Truffa della tessera sanitaria: come difendersi dalla nuova campagna di phishing
Nel 2025, l’Italia ha subito un attacco informatico su dieci a livello mondiale. Questa tendenza viene confermata nel 2026 con un’ulteriore campagna di phishing, attualmente in corso, che sfrutta i loghi e i nomi del Sistema Tessera Sanitaria e del Ministero della Salute per raccogliere dati sensibili dai cittadini.
Phishing sulla Tessera Sanitaria: come si svolge la truffa
L’attacco, identificato dal CERT-AGID, si basa su due leve psicologiche sempre molto potenti: urgenza e autorevolezza. Il meccanismo è semplice: la vittima riceve un’email che annuncia la scadenza imminente della Tessera Sanitaria, evidenziando il rischio di disservizi o restrizioni nell’accesso alle cure. Il messaggio incita a un’azione rapida, invitando a cliccare su un pulsante come “Rinnova ora la tua tessera”, progettato per generare una risposta immediata.
A questo punto, se si procede, il clic porta a una pagina dedicata alla raccolta di dati personali, ospitata su un dominio dal nome rassicurante ma ingannevole, latesserasanitaria[.]com. Qui viene richiesto di compilare un modulo dettagliato con informazioni personali, come generalità, data di nascita, indirizzo di residenza, numero di telefono ed email, come se fosse una procedura del tutto normale. Tutte queste informazioni sensibili, una volta sottratte, possono essere sfruttate per furti d’identità, clonazione di documenti o immesse nei circuiti del mercato illegale dei dati, contribuendo a ulteriori frodi e truffe.
Per evitare di cadere nella trappola, è sufficiente ricordare che, alla scadenza della Tessera Sanitaria (validità di sei anni), l’Agenzia delle Entrate invia automaticamente una nuova tessera all’indirizzo di residenza registrato in Anagrafe Tributaria. Non è previsto alcun rinnovo tramite email, nessun link da cliccare e nessuna richiesta di dati personali attraverso pagine raggiunte da messaggi non sollecitati.
Il CERT-AGID – l’ente tecnico nazionale che supporta le pubbliche amministrazioni nella gestione delle minacce informatiche – ha avviato le procedure di allerta informando il Ministero della Salute e le strutture di sicurezza del Ministero dell’Economia e delle Finanze. Parallelamente, ha richiesto la disattivazione del dominio utilizzato per la truffa e ha condiviso con le organizzazioni accreditate gli indicatori di compromissione, ovvero indirizzi web, elementi tecnici e segnali di attacco, per fermare rapidamente la campagna di phishing in atto.
In Italia, 73 campagne malevole in appena una settimana
La truffa della Tessera Sanitaria è purtroppo solo una delle molte emerse in questi primi giorni del 2026. Nell’ultima settimana, infatti, il CERT-AGID ha mappato un contesto digitale costantemente sotto pressione.
Le campagne malevole identificate e analizzate sono state 73, di cui 55 specificamente mirate a obiettivi italiani e 18 di carattere generico, ma comunque in grado di colpire utenti nel nostro Paese.
A emergere è soprattutto la varietà degli argomenti, espressi in 20 schemi diversi per rendere le truffe più credibili. Quello più comune resta il tema delle multe, con false comunicazioni che imitano PagoPA e spingono le vittime a inserire dati personali e bancari.
Seguono le campagne legate al banking, che prendono di mira clienti di istituti e circuiti noti, e quelle basate sul rinnovo di servizi, tra piattaforme digitali e, in un caso, l’abuso del nome del Ministero della Salute. Completa il panorama l’uso di falsi documenti, impiegati come esca per diffondere malware e strumenti di controllo remoto.
Ne risulta quindi un quadro complessivo nel nostro Paese, in cui il cybercrime continua a operare con logiche industriali, adattando linguaggi e contesti alla quotidianità digitale degli utenti italiani.
