Agenzia delle Entrate: accesso admin in vendita a 500$? Ecco perché i conti non tornano

Vincenzo Miccoli : 13 Dicembre 2025 10:56

All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate.

Tuttavia, un’analisi più approfondita dell’offerta e delle infrastrutture di sicurezza dell’ente italiano suggerisce che si tratti di una minaccia dalla portata decisamente ridimensionata rispetto al titolo sensazionalistico.

Accesso Agenzia delle Entrate e l’annuncio sul forum underground

L’annuncio, comparso l’11 dicembre 2025, è disarmante nella sua brevità. Con un laconico ‘sell access admin panel of agenzia dell’entrate‘, l’attaccante dichiara di possedere le chiavi del portale fiscale italiano. I dettagli operativi emergono dalla chat laterale, dove compare una richiesta economica decisamente anomala per un target di questo calibro: appena 500 dollari, con contatto diretto da stabilire tramite l’account Telegram.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La prima incongruenza che salta all’occhio è proprio la valutazione economica. Nel mercato del Cybercrime, un accesso persistente con privilegi di amministratore (RCE o Admin Panel) a un’infrastruttura governativa critica di un paese G7 non verrebbe mai svenduto per una cifra così irrisoria.

Solitamente, accessi di tale calibro vengono trattati in modo privato con cifre a tre o quattro zeri, o sfruttati direttamente per attacchi ransomware o esfiltrazione di dati, molto allettanti per i mercati underground.

Le difese attive: SPID e MFA

Il punto tecnico che smonta quasi definitivamente la veridicità di un accesso “funzionante” riguarda le procedure di autenticazione adottate dalla Pubblica Amministrazione italiana.

L’accesso ai portali dell’Agenzia delle Entrate, sia per i cittadini che per gli operatori, è protetto da livelli di sicurezza che vanno oltre la semplice coppia username/password. Oggi l’ingresso è subordinato all’utilizzo di:

• SPID (Sistema Pubblico di Identità Digitale) di livello 2 o 3;

• CIE (Carta d’Identità Elettronica);

• CNS (Carta Nazionale dei Servizi).

Inoltre, per gli account amministrativi interni, è prassi consolidata l’obbligo della MFA (Multi-Factor Authentication). Questo significa che anche possedendo le credenziali corrette, l’attaccante si troverebbe bloccato dalla richiesta di un codice OTP (One Time Password) inviato sul dispositivo del legittimo proprietario.

L’ipotesi Infostealer: credenziali non verificate

Se l’accesso è così difficile, cosa sta vendendo realmente “espandive”? L’ipotesi più probabile è che si tratti di log grezzi provenienti da un Infostealer.

È plausibile che un malware abbia infettato il computer di un dipendente o di un commercialista, esfiltrando tutti i dati salvati nel browser: cookie, cronologia e, appunto, credenziali di accesso salvate per comodità. L’attaccante vede nel log la stringa agenziaentrate.gov.it associata a uno username e una password e prova a rivenderla automaticamente.

È quasi certo che si tratti di una credenziale non provata. Se il threat actor tentasse il login, si scontrerebbe con il secondo fattore di autenticazione. Di conseguenza, cerca di monetizzare rapidamente vendendo l’illusione di un accesso a un acquirente poco esperto per 500 dollari, pertanto si tratta presumibilmente di una frode verso i criminali informatici stessi.

Conclusioni

L’annuncio di “espandive” sembra essere l’ennesimo tentativo di scam o di vendita di materiale di scarto (junk data) all’interno della community cybercriminale, piuttosto che una reale compromissione dell’infrastruttura dell’Agenzia delle Entrate.

Tuttavia, questo episodio ci ricorda l’importanza vitale dell’abilitazione dell’autenticazione a due fattori (2FA/MFA) su tutti gli account critici. È proprio grazie a queste barriere che le migliaia di credenziali rubate ogni giorno dagli infostealer diventano, nella maggior parte dei casi, carta straccia.

Vincenzo Miccoli
Fin da bambino ho nutrito una profonda passione per l'informatica, scoprendo con il tempo un ramo ancora più affascinante e sorprendente, la sicurezza informatica. Laureato con Lode presso l’università degli Studi di Bari Aldo Moro in Sicurezza Informatica. Attualmente, ricopro il ruolo di Cyber Security Analyst, costantemente motivato dalla volontà di approfondire le mie conoscenze e progredire costantemente.

Lista degli articoli