Ed è proprio questo il punto. L’ennesima campagna di phishing che sfrutta il nome della Tessera Sanitaria non nasce per caso, né è frutto di dilettanti. È il risultato di un ecosistema criminale maturo, metodico, che conosce bene i nostri riflessi digitali.
Il contesto, del resto, è chiaro. L’Italia continua a essere un bersaglio ad alta intensità per il cyber crime. Le campagne malevole si susseguono con una frequenza ormai industriale e il 2026 non sta mostrando alcuna inversione di tendenza. Anzi. I criminali affinano linguaggio, tempistiche e canali, scegliendo temi che toccano la quotidianità e, soprattutto, la salute.
Dal punto di vista tecnico, parlando di phishing sulla Tessera Sanitaria possiamo affermare senza tema di essere smentiti che si tratta di phishing di tipo classico. Dal punto di vista umano, invece, siamo nel pieno del social engineering. L’attacco si regge su due pilastri che funzionano sempre: urgenza e autorevolezza. Una scadenza imminente, il rischio di disservizi sanitari, l’uso di loghi e riferimenti istituzionali. Tutto è pensato per spingere l’utente ad agire senza riflettere.
Il flusso operativo è semplice e lineare:
- arriva un’email che simula una comunicazione ufficiale;
- un pulsante invita ad agire subito;
- il clic porta a una pagina web apparentemente legittima;
- all’utente viene chiesto di inserire dati personali completi.
Nessun malware sofisticato, nessun exploit avanzato. Solo psicologia applicata con metodo.
Uno degli aspetti più interessanti di questa campagna è la qualità dei siti clone. Grafica coerente, terminologia amministrativa credibile, layout che richiama fedelmente le piattaforme istituzionali. Anche i domini sono studiati per rassicurare. Nomi che “suonano giusti”, almeno ad una lettura superficiale.
Dietro le quinte, però, la struttura tecnica racconta un’altra storia. Registrazioni distribuite, hosting in Paesi extra UE, infrastrutture progettate per rendere più complesso e lento l’oscuramento del dominio. È una strategia di resilienza criminale. Più il sito resta online, più dati vengono raccolti. E il tempo, in questo gioco, è un moltiplicatore di danni.
Parlando poi di dati rubati e del cosa succede dopo, ecco che vale la pena soffermarsi un momento a ragionarci su. Spesso si sente dire “ma cosa vuoi che se ne facciano del mio indirizzo email”. Il problema non è il singolo dato, ma il pacchetto completo. Nome, data di nascita, indirizzo, telefono, email. Un profilo identitario pronto all’uso.
Con queste informazioni è possibile:
- costruire false identità credibili;
- avviare richieste di credito fraudolente;
- alimentare campagne di phishing mirato;
- rivendere dataset nei circuiti illegali.
I dati personali sono una merce. Una merce che ha un prezzo, una domanda ed un mercato stabile.
Il lavoro delle strutture di risposta agli incidenti è fondamentale. Monitoraggio, allerta, condivisione degli indicatori di compromissione, richieste di disattivazione dei domini. Tutto necessario, tutto corretto. Ma va detto con onestà che la risposta istituzionale arriva quasi sempre dopo che il primo ciclo di vittime è già stato colpito.
Le istituzioni possono mitigare, non prevenire completamente. Ed è qui che entra in gioco la responsabilità individuale.
Spesso ci domandano ma perché queste truffe continuano a funzionare? La risposta, in verità, è meno tecnica e più umana di quanto sembri. Funzionano perché siamo bombardati da notifiche. Perché siamo abituati a cliccare. Perché la burocrazia reale è lenta, mentre quella falsa è immediata. E perché molti cittadini non sanno, semplicemente, come funziona davvero il rinnovo della Tessera Sanitaria.
Spoiler: il rinnovo non avviene mai via email. Mai!
Quindi, come difendersi davvero. Al netto dei consigli generici, ci sono alcune regole che ci permettiamo di consigliarvi e che consideriamo non negoziabili:
- nessun ente pubblico chiede dati personali tramite link ricevuti via email;
- la Tessera Sanitaria viene rinnovata automaticamente alla scadenza;
- i domini vanno sempre controllati con attenzione;
- l’urgenza è quasi sempre un segnale di allarme.
Una nota personale. Quando un messaggio ci mette fretta è il caso di rallentare. È contro-intuitivo, certo, ma spesso è la scelta più lucida.
La truffa della Tessera Sanitaria non è un episodio isolato, ma un sintomo. Un segnale di quanto la sicurezza informatica oggi è, prima di tutto, una questione culturale. La tecnologia aiuta, certo. Ma la nostra prima linea di difesa resta la consapevolezza.
E forse, la prossima volta che leggeremo “agisci subito”, la nostra migliore risposta sarà quella di chiudere l’email e prendersi un momento per pensare. Anche questo, nel suo piccolo, è un atto di igiene digitale.
