Phishing tessera sanitaria: €6,39 per rubare identità

Il CERT-AGID ha pubblicato oggi, 30 giugno 2026, il dettaglio di campagne di phishing attive che impersonano il Ministero della Salute per rubare dati personali e carte di credito. Gli attaccanti usano la presunta sostituzione obbligatoria della tessera sanitaria come pretesto, calibrando l'importo richiesto a un livello psicologicamente irrisorio per abbassare le difese della vittima. La campagna è in corso: il CERT ha richiesto la dismissione dei domini malevoli, con esito positivo nella maggior parte dei casi.

Il funnel a tre step: dal modulo anagrafico alla carta di credito

Il CERT-AGID descrive un percorso di conversione strutturato in tre fasi successive. Nella prima, la vittima atterra su un sito che richiede nome, cognome, codice fiscale o documento di identità, numero di telefono e indirizzo di spedizione alternativo. La seconda fase presenta un riepilogo formale con costi dettagliati: €2,50 produzione, €0,99 gestione e €2,90 spedizione, ognuno con la propria voce specifica. La terza richiede l'inserimento dei dati completi della carta di credito.

La progressione è studiata per costruire fiducia attraverso la forma. Il riepilogo con voci separate non serve a giustificare l'importo, ma a legittimare l'operazione: la granularità simula la trasparenza amministrativa. Il CERT-AGID nota esplicitamente che l'importo contenuto è "una scelta deliberata" per abbassare le difese dell'utente.

La leva dei €6,39: psicologia del micropagamento istituzionale

"L'importo contenuto è una scelta deliberata: abbassa le difese dell'utente, rendendo il pagamento percepito come trascurabile e non valevole di molta attenzione."

Il meccanismo non è nuovo, ma la sua applicazione a un pretesto sanitario è specifico della campagna documentata. Gli attaccanti hanno frazionato il costo in tre voci per evitare la soglia di allerta che un importo singolo, anche identico, potrebbe innescare. Il riferimento a Poste Italiane per la spedizione aggiunge un elemento di familiarità nazionale.

La pagina di pagamento include la dichiarazione "Pagamento 100% sicuro. I tuoi dati sono protetti con crittografia SSL" — una formula che il CERT-AGID riporta testualmente come presente nei siti fraudolenti. La menzione della SSL funziona come sigillo di autenticità per utenti non tecnici, pur non garantendo alcuna protezione reale contro l'esfiltrazione verso server controllati dagli attaccanti.

La verosimiglianza istituzionale: quando il Ministero della Salute non lo è

Oltre all'importo, la campagna investe nella replica grafica. I siti riproducono logo e colori istituzionali del Ministero della Salute, includono FAQ espandibili con risposte plausibili, e assegnano falsi numeri di protocollo con date di aggiornamento verosimili. Il pretesto narrativo è la sostituzione obbligatoria della tessera sanitaria "a partire dal 2026" per un "nuovo sistema elettronico di identificazione sanitaria", con riferimento fittizio a gennaio 2023 come termine per le tessere da sostituire.

Il CERT-AGID non descrive tecniche di evasion infrastrutturali sofisticate. La qualità della campagna risiede nel social engineering, non nell'ingegneria del malware o nell'occultamento del traffico. I domini sono stati dismessi su richiesta del CERT presso i registrar, con esito positivo nella maggior parte dei casi: la formula suggerisce che almeno una porzione resti attiva al momento della pubblicazione.

Cosa fare adesso

Per chi ha ricevuto comunicazioni sulla presunta sostituzione della tessera sanitaria, il primo controllo è verificare che il Ministero della Salute non richieda mai pagamenti online per questo servizio. I cittadini iscritti di diritto al SSN devono sapere che la tessera sanitaria si rinnova automaticamente e gratuitamente tramite l'Agenzia delle Entrate: nessuna procedura a pagamento è prevista.

Chi ha già inserito dati in questi siti deve contattare immediatamente la propria banca per bloccare la carta di credito e segnalare l'incidente. Il CERT-AGID ha condiviso gli indicatori di compromissione (IoC) con enti accreditati attraverso canali istituzionali: le organizzazioni con accesso a questi canali possono verificare se i domini rientrano nei propri log di navigazione aziendale.

Il CERT-AGID ha richiesto la dismissione dei domini malevoli ai registrar, che hanno provveduto nella maggior parte dei casi. Resta tuttavia possibile che nuovi domini con identico schema vengano attivati: la campagna è in corso al momento della pubblicazione.

La truffa come prodotto: cronache da un singolo fonte

La campagna descritta dal CERT-AGID conferma una tendenza consolidata nel phishing italiano: i pretesti welfare e sanitari convertono meglio di altri perché attivano sia l'urgenza normativa sia la deferenza istituzionale. La novità tattica qui è la cura nel packaging amministrativo: non una mail spammata, ma un funnel multi-step che simula l'esperienza utente di un portale pubblico reale.

Il rischio per le aziende è indiretto ma concreto. Dipendenti che ricevono queste comunicazioni su dispositivi aziendali — magari su account email personali consultati in pausa — espongono dati di pagamento che possono essere riutilizzati in altri contesti o venduti in piattaforme di fraudolento. Il CERT-AGID ha informato gli enti interessati, ma il perimetro di "interessati" non è dettagliato nel dossier.

Il limite della documentazione è anche il suo merito: il CERT-AGID descrive ciò che può verificare, senza amplificare la minaccia oltre i fatti. Il risultato è un quadro tecnico utilizzabile per chi deve filtrare traffico o educare utenti, ma non una stima d'impatto scalare. In un campo dove i vendor di sicurezza tendono a gonfiare i numeri, la sobrietà istituzionale è essa stessa un dato.

Fonti

• https://cert-agid.gov.it/news/campagne-di-phishing-a-tema-sostituzione-tessera-sanitaria-in-corso/