“Hai un contributo previdenziale Inps non pagato”, è una truffa: cosa fare

Dal finto SMS al sito che clona l'Inps con favicon e grafica: la truffa punta ai dati della carta con un debito da pochi euro

Foto di Mirko Ledda

Mirko Ledda

Editor e fact checker

Scrive sul web dal 2005, come ghost writer e debunker di fake news. Si occupa di pop economy, tecnologia e mondo digitale, alimentazione e salute.

Pubblicato:

Chiedi a QuiFinanza

Sta girando in queste ore un nuovo tentativo di smishing (phishing via sms) che ha come obiettivo quello di truffare lavoratori e pensionati usando il nome e la grafica dell’Inps. Alle potenziali vittime arriva un messaggio in cui è scritto che si ha un contributo previdenziale non pagato, con la minaccia di non meglio identificate azioni legali in caso di mancato versamento. C’è ovviamente un link che porta a un sito che clona quello dell’Istituto nei minimi dettagli, pensato per far inserire ai malcapitati i dati della carta di credito.

Attenzione. L’Inps stesso ha chiarito a più riprese che le sue notifiche via sms non contengono mai un collegamento cliccabile.

Il finto sms dell’Inps e la richiesta

Il testo segnalato recita quanto segue.

INPS: Hai un contributo previdenziale non pagato. Ti preghiamo di saldarlo al più presto, altrimenti potresti incorrere in azioni legali.

Segue un link che rimanda a un dominio (nel caso segnalato è inpst.cfd, ma l’indirizzo potrebbe cambiare) che non ha nulla a che vedere con il sito ufficiale dell’Istituto, che è inps.it.

La leva della nuova truffa è quella classica del phishing: un debito inventato e l’urgenza di pagare per evitare guai legali, il tutto condito dal tono intimidatorio.

Finto sms dell'INPS
QuiFinanza
Il tentativo di smishing a nome di Inps

Cosa succede se si clicca

La pagina di destinazione imita la grafica dell’Istituto in modo accurato, compresa la favicon (l’icona che appare nel browser), con un indirizzo simile a quello vero. Il percorso è costruito in tre passaggi per dare parvenza di procedura ufficiale:

  1. Identificazione – viene chiesto solo il codice fiscale (ne basta uno qualsiasi, anche inventato: il sito non interroga un archivio reale e restituisce comunque un debito);
  2. Verifica indebiti – compare un riepilogo con un debito principale di 5,20 euro, sanzioni e interessi per 1,40 euro e un totale di 6,60 euro, con tanto di codice pagamento, data di scadenza e un conto alla rovescia della sessione che spinge a fare in fretta;
  3. Pagamento – la pagina chiede numero della carta, scadenza e CVV, oltre al nome del titolare e a un numero di telefono.

L’importo è studiato apposta: 6,60 euro sembrano pochi e si paga subito “per stare tranquilli”.

Il vero bottino non è però quella cifra, ma i dati della carta di pagamento e il codice di sicurezza, che finiscono nelle mani dei truffatori. Le rassicurazioni mostrate a schermo (“Connessione sicura tramite Spid e Cie”, “Crittografia SSL 256-bit”) servono a mettere a proprio agio il truffato.

Alcune schermate del finto sito Inps usato per la truffa
QuiFinanza
Alcune schermate del finto sito Inps usato per la truffa

Come evitare le truffe e il phishing

Come già detto, l’Istituto ha precisato con più messaggi che le notifiche ufficiali via sms hanno funzione solo informativa e non contengono mai un collegamento attivo. Significa che ogni sms a nome dell’Inps con un link è falso ed è un tentativo di smishing.

Inoltre i pagamenti verso l’Inps passano dai canali ufficiali (modello F24, portale dei pagamenti con PagoPA), mai da una pagina raggiunta con il link di un sms che chiede numero della carta e il CVV. Nel suo vademecum antitruffe, l’Istituto ricorda che fa bloccare i domini fraudolenti, ma i truffatori ne aprono continuamente di nuovi cambiando il testo dei messaggi.

Le indicazioni dell’Inps e della Polizia Postale sono:

  1. non cliccare sul link, non inserire dati e non pagare;
  2. non rispondere al messaggio e cancellarlo;
  3. verificare la propria posizione solo accedendo in autonomia a inps.it con Spid, Cie o Cns;
  4. segnalare il messaggio all’Inps e alla Polizia Postale.

Chi ha già inserito i dati della carta deve contattare subito la banca per bloccarla, monitorare i movimenti e valutare una denuncia – che potrebbe però avere esito negativo, essendo contro ignoti che, probabilmente, si muovono all’esterno del perimetro italiano e sono difficilmente rintracciabili e punibili.