Minacce informatiche mirate a istituzioni finanziarie
Negli ultimi mesi, il panorama della sicurezza informatica italiana ha registrato un aumento significativo delle campagne di phishing rivolte a due istituzioni fondamentali: l’Agenzia delle Entrate (AdE) e la Banca d’Italia. Questi attacchi sono stati identificati e analizzati dal CERT-AgID, il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, che ha evidenziato come i cybercriminali stiano sfruttando in modo sofisticato l’identità visiva e la reputazione di queste istituzioni per ingannare gli utenti. L’obiettivo primario è il furto di dati sensibili e, in particolare, l’accesso non autorizzato a wallet di criptovalute e conti correnti bancari. L’uso di domini e loghi simili a quelli ufficiali è una tecnica consolidata nel phishing, ma in questi casi si registra una particolare attenzione ai dettagli, con pagine web fasulle che replicano fedelmente l’aspetto dei siti istituzionali. Questo aumenta la probabilità che le vittime cadano nella trappola, sottolineando la necessità di una maggiore consapevolezza digitale da parte degli utenti.
Phishing e furto di criptovalute tramite Agenzia delle Entrate
La prima campagna individuata si concentra su un falso invito a compilare una dichiarazione fiscale relativa alle criptovalute, una tematica di crescente interesse e complessità normativa. Le email inviate appaiono come comunicazioni ufficiali dell’Agenzia delle Entrate, con domini che richiamano il nome dell’ente e un layout grafico molto simile a quello istituzionale. Tuttavia, il link presente conduce a un sito contraffatto che guida l’utente attraverso una serie di schermate nelle quali vengono richiesti dati personali come nome, cognome, codice fiscale, email, numero di telefono e persino screenshot del wallet di criptovalute. Inoltre, viene chiesto di fornire informazioni dettagliate sulla provenienza del capitale investito e sull’uso delle criptovalute, fino a richiedere l’importazione delle transazioni su reti blockchain come Solana o Ethereum o il collegamento diretto del wallet. Questa procedura, apparentemente tecnica e complessa, ha come unico scopo quello di ottenere le credenziali di accesso ai portafogli digitali, consentendo ai truffatori di sottrarre i fondi in criptovalute. Esperti di sicurezza, come quelli dell’Osservatorio Cybersecurity del Politecnico di Milano, sottolineano che l’Agenzia delle Entrate non richiede mai tali dati tramite email e che la comunicazione ufficiale avviene esclusivamente attraverso canali certificati. Questo rende fondamentale per i cittadini riconoscere segnali di allarme e adottare un atteggiamento prudente di fronte a richieste sospette.
Tentativi di furto dati bancari tramite Banca d’Italia
Parallelamente, è stata rilevata una seconda campagna di phishing che prende di mira i clienti della Banca d’Italia, con l’intento di sottrarre informazioni bancarie sensibili. Anche in questo caso, i truffatori utilizzano email che simulano comunicazioni ufficiali, facendo leva sulla fiducia riposta nell’istituto centrale e sulla paura di problemi legati ai conti correnti. Le email invitano gli utenti a cliccare su link che rimandano a pagine web contraffatte, progettate per sembrare quelle di Banca d’Italia, dove viene richiesto di inserire dati personali e credenziali di accesso al conto. Il fine ultimo è ottenere il controllo diretto sui conti correnti, con conseguenti prelievi fraudolenti o altre operazioni illecite. Secondo fonti come il CERT-AgID e il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), queste campagne si caratterizzano per la loro crescente sofisticazione e per l’uso di tecniche di ingegneria sociale che sfruttano la confusione e l’ansia degli utenti. La Banca d’Italia, da parte sua, ribadisce che non invia mai richieste di dati sensibili tramite email e invita a segnalare immediatamente qualsiasi comunicazione sospetta.
Strategie di prevenzione e consapevolezza digitale
La diffusione di queste campagne di phishing evidenzia come la sicurezza informatica non possa più essere affidata esclusivamente a sistemi tecnologici, ma debba coinvolgere anche una formazione continua degli utenti. È essenziale che cittadini e imprese imparino a riconoscere le caratteristiche delle comunicazioni ufficiali, verificando sempre l’autenticità del mittente e la correttezza dei link prima di fornire qualsiasi informazione. Le istituzioni coinvolte stanno intensificando le attività di comunicazione e sensibilizzazione, ma il ruolo della prevenzione individuale resta cruciale. Tra le buone pratiche consigliate vi sono l’uso di autenticazioni a più fattori, l’aggiornamento costante dei software di sicurezza e la verifica diretta tramite canali ufficiali in caso di dubbi. Gli analisti di sicurezza informatica sottolineano inoltre l’importanza di segnalare tempestivamente ogni tentativo di phishing alle autorità competenti, contribuendo così a limitare la diffusione delle truffe e a proteggere l’intero sistema finanziario nazionale.
Conclusioni
Le campagne di phishing contro l’Agenzia delle Entrate e la Banca d’Italia rappresentano una minaccia concreta e in evoluzione, che sfrutta la fiducia riposta nelle istituzioni per ingannare gli utenti e sottrarre risorse finanziarie, in particolare criptovalute e dati bancari. La complessità e la precisione di queste truffe richiedono un approccio integrato che combini tecnologia, formazione e collaborazione tra enti pubblici e privati. Solo attraverso una maggiore consapevolezza e un’attenta verifica delle comunicazioni sarà possibile ridurre il rischio di cadere vittima di questi attacchi, tutelando così la sicurezza economica e digitale dei cittadini italiani.