L’Agenzia delle Entrate ha pubblicato l’ennesimo avviso che allerta gli utenti su campagna di smishing con spoofing telefonico (tradotto: finti sms con falsificazione del numero del mittente): i falsi messaggi chiedono conferma di un presunto appuntamento con un tecnico (mai richiesto). La contraffazione del mittente rende il contatto credibile e aumenta il rischio di truffa per i cittadini.
Il falso appuntamento tecnico Agenzia delle Entrate
I falsi SMS dell’Agenzia delle Entrate segnalati in questi giorni non promettono rimborsi e non parlano di cartelle, ma della conferma di un appuntamento con un tecnico. Proprio questo cambio di esca rende la campagna più insidiosa: chi riceve il messaggio può pensare a una verifica già avviata o a un accesso programmato e abbassare la soglia di attenzione.
Il primo controllo da fare è semplice: verificare se quell’appuntamento esiste davvero. Se non risulta alcuna richiesta precedente, il messaggio va trattato come sospetto, senza richiamare numeri indicati e senza aprire eventuali collegamenti.
Lo spoofing telefonico rende il mittente credibile
La tecnica usata è lo spoofing telefonico, cioè la falsificazione del numero del mittente. In pratica l’SMS può comparire nello stesso thread di comunicazioni legittime oppure mostrare un nome che richiama l’Agenzia delle Entrate, inducendo il destinatario a fidarsi del messaggio solo perché l’intestazione appare corretta.
L’attacco sfrutta la familiarità del canale mobile e la tendenza a considerare più attendibile un SMS ricevuto sul telefono personale o aziendale. Proprio per questo lo smishing rientra tra le truffe digitali più diffuse.
Mai richiamare o cliccare
L’Agenzia invita a svolgere una verifica preliminare consultando la pagina “Focus sul phishing” del portale istituzionale oppure contattando gli uffici territoriali attraverso i canali ufficiali. Il riscontro va quindi fatto partendo dal sito dell’ente, non dal contenuto ricevuto sul telefono.
I controlli, quando arriva un SMS inatteso, sono questi:
- non richiamare i numeri riportati nel messaggio e non usare link ricevuti via SMS;
- controllare l’eventuale appuntamento accedendo ai canali ufficiali dell’Agenzia con navigazione autonoma;
- diffidare dei messaggi che creano urgenza o chiedono conferme immediate;
- se il dispositivo viene usato anche per lavoro, segnalare subito l’episodio al referente IT o amministrativo interno.
Il rischio non si ferma al singolo SMS
Le campagne che imitano l’Agenzia delle Entrate stanno cambiando esca ma non certo l’obiettivo. A gennaio il pretesto era il falso deposito cauzionale, a febbraio i rimborsi IRPEF, a fine marzo il furto delle credenziali SPID, ora il vettore è l’SMS con spoofing e appuntamento inventato. Il fattore comune resta lo stesso: usare il prestigio dell’ente per spingere il destinatario a compiere un’azione non verificata.
Il problema riguarda anche le imprese. Un telefono aziendale o usato in modalità ibrida può diventare un punto d’ingresso verso dati fiscali, credenziali e conversazioni di lavoro, soprattutto se manca una procedura interna che distingua le comunicazioni reali dai messaggi contraffatti.
Occhio ai messaggi fiscali
La nuova truffa segue le tante altre che si sono succedute negli ultimi tempi, dai falsi rimborsi IRPEF via email e SMS al falso deposito cauzionale richiesto a nome dell’Agenzia. Questo nuovo allarme conferma che non basta riconoscere una singola frode: serve un’abitudine di verifica costante ogni volta che un messaggio fiscale arriva fuori dai canali attesi.
Quando il contenuto parla di appuntamenti, rimborsi, documenti o anomalie, la regola resta una: non fidarsi del messaggio in sé, ma controllare la posizione direttamente dal portale istituzionale o tramite i contatti ufficiali dell’ufficio competente.
