Occhio alla truffa SPID: i criminali hanno scoperto un modo per sfruttare dei bachi del sistema
di Alberto Falchi pubblicata il 02 Aprile 2025, alle 16:16 nel canale Security
Il sistema di identità digitale SPID ha un serio problema: è possibile creare più di un'identità digitale appoggiandosi a differenti provider. Questo consente ai criminali di creare falsi profili SPID semplicemente usando documenti di identità trovati sul dark web
Lo SPID non è sicuro come può sembrare e, a quanto riporta Il Sole 24 Ore, i criminali hanno scoperto come aggirare il sistema per effettuare truffe ai danni dei cittadini. Il problema non è tecnico: i malintenzionati non hanno violato alcun protocollo o sistema. Si sono limitati a sfruttare dei limiti intrinseci del sistema.
SPID: sapevate che è possibile avere più identità digitali?
Come reagireste scoprendo che degli ignoti hanno aperto un'attività con relativa Partita IVA, un conto corrente e addirittura acquistato prodotti a vostro nome? Sicuramente non bene.
Purtroppo è quello che è accaduto a un lettore de Il Sole 24 Ore, firmato come P.D.R, che ha scoperto la truffa solo quando è stato contattato dall'INPS che gli chiedeva conto dei contributi, ovviamente non versati.
Come è stato possibile? In realtà, è stato tutto molto semplice, ed è proprio questo quello che spaventa. Semplicemente utilizzando dei documenti d'identità trovati online, i criminali sono riusciti ad aprire uno SPID a nome di un'altra persone, per poi usare questa identità digitale per svolgere attività truffaldine.
Attenzione: non è stato creato uno SPID per conto di una persona priva di identità digitale. Al contrario, è stata creata una nuova identità SPID, parallela a quella già esistente e correttamente associata al legittimo proprietario. Come è stato possibile? Semplice: si può fare. E se si può fare, i delinquenti "lo fanno, lo fanno", per citare un famoso film di Carlo Verdone.
Come specificato nelle FAQ del sito ufficiale dello SPID, infatti, "la tua identità digitale può essere certificata da più di un gestore. Puoi richiedere più di una identità digitale – anche con diversi livelli di sicurezza – con l’opportunità di rivolgerti a differenti gestori di identità digitale".
In pratica, se un utente possiede uno SPID registrato tramite, per esempio, Poste Italiane, può ottenere una seconda identità digitale, con gli stessi livelli di accesso, anche scegliendo un secondo provider. Volendo, anche un terzo. E questo apre la strada a numerose truffe da parte di malintenzionati, che possono aprire conti e attività sotto falso nome. E non solo: lo SPID permette anche di accedere al Cassetto Fiscale dell'Agenzia delle Entrate, e per un criminale potrebbe essere semplice accedere a questa sezione del sito dell'AdE e, banalmente, cambiare l'IBAN sul quale effettuare eventuali rimborsi delle tasse. O, peggio, cambiare l'IBAN del conto sul quale viene versata la pensione.
Questo ci porta a una considerazione: così come è implementato, lo SPID non è efficace né può esserlo. Ma va anche detta un'altra cosa: probabilmente non è così semplice riuscire a forzare il sistema senza destare sospetti, perché in tal caso sarebbe da aspettarsi un numero elevatissimo di campagne criminali che prendono di mira lo SPID. Sicuramente le segnalazioni relative a questo tipo di truffa sono cresciute nelle ultime settimane, ma non in maniera così significativa.
Truffe con lo SPID: come difendersi?
La sicurezza dello SPID si basa su due fattori: prima di tutto, servono documenti legittimi per creare un'identità digitale. Secondariamente, è necessario autenticarsi di persona o tramite webcam, così da dimostrare di corrispondere veramente alla persona cui fanno riferimento i documenti.
Il fatto è che oggi trovare copie di documenti reali, anche a pochi spiccioli, è molto facile: negli anni ci sono stati numerosi data breach, e questi dati sono oggi disponibili sul dark web. Per l'autenticazione, poterla fare via webcam semplifica notevolmente la vita ai cittadini così come ai criminali: tramite l'IA oggi è facile creare immagini, video e anche voci perfettamente credibili, in grado di ingannare facilmente una persona. Figuriamoci una macchina.
La soluzione è potenziare queste difese. Introducendo algoritmi più efficaci, in grado di riconoscere le immagini generate dall'intelligenza artificiale. Più facile a dirsi che a farsi, oggettivamente.
Fortunatamente, lo SPID ha i giorni contati ed entro la fine del 2025 verrà definitivamente sostituito dalla CIE, la Carta di Identità Elettronica. Che, sotto questo profilo, è molto più sicura: non è possibile avere due identità digitali CiE, esattamente come non è possibile avere due carte di identità valide (o due patenti, o due passaporti emessi dallo stesso Paese) contemporaneamente.
Certo, sino a che rimarranno validi i profili SPID (a fine 2024 erano 39 milioni) il problema rimarrà.
27 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoGià il fatto di assegnare a dei privati una cosa che dovrebbe essere statale per definizione è un'assurdità.
E nessuno all'inizio ha avuto da ridire su questa possibilità aberrante..?
Io davo per scontato che esistesse quantomeno un database condiviso delle identità fra i gestori per impedire i doppioni. Invece si può fare DI DEFAULT. Pazzesco..
Già il fatto di assegnare a dei privati una cosa che dovrebbe essere statale per definizione è un'assurdità.
E nessuno all'inizio ha avuto da ridire su questa possibilità aberrante..?
Io davo per scontato che esistesse quantomeno un database condiviso delle identità fra i gestori per impedire i doppioni. Invece si può fare DI DEFAULT. Pazzesco..
in effetti è decisamente allarmante questa cosa.
A quanto leggo non ce nessun modo per difendersi anzi è il peggio del peggio.
E' sempre stato così.
Se un gestore ti dà problemi, puoi sostituirlo con un altro attivando un nuovo account collegato alla tua identità. Il "bug" non sta nel sistema in sé, ma nella facilità con cui i gestori accettano il riconoscimento.
Può essere possibile che un altro gestore certifichi lo SPID ma dopo che l'altro ha mollato la gestione, non si può concepire due gestioni parallele e parimenti operative...
Ma se a nome di un soggetto risulta attivato uno SPID, quanto meno per il secondo lo convochi obbligatoriamente in presenza o sconfini nella negligenza.
A meno di non disattivare e/o eliminare quello con Poste.
Fermo restando tutta la faccenda dell'autenticazione ingannata da video generati da intelligenza artificiale e quant'altro è da DEMENTI non prevedere un qualsivoglia meccanismo di verifica più stringente in caso di attivazioni multiple.
Bah !
l' amministrazione pubblica italiana.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".