Nelle ultime settimane sempre più segnalazioni arrivano da tutta Italia su una nuova truffa che riguarda lo Spid, il Sistema pubblico di identità digitale
Negli ultimi tempi è tornata alla ribalta la truffa del doppio Spid, chiamata così proprio perché si basa sulla creazione di nuove identità digitali, al posto delle personali, ma queste gestite interamente dai truffatori, che quindi possono compiere azioni presso tutti i siti istituzionali a nome nostro in maniera fraudolenta. Nulla vieta infatti di creare più Spid intestati allo stesso titolare, che può affidarsi a molteplici gestori differenti per la creazione dell’identità digitale.
Lo SPID è essenzialmente un’identità digitale composta da username e password che consente di accedere in maniera unificata ai servizi della Pubblica Amministrazione e dei soggetti privati aderenti e, nel panorama digitale italiano, dovrebbe rappresentare una rivoluzionaria chiave di accesso ai servizi online di tutte le pubbliche amministrazioni, proprio con l’obiettivo finale di semplificare l’interazione tra cittadini e PA.
Una truffa che fa paura
Lo Spid, il Sistema Pubblico di Identità Digitale, rappresenta una vera e propria identità digitale e personale con il quale ogni cittadino è riconosciuto dalla Pubblica Amministrazione. Uno strumento che dovrebbe consentire un accesso sicuro, oltre che rapido, a tutta una serie di servizi fondamentali come pagamenti, informazioni sanitarie, l’accesso al sito INPS o a quello della Agenzie delle Entrate, passando per la richiesta di bonus e incentivi statali di vario genere.
Un modo rapido e sicuro per interagire quindi con la Pubblica amministrazione. Il problema è che i truffatori online sono sempre all’erta e stanno arrivando sempre più segnalazioni di veri e propri furti d’identità digitale proprio grazie all’inconsapevole creazione da parte degli utenti sotto attacco hacker di altre identità tramite un nuovo Spid.
Basta un sms e ci rubano l’identità
Tutto parte da un sms o una email apparentemente inviata dall’Inps. Grazie a tecniche di spoofing, quell’attacco informatico portato a falsificare l’identità, i truffatori riescono a far comparire la parola “INPS” come mittente del messaggio, rendendo l’inganno ancora più credibile. Un banale messaggio che invita l’utente a cliccare su un link per aggiornare i propri dati basta per essere reindirizzati su un altro sito copia fedele di quello ufficiale, ma è in realtà un portale truffaldino. A quel punto rispondere ai vari passaggi inserendo informazioni personali, come dati anagrafici o l’IBAN, ma anche buste paga o video di riconoscimento, potrebbe significare consegnare la propria identità in mano altrui.
⚠️ Attenzione! È in corso un tentativo di truffa tramite mail.
👉 NON fornite nessun dato!
Inps Comunica pic.twitter.com/FcuadaQRru— INPS (@INPS_it) April 9, 2025
Con le informazioni acquisite i criminali potranno anzitutto sottrarre lo Spid, quindi l’identità digitale e accedere ai servizi online della Pubblica Amministrazione servendosi dell’identità della vittima, ma anche sottrarre e modificare i dati bancari, richiedere prestiti e finanziamenti, aprire conti correnti fraudolenti o, nei casi peggiori, vendere i dati personali nel dark web. Il meccanismo è tanto semplice quanto pericoloso, sfruttando proprio una falla nel sistema delle identità digitali, ovvero la possibilità di creare più Spid che autenticano il medesimo titolare. Per evitare di essere truffati basta seguire tre regole base:
non cliccare mai su link sospetti,
non inserire dati personali,
affidarsi solo ai canali ufficiali.
Il minimo sospetto deve essere segnalato alla Polizia postale e anche all’Agenzia per l’Italia digitale, al fine di bloccare immediatamente l’utilizzo dello Spid fraudolento.
