Il CERT-AGID segnala una nuova campagna di phishing rivolta ai cittadini stranieri presenti in Italia. L’attacco sfrutta il recente avvio del Sistema di Ingressi/Uscite (EES), il sistema europeo che registra i dati personali dei cittadini di Paesi extra UE e non appartenenti all’area Schengen in ingresso o uscita dal territorio nazionale per brevi soggiorni, entrato pienamente in funzione lo scorso 12 ottobre 2025.
Gli esperti del CERT-AGID hanno individuato un dominio fraudolento utilizzato per attività di phishing, registrato il 13 ottobre 2025, appena un giorno dopo l’avvio del sistema EES. Il sito riproduce in modo convincente la grafica ufficiale e invita gli utenti a inserire il proprio cognome e numero di documento per verificare lo stato del proprio permesso di soggiorno.
Durante le analisi, è emerso che la pagina malevola non trasmette i dati raccolti a un server remoto. La verifica delle informazioni avviene infatti in locale, tramite uno script JavaScript che confronta i valori inseriti con un set predefinito di oggetti.
Al momento, non è chiaro quale sia la reale finalità della pagina ingannevole, che probabilmente è ancora in fase di sviluppo. Tuttavia, è plausibile che i dati raccolti, una volta attive e funzionanti le pagine, vengano utilizzati per successive attività malevole finalizzate a frodi o falsificazioni, come richieste di denaro per “accelerare la pratica” o false comunicazioni a nome di ambasciate o questure.
Particolarmente vulnerabili a questa tipologia di truffa risultano i cittadini stranieri, spesso con limitata conoscenza della lingua italiana e delle modalità digitali della Pubblica Amministrazione, fattore che ne facilita l’inganno.
Il CERT-AGID ha tempestivamente informato il Ministero degli Affari Esteri e della Cooperazione Internazionale, richiesto la dismissione del dominio fraudolento e diffuso gli indicatori di compromissione (IoC) alle organizzazioni accreditate per la condivisione delle informazioni di sicurezza.
