È in corso una nuova campagna di phishing che sfrutta l’autorità dell’Agenzia delle Entrate e di AgID per rubare le credenziali di posta elettronica delle vittime. A renderla insidiosa è un meccanismo tecnico specifico: le email fraudolente sfruttano un bug dei sistemi di posta per arrivare direttamente in arrivo, aggirando i filtri antispam. L’Agenzia delle Entrate ha segnalato la campagna con un avviso del 19 marzo 2026.
Il sistema dei tre invii che bypassa lo spam
L’Agenzia delle Entrate spiega che è stato individuato un “grave e inaspettato bug” dei sistemi di posta elettronica: il messaggio malevolo viene correttamente intercettato e classificato come spam solo per i primi tre recapiti. Dal quarto invio in poi, lo stesso identico messaggio riesce a superare i controlli e ad atterrare nella casella principale del destinatario. Per i truffatori è sufficiente inviare lo stesso messaggio più volte in sequenza per essere certi di raggiunger la vittima, con un meccanismo automatizzato di basso costo e alta efficacia.
Come riconoscere l’email truffaldina
L’email fraudolenta ha una formattazione curata e un linguaggio verosimile, elementi che la rendono convincente per un utente non esperto. Il segnale di riconoscimento più affidabile è l’indirizzo completo del mittente: il nome visualizzato — il cosiddetto display name — può sembrare legittimo, ma l’indirizzo reale associato appartiene al dominio @propiski.com, che non ha alcun legame con l’Agenzia delle Entrate né con AgID. Anche il link nel corpo del messaggio tradisce l’inganno: punta a siti esterni come sushicool.net, del tutto estranei alle due istituzioni.
La falsa pagina di login con il logo AgID
Cliccando sul link, la vittima viene reindirizzata su una falsa pagina di accesso che riporta il logo di AgID e richiama visivamente l’interfaccia SPID. Inserendo le credenziali di posta elettronica, i dati vengono trasmessi direttamente ai truffatori. Per mascherare l’avvenuto furto e non insospettire la vittima, il sistema reindirizza poi automaticamente al vero sito dell’Agenzia delle Entrate-Riscossione (AdER), simulando un generico errore tecnico. Chi non è esperto attribuisce il mancato accesso a un normale malfunzionamento del portale, senza sospettare che le proprie credenziali siano già state sottratte.
Cosa fare se si riceve questa email
L’Agenzia delle Entrate raccomanda di cestinare immediatamente questi messaggi senza cliccare su alcun link e senza inserire credenziali in nessuna pagina raggiunta tramite email. La regola pratica più efficace è verificare sempre l’indirizzo completo del mittente, non solo il nome visualizzato: qualsiasi dominio diverso da agenziaentrate.gov.it è un segnale di allarme. In caso di dubbi sull’autenticità di una comunicazione, l’Agenzia invita a consultare la sezione “Focus sul phishing” del portale istituzionale agenziaentrate.gov.it, oppure a rivolgersi direttamente all’Ufficio territorialmente competente.
