Il CERT-AGID ha rilevato numerose campagne di phishing attive, su diversi domini tutte riconducibili allo stesso schema fraudolento, che sfruttano la falsa comunicazione di una presunta sostituzione obbligatoria della Tessera Sanitaria per rubare dati personali e informazioni di pagamento ai cittadini italiani.
La truffa si basa sulla falsa comunicazione secondo cui, a partire dal 2026, tutte le tessere sanitarie emesse prima di gennaio 2023 dovrebbero essere sostituite per l’introduzione di un inesistente “nuovo sistema elettronico di identificazione sanitaria”. Le vittime vengono informate che, in caso di mancata sostituzione, la tessera sarà progressivamente disattivata.
I siti fraudolenti riproducono fedelmente l’aspetto grafico dei portali istituzionali, con logo e colori del Ministero della Salute, una finta sezione FAQ con voci espandibili e persino falsi riferimenti a numeri di protocollo e date di aggiornamento apparentemente autentiche.
La frode si sviluppa in tre fasi: prima vengono richiesti dati anagrafici e di contatto (nome, cognome, codice fiscale oppure patente o passaporto, numero di telefono e indirizzo di spedizione, poi viene mostrato un riepilogo con un costo complessivo di 6,39 euro per la presunta emissione della nuova tessera e, infine, viene richiesto l’inserimento dei dati completi della carta di credito (numero carta, data di scadenza, CVV) per completare il pagamento.
Il CERT-AGID ricorda:
- Per i cittadini iscritti di diritto al Servizio Sanitario Nazionale, la tessera sanitaria non richiede alcuna procedura di sostituzione attiva e il rinnovo avviene automaticamente e gratuitamente a cura dell’Agenzia delle Entrate, con spedizione all’indirizzo di residenza.
- Anche per le categorie soggette a iscrizione volontaria al SSN (con relativo versamento del contributo annuale previsto dalla legge), le procedure non avvengono mai tramite link inviati via email o SMS e il rinnovo va gestito tramite i canali ufficiali delle ASL.
- Il Ministero della Salute non invia mai comunicazioni dirette con richieste di pagamento online per la tessera sanitaria.
- Per qualsiasi dubbio, fare riferimento esclusivamente al Ministero della Salute, al sito ufficiale dell’Agenzia delle Entrate o agli sportelli della propria ASL di competenza.
Per contrastare la campagna, il CERT-AGID ha richiesto la dismissione dei domini malevoli, già oscurati nella maggior parte dei casi, e ha condiviso gli indicatori di compromissione (IoC) con gli enti accreditati per agevolarne il rilevamento e il blocco.
https://cert-agid.gov.it/news/campagne-di-phishing-a-tema-sostituzione-tessera-sanitaria-in-corso/





