SPIDIdentita digitale
Occhio alla truffa SPID: i criminali hanno scoperto un modo per sfruttare dei bachi del sistema
di Alberto Falchi pubblicata il 02 Aprile 2025, alle 16:16 nel canale Security
Il sistema di identità digitale SPID ha un serio problema: è possibile creare più di un'identità digitale appoggiandosi a differenti provider. Questo consente ai criminali di creare falsi profili SPID semplicemente usando documenti di identità trovati sul dark web
28 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDa cittadino è IMPOSSIBILE difendersi se qualcuno apre parallelamente un altra identità digitale.
Anzi, già sarebbe tanto scoprirlo in tempo.
Non basta quindi mostrare una Carta di Identità, ma bisogna andare di persona o, per solo alcuni provider, utilizzare una connessione video interattiva. Per la carta di identità semplicemente non è previsto il riconoscimento telematico, e scommetto che alcuni si lamentano della necessità di andare di persona in comune.
Per cui non c'è nessun motivo per considerare un problema quello scritto nella notizia. Ci sono solo tre casi in cui può rivelarsi un rischio potenziale:
[LIST=1]
[*]Come qualcuno ha già scritto se il provider non segue la normativa; nel qual caso si tratta di un difetto del provider, non dello SPID.
[*]Se si riuscisse a creare con l'IA una connessione interattiva simulando voce e aspetto della persona; problema non prevedibile al momento della progettazione ed effettivamente poco significativo; il sistema è stato utilizzato per rubare a banche decine di milioni, l'impegno per uno SPID sarebbe come usare un cannone per prendere un passero: ricordo che nessun sistema è sicuro, e si cerca sempre un compromesso tra la difesa e il valore di ciò che si vuole difendere. Vedo che spesso gli interlocutori di queste notizie assumono un atteggiamento del tipo o tutto o niente; ahimè, il mondo non è così.
[*]Naturalmente potrebbero esistere dipendenti infedeli che generano SPID falsi a pagamento; ma lo stesso vale per ogni sistema di riconoscimento: avendo per esempio un contatto "giusto" al Ministero degli Interni immagino tu possa avere una carta di identità falsa (non è la tua) ma vera (fatta con la tecnologia dello stato).
[/LIST]
Io ho due account SPID e lo trovo comodo in quanto se ho un problema con una, uso l'altra.
In quanto all'affermazione che bisognerebbe creare un database unico, risolverebbe ben pochi problemi in quanto da una parte la possibilità di avere più account è definita per design (record duplicati) e dall'altra esistono milioni di persone che non hanno mai preso lo SPID (record mancanti), per cui sarebbe banale per un hacker generare migliaia di account legati a questi ultimi.
Diciamo che tutto l'allarmismo che vedo è ingiustificato. Il fatto è che qualcuno ama parlare male del pubblico a prescindere.
A meno di non disattivare e/o eliminare quello con Poste.
Io ormai da anni ho due SPID con due diversi provider (metti che uno non funziona in quel momento)...
Pensavo che la cosa fosse di pubblico dominio...
ps: a questo punto, sarebbe meglio che ognuno lo crei con OGNI provider esistente (così si il legittimo proprietario sfrutta lui la possibilità e nessun altro può più farlo)...
Visto che lo SPID è imposto dallo stato,
almeno mandare una cazzo di raccomandata a spese dello stato ad ogni creazione di un account sarebbe il minimo.
Perchè le cazzo di raccomandate, quando devono prendere dei soldi, le mandano eccome
almeno mandare una cazzo di raccomandata a spese dello stato ad ogni creazione di un account sarebbe il minimo.
Perchè le cazzo di raccomandate, quando devono prendere dei soldi, le mandano eccome
Guarda che i provider dello SPID non sono tenuti a comunicare allo stato chi lo ha richiesto. Non hai notato per esempio che tutte le volte che usi lo SPID (e anche la CIE) ti vengono segnalate quali sono le informazioni comunicate al sito che lo richiede? E tu devi confermare.
Per cui, lo stato non ti può mandare una raccomandato (o qualunque altra informazione) in quanto il responsabile dei tuoi dati è il provider. Semmai, potresti chiedere che la legge venga modificata per costringere il provider a mandare lui una raccomandata. Naturalmente questo inciderebbe sui costi dello SPID, e immagino che come molti italiani tu voglia servizi eccezionali a costo nullo.
Il problema, se vuoi, deriva proprio dal fatto che all'epoca c'era l'idea perversa che il privato fosse sempre meglio del pubblico, per cui si decise di farlo con provider privati che soddisfacessero certe caratteristiche. A questo punto dimmelo tu: sei uno di quelli che ritengono che si debba privatizzare tutto? da quello che chiedi sembra che tu voglia invece una maggiore presenza del settore pubblico.
Vediamo un po' le più grandi fughe con oltre un milione di dati personali daal 2008 al 2016 (da Data breach, dove ne puoi trovare molte altre che non ho voglia di scrivere qui):
2008
Country Financial 2,5 milioni di dati (privato)
2009
RockYou 32 milioni (privato)
Heartland Payment Systems 100 milioni (privato)
2011
Sony 77 milioni (privato)
2013
Adobe 130 milioni (privato)
Target corporation 70 milioni (privato)
Yahoo! 400 milioni (privato)
2014
Home Depot 56 milioni (privato)
2015
Tal Talk 4 milioni (privato)
Ashley Madison 37 milioni (privato)
Anthem 80 milioni (privato)
US Office Personal Management 22 milioni (finalmente uno pubblico, però US)
2016
Yahoo 500 milioni (successivamente incrementato a 3 miliardi) (privato)
Equifax 150 milioni (privato)
ecc. ecc.
Se vuoi posso continuare, ma credo che la tua affermazione «tutte le cose digitali hanno dei bug» sia confermata, mentre temo che non stia in piedi la frase «specialmente quelle create dallo stato». Ma sai, la burocrazia serve anche a mantenere la sicurezza dei dati, anche se molti la criticano.
Come ho detto in un altro commento, lo SPID venne privatizzato da gente che la pensava come te. Ora lo farebbero diversamente: non a caso la CIE è effettivamente e giustamente gestita dallo stato.
Si ma...
Il problema permarrà fino alla eliminazione del metodo SPID...Ho appena fatto richiesta della CIE e spero che trovino un sistema per non autorizzare il mio CF su altri SPID per esempio!
Qui il problema è che i fornitori del servizio non prestano abbastanza attenzione e forniscono lo spid a chi non è il reale titolare.
Difficile che l'utente possa difendersi da una truffa del genere, ma visto che i fornitori sono autorizzati dallo stato ed è loro imposto di vigilare, dovrebbero essere civilmente e penalmente responsabili dei certificati da loro rilasciati.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".