Negli ultimi mesi le segnalazioni di contribuenti raggiunti da finte comunicazioni dell’Agenzia delle Entrate sono aumentate in modo evidente, segno che il phishing fiscale sta diventando un rischio strutturale per chi gestisce online conti correnti, investimenti e criptovalute. L’ultima campagna fraudolenta sfrutta un mix di email, siti clonati e telefonate per ottenere accesso a dati bancari, wallet digitali e informazioni patrimoniali dettagliate.
Il tema delle cripto-attività viene usato come leva psicologica: si fa riferimento a presunti obblighi dichiarativi e verifiche in corso, confidando sulla scarsa familiarità normativa di molti risparmiatori. Per un investitore privato, cadere in questa trappola non significa solo perdere qualche euro, ma esporsi a prelievi non autorizzati, furto d’identità e compromissione dei propri asset digitali. Capire come funziona il meccanismo e quali segnali riconoscere è oggi parte integrante dell’educazione finanziaria di base.
Come funziona la falsa comunicazione dell’Agenzia delle Entrate
Lo schema parte da una email costruita per sembrare ufficiale, con logo, grafica e linguaggio che imitano quelli dell’Agenzia delle Entrate. Il messaggio parla di presunti adempimenti fiscali sulle criptovalute e invita ad aggiornare la propria posizione per evitare sanzioni o controlli imminenti.
Il link contenuto nella mail porta a un sito che riproduce in modo credibile il portale istituzionale. Qui al contribuente viene chiesto di inserire codice fiscale e numero di telefono, poi compaiono avvisi del tipo “verifica patrimoniale in corso” o “procedura da completare”. È una messa in scena studiata per far credere che esista già un dossier aperto, spingendo la vittima a fornire ulteriori dettagli sui propri conti correnti, patrimoni digitali e disponibilità finanziarie.
Dal phishing al vishing: quando il raggiro continua al telefono
Una volta raccolta una prima serie di dati, la truffa non si ferma. Molti utenti visualizzano un finto errore tecnico e vengono invitati a contattare un presunto ufficio verifiche, come il cosiddetto “Ufficio Verifiche di Milano“. È qui che il phishing si trasforma in vishing, con una telefonata gestita da operatori che si presentano come funzionari preparati.
Durante il colloquio telefonico, l’obiettivo è ottenere ciò che manca per monetizzare il raggiro: codici OTP ricevuti via SMS, credenziali di home banking, autorizzazioni per sbloccare trasferimenti o accessi a piattaforme di investimento. La pressione psicologica è forte: si evocano blocchi di patrimoni digitali o accertamenti straordinari, spingendo la vittima ad agire in fretta. Per chi investe, condividere questi dati equivale di fatto a consegnare le chiavi del proprio capitale.
Perché i truffatori puntano su criptovalute e incertezza fiscale
Le criptovalute sono diventate terreno ideale per le campagne fraudolente perché coniugano tre elementi: forte esposizione mediatica, diffusa scarsa alfabetizzazione finanziaria e quadro fiscale in continua evoluzione. Molti contribuenti non hanno chiaro quali siano gli obblighi dichiarativi e temono errori che possano tradursi in sanzioni.
I cybercriminali sfruttano proprio questo vuoto informativo. Includere riferimenti a verifiche su wallet digitali, accertamenti automatici e controlli incrociati rende la comunicazione plausibile, soprattutto se arriva con toni urgenti. In realtà lo scopo non è chiarire la posizione fiscale, ma mappare patrimoni, conti correnti e piattaforme utilizzate. Chi detiene cripto-attività o gestisce capitali significativi viene così identificato come potenziale bersaglio per frodi successive più mirate.
Segnali per riconoscere la truffa e buone pratiche di autodifesa
Dal punto di vista dell’investitore, la regola base è semplice: nessuna istituzione chiede via email o telefono credenziali di accesso, codici dispositivi o dettagli completi sui patrimoni detenuti. Qualsiasi richiesta di questo tipo va considerata un campanello d’allarme e interrotta immediatamente.
Vale poi la pena sviluppare una routine di controllo: verificare sempre l’indirizzo del mittente, passare il mouse sui link per leggere il dominio completo, confrontare eventuali avvisi con quelli pubblicati sui canali ufficiali dell’Agenzia delle Entrate. In caso di dubbio, meglio contattare direttamente gli uffici tramite i recapiti istituzionali. Integrare queste cautele nella gestione quotidiana di conti, investimenti e criptovalute non è paranoia, ma normale gestione del rischio, al pari della diversificazione di portafoglio o della scelta di intermediari vigilati.
