La truffa tessera sanitaria torna a circolare con email e sms che promettono un presunto rinnovo online. I messaggi usano loghi, toni formali e riferimenti alla sanità pubblica per sembrare credibili, ma puntano a far cliccare l’utente su un link e a raccogliere dati personali.
Il meccanismo è quello del phishing: il messaggio crea urgenza, rimanda a un sito simile a una pagina istituzionale e chiede di compilare un modulo. In quel passaggio possono finire nelle mani dei truffatori nome, cognome, codice fiscale, dati anagrafici e altre informazioni sensibili.
Il punto da ricordare è semplice: il rinnovo ordinario della tessera sanitaria non richiede un link ricevuto via email o sms. La tessera ha normalmente validità di sei anni e, alla scadenza, viene spedita automaticamente all’indirizzo di residenza del cittadino.
Come funziona la truffa della tessera sanitaria

La truffa funziona perché imita una procedura amministrativa familiare. Il messaggio parla di rinnovo, aggiornamento o verifica della tessera sanitaria, poi invita ad aprire un collegamento. Il sito falso riproduce grafica e linguaggio istituzionale per convincere l’utente a inserire dati personali.
Il Ministero della Salute ha già segnalato la circolazione di false email sul rinnovo della tessera sanitaria, precisando che si tratta di tentativi di truffa e non di comunicazioni ufficiali. Il dettaglio più pericoloso è proprio la cura con cui vengono costruiti questi messaggi.
Non sempre ci sono errori grammaticali evidenti o richieste palesemente assurde. Le campagne più efficaci sfruttano un linguaggio corretto, un layout ordinato e un tema sensibile. La sanità abbassa le difese perché riguarda servizi essenziali, documenti personali e accesso alle cure.
Per questo conviene trattare ogni link ricevuto su un documento sanitario come sospetto, soprattutto quando chiede di agire subito. Lo stesso principio vale per altre comunicazioni digitali che spingono a cliccare in fretta, come avviene nelle chiamate aggressive o nei messaggi commerciali non richiesti: anche lo stop al telemarketing luce e gas mostra quanto il confine tra contatto legittimo e pressione commerciale possa diventare confuso.
Perché il rinnovo vero non passa da email o sms

La tessera sanitaria viene gestita attraverso canali istituzionali. L’Agenzia delle Entrate spiega che la tessera sanitaria vale di norma sei anni e che, alla scadenza, una nuova tessera viene inviata automaticamente all’indirizzo di residenza del cittadino.
Questo significa che un messaggio che chiede di “rinnovare subito” tramite link è già un segnale di rischio. Le eccezioni esistono, per esempio in caso di smarrimento, furto, deterioramento o dati non aggiornati, ma anche in questi casi non bisogna usare collegamenti arrivati da messaggi non verificati.
La verifica deve partire sempre da siti digitati manualmente nel browser o raggiunti da canali ufficiali. Non basta che il dominio somigli a quello vero, perché i truffatori spesso usano nomi quasi identici, sottodomini ingannevoli o pagine costruite per sembrare pubbliche amministrazioni.
Il codice fiscale è un dato delicato. Da solo non basta sempre per completare una frode, ma può essere combinato con indirizzo, numero di telefono, email e altri elementi per aprire profili falsi, tentare accessi, preparare truffe mirate o vendere pacchetti di dati.
I segnali da controllare prima di cliccare

Le truffe sul rinnovo della tessera sanitaria cercano di far saltare il controllo più importante: fermarsi. Prima di aprire un link o compilare un modulo, conviene verificare mittente, dominio, testo del messaggio e tipo di richiesta.
- Diffida da email o sms che chiedono il rinnovo urgente della tessera sanitaria tramite link.
- Non inserire codice fiscale, dati anagrafici o informazioni bancarie in moduli raggiunti da messaggi ricevuti.
- Controlla sempre il dominio del sito, non solo logo e grafica della pagina.
- Accedi ai servizi pubblici digitando l’indirizzo ufficiale nel browser o usando app e portali verificati.
- Se hai già inserito dati, conserva il messaggio, segnala l’episodio e valuta il contatto con la Polizia Postale.
Un altro segnale è la richiesta di dati non necessari. Per un rinnovo automatico non serve compilare un modulo ricevuto via sms. Se una pagina chiede molte informazioni personali senza un accesso sicuro e riconoscibile, meglio interrompere subito la procedura.
La stessa attenzione vale su smartphone, dove il formato ridotto rende più difficile leggere bene l’indirizzo del sito. Chi controlla spesso notifiche e messaggi tende anche a rispondere più rapidamente agli stimoli digitali: il tema è vicino alle abitudini descritte in controllare lo smartphone ogni 5 minuti, perché l’impulso a reagire subito è proprio ciò che molte truffe sfruttano.
Cosa fare se hai aperto il link o inserito dati
Aprire il link non significa automaticamente aver subito un furto di identità, ma aumenta il rischio. Se non hai inserito dati, chiudi la pagina, elimina il messaggio e non scaricare eventuali allegati. Se hai compilato un modulo, la situazione cambia e va gestita con più attenzione.
In caso di dati già inviati, è utile fare screenshot del messaggio e del sito, annotare data e ora, cambiare le password degli account collegati alla stessa email e monitorare eventuali comunicazioni sospette. Se hai fornito anche dati bancari o carte, bisogna contattare subito la banca.
Può essere opportuno segnalare il caso alla Polizia Postale, soprattutto se sono stati comunicati dati sensibili. La segnalazione aiuta anche a individuare campagne attive e pagine fraudolente ancora online.
La difesa migliore resta la verifica lenta. Le truffe digitali funzionano quando trasformano una pratica ordinaria in un’emergenza. Più i messaggi falsi diventeranno simili a quelli ufficiali, più servirà una regola chiara: nessun rinnovo sanitario si completa partendo da un link ricevuto a freddo.