DeafNews
// 1 CRITICAL NELLE ULTIME 24H
Phishing

La truffa fiscale che imita lo Stato: phishing adattivo per crypto e conti

Published: Updated: By DeafSuite team 9 min read Phishing
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Il CERT-AGID ha rilevato campagne di phishing che abusano del nome dell'Agenzia delle Entrate per indurre vittime a dichiarare cripto-asset, con escalation verso

Il CERT-AGID ha rilevato campagne di phishing attive che abusano del nome, del logo e della grafica dell'Agenzia delle Entrate per indurre le vittime a dichiarare presunti cripto-asset digitali. Una campagna specifica, individuata in data odierna 19 giugno 2026, introduce un elemento tattico inedito: un flusso adattivo che si biforca tra raccolta di dati crypto e bancari, per poi trasformarsi in vishing attraverso una simulazione di errore tecnico. La posta in gioco è la credibilità delle istituzioni fiscali italiane e la sicurezza finanziaria dei cittadini esposti a tecniche di ingegneria sociale evolute.

Punti chiave
  • Il CERT-AGID ha rilevato diverse campagne di phishing attive che sfruttano il nome dell'Agenzia delle Entrate con pretesto normativo plausibile: la dichiarazione obbligatoria di cripto-asset.
  • Una campagna specifica del 19 giugno 2026 combina phishing e vishing con flusso adattivo: il modulo si biforca in base alla risposta della vittima, raccogliendo dati su wallet crypto o su conti bancari tradizionali.
  • Dopo l'invio del modulo, una schermata simula errore di sincronizzazione con minaccia di accertamento e presenta un numero telefonico per "Ufficio Verifiche di Milano", trasformando il phishing in vishing.
  • Il CERT-AGID ha richiesto la dismissione dei domini malevoli ai registrar, informato l'Agenzia delle Entrate e condiviso gli indicatori di compromissione con enti accreditati al proprio feed.

Il meccanismo della truffa: come funziona il flusso adattivo

La campagna individuata dal CERT-AGID in data odierna si distingue per una struttura interattiva che supera il modello statico del phishing tradizionale. Il punto di ingresso è un modulo fraudolento che richiede inizialmente codice fiscale e numero di telefono cellulare, dati che fungono da identificatori per personalizzare l'attacco successivo.

A questo punto interviene la biforcazione. Se la vittima dichiara di possedere cripto-asset, il modulo richiede informazioni sul wallet o exchange utilizzato, la data dell'ultimo deposito e il valore stimato del portafoglio. Se invece risponde negativamente, il percorso si sposta verso dati bancari tradizionali: istituto di credito e saldo del conto corrente. Questa state machine client-side rappresenta un livello di adattività che massimizza la raccolta di intelligence finanziaria in base al profilo esposto.

"Il flusso di attacco combina tecniche di phishing e vishing, adattandosi dinamicamente alle risposte fornite dalla vittima"
— CERT-AGID

Dal modulo alla telefonata: l'escalation verso il vishing

La transizione dal canale digitale a quello vocale è il tratto distintivo più pericoloso della campagna. Dopo che la vittima ha compilato e inviato il modulo, indipendentemente dal percorso scelto, il sistema presenta una schermata che simula un errore di sincronizzazione con i server dell'Agenzia delle Entrate. Il messaggio include una minaccia esplicita: avviso di accertamento e blocco cautelativo degli asset.

La schermata di errore presenta un numero di telefono per un presunto "Ufficio Verifiche di Milano". È in questo momento, come documenta il CERT-AGID, che il phishing si trasforma in vishing. La vittima, spinta dall'urgenza e dalla paura di conseguenze fiscali, compone il numero e entra in contatto con operatori umani che proseguono la raccolta di dati sensibili. Il passaggio a un interazione vocale supera i filtri di sicurezza automatizzati e sfrutta la capacità dell'essere umano di generare fiducia attraverso la voce.

Il dossier non specifica se il numero di telefono sia ancora attivo al momento della pubblicazione, né ne documenta l'effettiva collocazione geografica.

Azioni di remediation e limiti del dossier

Il CERT-AGID ha intrapreso tre linee di azione documentate. Ha richiesto la dismissione dei domini malevoli ai registrar competenti, ha informato l'Agenzia delle Entrate della problematica e ha condiviso gli indicatori di compromissione con gli enti accreditati al proprio feed. Queste azioni non equivalgono a una conferma di neutralizzazione della campagna: la dismissione richiesta non è verificabile come completata, e la natura distribuita dell'infrastruttura di attacco permette rapidi spostamenti su nuovi domini.

Il brief non documenta misure correttive specifiche per i potenziali obiettivi. Non emergono indicazioni su eventuali avvisi pubblici emessi autonomamente dall'Agenzia delle Entrate, né su campagne di sensibilizzazione coordinate. Il numero effettivo di vittime o tentativi riusciti rimane sconosciuto, così come l'entità economia dei danni subiti. L'identità degli attori threat, la loro eventuale appartenenza a gruppi strutturati o la loro collocazione geografica non sono oggetto di attribuzione nel dossier.

Cosa fare adesso

Per i cittadini che ricevono comunicazioni a tema fiscale, la verifica del dominio è il primo filtro: l'URL della campagna del 19 giugno 2026 non appartiene al dominio istituzionale agenziaentrate.gov.it. Il CERT-AGID non ha pubblicato l'indirizzo esatto, ma la logica di verifica resta valida per ogni contatto non richiesto.

Chi ha già inserito dati in un modulo sospetto deve considerare compromessi il codice fiscale e il numero di telefono forniti nel primo step. La biforcazione successiva del flusso adattivo espone a rischi differenziati: chi ha indicato wallet crypto deve monitorare movimenti non autorizzati su exchange e indirizzi segnalati; chi ha indicato dati bancari deve verificare estratti conto per operazioni anomale.

Il numero di telefono per l'"Ufficio Verifiche di Milano" va trattato come elemento di attacco, non come canale di assistenza. Il CERT-AGID ha documentato che questo passaggio vocale è progettato per raccogliere ulteriori dati sensibili, non per risolvere problemi tecnici.

Per le organizzazioni, il feed IoC del CERT-AGID è lo strumento di condivisione autorizzato: gli enti accreditati ricevono indicatori di compromissione verificati dall'ente governativo. L'iscrizione al feed richiede accreditamento formale presso il CERT-AGID.

Perché è importante

La campagna rilevata dal CERT-AGID segnala un'evoluzione tattica rilevante nel panorama del phishing italiano. L'ibridazione con il vishing attraverso un flusso adattivo riduce l'efficacia delle difese basate sul riconoscimento statico di template fraudolenti: il modulo non è un documento fisso, ma una state machine che reagisce alle scelte dell'utente. La simulazione di errore tecnico come ponte verso il canale vocale aggiunge un livello di plausibilità che sfrutta la familiarità dei cittadini con i malfunzionamenti dei servizi pubblici digitali.

Il pretesto normativo scelto — la dichiarazione di cripto-asset — si colloca in un tema reale dell'agenda politica italiana ed europea, aumentando la credibilità percepita dell'inganno. Il dossier non specifica se la dichiarazione di cripto-asset sia effettivamente obbligatoria in Italia; ciò che rileva è che i criminali abbiano costruito la campagna su un presupposto sufficientemente plausibile per indurre compliance nelle vittime.

Per le organizzazioni, l'elemento di maggior rilievo è l'esposizione dei dipendenti a tecniche di ingegneria sociale che raccolgono dati sia crypto che bancari. Questa intelligence finanziaria, se combinata con informazioni ottenute in altri contesti, può alimentare accessi non autorizzati o frodi aziendali. Il dossier non documenta casi di questo tipo, ma il meccanismo di raccolta ne rende teoricamente possibile il riutilizzo.

Domande frequenti

L'Agenzia delle Entrate è stata violata?

No. Il CERT-AGID documenta un abuso del nome, del logo e della grafica dell'Agenzia delle Entrate da parte di attori criminali, non una compromissione dei sistemi dell'istituzione. L'Agenzia è stata informata della problematica.

La dichiarazione di cripto-asset è realmente obbligatoria?

Il dossier riporta esclusivamente il pretesto utilizzato dai criminali. Non documenta lo stato normativo effettivo dell'obbligo di dichiarazione in Italia.

Il numero di telefono per l'"Ufficio Verifiche di Milano" è collegato a un vero ufficio?

Il brief non conferma alcun collegamento con un ufficio reale dell'Agenzia delle Entrate. Il numero è presentato nella schermata di errore simulata come elemento dell'escalation verso il vishing.

Il CERT-AGID ha classificato l'escalation verso il vishing tramite la schermata di errore come "un elemento di evoluzione tattica". In un contesto dove i cittadini sono abituati a interagire con portali pubblici imperfetti, la mimica del malfunzionamento tecnico diventa veicolo di fiducia invece che allarme. La sfida per le difese non è più riconoscere il falso, ma seguire il ragionamento adattivo di chi lo costruisce.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Per approfondire

  • Phishing bancario: l'evasione via IPv4-mapped IPv6
  • Il ThreatsDay Bulletin di giugno 2026: quando la chat condivisa di Claude
  • Infinite Campus: 137.123 email staff esposte da breach Salesforce

Fonti

Fonti e riferimenti
  1. cert-agid.gov.it