Truffa della tessera sanitaria: come difendersi dalla nuova campagna di phishing
Nel 2025, l’Italia ha subito un attacco informatico su dieci a livello mondiale. Questa tendenza è confermata nel 2026 con una nuova campagna di phishing, attualmente in corso, che sfrutta i loghi e i nomi del Sistema Tessera Sanitaria e del Ministero della Salute per raccogliere informazioni sensibili dai cittadini.
Phishing sulla Tessera Sanitaria: come si svolge la truffa
L’attacco, identificato dal CERT-AGID, si basa su due fattori psicologici sempre efficaci: urgenza e autorità. Il meccanismo è semplice: la vittima riceve un’email che avverte della prossima scadenza della Tessera Sanitaria, segnalando il pericolo di interruzioni o restrizioni nell’accesso alle cure. Il messaggio incoraggia a reagire rapidamente, invitando a cliccare su un pulsante come “Rinnova ora la tua tessera”, progettato per scatenare una risposta immediata.
Se si procede, il clic reindirizza a una pagina creata per la raccolta di dati personali, ospitata su un dominio dal nome rassicurante ma ingannevole, latesserasanitaria[.]com. Qui viene richiesto di compilare un modulo dettagliato con nome, data di nascita, indirizzo, numero di telefono ed email, come se fosse una procedura del tutto normale. Tutte informazioni sensibili che, una volta rubate, possono essere utilizzate per furti d’identità, clonazione di documenti o inserite nei circuiti del mercato illegale dei dati, alimentando ulteriori frodi e truffe.
Per evitare di cadere nella trappola, è sufficiente ricordare che, alla scadenza della Tessera Sanitaria (validità di sei anni), l’Agenzia delle Entrate invia automaticamente una nuova tessera all’indirizzo di residenza registrato in Anagrafe Tributaria. Non è previsto alcun rinnovo via email, nessun link da cliccare e nessuna richiesta di dati personali, tramite pagine raggiunte da messaggi non richiesti.
Il CERT-AGID – l’ente tecnico nazionale che assiste le pubbliche amministrazioni nella gestione delle minacce informatiche – ha attivato le procedure di avviso informando il Ministero della Salute e le autorità di sicurezza del Ministero dell’Economia e delle Finanze. In parallelo, ha richiesto la disattivazione del dominio usato per la truffa e ha condiviso con le organizzazioni autorizzate gli indicatori di compromissione, ovvero indirizzi web, elementi tecnici e segnali di attacco, per fermare rapidamente la campagna di phishing in corso.
In Italia, 73 campagne malevole in appena una settimana
La truffa della Tessera Sanitaria è purtroppo solo una delle molte apparse nei primi giorni del 2026. Nell’ultima settimana, infatti, il CERT-AGID ha registrato un panorama digitale costantemente sotto pressione.
Le campagne malevole identificate e analizzate sono state 73, di cui 55 mirate esplicitamente a obiettivi italiani e 18 di carattere generico, ma comunque capaci di colpire utenti nel nostro Paese.
Particolarmente evidente è la varietà degli argomenti, declinati in 20 schemi diversi per rendere le truffe credibili. Il più ricorrente rimane quello delle multe, con false comunicazioni che imitano PagoPA e spingono le vittime a inserire dati personali e bancari.
Seguono le campagne legate al banking, che colpiscono clienti di istituti e circuiti noti, e quelle basate sul rinnovo di servizi, tra piattaforme digitali e, in un caso, l’abuso del nome del Ministero della Salute. Chiudono il quadro i falsi documenti, impiegati come esca per diffondere malware e strumenti di controllo remoto.
Ne deriva quindi un quadro complessivo nel nostro Paese, in cui il cybercrime continua a operare con logiche industriali, adattando linguaggi e contesti alla quotidianità digitale degli utenti italiani.
