Un nome, un volto, un codice fiscale: bastano questi dati per trasformare l’identità digitale in un’arma nelle mani dei cybercriminali. Da mesi, il fenomeno della clonazione dello SPID – il Sistema Pubblico di Identità Digitale – sta mettendo in ginocchio centinaia di utenti, in particolare nel settore pubblico. Dalle buste paga scomparse ai rimborsi fiscali mai accreditati, i danni sono tangibili e diffusi. A confermarlo sono le numerose segnalazioni, i casi documentati e l’intervento delle piattaforme pubbliche, che stanno correndo ai ripari con sistemi di autenticazione rinforzati.
Ma perché SPID è diventato un bersaglio così vulnerabile?
Un’identità digitale, mille varchi aperti
SPID è la chiave d’accesso ai principali servizi online della Pubblica Amministrazione – da INPS a NoiPA, fino all’Agenzia delle Entrate – ed è usato ogni mese da milioni di cittadini. Il sistema è basato su una logica federata tra più provider, ognuno autonomo nell’attivazione e nella gestione delle credenziali. Questo però comporta una fragilità: è possibile creare più SPID a nome dello stesso cittadino, usando email e numeri di telefono diversi, senza che il titolare originario riceva alcuna notifica.
E proprio su questa debolezza si inserisce il nuovo schema truffaldino.
Come funziona la truffa del “doppio SPID”
Tre le fasi principali del raggiro:
- Acquisizione dei dati: i truffatori raccolgono documenti e codici fiscali tramite phishing, smishing, malware o acquistandoli sul dark web.
- Clonazione dell’identità digitale: con questi dati attivano un nuovo SPID a nome della vittima, sfruttando provider diversi e simulando la verifica dell’identità anche con tecnologie come il deepfake.
- Dirottamento dei fondi: accedendo ai portali della PA, modificano l’IBAN legato all’account, facendo confluire stipendi, pensioni o rimborsi fiscali su conti a loro controllo.
Le vittime, spesso dipendenti pubblici, scoprono l’inganno solo dopo il mancato accredito.
I più colpiti? I dipendenti pubblici
La truffa non risparmia nessuno, ma i lavoratori del settore pubblico risultano particolarmente esposti. Sono infatti tra i maggiori utilizzatori dello SPID per la gestione mensile delle proprie retribuzioni e dei servizi fiscali e previdenziali. Si registrano casi tra docenti, sanitari, impiegati amministrativi: alcuni hanno visto scomparire interi stipendi, altri si sono trovati con dati bancari alterati a loro insaputa.
Una dinamica preoccupante, aggravata dall’impossibilità per il cittadino di monitorare in autonomia tutte le identità SPID attive a suo nome: per farlo è necessario contattare ogni singolo provider.
Le tecniche usate dai truffatori: phishing, malware e deepfake
La truffa si avvale di un arsenale sofisticato:
- Phishing: email fasulle che imitano le comunicazioni ufficiali per carpire credenziali SPID o OTP.
- Smishing: SMS ingannevoli che spingono l’utente a cliccare su link malevoli.
- Vishing: chiamate da finti operatori pubblici che estorcono informazioni con tono rassicurante.
- Malware: software nascosti che intercettano dati dai dispositivi.
- Deepfake: video manipolati per superare i controlli visivi dei provider SPID.
Il caso NoiPA: rafforzata la sicurezza
Proprio per contrastare la truffa del doppio SPID, la piattaforma NoiPA, dedicata ai dipendenti pubblici, ha introdotto una misura difensiva: se l’utente accede con SPID/CIE/CNS mai usati prima, riceverà un codice OTP via email per confermare l’identità. Una barriera in più, che punta a bloccare accessi non autorizzati e arginare il fenomeno.
Come difendersi: regole d’oro e raccomandazioni
Per proteggersi dal furto di identità digitale, ecco alcune strategie:
- Attivare sempre l’autenticazione a due fattori (2FA) con app dedicate.
- Controllare periodicamente gli IBAN registrati sui portali pubblici.
- Scrivere ai provider SPID per verificare eventuali attivazioni sospette.
- Non inviare mai documenti personali via email o chat non sicure.
- Utilizzare password complesse e diverse per ogni account.
- Aggiornare sistemi operativi e antivirus, ed evitare il salvataggio automatico di dati nei browser.
- Attivare le notifiche bancarie per essere avvisati in tempo reale di movimenti sospetti.
E se si cade nella trappola?
Chi scopre di essere vittima della truffa deve:
- Contattare subito il proprio provider SPID e richiedere il blocco dell’identità digitale clonata.
- Sporgere denuncia presso la Polizia Postale o i Carabinieri.
- Avvisare la banca e bloccare carte o conti compromessi.
- Rivolgersi ad associazioni di tutela dei consumatori per assistenza legale.
- Segnalare l’accaduto all’AgID, l’Agenzia per l’Italia Digitale.
Verso una nuova identità digitale europea
La fragilità strutturale dello SPID ha spinto l’Unione Europea a promuovere il European Digital Identity Wallet (EUDI Wallet), un sistema centralizzato e interoperabile che promette maggiore sicurezza, tracciabilità e protezione biometrica. Ma la piena implementazione richiederà tempo.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
Giustizia riparativa minorile: ok alla proroga del Protocollo d’intesa in Piemonte
La giunta regionale del Piemonte approva lo schema di proroga del Protocollo d’intesa per favorire l’inserimento di minori sottoposti a provvedimenti penali in percorsi di…
Addio posto fisso: in Veneto le dimissioni aumentano e trovare lavoro è questione di giorni
Chi decide di lasciare il proprio impiego trova un nuovo lavoro in tempi record, spesso in meno di una settimana.
A che punto siamo con tutte le riforme che riguardano la professione forense?
Il COVID ha certamente scombinato molti piani e nonostante la (ormai) conclusa fase di riapertura abbia dato una nuova spinta alle riforme, l’incertezza data dall’aumento…
