SPIDIdentita digitale

Occhio alla truffa SPID: i criminali hanno scoperto un modo per sfruttare dei bachi del sistema

di pubblicata il , alle 16:16 nel canale Security Occhio alla truffa SPID: i criminali hanno scoperto un modo per sfruttare dei bachi del sistema

Il sistema di identità digitale SPID ha un serio problema: è possibile creare più di un'identità digitale appoggiandosi a differenti provider. Questo consente ai criminali di creare falsi profili SPID semplicemente usando documenti di identità trovati sul dark web

 

Lo SPID non è sicuro come può sembrare e, a quanto riporta Il Sole 24 Ore, i criminali hanno scoperto come aggirare il sistema per effettuare truffe ai danni dei cittadini. Il problema non è tecnico: i malintenzionati non hanno violato alcun protocollo o sistema. Si sono limitati a sfruttare dei limiti intrinseci del sistema. 

SPID: sapevate che è possibile avere più identità digitali?

Come reagireste scoprendo che degli ignoti hanno aperto un'attività con relativa Partita IVA, un conto corrente e addirittura acquistato prodotti a vostro nome? Sicuramente non bene.

spid_logo_720

Purtroppo è quello che è accaduto a un lettore de Il Sole 24 Ore, firmato come P.D.R, che ha scoperto la truffa solo quando è stato contattato dall'INPS che gli chiedeva conto dei contributi, ovviamente non versati. 

Come è stato possibile? In realtà, è stato tutto molto semplice, ed è proprio questo quello che spaventa. Semplicemente utilizzando dei documenti d'identità trovati online, i criminali sono riusciti ad aprire uno SPID a nome di un'altra persone, per poi usare questa identità digitale per svolgere attività truffaldine. 

Attenzione: non è stato creato uno SPID per conto di una persona priva di identità digitale. Al contrario, è stata creata una nuova identità SPID, parallela a quella già esistente e correttamente associata al legittimo proprietario. Come è stato possibile? Semplice: si può fare. E se si può fare, i delinquenti "lo fanno, lo fanno", per citare un famoso film di Carlo Verdone. 

Come specificato nelle FAQ del sito ufficiale dello SPID, infatti, "la tua identità digitale può essere certificata da più di un gestore. Puoi richiedere più di una identità digitale – anche con diversi livelli di sicurezza – con l’opportunità di rivolgerti a differenti gestori di identità digitale".

In pratica, se un utente possiede uno SPID registrato tramite, per esempio, Poste Italiane, può ottenere una seconda identità digitale, con gli stessi livelli di accesso, anche scegliendo un secondo provider. Volendo, anche un terzo. E questo apre la strada a numerose truffe da parte di malintenzionati, che possono aprire conti e attività sotto falso nome. E non solo: lo SPID permette anche di accedere al Cassetto Fiscale dell'Agenzia delle Entrate, e per un criminale potrebbe essere semplice accedere a questa sezione del sito dell'AdE e, banalmente, cambiare l'IBAN sul quale effettuare eventuali rimborsi delle tasse. O, peggio, cambiare l'IBAN del conto sul quale viene versata la pensione. 

Questo ci porta a una considerazione: così come è implementato, lo SPID non è efficace né può esserlo. Ma va anche detta un'altra cosa: probabilmente non è così semplice riuscire a forzare il sistema senza destare sospetti, perché in tal caso sarebbe da aspettarsi un numero elevatissimo di campagne criminali che prendono di mira lo SPID. Sicuramente le segnalazioni relative a questo tipo di truffa sono cresciute nelle ultime settimane, ma non in maniera così significativa. 

Truffe con lo SPID: come difendersi?

La sicurezza dello SPID si basa su due fattori: prima di tutto, servono documenti legittimi per creare un'identità digitale. Secondariamente, è necessario autenticarsi di persona o tramite webcam, così da dimostrare di corrispondere veramente alla persona cui fanno riferimento i documenti.

Ransomware_malware_720

Il fatto è che oggi trovare copie di documenti reali, anche a pochi spiccioli, è molto facile: negli anni ci sono stati numerosi data breach, e questi dati sono oggi disponibili sul dark web. Per l'autenticazione, poterla fare via webcam semplifica notevolmente la vita ai cittadini così come ai criminali: tramite l'IA oggi è facile creare immagini, video e anche voci perfettamente credibili, in grado di ingannare facilmente una persona. Figuriamoci una macchina.

La soluzione è potenziare queste difese. Introducendo algoritmi più efficaci, in grado di riconoscere le immagini generate dall'intelligenza artificiale. Più facile a dirsi che a farsi, oggettivamente. 

Fortunatamente, lo SPID ha i giorni contati ed entro la fine del 2025 verrà definitivamente sostituito dalla CIE, la Carta di Identità Elettronica. Che, sotto questo profilo, è molto più sicura: non è possibile avere due identità digitali CiE, esattamente come non è possibile avere due carte di identità valide (o due patenti, o due passaporti emessi dallo stesso Paese) contemporaneamente. 

Certo, sino a che rimarranno validi i profili SPID (a fine 2024 erano 39 milioni) il problema rimarrà. 

27 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Opteranium02 Aprile 2025, 16:27 #1
a me sembra un ENORME problema, per la serie defective by design. Come se si potesse avere più carte di identità, ognuna rilasciata da un diverso Comune, ma stiamo scherzando?
Già il fatto di assegnare a dei privati una cosa che dovrebbe essere statale per definizione è un'assurdità.
E nessuno all'inizio ha avuto da ridire su questa possibilità aberrante..?
Io davo per scontato che esistesse quantomeno un database condiviso delle identità fra i gestori per impedire i doppioni. Invece si può fare DI DEFAULT. Pazzesco..
megthebest02 Aprile 2025, 16:39 #2
Originariamente inviato da: Opteranium
a me sembra un ENORME problema, per la serie defective by design. Come se si potesse avere più carte di identità, ognuna rilasciata da un diverso Comune, ma stiamo scherzando?
Già il fatto di assegnare a dei privati una cosa che dovrebbe essere statale per definizione è un'assurdità.
E nessuno all'inizio ha avuto da ridire su questa possibilità aberrante..?
Io davo per scontato che esistesse quantomeno un database condiviso delle identità fra i gestori per impedire i doppioni. Invece si può fare DI DEFAULT. Pazzesco..

in effetti è decisamente allarmante questa cosa.
Spyto02 Aprile 2025, 17:01 #3
Ma state scherzando? è un bug immenso e solo adesso ce ne siamo accorti?
A quanto leggo non ce nessun modo per difendersi anzi è il peggio del peggio.
Zanzar802 Aprile 2025, 17:08 #4
Originariamente inviato da: Spyto
Ma state scherzando? è un bug immenso e solo adesso ce ne siamo accorti?


E' sempre stato così.

Se un gestore ti dà problemi, puoi sostituirlo con un altro attivando un nuovo account collegato alla tua identità. Il "bug" non sta nel sistema in sé, ma nella facilità con cui i gestori accettano il riconoscimento.
Soul_to_Soul02 Aprile 2025, 17:30 #5
Non è possibile che non ci sia un database condiviso, su.
Può essere possibile che un altro gestore certifichi lo SPID ma dopo che l'altro ha mollato la gestione, non si può concepire due gestioni parallele e parimenti operative...
zbear02 Aprile 2025, 17:33 #6
Ennesima dimostrazione che TUTTO quello che viene dalla pubblica amministrazione viene fatto e studiato da dei perfetti IMBECILLI. Sembra che lo stato sia il rifugio di cretini e disadattati, incapaci di pensiero logico .....
Soul_to_Soul02 Aprile 2025, 17:39 #7
Passi anche che non ci sia il database condiviso.
Ma se a nome di un soggetto risulta attivato uno SPID, quanto meno per il secondo lo convochi obbligatoriamente in presenza o sconfini nella negligenza.
aqua8402 Aprile 2025, 18:00 #8
Io non lo sapevo e non ci ho nemmeno provato ma pensavo fosse OVVIO che se ho un profilo SPID con Poste Italiane non ne posso fare un altro con un provider diverso.
A meno di non disattivare e/o eliminare quello con Poste.
Saturn02 Aprile 2025, 18:02 #9
Rimango scioccato e basito.

Fermo restando tutta la faccenda dell'autenticazione ingannata da video generati da intelligenza artificiale e quant'altro è da DEMENTI non prevedere un qualsivoglia meccanismo di verifica più stringente in caso di attivazioni multiple.

Bah !
DelusoDaTiscali02 Aprile 2025, 18:05 #10
[B][I][U]La vigna dei coglioni[/U][/I][/B]

l' amministrazione pubblica italiana.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^