Rimborsi fiscali e finti rimborsi in agguato: come non farsi fregare

Dicembre 2025 è il mese dei rimborsi fiscali per chi ha presentato il 730 senza sostituto, con accrediti che si concentrano tra la fine dell’anno e l’inizio del 2026. Proprio mentre molti contribuenti stanno aspettando qualche centinaio di euro di conguaglio Irpef, una nuova campagna di phishing sfrutta nome e logo dell’Agenzia delle Entrate per sottrarre dati personali e bancari.

L’allarme arriva da segnalazioni raccolte dall’amministrazione fiscale e da associazioni di tutela dei consumatori: in circolazione ci sono false email di rimborso, molto curate graficamente, che promettono il pagamento di importi “dovuti” e chiedono di cliccare su un pulsante per completare la procedura. È l’ennesima evoluzione di una truffa che tormenta i contribuenti da anni, ma che oggi colpisce in un momento particolarmente delicato, perché i rimborsi veri stanno davvero arrivando.

Come funziona la nuova truffa del rimborso da 155,50 euro

Lo schema è semplice e, proprio per questo, efficace. Molti contribuenti ricevono un’email che sembra provenire dall’Agenzia delle Entrate: logo, intestazione istituzionale, linguaggio burocratico. Nel testo si annuncia un presunto rimborso fiscale, spesso con un importo fisso, ad esempio 155,50 euro, presentato come risultato di ricalcoli sull’ultima dichiarazione dei redditi.

Nel corpo del messaggio compare un pulsante o un link ben visibile: “Compila il modulo per ricevere il rimborso”, o formule molto simili. Cliccando, il contribuente viene reindirizzato su una pagina che imita in modo convincente il portale del Fisco: logo, colori e struttura richiamano quelli istituzionali, ma il dominio del sito – se lo si guarda con attenzione – è completamente diverso da quello ufficiale.

Qui viene richiesto di inserire una serie di dati:

• dati anagrafici completi (nome, cognome, codice fiscale, indirizzo);
• coordinate bancarie, IBAN e talvolta numero di carta;
• in alcuni casi persino credenziali di accesso ai servizi online della banca.

A questo punto i truffatori hanno tutto ciò che serve per tentare prelievi non autorizzati, pagamenti fraudolenti o per rivendere le informazioni nel mercato nero dei dati.

“Quando un messaggio chiede di digitare i dati bancari per ottenere un rimborso, il campanello d’allarme deve suonare immediatamente”, avverte un funzionario esperto di sicurezza informatica. L’Agenzia delle Entrate non chiede mai di inserire IBAN o credenziali bancarie cliccando su un link inviato via email.

Perché i truffatori puntano sui rimborsi 730 senza sostituto

La scelta del periodo non è casuale. Tra dicembre 2025 e gennaio 2026 migliaia di contribuenti che hanno presentato il modello 730 senza sostituto d’imposta stanno effettivamente aspettando il rimborso: disoccupati, lavoratori con rapporti cessati, chi non ha un datore di lavoro o un ente pensionistico che faccia da sostituto.

In questi casi è l’Agenzia delle Entrate a erogare direttamente le somme a credito. Il pagamento avviene in due modi:

• accredito sul conto corrente indicato dal contribuente nella dichiarazione o successivamente;
• invio di un assegno vidimato se non è stato comunicato un IBAN.

La cosa fondamentale, spesso sottovalutata, è che il rimborso viene disposto utilizzando i dati già in possesso dell’amministrazione. Non è necessario “attivare” nulla tramite link ricevuti via mail.

“Se il rimborso è dovuto, l’Agenzia lo paga senza bisogno che il contribuente compili moduli online non richiesti”, ricorda un consulente fiscale. L’unico vero prerequisito è che l’IBAN comunicato sia corretto e intestato al contribuente o a un conto cointestato.

Come comunica davvero il Fisco: canali ufficiali e cosa diffidare

Per orientarsi, conviene fissare un principio chiaro: l’Agenzia delle Entrate non comunica i rimborsi fiscali tramite semplici email con link cliccabili che portano a moduli esterni.

I canali ufficiali per dialogare con i contribuenti sono ormai ben definiti:

• Area riservata e Cassetto fiscale sul sito istituzionale, dove è possibile consultare rimborsi, comunicazioni e storici;
• App IO, che invia notifiche quando viene resa disponibile una comunicazione o un avviso nell’area riservata;
• App “AgenziaEntrate”, con una sezione notifiche autenticata;
• PEC, per chi ha un domicilio digitale attivato.

In alcuni casi possono arrivare SMS o email informative, ma le stesse istituzioni hanno chiarito che proprio questi canali, facilmente imitabili, sono stati progressivamente ridimensionati per ridurre il rischio di phishing. Il messaggio chiave è semplice: qualunque credenziale, dato bancario o conferma importante va inserita solo accedendo direttamente – digitando l’indirizzo a mano – ai canali ufficiali.

“Un conto è ricevere una notifica che ti avvisa di un messaggio a te destinato, altro è un’email che ti chiede di inserire subito l’IBAN per avere un rimborso”, sottolinea un esperto di diritto tributario digitale. Nel primo caso, sei tu a entrare nel portale; nel secondo, è il link che ti porta dove vogliono i truffatori.

Campanelli d’allarme: i segnali che smascherano l’email falsa

Le email fraudolente a tema rimborso sono sempre più raffinate, ma hanno alcuni tratti ricorrenti. Ecco i segnali a cui prestare attenzione:

• Mittente sospetto: l’indirizzo email non appartiene a un dominio istituzionale, ma contiene nomi strani, numeri o estensioni insolite.
• Saluto generico: “Gentile contribuente” al posto di nome e cognome correttamente indicati, o dati anagrafici palesemente errati.
• Importo fisso identico per tutti: somme “tonde” o importi particolari (come 155,50 euro) presentati come dovuti a prescindere dalla posizione individuale.
• Link o pulsante centrale su cui viene messa grande enfasi, con espressioni tipo “clicca qui per non perdere il rimborso”.
• Richiesta di dati sensibili: IBAN, numero di carta, credenziali di home banking o codici di sicurezza.
• Urgenza artificiale: frasi come “entro 24 ore”, “pena la perdita del diritto al rimborso” o simili, pensate per far cliccare senza riflettere.
• Errori di lingua: refusi, traduzioni macchinose, frasi che “suonano” poco italiane.
• Domini web non ufficiali: link che portano a siti il cui indirizzo non contiene “agenziaentrate.gov.it”, ma variazioni creative o domini esteri.

Se due o più di questi elementi compaiono nella stessa comunicazione, la probabilità che si tratti di un tentativo di phishing è altissima.

Un fenomeno in crescita: i numeri delle truffe online

Il contesto in cui si inserisce questa nuova ondata di email fasulle è quello di un aumento costante delle truffe online. Secondo i dati consolidati sulla sicurezza cibernetica, nel 2024 i casi di frodi digitali sono cresciuti in modo significativo, con danni economici complessivi stimati oltre i 200 milioni di euro e un incremento marcato dei procedimenti aperti per reati legati a phishing, hacking e truffe finanziarie.

La Polizia Postale segnala una crescita sia nel numero di siti fraudolenti oscurati sia nella quantità di segnalazioni ricevute da cittadini, aziende e istituzioni. Nel mirino non finiscono solo le banche, ma sempre più spesso i brand pubblici: enti previdenziali, amministrazioni fiscali, società di servizi essenziali. Sono nomi che ispirano fiducia e che, proprio per questo, diventano bersaglio ideale per chi vuole costruire una truffa credibile.

“I truffatori seguono il calendario fiscale meglio di molti contribuenti”, sintetizza un investigatore. Ogni volta che c’è un appuntamento con rimborsi, bonus o agevolazioni, si può scommettere che arriverà anche una nuova ondata di email fraudolente.

Dieci mosse pratiche per non cadere nella rete

Per difendersi non serve essere esperti di informatica: bastano alcune regole di buon senso, applicate con costanza. Ecco un piccolo decalogo “salva-rimborso”:

• Non cliccare di impulso: se un messaggio parla di soldi in arrivo, fermati qualche secondo a riflettere.
• Controlla il mittente: passa il mouse sopra l’indirizzo email e verifica il dominio. Se non è chiaramente istituzionale, diffida.
• Non inserire mai dati bancari passando da un link ricevuto via email.
• Digita tu l’indirizzo del sito: per verificare un rimborso, accedi manualmente al portale ufficiale dell’Agenzia delle Entrate o della tua banca.
• Verifica nel Cassetto fiscale se il rimborso risulta effettivamente disposto.
• Controlla l’App IO o l’app AgenziaEntrate per eventuali notifiche reali.
• Attiva gli alert della banca (SMS, push, email certificata) per essere avvisato in tempo reale di movimenti sospetti.
• Aggiorna antivirus e sistema operativo, soprattutto se accedi spesso ai servizi di home banking da computer personali.
• Parlane con familiari e colleghi: più persone sono informate, meno facile è per le truffe diffondersi.
• Nel dubbio, non fare nulla: meglio una verifica in più allo sportello o al call center dell’Agenzia che un clic di troppo.

Cosa fare se hai già cliccato sul link sospetto

Se, magari per distrazione, hai già cliccato sul pulsante presente nell’email e hai inserito i tuoi dati, non è il caso di farsi paralizzare dal panico. Ma è fondamentale agire in fretta:

• Chiama subito la tua banca e spiega cosa è successo: possono bloccare carte e movimenti sospetti, oltre a guidarti nei passi successivi.
• Cambia immediatamente le password di home banking e degli altri servizi che potrebbero essere collegati allo stesso indirizzo email o alle stesse credenziali.
• Conserva l’email sospetta, senza cancellarla, perché può essere utile alle forze dell’ordine come prova.
• Presenta una segnalazione alla Polizia Postale, anche online, descrivendo con precisione il contenuto del messaggio e il sito su cui sei stato reindirizzato.
• Informa l’Agenzia delle Entrate attraverso i canali di assistenza, per contribuire a mappare la campagna di phishing in corso.

“La rapidità della segnalazione è spesso decisiva per limitare i danni”, spiegano gli investigatori che si occupano di reati informatici. Bloccare o monitorare tempestivamente il conto riduce le possibilità che i criminali riescano a svuotarlo.

Come verificare se il rimborso è davvero tuo

Al di là delle truffe, resta una domanda legittima: come capire se un rimborso fiscale è effettivamente dovuto?

• Consulta il Cassetto fiscale: nella tua area riservata sul sito dell’Agenzia delle Entrate puoi verificare lo stato della dichiarazione, i crediti e i rimborsi.
• Controlla lo storico dei modelli 730: ciò che ti viene rimborsato deve trovare riscontro nei calcoli della dichiarazione presentata.
• Verifica l’IBAN comunicato: se è corretto e intestato a te, il rimborso arriverà lì senza bisogno di ulteriori passaggi.
• Usa i canali ufficiali di assistenza (numero verde, sportelli, canali telematici) per sciogliere eventuali dubbi.

Un principio può guidare ogni scelta: il Fisco non ha bisogno di chiederti via email dati che già possiede. Se una comunicazione insiste nel volerli, quasi certamente non è l’Agenzia delle Entrate a scriverti.

Rimborsi veri, truffe vere: restare vigili paga più di qualsiasi rimborso

La coincidenza tra rimborsi 730 senza sostituto che stanno partendo e nuove ondate di phishing a tema rimborso fiscale non è un caso: è il frutto di una strategia criminale che fa leva sulle aspettative economiche dei cittadini.

Per difendersi, non serve diventare esperti di cyber security, ma interiorizzare poche regole chiare: non fidarsi dei link ricevuti via email, controllare sempre i canali ufficiali, non comunicare dati bancari se non si è certi del destinatario. Il rimborso vero, quando è dovuto, arriva comunque. Quello finto, invece, rischia di costare molto caro.

In un’epoca in cui le truffe corrono alla stessa velocità dei bonifici istantanei, la prudenza digitale è il miglior investimento che un contribuente possa fare.