È in atto una campagna di SMS fraudolenti che sfrutta nome e logo INPS per rubare dati personali e bancari. Il dominio usato è utenti-ist-nazionale.it. Non cliccare, non inserire dati, non rispondere.
Stai ricevendo un SMS che sembra provenire dall'INPS, con testo tipo "Conferma la tua identità — per continuare a ricevere le tue prestazioni compila quanto segue", seguito da un link? Non si tratta di una comunicazione ufficiale dell'Istituto. È uno smishing: una truffa via SMS progettata per sottrarti dati personali, credenziali di accesso e, in molti casi, dati bancari.
Il CERT-AGID — l'ente governativo italiano che monitora le minacce informatiche — ha documentato un incremento significativo di queste campagne a partire dal 2025, con una nuova ondata attiva nel giugno 2026 che usa il dominio utenti-ist-nazionale.it. In questa guida spieghiamo come funziona la truffa, come riconoscerla e — soprattutto — cosa fare se hai già cliccato.
1. Come Appare il Falso SMS INPS
Il messaggio truffaldino arriva come un normale SMS, spesso nel medesimo thread dei messaggi legittimi precedentemente ricevuti da INPS grazie alla tecnica del SMS spoofing — che permette ai truffatori di falsificare il mittente. Il testo segue schemi ricorrenti:
• "INPS: La tua identità deve essere confermata per continuare a ricevere i pagamenti. Accedi ora:"
• "Gentile utente, la tua richiesta di rimborso è in attesa di verifica. Conferma i dati entro 24 ore:"
• "INPS EROGAZIONI: per sbloccare il pagamento è necessario aggiornare il tuo profilo. Passo 1 di 6:"
Il dominio attualmente segnalato in questa campagna è il seguente:
Il dominio utenti-ist-nazionale.it non ha alcun legame con l'INPS. Il sito ufficiale dell'Istituto è e rimane esclusivamente inps.it. L'INPS ha dichiarato esplicitamente che non invia SMS contenenti link a siti web.
| Caratteristica del messaggio | Cosa significa |
|---|---|
| Mittente "INPS" o numero sconosciuto | Ottenuto tramite SMS spoofing: i truffatori falsificano il mittente per sembrare legittimi e infilarsi nel thread esistente |
| Tono urgente ("entro 24 ore", "sospensione imminente") | Tecnica classica per indurre panico e impedire alla vittima di riflettere prima di agire |
| Link a dominio diverso da inps.it | Segnale inequivocabile di frode. L'INPS non usa mai domini alternativi per le sue comunicazioni |
| Modulo in più passi ("Passo 1 di 6") | Il sito falso raccoglie progressivamente tutti i dati: anagrafica, documenti, codice fiscale, dati bancari |
| Grafica identica al portale INPS | I truffatori clonano l'interfaccia ufficiale per abbassare le difese della vittima |
2. Cosa Succede se Clicchi il Link
Il sito falso è progettato per raccogliere i dati in modo progressivo, seguendo una logica di escalation graduale — esattamente come documentato nell'immagine in apertura di questo articolo. Ecco le fasi:
Il sito chiede nome, cognome, data di nascita e codice fiscale. Sembra un normale accesso INPS. È il Passo 1 di 6.
Il modulo chiede di caricare fronte e retro della carta d'identità o del passaporto. Con questi dati si può aprire conti correnti, contrarre prestiti e commettere furti d'identità a nome della vittima.
Il sito chiede username e password per accedere ai servizi INPS. Con queste credenziali i truffatori possono accedere ai dati previdenziali, modificare l'IBAN per la ricezione dei pagamenti, richiedere prestiti e domande di sussidio.
Nell'ultimo passo il modulo chiede numero di conto, IBAN o dati della carta di credito, con la scusa di "verificare il conto per l'erogazione". A questo punto la vittima è completamente esposta.
Alcune varianti avanzate di questi siti installano script di tracciamento o tentano il download automatico di malware non appena la pagina viene aperta. Se hai cliccato su un dispositivo aziendale, valuta di farlo controllare da un esperto.
3. Come Riconoscere uno Smishing INPS: Checklist Completa
- 🔴 Il link NON porta a inps.it — Controlla sempre l'URL completo prima di inserire qualsiasi dato. L'unico dominio ufficiale è
inps.it. - 🔴 L'SMS contiene un link — L'INPS ha dichiarato esplicitamente che non invia SMS con link a siti web.
- 🔴 Tono urgente e minaccioso — "entro 24 ore", "sospensione del pagamento", "il tuo profilo verrà bloccato" sono segnali di manipolazione psicologica.
- 🔴 Richiesta di documento d'identità online — L'INPS non chiede di caricare documenti tramite SMS o link.
- 🔴 Richiesta di dati bancari o IBAN — L'INPS conosce già il tuo IBAN se ricevi prestazioni: non te lo chiede via SMS.
- 🟠 Mittente apparentemente "INPS" — Lo spoofing permette di falsificare il mittente. Anche se il nome sembra INPS, il contenuto del messaggio è il vero indicatore.
- 🟠 Errori grammaticali o frasi innaturali — Spesso le campagne di smishing presentano piccole imperfezioni linguistiche frutto di traduzioni automatiche.
4. I Numeri del Fenomeno (2025–2026)
Il CERT-AGID monitora costantemente le campagne attive e pubblica aggiornamenti in tempo reale su cert-agid.gov.it. L'INPS stesso ha avviato nel maggio 2025 una campagna nazionale di sensibilizzazione anti-smishing, con email informative a tutti gli iscritti e manifesti nelle sedi territoriali.
Lo spoofing del mittente permette ai truffatori di inviare SMS con qualsiasi nome come mittente — incluso "INPS". In alcuni casi il messaggio si inserisce persino nella stessa conversazione degli SMS autentici precedentemente ricevuti dall'Istituto. Questo rende lo smishing più insidioso del phishing via email, perché il contesto visivo del thread rassicura la vittima.
5. Cosa Fare Subito
Se hai ricevuto l'SMS ma non hai cliccato
- ✅ Elimina l'SMS immediatamente.
- ✅ Blocca il numero mittente.
- ✅ Segnala l'SMS al tuo operatore telefonico inoltrandolo al numero 7726 (servizio anti-spam SMS attivo sui principali operatori italiani).
Se hai cliccato il link ma non hai inserito dati
- ✅ Chiudi il browser immediatamente.
- ✅ Cambia le password INPS e SPID per precauzione.
- ✅ Se hai cliccato da un dispositivo aziendale, avvisa il responsabile IT.
Se hai inserito dati personali o bancari
- 🚨 Cambia subito le credenziali INPS su inps.it e le credenziali SPID con il tuo provider.
- 🚨 Chiama immediatamente la tua banca per bloccare la carta e contestare eventuali transazioni sospette.
- 🚨 Presenta denuncia alla Polizia Postale su commissariatodips.it o fisicamente al più vicino ufficio, portando screenshot dell'SMS e del sito falso.
- 🚨 Segnala il dominio al CERT-AGID su cert-agid.gov.it per contribuire alla rimozione del sito fraudolento.
- 🚨 Contatta un perito informatico forense per acquisire le prove digitali in modo valido ai fini di un eventuale procedimento legale. Periti Digitali può aiutarti →
6. Domande Frequenti (FAQ)
Cos'è lo smishing INPS e come funziona?
Lo smishing INPS è una truffa via SMS in cui i criminali si spacciano per l'Istituto Nazionale di Previdenza Sociale per indurre la vittima a visitare un sito falso e inserire dati personali, credenziali di accesso e dati bancari. Il sito clona graficamente il portale INPS ufficiale. Il termine "smishing" unisce SMS e phishing.
Come riconosco un SMS falso che finge di essere INPS?
I segnali principali sono:
- Il link non porta a
inps.itma a un dominio diverso (es.utenti-ist-nazionale.it) - Il messaggio ha un tono urgente e minaccioso
- Chiede di inserire documenti d'identità, credenziali o dati bancari
- L'INPS non invia mai SMS con link — qualunque SMS con link che finge di essere INPS è fraudolento
Ho cliccato il link INPS falso. Cosa devo fare adesso?
Dipende da cosa hai fatto dopo aver cliccato. Se hai solo aperto la pagina senza inserire dati, cambia le password INPS e SPID per precauzione. Se hai inserito dati: cambia immediatamente tutte le credenziali, contatta la banca, presenta denuncia alla Polizia Postale e valuta di rivolgerti a un perito informatico forense per raccogliere le prove in modo legalmente valido.
Perché il messaggio smishing appare nel thread dei veri SMS INPS?
Grazie alla tecnica dell'SMS spoofing, i truffatori possono falsificare il nome del mittente. Lo smartphone raggruppa tutti i messaggi con lo stesso mittente nello stesso thread — inclusi i falsi. Questo è uno degli elementi più insidiosi dello smishing moderno: il contesto visivo rassicura la vittima, che non percepisce la discontinuità tra i messaggi autentici precedenti e quello fraudolento.
Qual è il dominio usato in questa campagna smishing?
La campagna attiva a giugno 2026 usa il dominio utenti-ist-nazionale.it. L'INPS opera esclusivamente su inps.it. Qualsiasi altro dominio che si presenta come INPS è da considerarsi fraudolento. I truffatori cambiano frequentemente i domini per sfuggire ai blocchi, quindi potrebbero emergere varianti simili.
Serve un perito informatico per una truffa da smishing?
Se hai subito un danno economico o vuoi agire legalmente, sì. Un perito informatico forense può acquisire le prove digitali (screenshot, metadati, traffico di rete) in modo tecnicamente corretto e giuridicamente valido, redigere una perizia depositabile in tribunale e supportarti nell'interazione con Polizia Postale e avvocati. Le prove raccolte autonomamente spesso non sono ammissibili in sede giudiziaria.
Dove segnalo un dominio smishing INPS?
Puoi segnalare il dominio fraudolento a:
- CERT-AGID — cert-agid.gov.it
- Polizia Postale — commissariatodips.it
- INPS — tramite i canali social ufficiali o il Contact Center: 803 164 (da rete fissa), 06 164 164 (da cellulare)
Hai cliccato un link INPS falso?
Periti Digitali può aiutarti.
I nostri periti informatici forensi acquisiscono le prove digitali in modo giuridicamente valido, redigono perizie utilizzabili in tribunale e ti supportano in ogni fase: dalla denuncia alla causa civile o penale.
Richiedi una consulenza →