Rubano i dati Spid degli utenti e con quelli, accedendo a siti come Inps, riescono a rubare anche lo stipendio, la pensione.
La truffa dello spid è minaccia crescente.
Negli ultimi anni e sempre più spesso, lo SPID (Sistema Pubblico di Identità Digitale) si è trasformato da semplice credenziale d’accesso a nervo scoperto dell’intera macchina digitale della Pubblica Amministrazione.
Accedere con SPID significa, in buona sostanza, disporre della chiave universale ai servizi fiscali, sanitari, scolastici e previdenziali.
Una chiave che, purtroppo, è diventata l’oggetto del desiderio anche per i criminali digitali più scaltri.
Indice degli argomenti
Truffa SPID: un pericolo crescente
Con l’espansione capillare dell’identità digitale, è esploso anche un mercato parallelo, sommerso, in cui si commerciano identità rubate, credenziali SPID, account bancari compromessi e accessi a portali istituzionali.
Gli attacchi non sono più episodi isolati: si tratta di campagne ben strutturate, spesso transnazionali, che sfruttano vulnerabilità non solo tecnologiche, ma soprattutto culturali.
E mentre si parla di trasformazione digitale come di una panacea, pochi si soffermano sul fatto che stiamo costruendo una cittadinanza digitale su fondamenta ancora troppo fragili.
Come funziona la truffa dello SPID
L’obiettivo è uno: impadronirsi delle credenziali SPID dell’utente e usarle per accedere a servizi che permettono transazioni economiche (rimborsi, bonus, dichiarazioni fiscali) o cambiamenti sensibili (come l’IBAN per l’accredito di pensioni o rimborsi). Il tutto all’insaputa del legittimo titolare.
I metodi di attacco più comuni: smishing e phishing
Il phishing e lo smishing sono diventati il pane quotidiano dei truffatori. Nel primo caso, l’utente riceve un’email da un mittente apparentemente attendibile: un ente pubblico, il fornitore SPID, o un servizio bancario collegato.
Il messaggio è studiato con cura chirurgica per creare allarme: “accesso anomalo”, “blocco dell’identità digitale”, “urgente verifica dei dati”. Il tutto corredato da loghi ufficiali, link apparentemente legittimi e un tono burocraticamente perfetto.
Nel caso dello smishing, il vettore è l’SMS. Il messaggio giunge dallo stesso thread già usato, ad esempio, da PosteID, sfruttando il fatto che molti smartphone aggregano i messaggi per mittente, anche se non autenticato. Cliccare quel link significa spesso consegnare le chiavi di casa al truffatore.
Ma non finisce qui. Il vishing, variante vocale del phishing, prevede una chiamata diretta all’utente da parte di un presunto operatore SPID, magari con accento perfetto e tono rassicurante. Il fine? Spingere la vittima a fornire codici OTP, o installare app di “verifica” che in realtà servono a spiare o intercettare dati.
Infine, c’è il social engineering puro: raccogliere informazioni pubbliche (compleanni, codice fiscale, indirizzo, dati scolastici) per costruire trappole su misura. E non serve essere dei boomer per cascarci: chiunque, anche il più smaliziato, può cadere in trappola se colto nel momento giusto.
Consigli pratici per difendersi: riconoscere tentativi di frode
La difesa non è solo una questione tecnica, ma prima di tutto culturale. Serve adottare un “protocollo mentale” di autodifesa digitale, ogni volta che riceviamo un messaggio strano o una richiesta inaspettata.
Monitorare le proprie informazioni e attivare l’autenticazione a due fattori
Non bisogna fidarsi dell’apparenza. I link contenuti in email e SMS sono spesso trappole ben confezionate. Basta poco: aprirli, anche solo per curiosità, può significare mettere a repentaglio l’intera nostra identità digitale. In caso di dubbio, mai cliccare. Meglio digitare manualmente l’indirizzo del portale ufficiale.
L’URL va sempre osservato con attenzione chirurgica: i truffatori giocano con l’alfabeto come prestigiatori con le carte, camuffando nomi di dominio con trucchetti che solo un occhio esperto riesce a notare. E poi c’è l’autenticazione a due fattori, spesso sottovalutata ma fondamentale: ogni ostacolo in più per l’attaccante è tempo guadagnato per noi.
Infine, monitorare regolarmente i portali istituzionali a cui siamo iscritti è una sana abitudine, così come evitare di esporre online troppe informazioni personali. Un nome del cane, un luogo di nascita, una data di anniversario: piccoli dettagli per noi, ma pepite d’oro per chi cerca di rubare la nostra identità.
Cosa fare in caso di truffa SPID: procedure da seguire
Se hai il sospetto di essere stato vittima di una truffa SPID, il tempo è tutto.
Blocca subito lo SPID accedendo al sito del tuo Identity Provider. Ogni secondo che passa potrebbe significare una nuova richiesta inoltrata a tuo nome.
La denuncia va sporta senza esitazione, presso la Polizia Postale. Non è solo un atto formale: è la base giuridica per ogni possibile intervento futuro, anche per eventuali contestazioni con banche o enti pubblici.
Contatta anche la tua banca: spesso chi entra nel tuo SPID ha già messo gli occhi anche sul tuo conto. Bloccare carte, IBAN o addebiti sospetti è una precauzione che non può aspettare.
Nel frattempo, accedi ai portali della PA e verifica che nessuna richiesta fraudolenta sia stata presentata. Un IBAN cambiato, un bonus richiesto, una domanda INPS mai inviata da te: tutti segnali che qualcuno ha agito in tua vece.
Esistono anche servizi, sia gratuiti che a pagamento, che permettono di ricevere alert nel caso in cui il tuo codice fiscale venga utilizzato in modo sospetto. Non sono la panacea, ma un buon alleato in più.
Conclusione
Lo SPID è un ponte tra cittadino e Stato. Ma, come ogni ponte, se non è sorvegliato, può diventare una scorciatoia per chi vuole attraversarlo senza permesso.
La sicurezza dell’identità digitale non può essere demandata solo all’utente: serve una strategia nazionale, più trasparente, più rapida nella gestione delle emergenze e meno miope nell’analisi del rischio.
Nel frattempo, l’unica vera difesa è la consapevolezza. Perché il phishing non è più solo una truffa da ingenui: è una minaccia sofisticata, camuffata da normalità.
E la normalità, in Italia, è diventata il vero punto cieco della cyber security.
