Per chi vive a migliaia di chilometri dal Bel Paese, SPID è diventato il principale strumento per gestire a distanza qualsiasi pratica italiana, dalla consultazione della pensione INPS alla dichiarazione dei redditi, dal fascicolo sanitario elettronico alle certificazioni anagrafiche. La forza di SPID risiede nella semplicità: basta un’unica coppia di credenziali, username e password, e, almeno per i servizi più sensibili, un PIN con OTP (Livello 2) o addirittura la firma digitale qualificata (Livello 3). Eppure, è proprio questa stessa struttura “multifornitore” a creare una falla: ogni cittadino può attivare fino a dodici SPID diversi, uno per ciascun gestore, senza che esista un registro centrale capace di notificare al titolare la creazione di un nuovo accesso.
Se e quando un malintenzionato riesce a impossessarsi di dati personali, documento di identità, codice fiscale, fotografie del volto ottenute con un phishing o acquistate in pacchetti dati da data breach, può registrare a sua insaputa un “clone” SPID presso uno dei dodici provider accreditati. Non arrivano né SMS di conferma né email di alert: il profilo abusivo coesiste indisturbato accanto a quello legittimo. Con questa credenziale fasulla, il truffatore accede ai servizi online e persino ottiene cambi di coordinate bancarie per incassare pensioni, rimborsi fiscali o bonus statali (come i 500 € ai giovani in Italia), sparendo poi con i soldi senza lasciare traccia.
Le tecniche di attacco più comuni sfruttano messaggi ingannevoli, e-mail che fingono di provenire dall’INPS o dall’Agenzia delle Entrate, SMS che invitano a “verificare i tuoi dati” tramite link diretti, ma vi sono anche casi di vere e proprie “insider fraud”: la Procura di Trieste ha accertato operazioni irregolari compiute da dipendenti di un Identity Provider, che hanno generato SPID fasulli per intascare bonus e sussidi.
Per un italiano a Singapore, la rapida scoperta di un abuso SPID non è scontata. Ecco perché, oltre all’uso di password uniche e di un autenticatore via app (preferibile all’SMS), diventa cruciale svolgere di tanto in tanto una verifica degli SPID attivi. In pratica, basta inviare una richiesta via form o e-mail a ciascun provider (Poste, Aruba, InfoCert, Sielte, ecc.) domandando “quanti SPID avete rilasciato per il mio codice fiscale e a quale livello di sicurezza?”, così da scoprire eventuali profili cloni.
Nel frattempo, chi non l’avesse ancora fatto può innalzare subito le difese passando al Livello 2: numerosi provider offrono la video-identificazione remota, un riconoscimento via videocall in cui, con un PC o uno smartphone, si mostra il documento d’identità e il proprio volto all’operatore. In pochi passaggi si ottiene il PIN e l’OTP per ogni accesso sensibile. Per chi avesse esigenza di Livello 3 (fortemente consigliato per firmare contratti, atti legali e documenti notarili), rimane valida la via consolare: prenotando un appuntamento al Consolato italiano di Singapore si riceve la Carta d’Identità Elettronica (CIE), strumento che abilita la firma digitale qualificata.
È importante sottolineare che neppure la CIE evita per intero il rischio di SPID fantasma, perché un diverso provider potrebbe comunque emettere credenziali a nome vostro. Ecco perché, al di là dell’attivazione dei Livelli 2 e 3, rimane indispensabile mantenere un’“igiene digitale” fatta di:
- controllo trimestrale delle ultime operazioni sui portali INPS e Agenzia delle Entrate;
- attenzione estrema a non cliccare link sospetti o a non inviare documenti tramite chat non ufficiali;
- uso di password diverse e robuste, preferibilmente gestite con un password manager;
- abilitazione del secondo fattore di autenticazione tramite app, più sicuro dell’SMS.
In caso di sospetta attività illecita, la procedura è sempre la stessa: variare immediatamente password e PIN SPID, aprire un ticket di assistenza presso il provider coinvolto, denunciare alla Polizia Postale e informare il Consolato per ottenere supporto legale.
La centralizzazione di un’anagrafe unica per tutte le identità SPID è ormai all’ordine del giorno nelle agende di AgID e dei ministeri competenti. Tuttavia, fino a quando non sarà attiva una soluzione governativa che segnali automaticamente ogni nuova emissione di SPID, la miglior difesa rimane un utente informato e proattivo. Con pochi minuti dedicati a verifiche periodiche, video-KYC e approfondimenti sui comportamenti corretti, SPID potrà restare quel pass digitale che semplifica la vita, anziché trasformarsi in una mina nascosta pronta a far esplodere le vostre pratiche online.
1. Cos’è SPID e perché va protetto
Introdotto nel 2016, SPID permette di accedere ai servizi pubblici e privati con:
- Livello 1: username + password
- Livello 2: + PIN + OTP via SMS o app
- Livello 3: + firma digitale qualificata (remota o con dispositivo fisico)
Tra i servizi raggiungibili con SPID:
- Dichiarazione precompilata (730)
- Consultazione della pensione INPS
- Fascicolo Sanitario Elettronico
- Certificati anagrafici, visure catastali
- Piattaforme regionali e comunali
SPID è emesso da 12 provider (Poste, Aruba, Infocert, Sielte, ecc.) e oggi è diventato lo standard per l’identità digitale in Italia. Peccato però che la sua stessa struttura favorisca il fenomeno dei “clone SPID”, cioè identità digitali create da malintenzionati a nome di ignare vittime.
2. Le falle strutturali dietro le frodi
- Registro frammentato
- Ogni cittadino può avere fino a 12 SPID attivi (uno per provider).
- Nessuna notifica centralizzata: non saprai se qualcuno ottiene un SPID a tuo nome presso un altro gestore.
- Phishing & smishing
- False e-mail o SMS spacciati per INPS, Agenzia delle Entrate o provider SPID inducono a fornire documenti e selfie, ottenendo così i dati necessari per emettere SPID cloni.
- Inside jobs
- Inchieste come quella della Procura di Trieste (2023) hanno rivelato dipendenti corrotti in provider SPID, capaci di emettere credenziali fasulle per frodi di bonus e sussidi.
- Login con un solo fattore
- Molti servizi PA non richiedono una conferma aggiuntiva oltre all’accesso SPID; il truffatore può quindi cambiare l’IBAN di pensioni e rimborsi senza difficoltà.
3. Conseguenze concrete
- Sottrazione di pensioni e bonus: 500 € giovani, assegni di maternità, rimborsi IRPEF.
- Esposizione di dati sensibili: informazioni sanitarie, scolastiche e anagrafiche in mano ai truffatori.
- Richieste abusive: permessi di costruzione, servizi scolastici, certificati falsi.
- Apertura di conti correnti: alcune banche fanno onboarding via SPID; i cloni possono attivare conti a tua insaputa.
4. Come proteggersi, anche da Singapore
1. Controlli periodici
- Programmare ogni 3 mesi un controllo sui principali portali (INPS, Entrate, Fascicolo Sanitario) per individuare attività sospette.
2. Verifica degli SPID attivi
- Inviare a ciascun provider (Poste, Aruba, Infocert…) la richiesta ufficiale tramite form o e-mail: “Quanti SPID avete rilasciato per il mio codice fiscale e a quali livelli di sicurezza?”
3. Attivare SPID L2 e L3
- Video-KYC per L2 (PIN + OTP) e talvolta L3
- Scegli un provider che supporti il riconoscimento via video (Aruba, InfoCert, Namirial…).
- Compila il form online, carica documento e codice fiscale.
- Partecipa alla videochiamata, mostrando documento e volto.
- Ricevi le credenziali e imposta PIN + OTP (L2). Se disponibile, completa anche la firma remota (L3).
- SPID L3 con CIE/CNS
- Prenota un appuntamento al Consolato Italiano di Singapore per ottenere la Carta d’Identità Elettronica (CIE) o la Carta Nazionale dei Servizi (CNS).
- Utilizza CIE/CNS sul portale del provider per abilitare il livello 3 (firma digitale qualificata).
- Attenzione: anche con CIE/CNS non si impedisce a un altro provider di emettere SPID non autorizzati a tuo nome. Corollario: verifiche periodiche presso tutti i provider restano indispensabili.
4. Igiene digitale
- Non cliccare link sospetti, non inviare documenti via chat non ufficiali.
- Usa password uniche, cambia regolarmente PIN e OTP.
- Considera un gestore di password e un’autenticazione via app (rinforzata rispetto all’SMS).
5. Segnalazione tempestiva
- Se noti accessi o operazioni anomale:
- Cambia subito credenziali SPID.
- Apri un ticket con il provider.
- Denuncia alla Polizia Postale e avvisa il Consolato.
SPID è un potente strumento di semplificazione digitale, ma le sua decentralizzazione lo rende vulnerabile a frodi sofisticate. Dedicare pochi minuti ogni trimestre a controlli e verifiche, insieme all’attivazione di SPID L2 e L3, può fare la differenza tra un accesso sicuro e un danno economico e personale rilevante.
Restare informati e mantenere alta l’attenzione sono le armi migliori: perché la comodità di SPID non si trasformi in un rischio.