Redazione 18 Luglio 2025

SPID sotto attacco: l’identità digitale clonata diventa trappola per i dipendenti pubblici

Posted on | by AutoreR

Un nome, un volto, un codice fiscale: bastano questi dati per trasformare l’identità digitale in un’arma nelle mani dei cybercriminali. Da mesi, il fenomeno della clonazione dello SPID – il Sistema Pubblico di Identità Digitale – sta mettendo in ginocchio centinaia di utenti, in particolare nel settore pubblico. Dalle buste paga scomparse ai rimborsi fiscali mai accreditati, i danni sono tangibili e diffusi. A confermarlo sono le numerose segnalazioni, i casi documentati e l’intervento delle piattaforme pubbliche, che stanno correndo ai ripari con sistemi di autenticazione rinforzati.

Ma perché SPID è diventato un bersaglio così vulnerabile?

Un’identità digitale, mille varchi aperti

SPID è la chiave d’accesso ai principali servizi online della Pubblica Amministrazione – da INPS a NoiPA, fino all’Agenzia delle Entrate – ed è usato ogni mese da milioni di cittadini. Il sistema è basato su una logica federata tra più provider, ognuno autonomo nell’attivazione e nella gestione delle credenziali. Questo però comporta una fragilità: è possibile creare più SPID a nome dello stesso cittadino, usando email e numeri di telefono diversi, senza che il titolare originario riceva alcuna notifica.

E proprio su questa debolezza si inserisce il nuovo schema truffaldino.

Come funziona la truffa del “doppio SPID”

Tre le fasi principali del raggiro:

  1. Acquisizione dei dati: i truffatori raccolgono documenti e codici fiscali tramite phishing, smishing, malware o acquistandoli sul dark web.
  2. Clonazione dell’identità digitale: con questi dati attivano un nuovo SPID a nome della vittima, sfruttando provider diversi e simulando la verifica dell’identità anche con tecnologie come il deepfake.
  3. Dirottamento dei fondi: accedendo ai portali della PA, modificano l’IBAN legato all’account, facendo confluire stipendi, pensioni o rimborsi fiscali su conti a loro controllo.

Le vittime, spesso dipendenti pubblici, scoprono l’inganno solo dopo il mancato accredito.

I più colpiti? I dipendenti pubblici

La truffa non risparmia nessuno, ma i lavoratori del settore pubblico risultano particolarmente esposti. Sono infatti tra i maggiori utilizzatori dello SPID per la gestione mensile delle proprie retribuzioni e dei servizi fiscali e previdenziali. Si registrano casi tra docenti, sanitari, impiegati amministrativi: alcuni hanno visto scomparire interi stipendi, altri si sono trovati con dati bancari alterati a loro insaputa.

Una dinamica preoccupante, aggravata dall’impossibilità per il cittadino di monitorare in autonomia tutte le identità SPID attive a suo nome: per farlo è necessario contattare ogni singolo provider.

Le tecniche usate dai truffatori: phishing, malware e deepfake

La truffa si avvale di un arsenale sofisticato:

  • Phishing: email fasulle che imitano le comunicazioni ufficiali per carpire credenziali SPID o OTP.
  • Smishing: SMS ingannevoli che spingono l’utente a cliccare su link malevoli.
  • Vishing: chiamate da finti operatori pubblici che estorcono informazioni con tono rassicurante.
  • Malware: software nascosti che intercettano dati dai dispositivi.
  • Deepfake: video manipolati per superare i controlli visivi dei provider SPID.

Il caso NoiPA: rafforzata la sicurezza

Proprio per contrastare la truffa del doppio SPID, la piattaforma NoiPA, dedicata ai dipendenti pubblici, ha introdotto una misura difensiva: se l’utente accede con SPID/CIE/CNS mai usati prima, riceverà un codice OTP via email per confermare l’identità. Una barriera in più, che punta a bloccare accessi non autorizzati e arginare il fenomeno.

Come difendersi: regole d’oro e raccomandazioni

Per proteggersi dal furto di identità digitale, ecco alcune strategie:

  • Attivare sempre l’autenticazione a due fattori (2FA) con app dedicate.
  • Controllare periodicamente gli IBAN registrati sui portali pubblici.
  • Scrivere ai provider SPID per verificare eventuali attivazioni sospette.
  • Non inviare mai documenti personali via email o chat non sicure.
  • Utilizzare password complesse e diverse per ogni account.
  • Aggiornare sistemi operativi e antivirus, ed evitare il salvataggio automatico di dati nei browser.
  • Attivare le notifiche bancarie per essere avvisati in tempo reale di movimenti sospetti.

E se si cade nella trappola?

Chi scopre di essere vittima della truffa deve:

  • Contattare subito il proprio provider SPID e richiedere il blocco dell’identità digitale clonata.
  • Sporgere denuncia presso la Polizia Postale o i Carabinieri.
  • Avvisare la banca e bloccare carte o conti compromessi.
  • Rivolgersi ad associazioni di tutela dei consumatori per assistenza legale.
  • Segnalare l’accaduto all’AgID, l’Agenzia per l’Italia Digitale.

Verso una nuova identità digitale europea

La fragilità strutturale dello SPID ha spinto l’Unione Europea a promuovere il European Digital Identity Wallet (EUDI Wallet), un sistema centralizzato e interoperabile che promette maggiore sicurezza, tracciabilità e protezione biometrica. Ma la piena implementazione richiederà tempo.

Iscriviti al canale Telegram di Servicematica

Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.

LEGGI ANCHE

Avvocati in calo, professione in crisi: il report Cassa Forense-Censis fotografa il declino

Sempre meno iscritti e redditi in sofferenza. Il CNF porta in Parlamento la riforma dell'ordinamento forense

Irlanda: obbligo di indicare i rischi per la salute sulle etichette degli alcolici

Stephen Donnelly, ministro della Salute irlandese, ha firmato una legge che rende obbligatorio indicare sulle etichette degli alcolici varie informazioni sulle calorie, sulla salute, sul…

Gli artificieri di Roma hanno un nuovo cane robot

I carabinieri hanno arruolato Saetta, un cane robot, assegnato al Nucleo Artificieri di Roma per svolgere interventi ad alto rischio. È una novità per l’Italia…

TORNA ALLE NOTIZIE
Iso 27017
Iso 27018
Iso 9001
Iso 27001
Iso 27003
Acn
RDP DPO
CSA STAR Registry
PPPAS
Microsoft
Apple
vmvare
Linux
veeam
0
    Prodotti nel carrello
    Il tuo carrello è vuoto