L’Agenzia delle Entrate segnala con frequenza crescente campagne di phishing che sfruttano il suo nome e il suo logo per sottrarre ai contribuenti dati personali, bancari e credenziali di accesso. I pretesti ricorrenti sono i rimborsi fiscali, le finte dichiarazioni sulle criptovalute e le presunte comunicazioni urgenti via email o SMS. L’ultimo avviso, del 5 giugno 2026, mette in guardia da una doppia campagna in corso a tema rimborso e criptovalute. Riconoscere questi messaggi e sapere come verificarli è il modo più efficace per non cadere nella truffa.
Le campagne di phishing a nome dell’Agenzia delle Entrate
Le truffe cambiano pretesto ma seguono uno schema costante: una comunicazione che imita la grafica istituzionale, un link verso un sito civetta e la richiesta di inserire dati sensibili. I temi più sfruttati sono i rimborsi IRPEF e fiscali, le finte dichiarazioni delle criptovalute, i rimborsi IVA, la sostituzione della tessera sanitaria, il furto di credenziali SPID e i falsi appuntamenti annunciati via SMS.
L’ondata del 5 giugno 2026 su rimborsi e criptovalute
Con l’avviso del 5 giugno 2026 l’Agenzia ha segnalato due campagne attive in parallelo, nel pieno della stagione della dichiarazione precompilata. La prima usa come pretesto un presunto rimborso fiscale e porta la vittima a inserire dati personali e bancari su un modulo che riproduce nome e dominio dell’Agenzia. La seconda simula una dichiarazione delle criptovalute e chiede nome, cognome, codice fiscale, email e numero di telefono. In entrambi i casi l’obiettivo finale è impossessarsi dei dati delle carte di pagamento e, nel filone cripto, delle credenziali di accesso ai wallet.
Come riconoscere una falsa email dell’Agenzia delle Entrate
Le comunicazioni fraudolente presentano segnali ricorrenti che permettono di smascherarle prima di compiere qualsiasi azione:
- indirizzo del mittente non istituzionale, spesso con domini esteri o nomi simili a quelli ufficiali ma alterati;
- link che, passandoci sopra senza cliccare, rimandano a siti esterni non riconducibili ad agenziaentrate.gov.it;
- senso di urgenza, con scadenze immediate e la minaccia di perdere il rimborso;
- richiesta esplicita di dati della carta di pagamento, coordinate bancarie o credenziali di accesso;
- errori grammaticali o testo generico, anche se le versioni più recenti sono redatte con strumenti di intelligenza artificiale e risultano più curate.
Un principio vale in ogni caso: l’Agenzia delle Entrate non chiede mai dati bancari o credenziali tramite email o SMS e non invia link per incassare un rimborso.
Cosa fare se si riceve un messaggio sospetto
Davanti a un messaggio dubbio la prima regola è non interagire. I passi utili sono:
- non cliccare sui link e non aprire eventuali allegati;
- non inserire dati personali, bancari o credenziali nei moduli raggiunti da quei messaggi;
- cestinare la comunicazione, dato che l’Agenzia si dichiara estranea a questo tipo di invii;
- verificare l’autenticità del messaggio nella sezione Focus sul phishing del portale agenziaentrate.gov.it o rivolgendosi all’ufficio territorialmente competente.
Chi gestisce la posta di un’azienda o di uno studio può inoltrare la segnalazione ai canali indicati dall’Agenzia nella stessa sezione, contribuendo a bloccare la diffusione della truffa.
Come verificare un rimborso fiscale reale
I rimborsi fiscali autentici seguono percorsi tracciabili e non passano da link inviati via email. Le somme spettanti sono erogate dal sostituto d’imposta in busta paga oppure accreditate dall’Agenzia sul conto corrente, a condizione che l’IBAN sia stato comunicato correttamente. Scadenze e regole sono fissate nel calendario dei rimborsi IRPEF.
L’unica verifica sicura della propria posizione passa dal cassetto fiscale, accessibile con SPID, CIE o CNS, senza seguire alcun collegamento ricevuto in comunicazioni esterne.
Phishing fiscale, cosa devono fare imprese e professionisti
Per imprese, studi professionali e partite IVA il rischio è amplificato, perché le caselle aziendali ricevono ogni giorno comunicazioni fiscali reali e una falsa può confondersi con le altre. Alcune misure riducono l’esposizione:
- formare il personale amministrativo a controllare mittente e dominio prima di cliccare;
- attivare l’autenticazione a due fattori sulle caselle di posta e sui servizi fiscali;
- definire una procedura interna che convogli i messaggi sospetti verso un referente unico;
- accedere ai servizi dell’Agenzia solo dal portale ufficiale e tramite le identità digitali.
Un controllo costante delle comunicazioni e la verifica diretta nel cassetto fiscale permettono di distinguere gli adempimenti autentici dai tentativi di phishing che ne imitano forma e linguaggio.
