaS (Phishing-as-a-Service) che consente di orchestrare campagne di smishing su larga scala senza gestire direttamente l'infrastruttura tecnica. Il CERT-AGID ne segnala l'utilizzo in 17 campagne italiane a tema INPS.

Qual è la differenza tra campagne italiane e generiche?

Le 96 campagne italiane sono caratterizzate da temi, brand o destinatari specifici del territorio nazionale, mentre le 35 generiche rientrano in flussi malevoli più ampi ma rilevati ugualmente nel traffico italiano.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-9-15-maggio/
• https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-maggio/
• https://thehackernews.com/2026/05/ivanti-fortinet-sap-vmware-n8n-patch.html
• https://thehackernews.com/2026/05/ollama-out-of-bounds-read-vulnerability.html