Un numero crescente di truffe digitali sfrutta una falla nel sistema SPID, che permette a malintenzionati di attivare un secondo SPID con documenti rubati. Il furto di identità digitale consente di accedere a portali come INPS e Agenzia delle Entrate, alterare dati sensibili e deviare rimborsi fiscali e accrediti.
Il meccanismo sfruttato è noto come “doppio SPID”: chi possiede i documenti di un cittadino (facilmente acquistabili sul dark web) può attivare un secondo profilo SPID con un diverso provider, utilizzando un indirizzo email e un numero telefonico sotto il proprio controllo. Il sistema consente infatti, senza avvisi o blocchi, la coesistenza di più identità digitali valide associate allo stesso codice fiscale. Un probblema molto serio e noto da tempo, che complica l’individuazione della frode da parte della vittima, e che mette a rischio diretto ogni flusso economico pubblico: pensioni, stipendi, crediti d’imposta e rimborsi IRPEF.
L’allarme è stato rilanciato da numerosi esperti di cybersecurity e diritto digitale: Durante una recente diretta organizzata da Plus24 (Il Sole 24 Ore), è emerso come il fenomeno sia amplificato dalla disponibilità di documenti italiani in vendita online, anche fuori dal dark web. Alcuni pacchetti comprendono carta d’identità, codice fiscale, selfie con documento e video identificativi, permettendo una registrazione SPID completa presso diversi provider.
Il problema principale risiede nell’assenza di comunicazione tra i diversi provider SPID. Se qualcuno apre una nuova identità SPID a nome di un cittadino, non viene generato alcun avviso per l’identità già esistente. Il titolare del primo SPID continua a utilizzare il proprio account senza notare anomalie, ma è perfettamente possibile crearne un secondo e usarlo per accedere ai servizi pubblici; compresi - questo il punto più critico - quelli che erogano sovvenzioni, rimborsi e finanziamenti.
A questo punto l’unica cosa che resta da fare è modificare IBAN e informazioni di pagamento. Le vittime scoprono la frode solo quando i fondi previsti non arrivano.
L’Agenzia per l’Italia Digitale ha confermato che non esiste attualmente una piattaforma centralizzata per verificare se vi siano altri SPID attivi associati al proprio codice fiscale. Ogni cittadino, per precauzione, dovrebbe quindi contattare i singoli provider – ad oggi dodici – e chiedere conferma della presenza di eventuali identità attive. Una prassi che però richiede tempo, competenze digitali e, in alcuni casi, l’uso della PEC: un ostacolo significativo per molti anziani.
Secondo Roberto De Vita, avvocato penalista, l’origine della vulnerabilità è strutturale: l’identità SPID può essere rilasciata anche in modalità remota tramite documenti cartacei o scansioni, che nel tempo sono state inviate via email o tramite canali insicuri come WhatsApp. Gli attaccanti, che spesso non sono hacker sofisticati ma semplici acquirenti di pacchetti preconfezionati, riescono così a ingannare alcuni provider grazie a documenti veri sottratti a cittadini ignari.
In più occasioni sono state sollevate perplessità sull’utilità di mantenere attiva la possibilità di avere più SPID per persona, giustificata inizialmente con motivazioni di ridondanza del servizio in caso di interruzioni o attacchi DDoS. Sarebbe una cosa sensata, ma il problema è che tale ridondanza non è accompagnata da misure di controllo incrociato o notifiche, aprendo la strada a usi fraudolenti. In teoria, la problematica potrebbe essere risolta con una modifica al DPCM che regola il sistema SPID, ma ad oggi non vi è una linea di intervento definita.
Diverse richieste di chiarimento da parte della stampa sono state rifiutate o gestite off the record dai provider. Secondo Marisa Marraffino, avvocata penalista italiana specializzata in reati informatici, si tratta di un atteggiamento preoccupante, che contribuisce a mantenere il silenzio su una falla prevedibile. In molti casi trattati dallo studio legale, le frodi sono state evitate solo per l’intuito delle vittime o grazie all’intervento tempestivo degli operatori bancari.
AgID ha dichiarato di essere al lavoro su un’evoluzione del sistema verso l’identità digitale europea (EUDI Wallet), prevista dal regolamento eIDAS 2, che potrebbe sostituire l’attuale sistema SPID nel medio periodo. Tuttavia, nel presente, la responsabilità principale della sicurezza resta in carico ai singoli gestori. Alcuni sono già stati oggetto di sanzioni amministrative da decine di migliaia di euro, ma le informazioni sulle identità digitali attive rimangono sotto il loro esclusivo controllo e non sono accessibili né agli utenti né all’AgID.
Il nodo critico, come ribadito anche dagli esperti intervenuti, è che la trasformazione digitale dei servizi pubblici si è sovrapposta a un’insufficiente alfabetizzazione digitale, in particolare tra la popolazione anziana. Senza misure correttive, il rischio è che si crei un divario strutturale nella capacità di autodifesa digitale, esponendo sempre più cittadini a furti economici silenziosi e difficili da rilevare.
Come difendersi dalla truffa del doppio SPID
Per cittadini e imprese, il pericolo purtroppo viene da carenze che stanno altrove, nei sistemi pubblici o in quelli dei fornitori. Ci sono tuttavia alcune azioni possibili, che possono essere almeno di aiuto.
Chi è in possesso dei documenti personali di un cittadino può quindi attivare un nuovo SPID a sua insaputa e utilizzarlo per accedere ai portali della Pubblica Amministrazione, modificare l’IBAN e dirottare pensioni, stipendi, crediti d’imposta e così via.
Di fronte a questo rischio concreto, è essenziale che i cittadini adottino misure preventive efficaci. Le istituzioni, infatti, non hanno ancora predisposto strumenti centralizzati per la verifica autonoma delle identità digitali attive, e la responsabilità della protezione ricade in larga parte sull’utente. Ecco le azioni principali da intraprendere:
Di fronte a questo rischio concreto, è essenziale che i cittadini adottino misure preventive efficaci. Le istituzioni, infatti, non hanno ancora predisposto strumenti centralizzati per la verifica autonoma delle identità digitali attive, e la responsabilità della protezione ricade in larga parte sull’utente. Ecco le azioni principali da intraprendere:
Verifica periodica dell’IBAN
È buona norma accedere regolarmente ai portali ufficiali come INPS, NoiPA e Agenzia delle Entrate per controllare che l’IBAN registrato sia corretto. Qualsiasi modifica non autorizzata può essere segnale di un accesso fraudolento. In caso di anomalie è fondamentale sporgere denuncia alle autorità competenti e contattare immediatamente l’ente coinvolto.
Attenzione alla condivisione dei documenti
Una delle principali modalità con cui gli attaccanti ottengono i dati personali è la raccolta di documenti inviati via email o attraverso canali insicuri come WhatsApp o Telegram. È fondamentale non inviare mai copia del proprio documento d’identità, codice fiscale o selfie con documento, se non attraverso canali ufficiali e sicuri. Qualsiasi richiesta di “verifica urgente” ricevuta via SMS o email deve essere considerata potenzialmente fraudolenta.
Autenticazione a due fattori
Laddove disponibile, va sempre attivato il secondo fattore di autenticazione. Questo vale non solo per i servizi bancari, ma anche per i portali della Pubblica Amministrazione. In particolare, è preferibile utilizzare app di autenticazione dedicate (come Google Authenticator o Authy) invece degli SMS, che sono più vulnerabili a compromissioni.
Contattare i provider SPID
Poiché il sistema SPID permette di avere più identità digitali per lo stesso codice fiscale, è possibile – e consigliabile – scrivere direttamente ai provider per chiedere se risultano attivi altri SPID a proprio nome. Ad oggi, in Italia esistono dodici gestori SPID; ciascuno può essere contattato via email o tramite posta certificata. Non esiste un sistema centralizzato per fare questa verifica, e ogni cittadino è chiamato a farla in autonomia.
Attenzione al phishing e allo smishing
Le truffe basate su email (phishing) o messaggi SMS (smishing) restano tra le più diffuse. Spesso promettono rimborsi fiscali, bonus o verifiche di dati per indurre l’utente a fornire i propri documenti. Nessun ente pubblico richiede informazioni personali via link o SMS. In caso di dubbio, è necessario ignorare il messaggio e accedere direttamente al sito ufficiale dell’ente.
Protezione dei dispositivi personali
Molti attacchi mirano ai dispositivi mobili per intercettare i codici OTP. È quindi fondamentale aggiornare regolarmente il sistema operativo, evitare l’installazione di app non verificate e proteggere il telefono con PIN, riconoscimento facciale o impronta digitale.
Consapevolezza e informazione
Molti cittadini non sono a conoscenza della possibilità che esistano più SPID a proprio nome. È quindi utile informare amici, familiari e colleghi, specialmente tra le fasce più anziane della popolazione. La consapevolezza è uno strumento di difesa fondamentale, in un contesto in cui la digitalizzazione dei servizi si è sviluppata più rapidamente della diffusione delle competenze necessarie a gestirla in sicurezza.
Questo commento è stato nascosto automaticamente. Vuoi comunque leggerlo?