Il CERT-AGID ha segnalato una serie di campagne di phishing a tema tessera sanitaria attive su più domini, tutte costruite sull’impersonificazione del Ministero della Salute. I siti fraudolenti annunciano una sostituzione obbligatoria del documento a partire dal 2026 e conducono la vittima fino a una pagina di pagamento da 6,39 euro, dove vengono chiesti numero della carta di credito, scadenza e codice CVV. L’obiettivo dichiarato è la spedizione di una nuova tessera, quello reale è la sottrazione dei dati di pagamento.
- I falsi avvisi sulla sostituzione della tessera sanitaria
- Il funnel della truffa, dal modulo anagrafico ai 6,39 euro
- Il rinnovo autentico è gratuito e non prevede moduli online
- La procedura autentica a confronto con lo schema fraudolento
- Cosa fare dopo aver cliccato, inserito i dati o pagato
- Il diritto al rimborso delle operazioni non autorizzate
I falsi avvisi sulla sostituzione della tessera sanitaria
Le pagine fraudolente pubblicano un avviso importante in cui si afferma che tutte le tessere emesse prima di gennaio 2023 devono essere sostituite per l’attivazione di un nuovo sistema elettronico di identificazione sanitaria, e che le vecchie saranno progressivamente disattivate. Quel sistema non esiste. Come ricostruito nella segnalazione del CERT-AGID sulle campagne di phishing a tema tessera sanitaria, la leva è l’urgenza, tecnica classica di social engineering che accorcia il tempo della verifica.
La qualità della messa in scena è la differenza rispetto alle ondate precedenti. I siti riproducono logo e colori istituzionali del Ministero della Salute, includono una finta sezione FAQ con voci espandibili e citano numeri di protocollo e date di aggiornamento verosimili, dettagli che alzano la credibilità percepita nei pochi secondi in cui l’utente decide se fidarsi.

Il sito fraudolento replica grafica e loghi del Ministero della Salute per rendere credibile la richiesta di sostituzione della tessera sanitaria.
Il funnel della truffa, dal modulo anagrafico ai 6,39 euro
La raccolta dei dati avviene in tre passi. Il primo modulo chiede nome, cognome, codice fiscale (in alternativa patente o passaporto) e numero di telefono, con l’opzione di indicare un indirizzo di spedizione diverso dalla residenza. Il riepilogo mostra poi un prospetto formale con il dettaglio dei costi. L’ultima schermata è la pagina di pagamento, che chiede i dati completi della carta accompagnati dalla rassicurazione su una fantomatica crittografia SSL.
L’importo è la parte più studiata dell’intero schema. Il totale di 6,39 euro nasce dalla somma di 2,50 euro per produzione e personalizzazione della tessera, 0,99 euro di gestione amministrativa e 2,90 euro di spedizione tramite Poste Italiane. Una cifra bassa viene percepita come trascurabile e induce a non verificare, mentre il valore sottratto non è quello dell’addebito: sono i dati della carta, riutilizzabili per operazioni di importo ben diverso.
Il rinnovo autentico è gratuito e non prevede moduli online
Per i cittadini iscritti di diritto al Servizio Sanitario Nazionale la tessera sanitaria non richiede alcuna procedura di sostituzione attiva: il rinnovo avviene automaticamente e gratuitamente a cura dell’Agenzia delle Entrate, che spedisce il documento all’indirizzo di residenza prima della scadenza. La validità ordinaria è di sei anni.
Servono iniziative del titolare soltanto in caso di furto, smarrimento, deterioramento o mancato recapito, ipotesi in cui la riemissione si richiede dall’area riservata dell’Agenzia delle Entrate dedicata alla riemissione della tessera sanitaria con SPID, CIE o CNS, oppure via PEC, allo sportello o presso la ASL. Le modalità e i tempi del rinnovo e duplicato della tessera sanitaria passano sempre da canali autenticati. Anche per chi è iscritto volontariamente al SSN, con versamento del contributo annuale previsto dalla legge, la gestione avviene tramite gli sportelli delle ASL.
La procedura autentica a confronto con lo schema fraudolento
Il confronto riga per riga isola i segnali di allarme che valgono anche per le prossime ondate, quando cambieranno i domini e resteranno gli schemi.
| Cosa chiede il sito fraudolento | Cosa prevede la procedura autentica |
|---|---|
| Un pagamento con numero di carta, scadenza e CVV | Nessun costo, perché emissione, rinnovo e duplicato sono gratuiti |
| Un modulo online con codice fiscale, documento e telefono | Nessun modulo per il rinnovo ordinario, che avviene senza richiesta del cittadino |
| Un link ricevuto via email o SMS | Accesso con SPID, CIE o CNS, oppure PEC, sportello Agenzia delle Entrate o ASL |
| La disattivazione delle tessere emesse prima di gennaio 2023 | Validità di sei anni, con nuova tessera spedita prima della scadenza |
| Un indirizzo di spedizione digitato liberamente nel modulo | Recapito all’indirizzo presente in Anagrafe Tributaria, modificabile solo dai servizi ufficiali |
Cosa fare dopo aver cliccato, inserito i dati o pagato
La reazione utile dipende da quanto si è avanzato nel funnel. Chi ha solo aperto il link senza compilare nulla può limitarsi a chiudere la pagina e cancellare il messaggio, perché la semplice visita non trasferisce dati.
Chi ha compilato il modulo anagrafico ha consegnato recapiti e estremi di un documento. Il rischio immediato è la telefonata di follow-up, in cui un finto operatore usa quei dati per farsi consegnare un codice OTP o le credenziali di home banking. Nessuna banca e nessun ente pubblico chiedono codici monouso al telefono, nemmeno quando l’interlocutore dimostra di conoscere dati corretti.
Chi ha inserito i dati della carta deve muoversi nell’ordine seguente:
- bloccare la carta contattando l’emittente, perché la comunicazione di blocco sposta sull’intermediario il rischio delle operazioni successive;
- disconoscere per iscritto le operazioni contestate, con PEC o raccomandata, chiedendo il rimborso ai sensi del D.Lgs. 27 gennaio 2010 n. 11;
- sporgere denuncia alla Polizia Postale, conservando screenshot del sito, messaggio ricevuto ed estratto conto;
- controllare i movimenti nelle settimane seguenti, perché i dati sottratti vengono spesso rivenduti e utilizzati a distanza di tempo.
Il diritto al rimborso delle operazioni non autorizzate
Chi ha subito addebiti dopo il phishing ha diritto al rimborso delle operazioni non autorizzate, e la disciplina è più favorevole di quanto si creda. Ai sensi dell’art. 11, comma 1, del D.Lgs. 27 gennaio 2010 n. 11, il prestatore di servizi di pagamento rimborsa l’importo immediatamente e comunque entro la fine della giornata operativa successiva a quella in cui ne ha avuto conoscenza, salvo motivato sospetto di frode da comunicare per iscritto alla Banca d’Italia.
L’onere della prova grava sull’intermediario. L’art. 10, comma 2, dello stesso decreto stabilisce che spetta al prestatore di servizi di pagamento provare la frode, il dolo o la colpa grave dell’utente, e la sola registrazione dell’uso dello strumento non dimostra che l’operazione fosse autorizzata. Per gli utilizzi anteriori al blocco, l’art. 12 limita la perdita a carico del titolare a una franchigia non superiore a 50 euro, che non si applica quando l’intermediario non ha richiesto l’autenticazione forte del cliente. Il disconoscimento va comunicato entro tredici mesi dalla data di addebito e, in caso di rifiuto, la strada successiva è il reclamo all’Arbitro Bancario Finanziario.