Un'email ti dice che hai un rimborso di 387 euro in attesa. Mittente: Agenzia delle Entrate. Tono ufficiale, logo istituzionale. L'istinto dice "finalmente". Ma c'è un problema: l'Agenzia delle Entrate non usa le email per i rimborsi. Mai.
01 — Perché l'esca-rimborso funziona: il cervello vede soldi e abbassa la guardia
Il phishing più sofisticato non minaccia. Promette. Quando un messaggio ci dice che dobbiamo pagare qualcosa o che il nostro conto è a rischio, si attiva automaticamente una soglia di attenzione: siamo diffidenti, chiamiamo la banca, controlliamo. Ma quando il messaggio dice che abbiamo dei soldi in arrivo, il cervello funziona diversamente. I soldi gratis non sembrano pericolosi. Sembrano una fortuna.
Questa distorsione cognitiva ha un nome preciso: la cosiddetta 'valenza positiva dello stimolo'. In parole semplici, ciò che ci sembra vantaggioso abbassa automaticamente il livello di sospetto. I truffatori lo sanno, e costruiscono le loro esche esattamente su questa debolezza universale. Non è ingenuità: è fisiologia. Succede a chiunque, a qualsiasi età.
L'importo del rimborso è quasi sempre plausibile — raramente cifre assurde come 10.000 euro, più spesso tra 80 e 600 euro. Una somma che 'ci sta', che potrebbe effettivamente derivare da un conguaglio 730, da un bonus energia, da un eccesso di ritenuta. Questo ulteriore dettaglio di credibilità è la trappola dentro la trappola: il cervello non si chiede solo se è possibile ricevere quel rimborso, ma anche se quella cifra specifica non potrebbe essere proprio quella che aspettava.
02 — Come comunica davvero l'Agenzia delle Entrate: niente email, tutto nel Cassetto Fiscale
L'Agenzia delle Entrate ha una posizione ufficiale, scritta e pubblica, sul tema delle comunicazioni ai contribuenti. Sul sito agenziaentrate.gov.it, nella sezione 'Comunicazioni ai contribuenti / Avvisi di sicurezza', l'ente dichiara esplicitamente che non invia email per comunicare rimborsi, non chiede coordinate bancarie via email e non manda link per accedere a procedere a operazioni fiscali. Puoi verificarlo direttamente: apri agenziaentrate.gov.it e cerca nel sito le parole 'phishing comunicazioni false' — troverai una pagina dedicata con gli esempi di email false già segnalate.
Il canale ufficiale e sicuro per verificare un rimborso fiscale è il Cassetto Fiscale, accessibile tramite il sito agenziaentrate.gov.it nella sezione 'Area Riservata', oppure tramite l'app IO (l'app dei servizi pubblici italiani, disponibile su App Store e Google Play). Per accedere servono le credenziali SPID, la Carta d'Identità Elettronica (CIE) o il CNS. Se hai un rimborso in attesa, lo trovi qui: non arriverà mai tramite un link in un'email.
Un dettaglio importante: l'Agenzia delle Entrate comunica per posta ordinaria o raccomandata cartacea quando deve notificare atti formali. Può usare la PEC (Posta Elettronica Certificata) solo se il contribuente ha fornito un indirizzo PEC registrato. In nessun caso usa indirizzi email ordinari come @gmail.com, @libero.it o domini commerciali. Se l'email che hai ricevuto non viene da un indirizzo che termina con il dominio ufficiale @agenziaentrate.gov.it, è già un segnale da non ignorare.
03 — Le cinque varianti italiane più diffuse: rimborso 730, energia, INPS, bollo, TARI
La truffa del rimborso non ha un solo volto. I criminali adattano il pretesto alla stagione e all'attualità. In primavera, quando si avvicina la dichiarazione dei redditi, circolano email che simulano un rimborso IRPEF o un conguaglio 730. In autunno, quando le bollette salgono, compaiono email che millantano un 'rimborso bonus energia' legato alle misure governative. Conoscere le varianti aiuta a riconoscerle prima.
Rimborso 730 e IRPEF: arriva solitamente tra maggio e settembre, periodo plausibile per i conguagli fiscali. Il testo dice che dalla dichiarazione dei redditi risulta un credito a favore del contribuente. Chiede di confermare l'IBAN su un sito esterno. Come verificare: il vero rimborso IRPEF viene accreditato direttamente sul conto che hai indicato in dichiarazione, oppure tramite bonifico o vaglia postale se non hai fornito IBAN. Non richiede alcuna azione via email. Controlla lo stato nel Cassetto Fiscale: agenziaentrate.gov.it → Area Riservata → Cassetto Fiscale → Rimborsi.
Rimborso bonus energia: fa leva sui provvedimenti governativi degli ultimi anni per ridurre le bollette (bonus gas, bonus elettrico, contributo straordinario). L'email sembra provenire da ARERA (l'Autorità di Regolazione per Energia Reti e Ambiente) o da Agenzia Entrate. Come verificare: ARERA non eroga rimborsi diretti ai cittadini via email. I bonus energia vengono applicati automaticamente in bolletta o tramite il proprio fornitore. Puoi verificare i bonus a cui hai diritto sul Portale Offerte ARERA: portaleofferte.it.
Rimborso INPS pensione e contributi: simula una comunicazione dell'INPS relativa a contributi versati in eccesso o a una rivalutazione pensionistica. Come verificare: l'INPS gestisce i rimborsi tramite il proprio portale ufficiale inps.it, sezione 'Prestazioni e servizi'. Puoi accedervi con SPID o CIE. L'INPS non invia mai email con link per accedere a rimborsi contributivi. La conferma è scritta nella pagina inps.it/it/it/dati-e-bilanci/informativa-antifrode.html.
Rimborso bollo auto e TARI: due temi che circolano tutto l'anno. Per il bollo auto, la competenza è delle Regioni o dell'ACI (Automobile Club d'Italia) a seconda della regione. Per la TARI, è il Comune di residenza l'unico soggetto competente. In entrambi i casi, nessun ente invia email con link per ricevere rimborsi: un'email di questo tipo è sempre falsa. Per il bollo puoi verificare sul sito ACI (aci.it) o su quello della tua Regione; per la TARI contatta direttamente il tuo Comune.
04 — I pattern testuali tipici: le frasi che si ripetono in ogni truffa-rimborso
Le email di phishing rimborso sono costruite con un vocabolario ricorrente. Impararlo a memoria è uno dei modi più efficaci per smettere di cadere in trappola. Non serve essere esperti di informatica: basta riconoscere certe frasi come segnali di allarme automatici, esattamente come riconosciamo una telefonata sospetta quando qualcuno chiede i nostri dati bancari al telefono.
Le frasi più frequenti che trovate in queste email: 'È stato accreditato a suo favore un importo di…'; 'Per ricevere il rimborso completi la procedura entro 48 ore'; 'La invitiamo a confermare le sue coordinate bancarie cliccando sul link sottostante'; 'Il mancato completamento entro il termine indicato comporterà la perdita del rimborso'; 'La procedura è semplice e richiede solo pochi minuti'. Nota il mix: promessa di denaro + urgenza temporale + semplicità disarmante + minaccia di perdita. È una formula quasi sempre identica.
L'urgenza è forse il segnale più importante. Le frasi '48 ore', 'entro oggi', 'scadenza improrogabile' servono a impedire che tu ti fermi a ragionare. Un ente pubblico italiano non ha mai dato 48 ore per riscuotere un rimborso fiscale che appartiene già al contribuente. I tempi burocratici reali si misurano in settimane, non in ore. Ogni volta che un'email ti spinge ad agire immediatamente, è il momento esatto in cui devi invece fermarti.
Un altro pattern ricorrente è l'intestazione generica: 'Gentile contribuente', 'Gentile utente', 'Spettabile cliente'. L'Agenzia delle Entrate, l'INPS e qualsiasi ente pubblico che ti scrive ufficialmente conosce il tuo nome e cognome. Se l'email non ti chiama per nome, è già un campanello. Non è un segnale definitivo da solo — ma sommato agli altri, rafforza il quadro complessivo.
05 — Come si riconosce l'email fasulla: cinque controlli in meno di tre minuti
Primo controllo: il dominio del mittente. Clicca (o tocca sul telefono) sul nome del mittente per vedere l'indirizzo email completo. Un'email autentica dell'Agenzia delle Entrate termina con @agenziaentrate.gov.it. Nient'altro. Non @agenziaentrate-rimborsi.it, non @entrate-gov.info, non @agenzia-entrate.eu. Per confermare il dominio ufficiale, apri agenziaentrate.gov.it e cerca 'contatti' — lì trovi tutti i recapiti istituzionali. Se il dominio che vedi nell'email non corrisponde, l'email è falsa.
Secondo controllo: il link nell'email. Prima di cliccare qualunque link, posiziona il cursore sopra (su PC) oppure tieni premuto il link (su smartphone) per vedere l'indirizzo reale. Se l'indirizzo è diverso dal dominio dell'ente — per esempio punta a rimborso-fiscale.info o a una stringa di lettere e numeri senza senso — non cliccare. In caso di dubbio, non cliccare mai: vai direttamente al sito ufficiale digitandolo tu nel browser.
Terzo controllo: il tono e la grammatica. Le email di phishing sono spesso tradotte male o scritte con errori di punteggiatura, spazi mancanti prima dei punti interrogativi, verbi usati in modo strano. Non sempre, però: le versioni più elaborate hanno una grammatica corretta. Per questo il controllo grammaticale va usato insieme agli altri, non da solo.
Quarto controllo: l'urgenza temporale. Come detto nella sezione precedente, qualsiasi deadline di 24 o 48 ore per riscuotere un rimborso pubblico è inventata. Nessun ente italiano prevede la decadenza di un rimborso fiscale in due giorni. La scadenza esiste solo per toglierti il tempo di pensare.
Quinto controllo: il canale ufficiale. Indipendentemente da tutto il resto, non agire mai su un rimborso segnalato via email. Vai direttamente al canale ufficiale — Cassetto Fiscale per le tasse, area personale INPS per pensioni e contributi, app IO per i servizi pubblici — e verifica tu stesso se quel rimborso esiste davvero. Se non compare lì, non esiste.
06 — I canali ufficiali dove verificare un rimborso reale
Il Cassetto Fiscale è lo strumento principale per verificare rimborsi fiscali. Si accede da agenziaentrate.gov.it, sezione 'Area Riservata', usando SPID, CIE (Carta d'Identità Elettronica) o CNS (Carta Nazionale dei Servizi). Una volta dentro, la voce 'Rimborsi' mostra lo stato di eventuali rimborsi in corso: importo, data di richiesta, stato di lavorazione. Se non c'è nulla in quella sezione, non c'è nessun rimborso in attesa, indipendentemente da quello che dice qualsiasi email.
L'app IO (scaricabile gratuitamente da App Store e Google Play) è il secondo strumento ufficiale. È l'app dei servizi pubblici italiani e aggrega comunicazioni da Agenzia Entrate, INPS, Comuni e altri enti. Se un ente pubblico ti deve notificare qualcosa — compreso un rimborso — lo trovi nell'app IO, nella sezione 'Messaggi'. I messaggi in IO arrivano solo da mittenti verificati e registrati sulla piattaforma PagoPA. Non contiene link truffa.
Per l'INPS, il canale ufficiale è il portale inps.it, accessibile con SPID o CIE, sezione 'MyINPS'. Qui trovi le comunicazioni relative alla tua posizione previdenziale, eventuali rimborsi contributivi, lo stato delle pratiche aperte. L'INPS dispone anche di un numero verde gratuito: 803.164 (da rete fissa) o 06 164.164 (da cellulare). Se hai dubbi su una comunicazione che sembra provenire dall'INPS, chiama quel numero prima di fare qualsiasi altra cosa.
Per i bonus energia e le tariffe regolamentate, il riferimento ufficiale è ARERA (Autorità di Regolazione per Energia Reti e Ambiente). Sul sito arera.it trovi tutte le agevolazioni attive e il Portale Offerte (portaleofferte.it) dove puoi verificare cosa ti spetta. Nessun rimborso ARERA arriva via email con link: i bonus vengono applicati direttamente in bolletta o tramite il tuo fornitore di energia.
07 — Quando l'email sembra perfetta: i casi avanzati che ingannano anche i più attenti
Le versioni più elaborate di queste truffe usano loghi istituzionali copiati fedelmente, layout identici alle comunicazioni reali, nomi e cognomi del destinatario (ottenuti da data breach o da elenchi acquistati sul dark web), e domini quasi identici a quelli ufficiali: per esempio agenziaentrate-gov.it invece di agenziaentrate.gov.it — un semplice trattino che è facilissimo non vedere. In questi casi, i controlli visivi non bastano.
La difesa in questi scenari avanzati è una sola: non agire mai sull'email, a prescindere da quanto sembri autentica. Il punto non è capire se l'email è vera o falsa guardandola. Il punto è non usare mai l'email come punto di partenza per accedere a un rimborso. Apri il browser, digita tu l'indirizzo del sito ufficiale, accedi con le tue credenziali, e controlla lì. Se il rimborso esiste, lo vedi. Se non esiste, hai la risposta.
Un caso reale di questo tipo è stato documentato dalla Polizia Postale nel 2023: una campagna di phishing con email graficamente identiche alle comunicazioni dell'Agenzia delle Entrate, indirizzate a contribuenti per nome e cognome, con importi di rimborso plausibili. Il report è consultabile su commissariatodips.it, nella sezione 'Allarmi'. La Polizia Postale pubblica regolarmente avvisi sulle campagne phishing attive in Italia: tenerla tra i siti preferiti è una buona abitudine.
08 — Se hai già cliccato: cosa fare adesso, passo per passo
Il primo passo, se hai cliccato su un link in un'email sospetta ma non hai inserito nessun dato, è chiudere immediatamente la pagina e non fornire alcuna informazione. Sul tuo dispositivo, aggiorna il browser all'ultima versione disponibile e, se usi un computer Windows, esegui una scansione con Windows Defender (già incluso in Windows 10 e 11, gratuito). Se usi uno smartphone, non installare nessuna app che la pagina web potesse averti suggerito.
Se hai inserito le tue credenziali bancarie o di accesso a un servizio pubblico (SPID, password INPS, ecc.), agisci subito su tre fronti: cambia immediatamente la password del servizio coinvolto dal sito ufficiale (non dal link dell'email); contatta la tua banca al numero verde stampato sul retro della tua carta di credito o sul sito ufficiale della banca per segnalare l'accaduto e bloccare eventuali operazioni sospette; segnala l'email alla Polizia Postale tramite il portale commissariatodips.it → 'Segnalazione reati online'.
Se hai fornito il tuo IBAN, non significa automaticamente che qualcuno potrà prelevarti denaro: con un IBAN si possono fare accrediti, non prelievi arbitrari. Tuttavia, segnala comunque l'accaduto alla banca, perché i dati dell'IBAN combinati con altri dati personali possono essere usati per tentativi di frode più complessi. La banca può registrare un'allerta sulla tua posizione.
Infine, se hai subito un danno economico effettivo (denaro trasferito, pagamenti non autorizzati), presenta una denuncia formale alla Polizia Postale o ai Carabinieri. Conserva l'email originale (non cancellarla), gli screenshot della pagina visitata e l'eventuale ricevuta di pagamento: sono prove utili per l'indagine. Il numero della Polizia Postale è 113 (o il centralino locale del commissariato di zona).
09 — Le tre regole che bastano: un promemoria da tenere a mente
Prima regola: nessun ente pubblico italiano usa le email ordinarie per erogare rimborsi. Non l'Agenzia delle Entrate, non l'INPS, non ARERA. Se ricevi un'email che dice il contrario, è falsa per definizione. Questa regola non ha eccezioni — e la sua fonte è verificabile direttamente sui siti istituzionali degli enti citati.
Seconda regola: prima di fare qualunque cosa, apri il canale ufficiale. Non cliccare il link nell'email. Digita tu l'indirizzo nel browser, accedi con le tue credenziali, e controlla. Se il rimborso esiste davvero, lo trovi lì. Questa abitudine — aprire sempre il sito ufficiale in autonomia — protegge dal 99% delle truffe online, non solo da quelle sui rimborsi.
Terza regola: l'urgenza è il tuo segnale di allarme, non il tuo obbligo. Ogni volta che un'email ti dice di agire entro 24 o 48 ore, fermati. Gli enti pubblici italiani non fanno scadere i rimborsi in 48 ore. Quella scadenza esiste solo per impedirti di ragionare. Tre secondi di pausa valgono più di tutta la fretta che ti chiedono.
10 — Risorse ufficiali da tenere sempre a portata di mano
Agenzia delle Entrate — Cassetto Fiscale e avvisi antifrode: agenziaentrate.gov.it. Nella barra di ricerca del sito, cerca 'phishing' per trovare la pagina dedicata alle email false che circolano a nome dell'ente. Viene aggiornata regolarmente con esempi di truffe attive.
INPS — Area personale e segnalazioni: inps.it. Numero verde: 803.164 da rete fissa (gratuito), 06 164.164 da cellulare. Nella sezione 'Informativa antifrode' trovi le comunicazioni ufficiali sui tentativi di phishing a nome INPS.
Polizia Postale — Segnalazione reati online e archivio allarmi: commissariatodips.it. È il punto di riferimento istituzionale per segnalare email truffa, ricevere aggiornamenti sulle campagne phishing in corso in Italia e presentare denunce online.
CERT-AgID — Agenzia per l'Italia Digitale, Cyber Emergency Response Team: cert-agid.gov.it. Pubblica bollettini settimanali sulle campagne malware e phishing attive in Italia, con dettagli tecnici sulle email false intercettate. Ottimo per chi vuole approfondire.
App IO — Servizi pubblici italiani: scaricabile da App Store (Apple) e Google Play (Android), gratuita. È il canale digitale ufficiale per ricevere comunicazioni verificate dagli enti pubblici italiani. Attivala: è uno dei modi più semplici per distinguere una comunicazione vera da una falsa.