di Alessandra Schofield
Occhio allo SPID Le truffe informatiche possono colpire anche la nostra identità digitale. Purtroppo, neppure lo SPID (il Sistema Pubblico di Identità Digitale) è immune da truffe, frodi e firti d’identità. Sono oltre 39 milioni le SPID attive e le utilizza circa il 78% della popolazione adulta per accedere ai servizi della Pubblica Amministrazione e non solo.
E i cyber-criminali hanno ideato diversi modi per sfruttare tale capillarità in modo fraudolento. Poiché la normativa prevede la possibilità di attivare più SPID per la stessa persona, vengono creati SPID falsi a nome di soggetti cui sono stati precedentemente rubati dati personali. Dopodiché accedono tranquillamente ai servizi, sottraendo denaro o informazioni molto sensibili. Di solito funziona così: la vittima riceve email o sms apparentemente provenienti da enti affidabili, che contengono link i quali, se cliccati, conducono a siti contraffatti e praticamente identici nell’aspetto ai siti ufficiali. Per dire, solo nel marzo 2025, il CERT-AgID (il team di risposta cyber per la PA) ha individuato ben 33 domini falsi che imitavano il sito INPS. Al malcapitato viene allora chiesto di inserire informazioni personali e caricare documenti ed estremi del conto corrente, a volte anche le buste paga o una foto se non addirittura un video.A questo punto, i criminali dispongono di tutti i dati necessari a creare un nuovo SPID a nome della vittima su uno dei tanti identity provider che offrono questo servizio. Sono stati segnalati casi di modifica degli IBAN registrati sui vari portali (IBAN) per dirottare pagamenti dovuti alla vittima (stipendi, pensioni, rimborsi fiscali) verso conti controllati dai malviventi, accesso a dati riservati come certificati e documenti fiscali, apertura di conti correnti o linee di credito a nome della vittima e anche perfino firma di contratti o atti ufficiali utilizzando l’identità digitale contraffatta. Difficilissimo accorgersi di quanto sta accadendo, perché non è prevista la notifica automatica della creazione di un secondo profilo a nostro nome, per cui quando ce ne rendiamo conto perché magari non riceviamo un pagamento atteso, ma a quel punto il danno è fatto. La stima per il 2024 è di oltre 20 milioni di euro di danni economici complessivi, ma poiché spesso le vittime non denunciano, per vergogna o perché ignari dei propri diritti, potrebbero essere molti di più.
La verità è che, oggi, falsificare l’identità è veramente semplice e le tecniche avanzate di deepfake così come l’elaborazione di immagini tramite strumenti basati sull’intelligenza artificiale ha decisamente peggiorato le cose. Poi c’è il prospero mercato dei documenti rubati o clonati sul dark web, dove si trova di tutto (ma veramente di tutto).
Al di là del fatto che gli identity provider (IdP) accreditati che rilasciano gli SPID possono essere – e sono stati – oggetto di cyber-attacchi anche massivi, e sono tenuti a potenziare i propri sistemi di sicurezza, noi possiamo fare molto, moltissimo, per proteggere la nostra identità digitale.
Evitiamo di usare SPID di livello 1 (solo username e password), poiché è il meno sicuro; optiamo per lo SPID con autenticazione a due fattori (livello 2 con codice OTP o livello 3 con CIE o CNS) e,
se il provider lo consente, attiviamo la notifica push per ogni accesso.
Non clicchiamo MAI su link ricevuti via sms o email: l’INPS, l’Agenzia delle Entrate o i provider SPID non inviano link cliccabili per aggiornare dati o verificare credenziali.
Non inviamo mai documenti via email o app di messaggistica e non condividiamo carta d’identità, tessera sanitaria, codice fiscale o selfie su WhatsApp, Telegram, email non certificata o siti non verificati. Se dobbiamo caricare documenti online, verifichiamo sempre l’URL del sito e che inizi con https://.
Controlliamo regolarmente i nostri dati sui portali ufficiali, per controllare che siano corretti e non siano stati oggetto di modifiche non autorizzate.
Verifichiamo presso i principali provider se esistono altri SPID attivi a nostro nome e chiediamo la revoca immediata di eventuali identità non da te attivate.
Se possibile, usiamo una casella email dedicata solo a SPID e servizi della PA, distinta da quella personale.
Proteggiamo la nostra sim telefonica con un pin di accesso.
Se riceviamo chiamate da sedicenti “operatori SPID” o “funzionari INPS” che ci chiedono di fornire codici o documenti, interrompiamo subito la conversazione: nessun ente serio chiede mai credenziali via telefono o SMS.
Attiviamo gli alert finanziari e bancari per sms e/o per email, per monitorare i nostri movimenti bancari.
Iscriviamoci ai servizi di monitoraggio del credito (es. CRIF, Experian) per ricevere notifiche se qualcuno prova ad aprire un conto o chiedere un prestito a nostro nome.
Manteniamo sempre antivirus e sistema operativo del nostro pc o laptop aggiornati.
Usiamo password diverse e complesse per ogni servizio; possiamo usare uno strumento di password manager.
Evitiamo reti Wi-Fi pubbliche per accedere a SPID o servizi bancari.
In caso di sospetto o dubbio, contattiamo il nostro provider SPID per verificare ed eventualmente revocare le credenziali; sporgiamo denuncia alla Polizia Postale; segnaliamo l’accaduto all’ente coinvolto e alla banca, se sono coinvolti movimenti economici; cambiamo tutte le password sensibili.
Qui troviamo l’elenco ufficiale dei provider e dei contatti: https://www.spid.gov.it
Questo è il numero verde della Polizia Postale: 06 985 444
Qui possiamo segnalare il phishing: phishing@cert-pa.it (CERT-AgID).
