La scorsa settimana arriva a moltissimi titolari di pensione Inpgi una mail con la quale si chiede di comunicare all’Istituto, in pochi giorni, i propri dati anagrafici (carta d’identità), il proprio codice fiscale, il codice Iban e l’indirizzo della banca a cui è appoggiato il proprio conto. In pratica si tratta di rinviare i dati che Inpgi ha in suo possesso da sempre. La ragione: Inps, per i soggetti che hanno ricevuto la mail (che non sarebbero secondo Inps intestatari del conto) non sarà in grado di accreditare la pensione sul conto bancario (sul quale Inpgi versa ogni mese la pensione), se gli iscritti, in pochi giorni, non rispediranno quanto richiesto. Insomma, codice fiscale, carta d’identità, codice Iban e indirizzo della banca devono corrispondere. Sono considerati validi i conti cointestati, tipo marito e moglie.

Che cosa è successo? Perché i pensionati devono rispedire i propri dati bancari, se da anni ricevono la pensione proprio su quel conto? Beh, la risposta, per quanto mi sia sforzato d’indagare, non c’è. L’unica spiegazione possibile è che nel passaggio Inpgi-Inps (che dal 1° luglio verserà le pensioni ai giornalisti) l’istituto previdenziale pubblico abbia bisogno di nuove conferme su ogni conto bancario. Se qualche pensionato non provvederà ad inviare di nuovo i propri dati dovrà andarsi a ritirare la pensione ad un ufficio postale.

Tuttavia, il pasticcio Inpgi, che ha generato apprensione tra i pensionati, non è questo. Ma il tipo di mail inviata, che ha tutte le caratteristiche di essere una mail phishing, un fake, un falso per ingannare chi la riceve e fargli inviare, a chissà chi, le proprie delicatissime informazioni bancarie. Il modello di mail è esattamente uguale ai più diffusi phishing che ogni giorno ci arrivano nella posta.

I dubbi non sono stati pochi.

1. La mail riporta l’intestazione Inpgi Notizie. Che cosa c’entra con una comunicazione privata tra un iscritto e il suo ente previdenziale?
2. La mail inizia con Gentile Giornalista. Ma come, tu chiedi i miei dati sensibili, riferiti al mio conto bancario, e non sai nemmeno chi sono?
3. L’indirizzo di posta, a cui rinviare i dati, è coordinate@inpgi.it mai visto prima. Come faccio ad essere sicuro che non sia indirizzato verso altri lidi, che nulla hanno a che fare con Inpgi? Un qualsiasi hacker, alle prime armi, crea in cinque minuti indirizzi di questo genere.
4. Ma soprattutto, la mail è inviata per posta ordinaria, non con la Pec. Ora, siccome c’è una legge dello Stato che prevede che ogni iscritto ad un ordine professionale sia dotato di posta certificata, perché non inviare una Pec (che è esattamente come una raccomandata e non può essere craccata) che avrebbe garantito tutti sulla regolarità e sulla segretezza di un invio dati così delicati.

Ho una spiegazione, che mi arriva, grazie all’interessamento di Edmondo Rho che ringrazio, direttamente da Mimma Iorio, direttore generale di Inpgi. La mail che abbiamo ricevuto è regolare, è stata Inpgi ad inviarla e l’Istituto invita chi l’ha ricevuta a rispondere rapidamente entro il 20 maggio. Il fatto che non sia stata inviata attraverso canali come la Pec è che si tratta di posta massiva (quella inviata a migliaia d’indirizzi con un solo clic), sistema che la posta certificata non consente e che è stato possibile solo con Inpgi Notizie, tarato per questo tipo d’invii. E siccome era urgente, non c’era altro modo di comunicare con gli iscritti.

Forse se Inpgi avesse informato i pensionati con un avviso sul sito sarebbe stato meglio. Ma tant’è. Siamo ai titoli di coda, per tre giorni ho cercato spiegazioni al numero di Roma, al centralino o a qualche ufficio, e nessuno risponde più ai telefoni.

Ps. Ho dato delle spiegazioni, se la mail è un phishing per davvero mi sollevo da ogni responsabilità fin da ora.