Dichiarazione criptovalute: occhio, perché c’è una nuova trappola che sfrutta proprio questo tema per svuotare i portafogli digitali. Gli esperti del CERT-AgID, ovvero il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, hanno scovato una campagna di phishing che usa logo e nome dell’Agenzia delle Entrate per spaventare gli utenti con la storia di una scadenza imminente legata agli asset digitali. Una manovra simile a quella già vista nel novembre 2025, e l’obiettivo è sempre lo stesso: mettere le mani sui wallet di criptovalute.
Come funziona la truffa che imita l’Agenzia delle Entrate
La cosa interessante, e anche un po’ inquietante, è che questa campagna mescola due tecniche diverse. Da un lato il phishing classico, dall’altro il cosiddetto vishing, cioè la truffa che passa per una telefonata. Tutto parte da una email. I cybercriminali avvisano le vittime che bisogna compilare con urgenza la dichiarazione degli asset digitali, e fin qui sembra una comunicazione qualsiasi. Il problema arriva quando si clicca sul link nel messaggio: si apre un sito costruito apposta per somigliare a quello dell’Agenzia delle Entrate, design incluso.
Per accedere ai presunti servizi online viene chiesto di inserire codice fiscale e numero di telefono. E qui c’è il primo dettaglio che dovrebbe far suonare un campanello: sul codice fiscale non viene fatto nessun controllo, quindi va bene qualunque cosa. Già questo, insieme all’indirizzo strano che si legge nella barra del browser, basterebbe a capire che qualcosa non torna. Il vero login ai servizi pubblici avviene sempre tramite SPID, CIE o CNS, mai con due dati buttati lì in un form.
Il finto modulo e la chiamata trappola
Chi cade nel tranello si trova davanti a un presunto modulo per dichiarare i wallet. C’è una domanda secca: utilizzi wallet o exchange di criptovalute? Rispondendo sì, vengono richiesti il nome del wallet o dell’exchange, la data dell’ultimo deposito e il patrimonio stimato. Rispondendo no, invece, tocca indicare il nome della banca e l’ultimo saldo del conto corrente in euro. In entrambi i casi i cybercriminali raccolgono informazioni preziose.
A quel punto, dopo aver premuto il pulsante per inviare la dichiarazione, compare un errore. Il messaggio parla di incongruenza tra i dati forniti e quelli dell’anagrafe tributaria. Per evitare un fantomatico avviso di accertamento e il blocco cautelativo degli asset digitali, la vittima viene invitata a chiamare un numero che apparterrebbe a un ufficio verifiche di Milano. Ecco entrare in scena il vishing.