False comunicazioni via e-mail e sms per il rinnovo della tessera sanitaria, il ministero della Salute: «È in corso una maxi-truffa» 

Truffe hacker 2

Il ministero della Salute ha lanciato un’allerta critica riguardante una massiccia campagna di phishing che utilizza il pretesto del rinnovo della tessera sanitaria per colpire i cittadini. Si tratta di una vera e propria “industria delle truffe” gestita da organizzazioni criminali che fattura miliardi a livello globale e che vede l’Italia come uno dei bersagli più sensibili.

La finta sostituzione della tessera sanitaria

Il meccanismo è tanto semplice quanto insidioso. I criminali inviano false comunicazioni via e-mail e sms, spacciandosi per il ministero della Salute. Il messaggio invita l’utente a cliccare su un link per procedere al presunto rinnovo del documento. Una volta cliccato, l’utente viene indirizzato verso un sito web falso, graficamente quasi identico alle piattaforme istituzionali, dove viene richiesto di compilare un modulo con dati personali, sensibili e, soprattutto, dettagli di pagamento.

Attenzione, è una truffa

Il Ministero ha chiarito ufficialmente che queste non sono comunicazioni istituzionali, ma tentativi illeciti di sottrarre informazioni per scopi criminali, come la clonazione di documenti o la vendita dei dati sul dark web. È fondamentale ricordare che la tessera sanitaria ha una validità di sei anni e viene rinnovata automaticamente e inviata all’indirizzo di residenza alla scadenza. Inoltre, sia la tessera sanitaria che il fascicolo sanitario elettronico sono gratuiti per tutti: qualsiasi richiesta di pagamento è un segnale inequivocabile di frode. Ora indaga la polizia postale.

La fabbrica delle truffe, un affare da 1000 miliardi

Quello che un tempo era l’operato di singoli hacker si è trasformato in un settore strutturato. Secondo una ricerca di Mastercard, il cybercrime opera oggi come un’industria tradizionale, dotata di “kit pronti all’uso“, piattaforme condivise e modelli di “revenue sharing”. A livello globale, le perdite annuali ammontano a circa 1.000 miliardi di dollari, con una statistica drammatica: il 96% delle vittime non riesce mai a recuperare il denaro sottratto.

In Italia, l’impatto è pervasivo. Si stima che 6 italiani su 10 abbiano ricevuto e-mail di phishing o messaggi ingannevoli. Oltre la metà della popolazione (53%) è stata bersagliata da truffe telefoniche, mentre il 45% ha subito attacchi tramite i social media. Sebbene il numero di carte di pagamento compromesse sia in calo (circa 1,4 milioni in Italia), i dati rubati oggi sono molto più completi e pericolosi. L’innovazione tecnologica gioca un ruolo a doppio taglio: nel primo trimestre del 2025, le frodi legate a identità sintetiche (identità create combinando dati reali e falsi) sono aumentate del 300%, grazie anche all’uso dell’intelligenza artificiale.

I numeri del fenomeno

I dati relativi all’Italia delineano uno scenario di estrema efficienza criminale. Ogni vittima di truffa via messaggio perde in media 770 euro. Nel 56% dei casi, i criminali riescono a sottrarre denaro o dati entro soli 30 minuti dal primo contatto. Il 23% degli utenti caduti in una truffa è stato colpito almeno tre volte, segno di come i dati delle vittime vengano riciclati in diverse campagne fraudolente. Quasi 4 vittime su 10 subiscono il furto d’identità, con la perdita di codici fiscali e documenti d’identità.

La polizia postale ha registrato volumi critici nell’ultimo anno, gestendo oltre 51.560 interventi per reati informatici e denunciando più di 7.500 persone. Il mercato nero dei dati, alimentato da tecniche di smishing e phishing, è in costante crescita, con oltre 2,2 milioni di alert rilevati nel dark web.

Le tipologie di frode più comuni

I criminali utilizzano svariati stratagemmi per ingannare gli utenti. C’è la truffa del codice a 6 cifre che sfrutta la fiducia tra conoscenti. Un contatto già hackerato invia un messaggio chiedendo di restituire un codice inviato “per errore” via sms. Chi lo invia cede l’accesso completo al proprio account WhatsApp.

“Ciao Mamma/Papà” è invece un classico dell’ingegneria sociale. I truffatori fingono di essere figli che hanno rotto il telefono e scrivono da un numero nuovo, richiedendo bonifici urgenti per emergenze fittizie.

Ci sono poi i messaggi che segnalano mancati pagamenti autostradali o multe con link per saldare immediatamente il debito. Questa tipologia di truffa mira esclusivamente a rubare i dati della carta di credito.

Non mancano le truffe sentimentali. Falsi profili, anche in questo caso gestiti da professionisti del raggiro instaurano legami affettivi online per poi richiedere denaro. Circa il 27% degli italiani si è imbattuto in queste dinamiche di sfruttamento finanziario.

Infine il “ghost pairing” o “truffa della ballerina”, chiamata così perché legata a richieste di voto online. Consiste nell’invio, da parte dei criminali, di link che, se cliccati, avviano sessioni di WhatsApp Web su dispositivi controllati dai truffatori.

Come Difendersi, guida pratica alla sicurezza

Non bisogna mai abbassare la guardia. Occorre sempre diffidare dei messaggi che contengono richieste di pagamenti o rilascio di informazioni personali. Per contrastare questa ondata di cybercrime, la prevenzione e la consapevolezza sono le armi più efficaci. Le autorità e gli esperti suggeriscono alcune regole d’oro.

La prima è quella di non cliccare mai sui link. Le istituzioni come il ministero della Salute o l’Agenzia delle Entrate non inviano link via sms o e-mail per richiedere dati sensibili. Se il messaggio è sospetto, va cancellato immediatamente. Bisogna sempre verificare l’identità di chi ci contatta. Se un parente o un amico chiede soldi tramite chat, è fondamentale effettuare una telefonata di controllo sul suo numero abituale per verificare l’identità di chi chiama. Fondamentale è la protezione degli account.

Occorre attivare sempre la verifica in due passaggi (con il pin personale) nelle impostazioni di sicurezza delle app di messaggistica. I codici devo restare segreti. Mai condividere i codici di verifica sms. Occorre rivolgersi sempre ai canali ufficiali essendo consapevoli che qualsiasi comunicazioni, richiesta di informazioni o disbrigo di pratiche amministrative avviene esclusivamente attraverso gli enti e le strutture preposte. È sempre opportuno procedere alla segnalazione dei messaggi fraudolenti alla polizia postale.