Arrivano false e-mail che promettono un rimborso fiscale immediato: come riconoscere il phishing e difendersi
Negli ultimi mesi si è diffusa una nuova ondata di truffe online che utilizza il nome dell’Agenzia delle Entrate per ingannare i contribuenti. Le vittime ricevono un’e-mail apparentemente ufficiale, completa di loghi istituzionali e un linguaggio tecnico convincente, che comunica l’approvazione di un rimborso fiscale a loro favore.
L’allarme dell’Agenzia delle Entrate: mail truffa in tutta Italia
Le vittime ricevono un’e-mail apparentemente ufficiale, completa di loghi istituzionali e un linguaggio tecnico convincente, che comunica l’approvazione di un rimborso fiscale a loro favore. Nel testo del messaggio viene spesso indicata una somma precisa — ad esempio “€498,30 di rimborso IRPEF” — e un link che rimanda a un sito molto simile a quello vero dell’Agenzia.
Si tratta però di un tentativo di phishing, una truffa informatica che punta a rubare dati personali e bancari. Cliccando sul collegamento, l’utente viene indirizzato su una pagina contraffatta dove gli viene chiesto di inserire IBAN, codice fiscale o credenziali SPID per “ottenere l’accredito”. In realtà, quelle informazioni finiscono nelle mani dei criminali, che le utilizzano per accedere ai conti correnti o per compiere frodi online.
L’Agenzia delle Entrate ha già pubblicato un comunicato ufficiale chiarendo che non invia mai rimborsi tramite e-mail o SMS e che le comunicazioni ufficiali arrivano solo attraverso i canali certificati (PEC o area riservata del portale istituzionale). Tuttavia, le segnalazioni aumentano ogni settimana e molti cittadini cadono ancora nella trappola.
La forza di queste truffe sta nella loro sofisticazione grafica: loghi autentici, link con domini simili (come “agenzia-entrate-gov.it” o “agenzia-rimborsi.com”) e testi costruiti con cura, privi di errori grammaticali, rendono difficile distinguere un messaggio vero da uno falso.
Come funziona la truffa del rimborso fiscale
Il meccanismo è semplice ma estremamente efficace. I truffatori sfruttano il periodo dei rimborsi 730 e IRPEF, quando milioni di italiani attendono l’accredito delle somme dovute. In questo contesto, ricevere una mail che annuncia un rimborso fiscale appare plausibile e spinge molti utenti ad agire d’impulso.
Una volta aperta la mail, la vittima trova un link “per riscuotere l’importo”. Cliccandolo, viene reindirizzata a un sito clone che riproduce fedelmente la grafica dell’Agenzia delle Entrate o di Poste Italiane. Qui viene chiesto di inserire i dati bancari o di accedere tramite SPID o Carta d’Identità Elettronica (CIE). Chi lo fa consegna di fatto le proprie credenziali ai criminali, che le utilizzano per prelevare denaro o compiere operazioni fraudolente.
In alcuni casi, la pagina contiene anche malware o script di tracciamento, che infettano il dispositivo della vittima per rubare ulteriori informazioni, come password salvate o numeri di carte di credito.
Il fenomeno non è nuovo, ma nel 2025 si è evoluto. I truffatori sfruttano intelligenza artificiale generativa per scrivere testi perfettamente coerenti e senza errori, rendendo le comunicazioni ancora più credibili. Le e-mail vengono inviate in massa tramite server compromessi, spesso con indirizzi reali di professionisti o enti locali, per superare i filtri antispam.
Un ulteriore elemento che induce in errore è la tempistica: le mail arrivano proprio nei giorni in cui l’Agenzia delle Entrate comunica i rimborsi veri. Molti utenti, aspettando davvero un accredito, finiscono così per cliccare senza riflettere.
Come riconoscere le mail di phishing e difendersi
Riconoscere un’e-mail di phishing richiede attenzione, ma ci sono alcuni indizi precisi da tenere a mente. Prima di tutto, bisogna verificare sempre l’indirizzo del mittente: le mail ufficiali dell’Agenzia terminano solo con @agenziaentrate.gov.it. Se il dominio è anche leggermente diverso, come “@agenzia-entrate.it” o “@rimborsifiscali.com”, si tratta con certezza di un falso.
Altro segnale tipico è la richiesta di inserire dati personali o bancari. L’Agenzia non chiede mai numeri di carte o credenziali tramite e-mail, e qualsiasi messaggio che lo faccia deve essere considerato sospetto.
È consigliabile anche passare il mouse sopra il link (senza cliccare) per verificare l’indirizzo di destinazione: spesso il dominio reale è completamente diverso da quello mostrato nel testo. Se l’URL non inizia con “https://www.agenziaentrate.gov.it”