CERT-AgID
🇮🇹 Campagna di phishing #TesseraSanitaria in corso ⚠️ Il CERT-AGID ha avuto evidenza di una campagna di #phishing che sfrutta loghi e nomi del Sistema Tessera Sanitaria e del Ministero della Salute. 🔎 Le email ingannevoli fanno riferimento alla "scadenza…
🔄 Aggiornamento 19/01/2026
⚠️ Il CERT-AGID ha individuato nuovi domini malevoli su cui risultano attive pagine di phishing correlate alla campagna a tema Tessera Sanitaria. Le consuete azioni di contrasto sono state attivate e l’elenco degli Indicatori di Compromissione (#IoC) è stato nuovamente aggiornato.
⚠️ Il CERT-AGID ha individuato nuovi domini malevoli su cui risultano attive pagine di phishing correlate alla campagna a tema Tessera Sanitaria. Le consuete azioni di contrasto sono state attivate e l’elenco degli Indicatori di Compromissione (#IoC) è stato nuovamente aggiornato.
🇮🇹 Nuova campagna di phishing a tema #SPID sfrutta Google Sites
⚠️ È stata rilevata una nuova campagna di phishing rivolta agli utenti di SPID e veicolata tramite email ingannevoli che invitano l’utente ad accedere alla propria area privata per controllare ed eventualmente aggiornare le informazioni fornite. Il link presente nel corpo dell’email rimanda a un finto portale ospitato su Google Sites.
🔎 La pagina malevola cerca di tranne in inganno i visitatori replicando la grafica del portale ufficiale SPID e riportando i loghi di #AgID e del #DTD, e richiede diversi dati personali: generalità, indirizzo, email, telefono, oltre a IBAN e banca del proprio conto corrente.
🚧 Azioni di contrasto
➡️ Richiesta la disattivazione del sito per impedire ulteriori compromissioni.
➡️ Gli #IoC sono stati diramati alle organizzazioni pubbliche accreditate al Flusso IoC del CERT-AGID.
💣 Ulteriori informazioni e #IoC 👇
🔗 https://cert-agid.gov.it/news/nuova-campagna-di-phishing-a-tema-spid-sfrutta-google-sites/
⚠️ È stata rilevata una nuova campagna di phishing rivolta agli utenti di SPID e veicolata tramite email ingannevoli che invitano l’utente ad accedere alla propria area privata per controllare ed eventualmente aggiornare le informazioni fornite. Il link presente nel corpo dell’email rimanda a un finto portale ospitato su Google Sites.
🔎 La pagina malevola cerca di tranne in inganno i visitatori replicando la grafica del portale ufficiale SPID e riportando i loghi di #AgID e del #DTD, e richiede diversi dati personali: generalità, indirizzo, email, telefono, oltre a IBAN e banca del proprio conto corrente.
🚧 Azioni di contrasto
➡️ Richiesta la disattivazione del sito per impedire ulteriori compromissioni.
➡️ Gli #IoC sono stati diramati alle organizzazioni pubbliche accreditate al Flusso IoC del CERT-AGID.
💣 Ulteriori informazioni e #IoC 👇
🔗 https://cert-agid.gov.it/news/nuova-campagna-di-phishing-a-tema-spid-sfrutta-google-sites/
🇮🇹 Phishing mirato a varie Università italiane in corso
⚠️ Dettagli della campagna
Il CERT-AGID ha individuato alcune campagne di phishing ai danni del personale di diverse #Università italiane, fra cui #Salerno e #Bergamo. Email malevole con oggetto e testo relativi a un falso premio di incentivazione, invitano a cliccare un link per poter prendere visione delle modalità di attribuzione e dell'elenco completo dei beneficiari.
🔎 Dettagli
Il link porta a una pagina malevola che replica l’accesso all'area riservata dell'Ateneo con l'obiettivo di impossessarsi delle credenziali di accesso degli utenti (username e password).
📧 Oggetto delle email di phishing: Attribuzione del Premio-di-Incentivazione
🚧 Azioni di contrasto
➤ #UNISA e #UniBg sono state informate della problematica.
➤ Richiesta la dismissione del dominio malevolo.
➤ Indicatori di Compromissione diramati a tutti gli enti accreditati.
ℹ️ Download #IoC👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_Universita_19-01-2026.json
⚠️ Dettagli della campagna
Il CERT-AGID ha individuato alcune campagne di phishing ai danni del personale di diverse #Università italiane, fra cui #Salerno e #Bergamo. Email malevole con oggetto e testo relativi a un falso premio di incentivazione, invitano a cliccare un link per poter prendere visione delle modalità di attribuzione e dell'elenco completo dei beneficiari.
🔎 Dettagli
Il link porta a una pagina malevola che replica l’accesso all'area riservata dell'Ateneo con l'obiettivo di impossessarsi delle credenziali di accesso degli utenti (username e password).
📧 Oggetto delle email di phishing: Attribuzione del Premio-di-Incentivazione
🚧 Azioni di contrasto
➤ #UNISA e #UniBg sono state informate della problematica.
➤ Richiesta la dismissione del dominio malevolo.
➤ Indicatori di Compromissione diramati a tutti gli enti accreditati.
ℹ️ Download #IoC👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_Universita_19-01-2026.json
🇮🇹 Sfruttato il logo di #AgenziaEntrate in un phishing mirato al furto di credenziali SPID
⚠️ A brevissima distanza dalla precedente campagna a tema SPID, è stato rilevato un nuovo phishing, ai danni dell’Agenzia delle Entrate, finalizzato ad acquisire le credenziali di accesso delle identità digitali degli utenti.
🔎 La pagina web fraudolenta presenta alle vittime una falsa schermata di accesso all’area riservata dell'Ente che riproduce un finto modulo di login tramite SPID.
🚧 Azioni di contrasto
➡️ Il MEF è stato informato della problematica.
➡️ È stata richiesta la dismissione del dominio malevolo.
➡️ Gli Indicatori di Compromissione (IoC) sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
💣 Ulteriori informazioni e download #IoC 👇
🔗 https://cert-agid.gov.it/news/sfruttato-il-logo-di-ade-per-una-campagna-di-phishing-mirata-al-furto-di-credenziali-spid/
⚠️ A brevissima distanza dalla precedente campagna a tema SPID, è stato rilevato un nuovo phishing, ai danni dell’Agenzia delle Entrate, finalizzato ad acquisire le credenziali di accesso delle identità digitali degli utenti.
🔎 La pagina web fraudolenta presenta alle vittime una falsa schermata di accesso all’area riservata dell'Ente che riproduce un finto modulo di login tramite SPID.
🚧 Azioni di contrasto
➡️ Il MEF è stato informato della problematica.
➡️ È stata richiesta la dismissione del dominio malevolo.
➡️ Gli Indicatori di Compromissione (IoC) sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
💣 Ulteriori informazioni e download #IoC 👇
🔗 https://cert-agid.gov.it/news/sfruttato-il-logo-di-ade-per-una-campagna-di-phishing-mirata-al-furto-di-credenziali-spid/
🇮🇹 Phishing su #TesseraSanitaria in scadenza: breve sintesi del contesto
🔎 Il CERT-AGID, che sta monitorando attentamente il fenomeno, sta registrando e analizzando puntualmente le varie di campagne di phishing rivolte agli utenti italiani.
⚠️ Da gennaio 2026 è stata rilevata un'intesa serie di campagne che sfruttano il nome della Tessera Sanitaria.
🎣 Come funziona la truffa: email che avvisano della presunta scadenza della tessera e invitano al rinnovo, prima chiedono nome, email e telefono, e poi i dati della carta di pagamento per le “spese di spedizione”.
📈 7 campagne identificate nelle ultime 2 settimane e 34 IoC condivisi con gli enti accreditati al feed del CERT-AGID.
ℹ️ Per ulteriori dettagli e #IoC👇
🔗 https://cert-agid.gov.it/news/ancora-una-campagna-di-phishing-su-scadenza-tessera-sanitaria-breve-sintesi-del-contesto/
🔎 Il CERT-AGID, che sta monitorando attentamente il fenomeno, sta registrando e analizzando puntualmente le varie di campagne di phishing rivolte agli utenti italiani.
⚠️ Da gennaio 2026 è stata rilevata un'intesa serie di campagne che sfruttano il nome della Tessera Sanitaria.
🎣 Come funziona la truffa: email che avvisano della presunta scadenza della tessera e invitano al rinnovo, prima chiedono nome, email e telefono, e poi i dati della carta di pagamento per le “spese di spedizione”.
📈 7 campagne identificate nelle ultime 2 settimane e 34 IoC condivisi con gli enti accreditati al feed del CERT-AGID.
ℹ️ Per ulteriori dettagli e #IoC👇
🔗 https://cert-agid.gov.it/news/ancora-una-campagna-di-phishing-su-scadenza-tessera-sanitaria-breve-sintesi-del-contesto/
Bias di autorità nei modelli RAG: quando le istruzioni prevalgono sui fatti
I modelli non distinguono davvero tra fatti e istruzioni.
📖 Lo studio guarda dentro i sistemi RAG per capire come i modelli decidono cosa conta come vero e cosa conta come ordine.
⚖️ Nel contesto non esiste una distinzione strutturale tra descrizione e prescrizione. Questo permette a frasi normative, anche false, di competere con l'evidenza fattuale.
I risultati mostrano comportamenti diversi.
➤ Alcuni modelli restano ancorati ai fatti.
➤ Altri privilegiano l'autorità implicita del testo, soprattutto se ripetuto o messo in posizioni chiave.
🪲 Lo stesso effetto compare nel codice.
➤ Una semplice cornice testuale può ribaltare una classificazione senza cambiare il codice.
La robustezza di un sistema RAG non dipende solo dal retrieval.
Dipende da come il modello pesa fatti e autorità.
🔗 https://www.agid.gov.it/it/notizie/evidenza-vs-autorita-come-lia-gestisce-informazioni-contrastanti-nel-nuovo-paper-del-cert
I modelli non distinguono davvero tra fatti e istruzioni.
📖 Lo studio guarda dentro i sistemi RAG per capire come i modelli decidono cosa conta come vero e cosa conta come ordine.
⚖️ Nel contesto non esiste una distinzione strutturale tra descrizione e prescrizione. Questo permette a frasi normative, anche false, di competere con l'evidenza fattuale.
I risultati mostrano comportamenti diversi.
➤ Alcuni modelli restano ancorati ai fatti.
➤ Altri privilegiano l'autorità implicita del testo, soprattutto se ripetuto o messo in posizioni chiave.
🪲 Lo stesso effetto compare nel codice.
➤ Una semplice cornice testuale può ribaltare una classificazione senza cambiare il codice.
La robustezza di un sistema RAG non dipende solo dal retrieval.
Dipende da come il modello pesa fatti e autorità.
🔗 https://www.agid.gov.it/it/notizie/evidenza-vs-autorita-come-lia-gestisce-informazioni-contrastanti-nel-nuovo-paper-del-cert
Sintesi riepilogativa delle campagne malevole nella settimana del 17 – 23 gennaio 2026
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 92 campagne malevole, di cui 60 con obiettivi italiani e 32 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 619 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Rilevate due nuove campagne di phishing rivolte ad utenti #SPID.
➡️ Pubblicata una breve sintesi con i dettagli delle campagne di phishing a tema Tessera Sanitaria recentemente osservate.
➡️ Individuate alcune campagne di phishing mirato ai danni di studenti e personale di diverse università italiane, fra cui le Università di Brescia e Salerno.
💣 #IoC 588
🦠 #Malware 14 (famiglie)
🐟 #Phishing 26 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-23-gennaio/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 92 campagne malevole, di cui 60 con obiettivi italiani e 32 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 619 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Rilevate due nuove campagne di phishing rivolte ad utenti #SPID.
➡️ Pubblicata una breve sintesi con i dettagli delle campagne di phishing a tema Tessera Sanitaria recentemente osservate.
➡️ Individuate alcune campagne di phishing mirato ai danni di studenti e personale di diverse università italiane, fra cui le Università di Brescia e Salerno.
💣 #IoC 588
🦠 #Malware 14 (famiglie)
🐟 #Phishing 26 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-17-23-gennaio/
🇮🇹 Nuova campagna di phishing a tema SPID in corso
ℹ️ Il CERT-AGID ha individuato una campagna di phishing, rivolta ad utenti SPID, che abusa del nome di #AgID e del Dipartimento per la Trasformazione Digitale.
✉️ Oggetto: "Il tuo profilo SPID necessita di verifica"
⚠️ La pagina malevola replica la grafica del portale ufficiale #SPID e riporta i loghi di #AgID e del #DTD con l'obiettivo di sottrarre diversi dati personali delle vittime, tra cui generalità, indirizzo di residenza, email, telefono, IBAN e banca del proprio conto corrente.
🚧 Azioni di contrasto
➡️ Richiesta la disattivazione del sito per impedire ulteriori compromissioni.
➡️ Gli Indicatori di Compromissione sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
💣 Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_SPID_26_01_26.json
ℹ️ Il CERT-AGID ha individuato una campagna di phishing, rivolta ad utenti SPID, che abusa del nome di #AgID e del Dipartimento per la Trasformazione Digitale.
✉️ Oggetto: "Il tuo profilo SPID necessita di verifica"
⚠️ La pagina malevola replica la grafica del portale ufficiale #SPID e riporta i loghi di #AgID e del #DTD con l'obiettivo di sottrarre diversi dati personali delle vittime, tra cui generalità, indirizzo di residenza, email, telefono, IBAN e banca del proprio conto corrente.
🚧 Azioni di contrasto
➡️ Richiesta la disattivazione del sito per impedire ulteriori compromissioni.
➡️ Gli Indicatori di Compromissione sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
💣 Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_SPID_26_01_26.json
🇮🇹 Sfruttate utenze compromesse della PA per furto credenziali Microsoft 365 tramite Figma
⚠️ Il CERT-AGID ha individuato una nuova campagna di phishing che sfrutta caselle email di Pubbliche Amministrazioni compromesse per inviare messaggi ad altri destinatari nel perimetro PA, a seguito di precedenti scambi reali.
✉️ Oggetto: Invoice EX-25071 from [nome PA]
👥 Destinatari in CCN.
📎 Allegati PDF con link a risorsa malevola su #Figma.
🔗 Link a pagina di phishing a tema "login #Microsoft365".
🚧 Azioni di contrasto
➤ Avvisate le PA interessate dalla compromissione.
➤ Gli Indicatori di Compromissione sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Per approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/sfruttate-utenze-della-pa-compromesse-per-tentare-il-furto-di-credenziali-microsoft-365-tramite-figma/
⚠️ Il CERT-AGID ha individuato una nuova campagna di phishing che sfrutta caselle email di Pubbliche Amministrazioni compromesse per inviare messaggi ad altri destinatari nel perimetro PA, a seguito di precedenti scambi reali.
✉️ Oggetto: Invoice EX-25071 from [nome PA]
👥 Destinatari in CCN.
📎 Allegati PDF con link a risorsa malevola su #Figma.
🔗 Link a pagina di phishing a tema "login #Microsoft365".
🚧 Azioni di contrasto
➤ Avvisate le PA interessate dalla compromissione.
➤ Gli Indicatori di Compromissione sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Per approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/sfruttate-utenze-della-pa-compromesse-per-tentare-il-furto-di-credenziali-microsoft-365-tramite-figma/
🇮🇹 Phishing Tessera Sanitaria in scadenza
🔎 Continuano le email ingannevoli che fanno riferimento ad una “scadenza imminente” della #TesseraSanitaria
🎣 Furto di informazioni:
👤 Nome e Cognome
📞 Numero di Telefono
🏘 Indirizzo di casa
💳 Carta di pagamento
🧑💻Azioni di contrasto
➡️ Avvisati MEF e Ministero della Salute
➡️ Richiesta la dismissione del dominio
ℹ️ Per ulteriori dettagli👇
🔗 https://cert-agid.gov.it/news/ancora-una-campagna-di-phishing-su-scadenza-tessera-sanitaria-breve-sintesi-del-contesto
🔎 Continuano le email ingannevoli che fanno riferimento ad una “scadenza imminente” della #TesseraSanitaria
🎣 Furto di informazioni:
👤 Nome e Cognome
📞 Numero di Telefono
🏘 Indirizzo di casa
💳 Carta di pagamento
🧑💻Azioni di contrasto
➡️ Avvisati MEF e Ministero della Salute
➡️ Richiesta la dismissione del dominio
ℹ️ Per ulteriori dettagli👇
🔗 https://cert-agid.gov.it/news/ancora-una-campagna-di-phishing-su-scadenza-tessera-sanitaria-breve-sintesi-del-contesto
🇮🇹 Smishing a tema #INPS: finiscono nel mirino anche i dati del CUD e le informazioni lavorative
⚠️ Il CERT-AGID ha ricevuto notifica dall'INPS di una nuova campagna malevola che sfrutta il tema delle "erogazioni statali" e il nome di INPS per il furto di documenti e dati personali.
🆕 Elemento distintivo della campagna: questa volta l'attaccante introduce due nuove pagine dedicate a informazioni ad alto valore per frodi e furto d’identità.
📑 Upload del CUD
🧾 Dettagli sul lavoro svolto: posizione lavorativa, datore di lavoro, data di assunzione, tipo di contratto
🔎 Continuano comunque ad essere richiesti:
👤 documento d’identità e patente
🪪 tessera sanitaria
📄 ultime buste paga
🤳 selfie
🚧 Azioni di contrasto
➤ Richiesta la dismissione del dominio.
➤ Gli #IoC sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Per approfondimenti e #IoC👇
🔗 https://cert-agid.gov.it/news/smishing-a-tema-inps-finiscono-nel-mirino-anche-i-dati-del-cud-e-le-informazioni-lavorative/
⚠️ Il CERT-AGID ha ricevuto notifica dall'INPS di una nuova campagna malevola che sfrutta il tema delle "erogazioni statali" e il nome di INPS per il furto di documenti e dati personali.
🆕 Elemento distintivo della campagna: questa volta l'attaccante introduce due nuove pagine dedicate a informazioni ad alto valore per frodi e furto d’identità.
📑 Upload del CUD
🧾 Dettagli sul lavoro svolto: posizione lavorativa, datore di lavoro, data di assunzione, tipo di contratto
🔎 Continuano comunque ad essere richiesti:
👤 documento d’identità e patente
🪪 tessera sanitaria
📄 ultime buste paga
🤳 selfie
🚧 Azioni di contrasto
➤ Richiesta la dismissione del dominio.
➤ Gli #IoC sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Per approfondimenti e #IoC👇
🔗 https://cert-agid.gov.it/news/smishing-a-tema-inps-finiscono-nel-mirino-anche-i-dati-del-cud-e-le-informazioni-lavorative/
🇮🇹 Nuova campagna di phishing a tema Polizia di Stato in corso
⚠️ Il CERT-AGID ha individuato una campagna di phishing che sfrutta il nome e logo della #PoliziaDiStato per impossessarsi delle credenziali email delle vittime.
🔎 La pagina malevola, realizzata tramite #Webflow, sfrutta un'API dello stesso servizio per l'invio dei dati rubati.
🚧 Azioni di contrasto
➤ L'Ente interessato è stato informato della problematica.
➤ Richiesta la dismissione del dominio.
➤ Gli #IoC sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Download IoC👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_PdS_30_01_2026.json
⚠️ Il CERT-AGID ha individuato una campagna di phishing che sfrutta il nome e logo della #PoliziaDiStato per impossessarsi delle credenziali email delle vittime.
🔎 La pagina malevola, realizzata tramite #Webflow, sfrutta un'API dello stesso servizio per l'invio dei dati rubati.
🚧 Azioni di contrasto
➤ L'Ente interessato è stato informato della problematica.
➤ Richiesta la dismissione del dominio.
➤ Gli #IoC sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Download IoC👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_PdS_30_01_2026.json
Sintesi riepilogativa delle campagne malevole nella settimana del 24 – 30 gennaio 2026
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 97 campagne malevole, di cui 58 con obiettivi italiani e 39 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 2018 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Smishing a tema #INPS richiede caricamento di CUD e dati lavorativi
➡️ Ulteriori campagne di phishing su “scadenza” Tessera Sanitaria.
➡️ Phishing da caselle #PA compromesse sfrutta Figma per furto credenziali Microsoft.
➡️ Nuova campagna a tema #SPID abusa dei loghi di AgID e DTD.
➡️ Phishing ai danni della #Polizia di Stato abusa di Webflow.
💣 #IoC 2018
🦠 #Malware 19 (famiglie)
🐟 #Phishing 35 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-24-30-gennaio/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 97 campagne malevole, di cui 58 con obiettivi italiani e 39 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 2018 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Smishing a tema #INPS richiede caricamento di CUD e dati lavorativi
➡️ Ulteriori campagne di phishing su “scadenza” Tessera Sanitaria.
➡️ Phishing da caselle #PA compromesse sfrutta Figma per furto credenziali Microsoft.
➡️ Nuova campagna a tema #SPID abusa dei loghi di AgID e DTD.
➡️ Phishing ai danni della #Polizia di Stato abusa di Webflow.
💣 #IoC 2018
🦠 #Malware 19 (famiglie)
🐟 #Phishing 35 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-24-30-gennaio/