Dal 17 aprile 2026 circolano false email che usano il nome del Ministero della Salute per rubare dati personali e bancari. Lo stesso Ministero ha pubblicato un alert sul proprio sito istituzionale: “Stanno circolando false email che utilizzano indebitamente il nome del Ministero della Salute e invitano i cittadini a fornire dati personali per il rinnovo o l’iscrizione a servizi sanitari digitali. Si tratta di una campagna di phishing finalizzata a sottrarre dati personali e sensibili”.
Non è la prima volta. Non è neanche la seconda. Già il 12 gennaio 2026 il Ministero aveva pubblicato un avviso simile su false email relative al rinnovo della Tessera sanitaria, e un altro precedente risale all’11 luglio 2025, quando il nome del dicastero era stato usato in messaggi fraudolenti collegati al Fascicolo sanitario elettronico. Tre campagne in dodici mesi, stesso marchio istituzionale, pretesti ogni volta leggermente diversi.
In questo articolo
Come funziona la truffa: il percorso in tre passi
Il meccanismo è semplice, collaudato e difficile da riconoscere a prima vista perché costruito per sembrare autentico in ogni dettaglio.
Passo 1 — L’esca. Arriva un’email con mittente che richiama il Ministero della Salute. Il testo segnala una scadenza o un aggiornamento urgente: il rinnovo della Tessera Sanitaria è scaduto, oppure i propri dati nel Fascicolo Sanitario Elettronico vanno aggiornati entro una data ravvicinata. Il linguaggio è burocratico e formale. L’oggetto dell’email sembra ufficiale.
Passo 2 — Il link falso. Cliccando sul link incluso nell’email si atterra su un sito costruito per sembrare identico alle piattaforme istituzionali: stessa grafica, stessi colori, stessi loghi. Il dominio nell’URL è però diverso da quello originale — spesso con piccole variazioni difficili da notare a colpo d’occhio.
Passo 3 — Il furto dei dati. Il sito falso mostra un modulo da compilare. Chiede nome, cognome, codice fiscale, numero di tessera sanitaria e — qui sta la differenza con una normale burocrazia — anche i dati bancari. È questa richiesta il segnale più chiaro che qualcosa non va: nessun servizio sanitario pubblico ha bisogno del numero di conto corrente o del codice CVV della carta di credito.
Perché continua a funzionare: la psicologia del phishing istituzionale
L’esca non riguarda un singolo servizio, ma sfrutta la fiducia costruita attorno alla sanità digitale. La progressione è chiara: gli attaccanti riutilizzano lo stesso marchio di fiducia e cambiano il motivo amministrativo per agganciare pubblici diversi. Chi non si preoccupa della tessera può sentirsi coinvolto dal Fascicolo; chi non usa spesso il FSE può temere il rinnovo del documento sanitario. L’efficacia dell’attacco sta proprio in questo. Il phishing istituzionale sfrutta tre meccanismi psicologici ben documentati. Il primo è l’autorità percepita: un’email che sembra provenire da un ministero attiva automaticamente un livello di fiducia superiore a quella di un mittente sconosciuto. Il secondo è l’urgenza artificiale: scadenze imminenti, avvisi di accesso bloccato, avvertimenti di dati non aggiornati costringono a reagire in fretta, riducendo la capacità critica. Il terzo è la familiarità visiva: un sito graficamente identico a quello istituzionale bypassa il filtro “questo non sembra giusto” che di solito funziona come difesa.
Come riconoscerla in cinque secondi
Ci sono tre domande da porsi davanti a qualsiasi email che chieda di aggiornare dati sanitari o rinnovare documenti:
1. Ti stanno chiedendo dati bancari? Tessera sanitaria e Fascicolo sanitario elettronico sono gratuiti, sempre e per chiunque. Nessun ente sanitario pubblico chiede coordinate bancarie, numeri di carta o codici di sicurezza via email.
2. L’email contiene un link da cliccare? Il Ministero della Salute non invia email con link per inserire dati personali tramite moduli online. Se c’è un link, è un segnale di allarme indipendentemente da quanto sembri ufficiale il mittente.
3. Hai controllato l’indirizzo del mittente? Non il nome visualizzato — quello si può falsificare facilmente — ma l’indirizzo reale. I domini istituzionali italiani terminano in .gov.it. Qualsiasi variazione (.com, .net, .it con nomi insoliti, domini con trattini o numeri) è un campanello d’allarme.
Cosa fare se hai già cliccato
Se si è aperto il link ma non si sono inseriti dati: chiudere il sito, non compilare nulla, eliminare l’email.
Se si sono inseriti dati personali ma non bancari: segnalare l’accaduto alla Polizia Postale tramite il portale dedicato e monitorare eventuali comunicazioni anomale nei prossimi giorni.
Se si sono inseriti dati bancari: contattare immediatamente la propria banca per bloccare la carta o il conto, poi sporgere denuncia presso la Polizia Postale. Agire entro poche ore riduce significativamente il rischio di perdite economiche.
In tutti i casi: per aggiornare i propri dati sanitari digitali, è necessario accedere direttamente — digitando l’URL nel browser — al sito ufficiale del FSE o al portale del Ministero della Salute, mai tramite link ricevuti via email.
🌍 Le notizie di Cose dell'Altro Mondo direttamente sul tuo telefono
Iscriviti al nostro canale WhatsApp o Telegram — gratis, senza spam, puoi uscire quando vuoi.
Crediti fotografici
- truffa-phishing-email-ministero-salute-tessera-sanitaria-2026: © cosedellaltromondo.it | CC0 1.0 Universal
Scopri di più da Cose dell'Altro Mondo
Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.
