Codici: per le truffe i cybercriminali ora sfruttano anche lo Spid della vittima

Il Sistema Pubblico di Identità Digitale (SPID) è diventato uno strumento essenziale per accedere a centinaia di servizi online della Pubblica Amministrazione e di aziende private. Proprio la sua crescente diffusione lo ha reso un obiettivo primario per i cybercriminali, che hanno ideato una nuova e insidiosa modalità di truffa: la creazione di una seconda identità SPID all’insaputa della vittima per compiere illeciti a suo nome.

Come funziona la truffa del doppio SPID

La frode si basa su una caratteristica specifica del sistema SPID: la possibilità per un cittadino di attivare più di un’identità digitale, anche con diversi livelli di sicurezza, rivolgendosi a differenti gestori autorizzati (Identity Provider). I truffatori sfruttano questa architettura a loro vantaggio, creando un’identità “gemella” e fraudolenta.

Il processo criminale si articola in due fasi principali:

1. Acquisizione dei dati: I malintenzionati ottengono i dati personali e le copie dei documenti della vittima. Questo avviene solitamente tramite tecniche di phishing (false email da banche, enti pubblici o corrieri), social engineering (manipolazione psicologica per indurre a condividere informazioni) o a seguito di fughe di dati (data breach) da siti web poco sicuri.
2. Registrazione del nuovo SPID: Una volta in possesso di carta d’identità e codice fiscale, i criminali avviano la procedura di registrazione di un nuovo SPID presso un gestore diverso da quello eventualmente già usato dalla vittima. Superando i controlli di verifica, spesso basati proprio sui documenti rubati, ottengono un’identità digitale pienamente operativa.

La vittima, che continua a usare il proprio SPID legittimo, rimane all’oscuro di tutto fino a quando non emergono le conseguenze delle attività criminali.

I rischi concreti per i consumatori

Un’identità SPID fraudolenta è una vera e propria “chiave universale” nelle mani sbagliate. Permette di compiere un’ampia gamma di operazioni illecite che possono danneggiare gravemente il cittadino sia dal punto di vista economico che legale. Tra i pericoli più comuni vi sono:

• Sottrazione di rimborsi fiscali: Accedendo al Cassetto Fiscale dell’Agenzia delle Entrate, i criminali possono modificare il codice IBAN associato al profilo e dirottare eventuali rimborsi IRPEF o altri crediti d’imposta sui propri conti correnti.
• Accesso a servizi INPS e bonus: L’identità rubata può essere usata per consultare la posizione previdenziale, presentare domande per bonus, indennità o assegni a nome della vittima, incassando le somme erogate.
• Apertura di conti e finanziamenti: Con uno SPID valido, è possibile aprire online conti correnti, richiedere carte di credito, prestiti personali o addirittura avviare attività commerciali, lasciando tutti i debiti e le responsabilità legali in capo alla vittima.
• Firma di contratti: Lo SPID può essere utilizzato per sottoscrivere contratti di ogni tipo, come utenze di luce e gas, abbonamenti telefonici o servizi a pagamento, con addebiti che ricadono sull’intestatario inconsapevole.

Come proteggersi e riconoscere i segnali di allarme

Sebbene la sicurezza dei sistemi sia una responsabilità dei gestori, i cittadini possono adottare comportamenti prudenti per ridurre drasticamente il rischio di cadere in trappola. La prevenzione è l’arma più efficace.

Misure di protezione attiva

• Custodire i documenti con cura: Non inviare mai copie dei propri documenti d’identità o della tessera sanitaria tramite canali non sicuri come email, social network o app di messaggistica istantanea. Se necessario, utilizzare solo piattaforme ufficiali e crittografate.
• Attivare l’autenticazione a due fattori (2FA): Assicurarsi che il proprio SPID sia protetto da un secondo livello di sicurezza (codice OTP via app o SMS). Questa misura rende quasi impossibile l’accesso non autorizzato anche se le credenziali fossero rubate.
• Utilizzare password complesse e uniche: Scegliere password robuste per l’account email associato allo SPID e per tutti i servizi online, evitando di riutilizzare la stessa password su più siti.

Azioni di controllo e verifica

• Controllare le identità attive: Si consiglia di verificare periodicamente sul portale dell’Agenzia per l’Italia Digitale (AgID) quali identità SPID risultano associate al proprio codice fiscale, per individuare subito eventuali attivazioni anomale.
• Monitorare i conti bancari: Attivare le notifiche via app o SMS per ogni operazione bancaria consente di rilevare immediatamente movimenti sospetti e bloccare le operazioni.
• Diffidare delle comunicazioni sospette: Prestare massima attenzione a email o messaggi che richiedono dati personali o credenziali con urgenza. Nessun ente pubblico o istituto di credito chiederà mai le password via email.

La protezione della propria identità digitale richiede consapevolezza e un’attenzione costante. Adottare queste semplici ma efficaci abitudini è fondamentale per navigare online in sicurezza e sfruttare i vantaggi dello SPID senza correre rischi inutili.

Per assistenza o per segnalare il tuo caso, contatta Sportello Consumatori.

Contattaci su WhatsApp