Il phishing che imita l’INPS sta galoppando sugli smartphone italiani, giocando con le nostre paure più semplici: stipendi, figli, fine mese. Non è solo tecnologia. È psicologia applicata al portafoglio.
Stava facendo la spesa, cestino pieno di pannolini e biscotti, quando il telefono vibra: “INPS: aggiornamento urgente per l’Assegno Unico. Clicca qui per non perdere l’accredito”. Tre righe pulite, mittente che appare come “INPS”, un link che sembra quasi giusto. Il cuore fa un mezzo salto, il pollice si avvicina, la mente dice “solo un attimo, poi controllo”. Il tempo di un respiro e tutto può cambiare. Questi messaggi sanno esattamente quando colpirti. Una madre guarda la cassa, guarda il telefono, si morde il labbro. Poi clicca. E lì capisce che non è un promemoria, è un amo. Una frase corta per dirlo meglio: era una trappola.
Il finto messaggio “INPS” che gioca sul tuo tempo e sulla tua fiducia
I truffatori lavorano sul tempismo: gli SMS arrivano vicino alla data di accredito dell’Assegno Unico o quando girano notizie su aggiornamenti e conguagli. La grafica è pulita, il testo zero errori, il tono umano. Vedi il mittente “INPS” e il cervello spegne i filtri. La leva è sempre la stessa: urgenza più perdita. “C’è un problema sul tuo IBAN”, “manca un documento”, “verifica il numero per evitare sospensioni”. Due click e sei su una pagina web che somiglia all’area MyINPS, ma l’indirizzo del sito tradisce la mano: non finisce in .gov.it, spunta un inps-qualcosa strano. Il resto lo fai tu, senza accorgertene.
Un padre mi ha raccontato di aver ricevuto una mail la sera, mentre metteva a letto il figlio: logo INPS, link “Verifica accredito”. Ha inserito codice fiscale, IBAN, perfino il numero di carta “per confermare il rimborso”. All’indomani, tre addebiti lampeggiavano nell’app della banca. Non stiamo parlando di sprovveduti. Siamo noi, nelle giornate storte, con la testa altrove. Le segnalazioni alla Polizia Postale citano proprio lo schema “assegno unico”: smishing via SMS, siti fotocopia, richiesta dati e poi telefonata del “consulente” che si finge INPS per carpire il codice OTP. Bastano 120 secondi di fiducia mal riposta.
Com’è possibile far apparire “INPS” come mittente? Gli SMS con mittente alfanumerico si possono spoofare. Il messaggio poi porta a un dominio travestito: inps-servizi-italia.com, inps-famiglia.help, varianti infinite. La pagina chiede SPID, CIE o credenziali che in realtà vanno dritte a un server in mano ai criminali. A volte non rubano subito soldi, rubano l’identità: con lo SPID possono fare richieste a tuo nome. La truffa mescola design convincente e leve emotive: urgenza, minaccia di perdita, finta assistenza in chat. E quando ti chiamano per “aiutarti”, ti chiedono l’OTP “per confermare”. È lì che si consuma il danno.
I segnali da cogliere al volo e la micro-procedura dei 60 secondi
Quando arriva un messaggio sul tuo Assegno Unico, fermati 60 secondi. Primo: guarda l’indirizzo del link senza cliccare, spesso è un dominio che non finisce in .gov.it o in inps.it. Secondo: apri tu l’app INPS Mobile o digita manualmente inps.it, non seguire scorciatoie. Terzo: se serve davvero un aggiornamento, lo trovi nelle notifiche di MyINPS, non in un SMS con link. Quarto: leggi le parole chiave sospette (urgenza, “evita sospensione”, richiesta OTP). Quinto: in dubbio, chiama il Contact Center INPS o il tuo patronato. Un minuto di lentezza può valere più di cento antivirus.
Gli errori più comuni? Cliccare di riflesso, di sera, con gli occhi stanchi. Inserire i dati “solo per vedere”, pensando che annullare basti. Credere che l’OTP sia un codice neutro. Ci siamo passati tutti almeno una volta, con quel micro-panico da “e se perdo l’accredito?”. Non giudicarti se è successo. Diciamolo: nessuno controlla ogni singolo mittente, ogni singolo dominio, ogni benedetta icona di lucchetto. L’obiettivo non è diventare investigatori digitali. È creare due abitudini semplici: non cliccare dai messaggi e verificare dentro canali ufficiali.
Una dirigente di un patronato mi ha detto una frase da scrivere sul frigo:
“L’INPS non chiede mai codici OTP via SMS o telefono per sbloccare pagamenti. Se qualcuno li chiede, non è l’INPS.”
Per ricordarlo in fretta, ecco un mini-promemoria tascabile:
- Dominio: deve essere inps.it o .gov.it, niente varianti creative.
- Tono: se spinge alla fretta, è sospetto.
- Dati richiesti: mai carte, OTP, PIN, IBAN via link o chiamata.
- Canale: usa MyINPS, app INPS Mobile, PEC o patronato.
- Verifica: chiama tu, non farti chiamare.
Se ti capita comunque: ridurre i danni, far circolare la consapevolezza
Se hai cliccato e inserito qualcosa, muoviti a catena. Blocca o congela carte dall’app della banca e avvisa subito l’istituto, chiedendo verifica di bonifici e addebiti. Cambia le password legate a INPS, email e SPID; se pensi che lo SPID sia compromesso, contatta il tuo Identity Provider per sospenderlo o rigenerarlo. Apri una segnalazione sul portale del Commissariato di P.S. online e avvisa il Contact Center INPS indicando il tentativo di phishing. Parla con il patronato: spesso in un quarto d’ora ti fanno da guida. Condividi l’esperienza nel gruppo dei genitori, negli stessi posti dove le truffe fanno presa. Una conversazione che imbarazza per cinque minuti può salvare denaro a tante famiglie domani.
| Punto chiave | Dettaglio | Interesse per il lettore |
|---|---|---|
| Riconoscere il dominio | I siti fake non finiscono in inps.it o .gov.it | Riduce il rischio di clic pericolosi |
| Mai dare OTP | L’INPS non chiede codici via SMS o telefono | Protegge conti e SPID da abusi |
| Procedura dei 60 secondi | Stop, verifica, apri tu l’app/sito ufficiale | Metodo semplice che funziona anche di fretta |
FAQ :
- Come capisco se un SMS sull’Assegno Unico è autentico?Controlla il mittente e soprattutto il link: niente .gov.it o inps.it? È sospetto. Verifica sempre entrando da te su inps.it o sull’app INPS Mobile, non dal messaggio.
- L’INPS invia link via SMS per aggiornare IBAN o sbloccare pagamenti?No. Può inviare avvisi, ma operazioni e comunicazioni avvengono tramite MyINPS, PEC, Contact Center o patronati. I link che chiedono dati sensibili non sono dell’INPS.
- Ho inserito IBAN e dati dopo aver cliccato: cosa faccio subito?Contatta la banca per bloccare o monitorare movimenti, cambia password di email e INPS, segnala al Commissariato di P.S. online e informa l’INPS. Se coinvolto lo SPID, parla con il tuo Identity Provider.
- Possono rubarmi lo SPID con un sito clone?Sì, se inserisci credenziali e confermi l’accesso. Intervieni subito: sospendi o rigenera lo SPID tramite il provider e modifica le password con dispositivi sicuri.
- A chi segnalo il phishing “INPS” sull’assegno unico?Invia segnalazione alla Polizia Postale tramite il Commissariato di P.S. online, avvisa l’INPS e diffondi l’allerta nei canali locali (patronato, scuola, gruppi genitori) per prevenire altri casi.
Article très clair, merci. La « procédure des 60 secondes » est simple et faisable même quand on est pressé. Rappeler de vérifier le domaine (.gov.it / inps.it), d’ouvrir soi‑même l’app et de ne jamais donner l’OTP—parfait. Je vais partager ça dans le groupe de parents.
Question: l’INPS envoie-t-elle parfois des liens cliquables via l’app officielle? Si oui, comment vérrifier qu’ils ne redirigent pas vers un domaine cloné? Et côté SPID, peut-on demander à l’Identity Provider une alerte lorsqu’un otp est demandé anormalement souvent?