Negli ultimi mesi si è diffusa in Italia una nuova forma di frode digitale legata all’identità digitale SPID, conosciuta come la truffa del “doppio SPID”. Si tratta di un fenomeno che coinvolge cittadini, aziende e pubbliche amministrazioni, sfruttando vulnerabilità nei sistemi di identificazione e nella gestione dei dati personali.

Cos'è la truffa del "doppio SPID"

Ogni cittadino può attivare più identità SPID con diversi identity provider. Avendo i dati dello SPID da clonare, basta creare una mail ed avere un numero di cellulare "alternativo". I criminali informatici stanno sfruttando questa possibilità per attivare un secondo SPID a nome della vittima, utilizzando dati personali sottratti o reperiti illecitamente, ad esempio sul dark web. Una volta ottenuta un’identità digitale duplicata, i truffatori sono in grado di accedere a servizi della PA (come INPS, Agenzia delle Entrate, sistemi previdenziali), modificare dati sensibili come l’IBAN o i recapiti di contatto, e dirottare rimborsi fiscali o prestazioni sociali verso conti bancari illeciti.

A questa modalità si affiancano campagne di phishing in cui la vittima riceve comunicazioni fraudolente via email o SMS che simulano messaggi da parte dei fornitori SPID ufficiali. Attraverso link ingannevoli, si viene indirizzati a siti contraffatti dove vengono richieste credenziali di accesso e informazioni personali, successivamente utilizzate per scopi illeciti.

Non devi essere un genio per farlo, basta mettere le mani sulle copie dei documenti di qualcuno e sapersi creare una mail, registrare una SIM e avere un IBAN non facilmente riconducibile a una persona specifica. Paradossalmente, lo scherzetto te lo potrebbe fare chiunque.

Proteggersi dalla truffa dello SPID: azioni consigliate

• Verificare periodicamente quali identità SPID risultano attive e associate al proprio codice fiscale, rivolgendosi ai provider ufficiali.
• Non inviare mai copie di documenti di identità o codice fiscale tramite email o messaggi, se non su canali sicuri e verso destinatari verificati.
• Abilitare sempre l’autenticazione a due fattori per i servizi che lo permettono, al fine di rafforzare i livelli di sicurezza.
• Impostare notifiche per ogni operazione rilevante, ad esempio modifiche all’identità digitale o movimenti bancari.
• Sensibilizzare collaboratori e personale interno, soprattutto se si opera in contesti che trattano dati sensibili o documentazione ufficiale.

Una possibile soluzione

Per risolvere il problema vanno implementate, possibilmente nel secolo corrente, policy più stringenti circa l’emissione di ulteriori identità SPID. 

La soluzione definitiva è il ricorso alla carta d’identità elettronica (CIE), che può essere una e una sola, in corso di validità, per cittadino.

Come possiamo aiutarti?

La recente truffa dello SPID dimostra quanto sia fondamentale affiancare alla tecnologia una cultura della sicurezza digitale diffusa e aggiornata. È essenziale che tutti gli attori coinvolti – cittadini, enti pubblici e imprese – mantengano alta l’attenzione, investano in strumenti affidabili e restino informati sui nuovi rischi.

Noratech continuerà a supportare i propri clienti con soluzioni orientate alla sicurezza e alla conformità, mettendo l’innovazione al servizio della protezione dei dati e della continuità operativa.

Se desideri approfondire il tema o hai bisogno di una valutazione sui tuoi sistemi di identificazione e gestione documentale, il nostro team è a disposizione, contattaci subito!

Scrivici per saperne di più

Articoli correlati