LOGIN
In Breve (TL;DR)
- Una campagna di phishing attiva sfrutta il nome del Ministero della Salute per rubare dati personali tramite email false che simulano il rinnovo della tessera sanitaria.
- La tessera sanitaria si rinnova automaticamente per posta senza alcuna azione richiesta: non bisogna mai cliccare su link ricevuti via email né inserire dati su siti non istituzionali.
Sta circolando una campagna di phishing che sfrutta il nome del Ministero della Salute per sottrarre dati personali e sensibili ai cittadini. L'allerta è ufficiale: il Ministero della Salute e l'Agenzia delle Entrate hanno pubblicato avvisi formali, e il CERT-AGID ha attivato le procedure di contrasto bloccando i domini malevoli coinvolti.
Le email false invitano gli utenti a rinnovare la tessera sanitaria cliccando su un link che porta a un sito clone, graficamente identico alle piattaforme istituzionali, dove viene richiesto di compilare un modulo con dati anagrafici e sensibili. I dati raccolti vengono poi utilizzati per frodi, furto d'identità o rivendita. Sapere come riconoscere il phishing è il primo passo per non cadere nella truffa.
Come funziona la truffa della tessera sanitaria
La truffa segue uno schema preciso, studiato per abbassare le difese degli utenti. Il messaggio arriva via email con oggetto neutro e mittente che imita le comunicazioni ufficiali del Ministero della Salute. Il tono è formale, il layout grafico è curato e il contenuto crea un senso di urgenza: la tessera sanitaria starebbe per scadere e, senza un intervento immediato, i servizi sanitari potrebbero essere sospesi. All'interno del messaggio è presente una CTA come "Apri il riepilogo" o "Rinnova ora", progettata per indurre un clic immediato.
.jpg)
Una volta cliccato il link, l'utente viene reindirizzato su un sito web falso ospitato su domini che non hanno alcun collegamento con i portali istituzionali. Il sito riproduce fedelmente la grafica del Sistema Tessera Sanitaria, con loghi, colori e layout ufficiali. All'interno è presente un modulo che chiede di inserire cognome e nome, data di nascita, indirizzo e altri dati anagrafici.
Il CERT-AGID ha individuato anche una seconda fase della truffa: dopo la raccolta dei dati personali, alcuni utenti ricevono una nuova comunicazione che simula la spedizione della nuova tessera e richiede il numero della carta di creditoper le spese di consegna del corriere. Per difendersi dagli attacchi phishing è fondamentale conoscere in anticipo come funzionano queste campagne.
Come riconoscere la mail falsa e cosa fare subito
Ci sono segnali chiari che permettono di identificare queste email come fraudolente. Il primo è il dominio del sito a cui rimanda il link: un indirizzo istituzionale termina sempre con .gov.it, mentre i siti clone usano domini commerciali o inventati, riconoscibili verificando la barra degli indirizzi del browser prima di inserire qualsiasi dato.
.jpg)
Il secondo segnale è il tono di urgenza artificiale del messaggio, con frasi come "la tua tessera sta per scadere" o "agisci subito per garantire la continuità delle cure". Il terzo elemento è la richiesta di inserire dati personali tramite un modulo su un sito esterno, pratica che le istituzioni pubbliche non adottano mai.
Il Ministero della Salute non invia mai email con link per il rinnovo della tessera sanitaria e non richiede l'inserimento di dati personali tramite moduli online non istituzionali. Se si riceve un messaggio di questo tipo, il comportamento corretto è non cliccare sui link, non inserire alcun dato e cancellare immediatamente l'email. In caso di dubbio, è sempre utile verificare le informazioni digitando manualmente l'indirizzo del sito istituzionale nella barra del browser. Per sapere cosa fare quando si riceve un'email phishing è disponibile una guida con tutti i passaggi da seguire.
Se si sono già inseriti i propri dati, è necessario agire rapidamente: segnalare l'accaduto alla Polizia Postale e, se sono stati forniti dati bancari o della carta di credito, contattare immediatamente la propria banca per bloccare il conto o la carta.
Come rinnovare davvero la tessera sanitaria
La tessera sanitaria ha una validità di sei anni. In assenza di smarrimento o furto non è necessario compiere alcuna azione: la nuova tessera viene inviata automaticamente per posta ordinaria alla scadenza, senza che l'utente debba fare richieste online o cliccare su link. Le comunicazioni ufficiali arrivano sempre per posta tradizionale, mai tramite email con moduli da compilare.
Nel caso in cui la tessera venga smarrita o sottratta, la richiesta di duplicato va effettuata esclusivamente attraverso i canali ufficiali: il sito dell'Agenzia delle Entrate oppure il proprio medico di base o la ASL di riferimento. In nessun caso il rinnovo richiede di inserire dati personali su siti raggiunti tramite link ricevuti via email. Per qualsiasi interazione con la Pubblica Amministrazione è utile fare riferimento a PagoPA e i servizi digitali della PA, che indicano i canali ufficiali sicuri.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web
Domande frequenti (FAQ)
-
Cos'è la truffa della tessera sanitaria?È una campagna di phishing che invia email false a nome del Ministero della Salute, invitando gli utenti a rinnovare la tessera tramite un link che porta a un sito clone per rubare dati personali.
-
Come riconoscere un'email falsa sulla tessera sanitaria?I segnali principali sono il dominio del link che non termina con .gov.it, il tono di urgenza artificiale e la richiesta di inserire dati personali tramite un modulo online esterno.
-
Perché il Ministero della Salute ha lanciato un avviso ufficiale?Perché la campagna di phishing è attiva su larga scala e utilizza loghi e grafica istituzionale per ingannare i cittadini. Il CERT-AGID ha attivato le procedure di contrasto e richiesto la dismissione dei domini malevoli.
-
La tessera sanitaria va rinnovata online?No. Si rinnova automaticamente e arriva per posta ordinaria alla scadenza. Non è richiesta nessuna azione da parte dell'utente, né tramite email né tramite link.
