SPIDIdentita digitale

Occhio alla truffa SPID: i criminali hanno scoperto un modo per sfruttare dei bachi del sistema

di pubblicata il , alle 16:16 nel canale Security Occhio alla truffa SPID: i criminali hanno scoperto un modo per sfruttare dei bachi del sistema

Il sistema di identità digitale SPID ha un serio problema: è possibile creare più di un'identità digitale appoggiandosi a differenti provider. Questo consente ai criminali di creare falsi profili SPID semplicemente usando documenti di identità trovati sul dark web

 
28 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
aqua8402 Aprile 2025, 18:14 #11
Non ho capito poi il “Occhio alla truffa”

Da cittadino è IMPOSSIBILE difendersi se qualcuno apre parallelamente un altra identità digitale.
Anzi, già sarebbe tanto scoprirlo in tempo.
AlPaBo02 Aprile 2025, 18:29 #12
Lo SPID serio (livello 2, quello utilizzato per esempio per la sanità, e 3 che richiede il riconoscimento a ogni utilizzo) richiede che alla creazione dell'account l'utente sia riconosciuto di persona.

Non basta quindi mostrare una Carta di Identità, ma bisogna andare di persona o, per solo alcuni provider, utilizzare una connessione video interattiva. Per la carta di identità semplicemente non è previsto il riconoscimento telematico, e scommetto che alcuni si lamentano della necessità di andare di persona in comune.

Per cui non c'è nessun motivo per considerare un problema quello scritto nella notizia. Ci sono solo tre casi in cui può rivelarsi un rischio potenziale:
[LIST=1]
[*]Come qualcuno ha già scritto se il provider non segue la normativa; nel qual caso si tratta di un difetto del provider, non dello SPID.
[*]Se si riuscisse a creare con l'IA una connessione interattiva simulando voce e aspetto della persona; problema non prevedibile al momento della progettazione ed effettivamente poco significativo; il sistema è stato utilizzato per rubare a banche decine di milioni, l'impegno per uno SPID sarebbe come usare un cannone per prendere un passero: ricordo che nessun sistema è sicuro, e si cerca sempre un compromesso tra la difesa e il valore di ciò che si vuole difendere. Vedo che spesso gli interlocutori di queste notizie assumono un atteggiamento del tipo o tutto o niente; ahimè, il mondo non è così.
[*]Naturalmente potrebbero esistere dipendenti infedeli che generano SPID falsi a pagamento; ma lo stesso vale per ogni sistema di riconoscimento: avendo per esempio un contatto "giusto" al Ministero degli Interni immagino tu possa avere una carta di identità falsa (non è la tua) ma vera (fatta con la tecnologia dello stato).
[/LIST]
Io ho due account SPID e lo trovo comodo in quanto se ho un problema con una, uso l'altra.

In quanto all'affermazione che bisognerebbe creare un database unico, risolverebbe ben pochi problemi in quanto da una parte la possibilità di avere più account è definita per design (record duplicati) e dall'altra esistono milioni di persone che non hanno mai preso lo SPID (record mancanti), per cui sarebbe banale per un hacker generare migliaia di account legati a questi ultimi.

Diciamo che tutto l'allarmismo che vedo è ingiustificato. Il fatto è che qualcuno ama parlare male del pubblico a prescindere.
Raven02 Aprile 2025, 18:55 #13
Originariamente inviato da: aqua84
Io non lo sapevo e non ci ho nemmeno provato ma pensavo fosse OVVIO che se ho un profilo SPID con Poste Italiane non ne posso fare un altro con un provider diverso.
A meno di non disattivare e/o eliminare quello con Poste.


Io ormai da anni ho due SPID con due diversi provider (metti che uno non funziona in quel momento)...
Pensavo che la cosa fosse di pubblico dominio...


ps: a questo punto, sarebbe meglio che ognuno lo crei con OGNI provider esistente (così si il legittimo proprietario sfrutta lui la possibilità e nessun altro può più farlo)...
Mparlav02 Aprile 2025, 19:13 #14
Ho la Spid e la Cie, non vedo oggi la ragione di avere 2 Spid con provider diversi.
barzokk02 Aprile 2025, 19:14 #15
Originariamente inviato da: AlPaBo
Diciamo che tutto l'allarmismo che vedo è ingiustificato. Il fatto è che qualcuno ama parlare male del pubblico a prescindere.

Visto che lo SPID è imposto dallo stato,
almeno mandare una cazzo di raccomandata a spese dello stato ad ogni creazione di un account sarebbe il minimo.

Perchè le cazzo di raccomandate, quando devono prendere dei soldi, le mandano eccome
lucabis02 Aprile 2025, 21:12 #16
Bravi ad aver fatto lo spid, tutte le cose digitali hanno dei bug, specialmente quelle create dallo stato, tanto i dati sensibili sono i vostri😂😂😂😂
AlPaBo02 Aprile 2025, 21:24 #17
Originariamente inviato da: barzokk
Visto che lo SPID è imposto dallo stato,
almeno mandare una cazzo di raccomandata a spese dello stato ad ogni creazione di un account sarebbe il minimo.

Perchè le cazzo di raccomandate, quando devono prendere dei soldi, le mandano eccome


Guarda che i provider dello SPID non sono tenuti a comunicare allo stato chi lo ha richiesto. Non hai notato per esempio che tutte le volte che usi lo SPID (e anche la CIE) ti vengono segnalate quali sono le informazioni comunicate al sito che lo richiede? E tu devi confermare.

Per cui, lo stato non ti può mandare una raccomandato (o qualunque altra informazione) in quanto il responsabile dei tuoi dati è il provider. Semmai, potresti chiedere che la legge venga modificata per costringere il provider a mandare lui una raccomandata. Naturalmente questo inciderebbe sui costi dello SPID, e immagino che come molti italiani tu voglia servizi eccezionali a costo nullo.

Il problema, se vuoi, deriva proprio dal fatto che all'epoca c'era l'idea perversa che il privato fosse sempre meglio del pubblico, per cui si decise di farlo con provider privati che soddisfacessero certe caratteristiche. A questo punto dimmelo tu: sei uno di quelli che ritengono che si debba privatizzare tutto? da quello che chiedi sembra che tu voglia invece una maggiore presenza del settore pubblico.
AlPaBo02 Aprile 2025, 21:43 #18
Originariamente inviato da: lucabis
Bravi ad aver fatto lo spid, tutte le cose digitali hanno dei bug, specialmente quelle create dallo stato, tanto i dati sensibili sono i vostri😂😂😂😂


Vediamo un po' le più grandi fughe con oltre un milione di dati personali daal 2008 al 2016 (da Data breach, dove ne puoi trovare molte altre che non ho voglia di scrivere qui):

2008
Country Financial 2,5 milioni di dati (privato)
2009
RockYou 32 milioni (privato)
Heartland Payment Systems 100 milioni (privato)
2011
Sony 77 milioni (privato)
2013
Adobe 130 milioni (privato)
Target corporation 70 milioni (privato)
Yahoo! 400 milioni (privato)
2014
Home Depot 56 milioni (privato)
2015
Tal Talk 4 milioni (privato)
Ashley Madison 37 milioni (privato)
Anthem 80 milioni (privato)
US Office Personal Management 22 milioni (finalmente uno pubblico, però US)
2016
Yahoo 500 milioni (successivamente incrementato a 3 miliardi) (privato)
Equifax 150 milioni (privato)
ecc. ecc.

Se vuoi posso continuare, ma credo che la tua affermazione «tutte le cose digitali hanno dei bug» sia confermata, mentre temo che non stia in piedi la frase «specialmente quelle create dallo stato». Ma sai, la burocrazia serve anche a mantenere la sicurezza dei dati, anche se molti la criticano.

Come ho detto in un altro commento, lo SPID venne privatizzato da gente che la pensava come te. Ora lo farebbero diversamente: non a caso la CIE è effettivamente e giustamente gestita dallo stato.
miram02 Aprile 2025, 21:44 #19

Si ma...

Il problema permarrà fino alla eliminazione del metodo SPID...
Ho appena fatto richiesta della CIE e spero che trovino un sistema per non autorizzare il mio CF su altri SPID per esempio!
Jack.Mauro02 Aprile 2025, 21:45 #20
Non capisco quale sia il problema nell'avere due o più SPID forniti da provider diversi: in caso di malfunzionamento di uno, si può usare l'altro.

Qui il problema è che i fornitori del servizio non prestano abbastanza attenzione e forniscono lo spid a chi non è il reale titolare.

Difficile che l'utente possa difendersi da una truffa del genere, ma visto che i fornitori sono autorizzati dallo stato ed è loro imposto di vigilare, dovrebbero essere civilmente e penalmente responsabili dei certificati da loro rilasciati.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^