Il 2026 è iniziato, purtroppo, all’insegna delle truffe. Nei primi giorni del nuovo anno, l’Agenzia delle Entrate, infatti, ha segnalato delle frodi perpetrate ai danni di aziende e consumatori con l’intento di rubare dati personali, credenziali bancarie, informazioni su wallet crypto e altri dati sensibili. Vediamo nel dettaglio.
2 gennaio 2026 – Falso rimborso IVA per imprese e contribuenti
La prima campagna di truffe rilevata si concentra su presunti rimborsi IVA dovuti a eccedenze di versamento per l’anno 2024. Le vittime ricevono comunicazioni (via email o altri canali) che rimandano a pagine web che imitano fedelmente il design del portale Agenzia delle Entrate. Dopo aver cliccato su pulsanti come “Conferma e richiedi rimborso”, l’utente viene portato a inserire prima dati personali e di fatturazione (nome, cognome, email, ecc.), per poi arrivare alla richiesta dei dati della carta di credito per “completare” il rimborso.
7 gennaio 2026 – Doppio attacco: rimborsi IRPEF e falsa scadenza dichiarazione criptovalute
Pochi giorni dopo emerge una doppia variante di truffa:
- Variante criptovalute — Si tratta di un aggiornamento di campagne precedenti (già segnalate a novembre 2025). L’email annuncia una fantomatica scadenza imminente per dichiarare le criptovalute possedute. Cliccando su “Inizia Dichiarazione” si avvia la raccolta di dati sensibili, inclusi quelli del cryptowallet (indirizzo e seed phrase), con il rischio di furto totale dei fondi digitali.
- Variante rimborsi IRPEF — Classico schema del falso rimborso per eccedenza IRPEF versata. La mail, particolarmente raffinata, include paradossalmente un disclaimer in cui si afferma che l’Agenzia «non richiede MAI tramite email l’inserimento di dati di carte di credito, codici di sicurezza, password o conferme tramite applicazioni bancarie». Nonostante ciò, segue subito un link malevolo verso un’area riservata fasulla per “gestire il rimborso”.
In entrambi i casi, l’Agenzia delle Entrate non solo se è dichiarata estranea a queste comunicazioni, ma ha anche ricordato di:
- non cliccare su alcun link sospetto
- che il dominio utilizzato non corrisponde mai a quello ufficiale che è invece: www.agenziaentrate.gov.it
- verificare sempre sul portale istituzionale, nella sezione “Focus sul phishing”.
14 gennaio 2026 – Falso rinnovo della tessera sanitaria
La terza truffa, segnalata anche dall’Agenzia delle Entrate, prende di mira tutti i cittadini, sfruttando il Ministero della Salute e il Sistema Tessera Sanitaria. Le email fingono di provenire dal Ministero e avvertono che la tessera sanitaria è in scadenza, invitando a procedere immediatamente al rinnovo tramite un link.
Il click porta a un sito malevolo che replica l’aspetto delle piattaforme ufficiali, dove un modulo richiede l’inserimento di dati personali e sensibili (carta d’identità, codice fiscale, ecc.). Lo scopo è raccogliere informazioni riutilizzabili per furti d’identità, clonazione documenti o rivendita sul dark web.
Il Ministero della Salute ha ricordato che:
- la tessera sanitaria ha validità di 6 anni
- il rinnovo è automatico, cioè la tessera viene spedita a casa alla scadenza senza necessità di alcuna azione da parte del cittadino, salvo casi di smarrimento o furto. Non vengono mai inviate email con link per rinnovi urgenti.
Consigli pratici per difendersi e non cadere vittime dei truffatori
- Non cliccare mai su link contenuti in email sospette
- Non inserire dati personali, codici di accesso o informazioni di carte su siti raggiunti da comunicazioni non richieste
- Verificare sempre il dominio: deve essere esattamente quello ufficiale
- In caso di dubbio, accedere direttamente ai portali istituzionali digitando l’indirizzo a mano (non tramite link)
- Eliminare immediatamente le email sospette
- Segnalare eventuali tentativi alle istituzioni interessate dalla truffa
- Diffidare sempre di urgenze e promesse di denaro facile.
