"L’Inps invia solo sms senza link cliccabili". Il messaggio dell'Istituto di previdenza, "al fine di garantire la sicurezza dei dati personali dei cittadini e la prevenzione di tentativi di phishing e frodi informatiche", si è reso necessario poiché sempre più spesso truffatori inviano sms facendo apparire come mittente l’Inps stesso. Obiettivo? Rubare informazioni personali sensibili in modo da creare un falso Spid, poi usato per compiere illeciti. A intervenire sull'argomento con una nota anche Cert-AgID, la struttura dell’Agenzia per l’Italia digitale che si occupa di sicurezza informatica nella pubblica amministrazione, che ha riscontrato un notevole incremento nelle truffe che sfruttano il nome dell’Istituto nazionale della previdenza sociale per rubare dati personali.

Come funziona la truffa dello Spid

Lo “smishing” è una forma di truffa online che utilizza messaggi sms (da cui 'sms phishing' o, in breve, 'smishing') per ingannare gli utenti. In questo caso, i truffatori inviano un messaggio facendo credere alle vittime di aver ricevuto comunicazioni ufficiali dall’Inps, solitamente con la promessa di benefici o, più di recente, con toni intimidatori.
I messaggi possono essere di tipo diverso: minacce - avvisano di presunte irregolarità nella dichiarazione dei redditi, omissioni o mancati aggiornamenti, minacciando conseguenze penali o sanzioni in caso di inadempienza. Un esempio può essere: “Gentile utente, la sua dichiarazione dei redditi risulta mancante. È necessario verificare con urgenza i documenti. Si ricorda che l’omessa dichiarazione dei documenti richiesti può comportare conseguenze di natura penale, ai sensi della normativa vigente“, urgenza - avvisano che il profilo INPS è scaduto o deve essere aggiornato per evitare la sospensione dei servizi. Un esempio è: “Il tuo profilo Inps va aggiornato perché scaduto, rinnova i dati per evitare la sospensione da Inps“.

I dati richiesti dal sito Inps falso

Il messaggio contiene un link che indirizza la vittima a un sito web fraudolento che imita l’aspetto del sito ufficiale Inps, utilizzando loghi, immagini e una struttura simile per sembrare autentico. Il sito web fraudolento richiede l’inserimento di dati personali. Le richieste possono includere
Dati anagrafici: nome, cognome, indirizzo, ecc.
Codice IBAN: coordinate bancarie.
Documenti d’identità: copia fronte/retro di carta d’Identità, tessera sanitaria, patente di guida.

Buste paga: copia delle ultime buste paga.

Selfie e video-riconoscimento: in alcune varianti, viene richiesto anche un selfie con un documento identificativo o un breve video in cui si muove la testa per “verificare l’identità”.
Una volta cliccato sul tasto 'Conferma' o 'Avanti', i criminali entrano definitivamente in possesso dei dati. In alcuni casi, viene simulato un errore e richiesto nuovamente l’upload dei documenti, in modo da garantire ai truffatori un maggior numero di selfie e copie di documenti per massimizzare le probabilità di ottenere file adeguati e in buona definizione grafica.

Cosa può succedere se si cade vittima della truffa? I dati rubati possono venire utilizzati per diverse attività illecite, tra cui:
- Furto d’identità digitale (Spid): uno degli scopi principali è quello di utilizzare i documenti rubati per tentare di registrare una nuova identità digitale SPID a nome della vittima. Questo permette ai criminali di accedere a numerosi servizi online della Pubblica Amministrazione a nome del cittadino truffato. - Modifica Iban e deviazione di pagamenti: attraverso l’identità Spid, i truffatori possono accedere ai servizi Inps e/o di altre Pubbliche amministrazioni, modificando l’Iban associato a pagamenti di stipendi, pensioni o altri emolumenti statali. In questo modo, possono dirottare somme di denaro su conti correnti da loro controllati .
- Vendita dei dati nel dark web: i documenti e i dati personali rubati possono essere inoltre venduti nel dark web, aumentando il rischio di ulteriori truffe a danno della vittima. Qui un approfondimento.
- Utilizzo per altre frodi: i dati sottratti possono essere utilizzati, infine, per perpetrare differenti truffe di vario genere, come, ad esempio, la sottoscrizione di contratti fraudolenti.

Cosa fare se si è stati truffati

Qualora si siano caricate le informazioni e i documenti personali e si sia fatto click sui pulsanti “Conferma” o “Avanti”, è bene intraprendere le seguenti misure di mitigazione del rischio:
- Sporgere denuncia alla Polizia Postale per furto di dati personali recandosi al più presto presso un ufficio territoriale della Polizia Postale. È bene portare con se tutta la documentazione utile (SMS ricevuto, documenti forniti, ecc.).
- Segnalazione online alla Polizia postale: oltre alla denuncia formale, è possibile effettuare una segnalazione online tramite il servizio messo a disposizione dalla Polizia di Stato: https://www.commissariatodips.it/segnalazioni/segnala-online/index.html.
- Monitorare i conti correnti bancari: controllare attentamente, nei mesi successivi alla truffa, i conti bancari sui quali si ricevono erogazioni statali, in modo da individuare precocemente la mancata ricezione degli emolumenti di cui si ha diritto (assegno pensionistico, stipendio statale, etc.), sincerandosi quindi che l’IBAN di ricezione non sia stato modificato senza consenso.

Come prevenire lo smishing

È fondamentale prestare la massima attenzione e adottare alcune precauzioni:
- Verificare la veridicità del messaggio: diffidare sempre di SMS che richiedono l’inserimento di dati tramite l’accesso a link esterni. E’ una pratica che gli Enti pubblici (e le banche) molto difficilmente usano, preferendo i canali diretti con l’utenza.

- Controllare attentamente l’indirizzo web di provenienza (URL): se si è cliccato sul link inviato, prima di inserire qualsiasi dato, verificare che il dominio presente nell’indirizzo web (URL) nella barra del browser sia quello ufficiale dell’INPS (inps.it). Presta attenzione a eventuali errori di ortografia (“l” al posto della “i“, o “m” al posto della “n“) o domini con nomi anomali (ad esempio “erogazioni-inps“). In caso di dubbi, digitare direttamente l’indirizzo www.inps.it nel browser e navigare sul sito ufficiale per verificare le eventuali comunicazioni, oppure contattare l’Ente tramite email o numero di telefono per chiedere chiarimenti.

Iscriviti alla Newsletter di OggiTreviso. E' Gratis

Ogni mattina le notizie dalla tua città, dalla regione, dall'Italia e dal mondo