Sempre più utenti stanno segnalando di aver ricevuto comunicazioni sospette da parte dell’INPS all’interno delle quali viene chiesto loro di scaricare bollettini di versamento precompilati o contenenti link a pagine e moduli da compilare inserendo i propri dati personali per poter ricevere il rimborso di contributi versati in eccesso.

E’ stato lo stesso Istituto Nazionale Previdenza Sociale ad aver informato gli utenti, lo scorso martedì e con un post condiviso sulla pagina Facebook “INPS per la Famiglia”, che si tratta di un nuovo tentativo di truffa in corso, attraverso il quale i criminali informatici, sfruttando la notorietà e l’affidabilità dell’Istituto, cercano di entrare in possesso dei dati personali degli utenti e sottrarre informazioni relative a conti correnti o a carte di credito.

In informatica, questa particolare tipologia di truffa viene chiamata “phishing” e prevede l’invio di comunicazioni ingannevoli, ora tramite messaggi di posta elettronica e ora attraverso SMS, da parte di un criminale informatico per sottrarre importanti informazioni e dati personali

Truffa INPS, cos’è il phishing?

Internet è una importante risorsa messa a disposizione della società moderna, che apre le porte a molteplici opportunità e che offre i più svariati strumenti di informazione, intrattenimento e comunicazione. 

Ed è proprio sfruttando la popolarità di alcuni servizi elettronici, come le e-mail, le Chat e i Social, che i criminali informatici hanno capito come arrivare direttamente - in modo facile e veloce - all’utente

Quella del phishing è tra le tipologie di truffe più diffuse al giorno d’oggi. A cadere nel mirino dei truffatori sono sempre più spesso istituti che godono di una certa reputazione, credibilità e popolarità, come gli istituti finanziari (banche e società emittenti di carte di credito), ma anche aziende di vario tipo, come catene di supermercati, e-commerce e altre realtà molto seguite e frequentate. Questa volta la truffa è ai danni dell’INPS

Il phishing rappresenta, probabilmente, una delle strategie fraudolente più veloci ed efficaci attraverso le quali i criminali informatici riescono ad ottenere i dati personali degli utenti, tra cui anche le credenziali di accesso ai servizi finanziari online e ad altre piattaforme in Rete.

A loro basta inviare un messaggio di posta elettronica (o anche un SMS) in cui, fingendosi una realtà autorevole, in questo caso l’INPS, e facendo riferimento a problemi di varia natura, invitano l’utente a fornire i suoi dati riservati.

Solitamente la comunicazione è accompagnata da un collegamento (un link, appunto) a una pagina Web che solo apparentemente rimanda al sito ufficiale dell’istituto o del servizio. In realtà, quella non è altro che una pagina Web realizzata ad-hoc dal criminale informatico per somigliare in tutto e per tutto a quella originale. In questo modo, si cerca di rendere la comunicazione più credibile e, soprattutto, si cerca di prendersi gioco dell’utente tradendo la sua fiducia. 

In questa pagina Web sono poi presenti dei campi che l’utente è invitato a compilare per porre fine al problema citato all’interno del messaggio di posta elettronica (o per riscattare un fantomatico buono sconto, ricevere una spesa gratuita o, come nel caso della truffa INPS, ricevere il rimborso di contributi versati in eccesso). 

Vien da sé che i dati qui inseriti non serviranno a nulla, se non a permettere al criminale informatico di turno di utilizzarli per attività losche - anche per accedere al servizio di home banking e prosciugare il conto.

Il phishing può essere punito per la violazione delle seguenti norme:

  •  Art. 615-quater C.P. (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici);

“Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna mezzi idonei all’accesso ad un sistema informatico o telematico, è punito con la reclusione sino ad un anno e con la multa sino a 5164 euro”.

  •  Art. 640 C.P. (Truffa).

“Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51 a 1032 euro”.

La truffa INPS sui bollettini di versamento precompilati e il rimborso dei contributi

Il tentativo di truffa in corso, così come segnalato anche dall’INPS sui suoi canali Social e attraverso comunicazione diffusa sul suo sito ufficiale, sfrutta comunicazioni in apparenza da parte dell’Istituto per invitare l’utente che riceve il messaggio di posta elettronica a scaricare bollettini di versamento precompilati o cliccare su un determinato collegamento per ricevere il rimborso di contributi versati in eccesso.

In questo caso viene utilizzato l’indirizzo di posta elettronica DCBilanci@inps.it, che corrisponde a una casella di posta elettronica effettivamente in uso.

Così facendo, utilizzando un indirizzo e-mail che sembra essere autorevole e sfruttando la credibilità dell’Istituto, il criminale informatico cerca di appropriarsi dei dati personali dell’utente e delle sue credenziali di accesso al conto bancario. 

Non è il primo caso di truffa INPS, altri esempi

Questo, tuttavia - e per sfortuna - non è l’unico tentativo di truffa ai danni dell’INPS. 

In passato, tantissimi utenti hanno segnalato di aver ricevuto false e-mail da parte dell’INPS che invitavano loro ad aggiornare i propri dati personali o le proprie coordinate bancarie, tramite un collegamento cliccabile e che reindirizzava a una pagina ad-hoc ben realizzata, per ricevere l’accredito di fantomatici rimborsi e pagamenti da parte dell’Istituto stesso. Un esempio di e-mail truffa è il seguente:

“Con la presente ti informiamo che nel tentativo di rimborsare l’account l’operazione non è andata a buon fine. Accedi al tuo portale di rimborso delle tasse per elaborare manualmente il rimborso. Durante il processo, è possibile aggiornare [link cliccabile] le informazioni dell’account fornite. NOTA BENE: Questa E-Mail è un documento di fatturazione ufficiale per il rimborso”.

Al messaggio seguono poi alcune informazioni relative al rimborso, come la data di pagamento, il numero di fatturazione e l’importo del rimborso.

Ma non finisce qui, perché gli utenti hanno anche segnalato tentativi di truffa INPS che invitavano a scaricare bollettini di versamento precompilati o link cliccabili per ricevere il rimborso di contributi versati in eccesso o per raggirare gli utenti interessati alle prestazioni e ai servizi erogati dall’Istituto per far fronte alla crisi dovuta dall’emergenza COVID-19.

Un esempio è il caso delle e-mail di phishing finalizzate alla sottrazione dei dati della carta di credito con la falsa motivazione del pagamento del Bonus 600 euro, di altre indennità COVID-19 o persino accennando a un nuovo fantomatico bonus. 

Truffa INPS solo tramite e-mail?

No, le truffe ai danni dell’INPS non girano solo ed esclusivamente tramite posta elettronica. Il criminale informatico possono anche agire attraverso chiamate telefoniche nel corso delle quali, spacciandosi per un operatore telefonico INPS, può chiedere all’utente di conoscere i dati relativi alla sua posizione nell’ambito di soggetti di diritto privato, come società o associozioni.

O ancora, possono anche presentarsi alla porta di casa dei falsi funzionari dell’INPS che cercano di infiltrarsi nell’abitazione sostenendo di dover effettuare accertamenti di varia natura.

In altri casi, ad agire ai danni dell’INPS sono delle società di intermediazione finanziaria che pubblicizzano, tramite SMS, prestiti sponsorizzati come “convenzionati” con l’Istituto, mentre i loro siti Web non accennano affatto a benefici erogati istituzionalmente dall’INPS

Cosa ha riferito l’Istituto a proposito della truffa INPS

L’INPS ha sempre informato gli utenti circa i tentativi di truffa in corso, affidandosi ai suoi canali Social ufficiali, proprio come in questo caso. 

L’Istituto ha anche fornito una serie di consigli per aiutare gli utenti a difendersi dai tentativi di truffa nei quali potrebbero incorrere, ricordando, anzitutto, che l’INPS non invia mai comunicazioni di posta elettronica contenenti allegati da scaricare o link cliccabili

Inoltre, l’INPS ha precisato che le coordinate bancarie o altri dati che permettono di risalire a informazioni finanziarie dell’utente non vengono mai acquisite - in alcun caso - telefonicamente o via e-mail ordinaria. L’Istituto ha poi fornito i seguenti consigli:

  • non dare seguito a richieste che arrivino per email non certificata, telefono o tramite il porta a porta;
  • diffidare di qualsiasi persona dichiari di essere un incaricato o funzionario INPS e sostenga di dover effettuare accertamenti di varia natura;
  • prestare la massima attenzione alle comunicazioni che si ricevono, non cliccare sui link di email di origine dubbia e verificare sempre l’indirizzo di provenienza. 

Altri consigli per difendersi dai tentativi di phishing

Come precedentemente annunciato, i tentativi di phishing coinvolgono diversi servizi, istituti e aziende. Pertanto è importante tenere in considerazione alcuni fattori importanti quando si riceve una comunicazione da parte di una realtà che considerate credibile e autorevole, in quanto dietro quel messaggio di posta elettronica potrebbe in realtà celarsi un malintenzionato che non vuole altro che entrare in possesso delle vostre credenziali.

E’ bene, dunque, seguire i consigli del Commissariato di Polizia Postale e ricordare anzitutto che gli Istituti di Credito non chiedono mai la conferma di dati personali tramite e-mail, ma contattano i propri clienti direttamente per tutte le operazioni riservate. Diffidate, dunque, dalle e-mail che rimandano a un sito Web dove confermare i vostri dati. 

Nel caso riceviate una e-mail, presumibilmente da parte della vostra banca, che richiede di inserire i vostri dati personali, recatevi personalmente presso il vostro istituto di credito o contattate il servizio clienti per chiedere conferma della procedura

Infine, verificate sempre che nei siti web dove occorre immettere i dati personali (account, password, numero di carta di credito, altri dati personali), la trasmissione di questi stessi dati avvenga con protocollo cifrato.