SPID e frodi digitali: quali rischi e come difendersi

Per chi vive a migliaia di chilometri dal Bel Paese, SPID è diventato il principale strumento per gestire a distanza qualsiasi pratica italiana, dalla consultazione della pensione INPS alla dichiarazione dei redditi, dal fascicolo sanitario elettronico alle certificazioni anagrafiche. La forza di SPID risiede nella semplicità: basta un’unica coppia di credenziali, username e password, e, almeno per i servizi più sensibili, un PIN con OTP (Livello 2) o addirittura la firma digitale qualificata (Livello 3). Eppure, è proprio questa stessa struttura “multifornitore” a creare una falla: ogni cittadino può attivare fino a dodici SPID diversi, uno per ciascun gestore, senza che esista un registro centrale capace di notificare al titolare la creazione di un nuovo accesso.

Se e quando un malintenzionato riesce a impossessarsi di dati personali, documento di identità, codice fiscale, fotografie del volto ottenute con un phishing o acquistate in pacchetti dati da data breach, può registrare a sua insaputa un “clone” SPID presso uno dei dodici provider accreditati. Non arrivano né SMS di conferma né email di alert: il profilo abusivo coesiste indisturbato accanto a quello legittimo. Con questa credenziale fasulla, il truffatore accede ai servizi online e persino ottiene cambi di coordinate bancarie per incassare pensioni, rimborsi fiscali o bonus statali (come i 500 € ai giovani in Italia), sparendo poi con i soldi senza lasciare traccia.

Le tecniche di attacco più comuni sfruttano messaggi ingannevoli, e-mail che fingono di provenire dall’INPS o dall’Agenzia delle Entrate, SMS che invitano a “verificare i tuoi dati” tramite link diretti, ma vi sono anche casi di vere e proprie “insider fraud”: la Procura di Trieste ha accertato operazioni irregolari compiute da dipendenti di un Identity Provider, che hanno generato SPID fasulli per intascare bonus e sussidi.

Per un italiano a Singapore, la rapida scoperta di un abuso SPID non è scontata. Ecco perché, oltre all’uso di password uniche e di un autenticatore via app (preferibile all’SMS), diventa cruciale svolgere di tanto in tanto una verifica degli SPID attivi. In pratica, basta inviare una richiesta via form o e-mail a ciascun provider (Poste, Aruba, InfoCert, Sielte, ecc.) domandando “quanti SPID avete rilasciato per il mio codice fiscale e a quale livello di sicurezza?”, così da scoprire eventuali profili cloni.

Nel frattempo, chi non l’avesse ancora fatto può innalzare subito le difese passando al Livello 2: numerosi provider offrono la video-identificazione remota, un riconoscimento via videocall in cui, con un PC o uno smartphone, si mostra il documento d’identità e il proprio volto all’operatore. In pochi passaggi si ottiene il PIN e l’OTP per ogni accesso sensibile. Per chi avesse esigenza di Livello 3 (fortemente consigliato per firmare contratti, atti legali e documenti notarili), rimane valida la via consolare: prenotando un appuntamento al Consolato italiano di Singapore si riceve la Carta d’Identità Elettronica (CIE), strumento che abilita la firma digitale qualificata.

È importante sottolineare che neppure la CIE evita per intero il rischio di SPID fantasma, perché un diverso provider potrebbe comunque emettere credenziali a nome vostro. Ecco perché, al di là dell’attivazione dei Livelli 2 e 3, rimane indispensabile mantenere un’“igiene digitale” fatta di:

  • controllo trimestrale delle ultime operazioni sui portali INPS e Agenzia delle Entrate;
  • attenzione estrema a non cliccare link sospetti o a non inviare documenti tramite chat non ufficiali;
  • uso di password diverse e robuste, preferibilmente gestite con un password manager;
  • abilitazione del secondo fattore di autenticazione tramite app, più sicuro dell’SMS.

In caso di sospetta attività illecita, la procedura è sempre la stessa: variare immediatamente password e PIN SPID, aprire un ticket di assistenza presso il provider coinvolto, denunciare alla Polizia Postale e informare il Consolato per ottenere supporto legale.

La centralizzazione di un’anagrafe unica per tutte le identità SPID è ormai all’ordine del giorno nelle agende di AgID e dei ministeri competenti. Tuttavia, fino a quando non sarà attiva una soluzione governativa che segnali automaticamente ogni nuova emissione di SPID, la miglior difesa rimane un utente informato e proattivo. Con pochi minuti dedicati a verifiche periodiche, video-KYC e approfondimenti sui comportamenti corretti, SPID potrà restare quel pass digitale che semplifica la vita, anziché trasformarsi in una mina nascosta pronta a far esplodere le vostre pratiche online.

1. Cos’è SPID e perché va protetto

Introdotto nel 2016, SPID permette di accedere ai servizi pubblici e privati con:

  • Livello 1: username + password
  • Livello 2: + PIN + OTP via SMS o app
  • Livello 3: + firma digitale qualificata (remota o con dispositivo fisico)

Tra i servizi raggiungibili con SPID:

  • Dichiarazione precompilata (730)
  • Consultazione della pensione INPS
  • Fascicolo Sanitario Elettronico
  • Certificati anagrafici, visure catastali
  • Piattaforme regionali e comunali

SPID è emesso da 12 provider (Poste, Aruba, Infocert, Sielte, ecc.) e oggi è diventato lo standard per l’identità digitale in Italia. Peccato però che la sua stessa struttura favorisca il fenomeno dei “clone SPID”, cioè identità digitali create da malintenzionati a nome di ignare vittime.

2. Le falle strutturali dietro le frodi

  1. Registro frammentato
    • Ogni cittadino può avere fino a 12 SPID attivi (uno per provider).
    • Nessuna notifica centralizzata: non saprai se qualcuno ottiene un SPID a tuo nome presso un altro gestore.
  2. Phishing & smishing
    • False e-mail o SMS spacciati per INPS, Agenzia delle Entrate o provider SPID inducono a fornire documenti e selfie, ottenendo così i dati necessari per emettere SPID cloni.
  3. Inside jobs
    • Inchieste come quella della Procura di Trieste (2023) hanno rivelato dipendenti corrotti in provider SPID, capaci di emettere credenziali fasulle per frodi di bonus e sussidi.
  4. Login con un solo fattore
    • Molti servizi PA non richiedono una conferma aggiuntiva oltre all’accesso SPID; il truffatore può quindi cambiare l’IBAN di pensioni e rimborsi senza difficoltà.

3. Conseguenze concrete

  • Sottrazione di pensioni e bonus: 500 € giovani, assegni di maternità, rimborsi IRPEF.
  • Esposizione di dati sensibili: informazioni sanitarie, scolastiche e anagrafiche in mano ai truffatori.
  • Richieste abusive: permessi di costruzione, servizi scolastici, certificati falsi.
  • Apertura di conti correnti: alcune banche fanno onboarding via SPID; i cloni possono attivare conti a tua insaputa.

4. Come proteggersi, anche da Singapore

1. Controlli periodici

  • Programmare ogni 3 mesi un controllo sui principali portali (INPS, Entrate, Fascicolo Sanitario) per individuare attività sospette.

2. Verifica degli SPID attivi

  • Inviare a ciascun provider (Poste, Aruba, Infocert…) la richiesta ufficiale tramite form o e-mail: “Quanti SPID avete rilasciato per il mio codice fiscale e a quali livelli di sicurezza?”

3. Attivare SPID L2 e L3

  • Video-KYC per L2 (PIN + OTP) e talvolta L3
    1. Scegli un provider che supporti il riconoscimento via video (Aruba, InfoCert, Namirial…).
    2. Compila il form online, carica documento e codice fiscale.
    3. Partecipa alla videochiamata, mostrando documento e volto.
    4. Ricevi le credenziali e imposta PIN + OTP (L2). Se disponibile, completa anche la firma remota (L3).
  • SPID L3 con CIE/CNS
    1. Prenota un appuntamento al Consolato Italiano di Singapore per ottenere la Carta d’Identità Elettronica (CIE) o la Carta Nazionale dei Servizi (CNS).
    2. Utilizza CIE/CNS sul portale del provider per abilitare il livello 3 (firma digitale qualificata).
    3. Attenzione: anche con CIE/CNS non si impedisce a un altro provider di emettere SPID non autorizzati a tuo nome. Corollario: verifiche periodiche presso tutti i provider restano indispensabili.

4. Igiene digitale

  • Non cliccare link sospetti, non inviare documenti via chat non ufficiali.
  • Usa password uniche, cambia regolarmente PIN e OTP.
  • Considera un gestore di password e un’autenticazione via app (rinforzata rispetto all’SMS).

5. Segnalazione tempestiva

  • Se noti accessi o operazioni anomale:
    • Cambia subito credenziali SPID.
    • Apri un ticket con il provider.
    • Denuncia alla Polizia Postale e avvisa il Consolato.

SPID è un potente strumento di semplificazione digitale, ma le sua decentralizzazione lo rende vulnerabile a frodi sofisticate. Dedicare pochi minuti ogni trimestre a controlli e verifiche, insieme all’attivazione di SPID L2 e L3, può fare la differenza tra un accesso sicuro e un danno economico e personale rilevante.

Restare informati e mantenere alta l’attenzione sono le armi migliori: perché la comodità di SPID non si trasformi in un rischio.

Autore

Lascia un commento