Truffa SPID: così rubavano identità, conto e persino la faccia
di Manolo De Agostini pubblicata il 04 Luglio 2025, alle 11:23 nel canale Security
CERT-AgID ha scoperto e bloccato una nuova campagna di phishing che sfruttava un sito falso per rubare credenziali SPID, documenti e video dei volti degli utenti. I dati raccolti possono essere usati per creare identità digitali fraudolente. AgID invita alla massima attenzione.
Una nuova campagna di phishing ai danni degli utenti SPID è stata individuata e bloccata dal CERT-AgID, l'organo preposto alla sicurezza informatica per la Pubblica Amministrazione. Utilizzando un sito contraffatto, i criminali sono riusciti a convincere alcuni utenti a fornire credenziali, documenti d'identità e persino video del volto, da impiegare per successive frodi.
Il raggiro avveniva attraverso e-mail apparentemente legittime, che informavano l'utente della necessità di aggiornare la propria identità digitale per non incorrere nella sospensione del servizio. I messaggi includevano un link che rimandava al dominio it-spid[.]com, registrato il 25 giugno ma già disattivato, che imitava fedelmente la grafica dei portali ufficiali, comprese intestazioni e loghi dell'Agenzia per l'Italia Digitale (AgID), utilizzati senza autorizzazione.
Una volta giunti sul sito falso, agli utenti veniva chiesto di inserire le credenziali SPID, caricare immagini del documento di identità e registrare un video in tempo reale seguendo istruzioni come "Sorridere chiaramente" o "Guardare verso la telecamera". L'obiettivo era raccogliere una combinazione di dati personali e biometrici sufficiente per creare identità digitali alternative.
La particolarità del sistema SPID, che permette a un cittadino di possedere più identità digitali presso provider diversi senza inviare notifiche in caso di nuove attivazioni, rende questo tipo di frode particolarmente insidioso. I criminali, una volta ottenuti i dati, possono attivare un secondo SPID a nome della vittima ed entrare nei portali della PA per modificare dati sensibili come le coordinate bancarie di accredito di stipendi o pensioni.
In altri casi, le informazioni possono essere usate per intestare SIM o linee telefoniche, poi utilizzate per ulteriori attività fraudolente.
Il CERT-AgID ha provveduto a richiedere la disattivazione immediata del dominio malevolo e ha condiviso con le strutture accreditate gli Indicatori di Compromissione (IoC) per facilitare il rilevamento della campagna. Gli utenti sono invitati a prestare la massima attenzione a eventuali e-mail sospette e, in caso di dubbi, inoltrarle all'indirizzo malware@cert-agid.gov.it.
Il Governo non eroga i fondi e lo SPID diventa a pagamento per InfoCert e Aruba: cosa succede da luglio
AgID ricorda che non richiede mai l'invio di documenti o credenziali via e-mail. Per eventuali aggiornamenti dell'identità digitale è sempre consigliabile accedere direttamente all'area personale del proprio provider SPID.
Nel frattempo, il dibattito sull'evoluzione del sistema d'identità digitale prosegue: secondo il sottosegretario Alessio Butti, lo SPID - nonostante la sua diffusione - è destinato nel tempo a lasciare il passo alla carta d'identità elettronica.
8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infouna roba che anche uno stagista riuscirebbe
così avremmo l'univocità dell'indentità, e cmq quantomeno il controllo in caso di identità multiple
Eh già, quello è l'importante, tagliare fuori molta gente informaticamente consapevole, per proteggere quelli che poi si fanno fregare da un semplice link in un'email...
una roba che anche uno stagista riuscirebbe
così avremmo l'univocità dell'indentità, e cmq quantomeno il controllo in caso di identità multiple
il fatto è che una copia dei tuoi documenti di identità li spargi un po' ovunque in Albergo, quando affitti per le vacanze, all'autonoleggio se fai una nuova SIM ecc..
una roba che anche uno stagista riuscirebbe
così avremmo l'univocità dell'indentità, e cmq quantomeno il controllo in caso di identità multiple
L'univocità dell'identità l'avresti già se si adottasse come sistema unico la CIE, con autenticazione tramite app e NFC.
Ma evidentemente esiste anche la lobby delle società di SPID.
La copia fotostatica del documento d'identità avrà sempre meno valore nel tempo (fortunatamente).
Eh già, quello è l'importante, tagliare fuori molta gente informaticamente consapevole, per proteggere quelli che poi si fanno fregare da un semplice link in un'email...
La metà degli "informaticamente consapevoli" che fanno il root del telefono sono gli smanettoni che poi sputtanano il registro di sistema di windows con reg cleaner o cagate simili. Quindi ben venga la limitazione.
Però puoi sputtanare il registro di sistema quanto vuoi, installare malware, avere un colabrodo di pc... E ti lasciano accedere tranquillamente.
Ma se hai un telefono un minimo personalizzato (o anche ripulito degli spyware preinstallati) non sei affidabile...
Ma se hai un telefono un minimo personalizzato (o anche ripulito degli spyware preinstallati) non sei affidabile...
Non sei affidabile perchè puoi interagire con il funzionamento dell'app stessa, cosa impossibile con un PC imputtanato, dove alla peggio ti fai fregare i dati.
A loro importa che la LORO applicazione rimanga sicura e inviolata, non che tu ti suicidi rispondendo ad una mail di phishing o facendoti fregare i dati di accesso al conto corrente da uno spyware
A loro importa che la LORO applicazione rimanga sicura e inviolata, non che tu ti suicidi rispondendo ad una mail di phishing o facendoti fregare i dati di accesso al conto corrente da uno spyware
Non capisco la differenza. Lo scopo dell'app è fornire un servizio sicuro, ma a loro non interessa se i tuoi dati non sono al sicuro?
Non puoi installare la nostra app perché il tuo telefono non è sicuro (per colpa tua) e potresti subire delle truffe, ma puoi usare il nostro servizio da un pc infetto (per colpa tua) e subire tranquillamente delle truffe? Qual è la differenza?
Non dirmi che l'integrità dell'app è l'obiettivo principale, al di sopra dell'integrità del servizio...
Non dirmi che l'integrità dell'app è l'obiettivo principale, al di sopra dell'integrità del servizio...
Il servizio è comunque integro, sono i tuoi dati a non esserlo, per colpa tua.
L'obiettivo è fare in modo che non sia la loro app ad essere la causa della fuga dei dati.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".