Truffa SPID: così rubavano identità, conto e persino la faccia

Una nuova campagna di phishing ai danni degli utenti SPID è stata individuata e bloccata dal CERT-AgID, l'organo preposto alla sicurezza informatica per la Pubblica Amministrazione. Utilizzando un sito contraffatto, i criminali sono riusciti a convincere alcuni utenti a fornire credenziali, documenti d'identità e persino video del volto, da impiegare per successive frodi.

Il raggiro avveniva attraverso e-mail apparentemente legittime, che informavano l'utente della necessità di aggiornare la propria identità digitale per non incorrere nella sospensione del servizio. I messaggi includevano un link che rimandava al dominio it-spid[.]com, registrato il 25 giugno ma già disattivato, che imitava fedelmente la grafica dei portali ufficiali, comprese intestazioni e loghi dell'Agenzia per l'Italia Digitale (AgID), utilizzati senza autorizzazione.

Una volta giunti sul sito falso, agli utenti veniva chiesto di inserire le credenziali SPID, caricare immagini del documento di identità e registrare un video in tempo reale seguendo istruzioni come "Sorridere chiaramente" o "Guardare verso la telecamera". L'obiettivo era raccogliere una combinazione di dati personali e biometrici sufficiente per creare identità digitali alternative.

La particolarità del sistema SPID, che permette a un cittadino di possedere più identità digitali presso provider diversi senza inviare notifiche in caso di nuove attivazioni, rende questo tipo di frode particolarmente insidioso. I criminali, una volta ottenuti i dati, possono attivare un secondo SPID a nome della vittima ed entrare nei portali della PA per modificare dati sensibili come le coordinate bancarie di accredito di stipendi o pensioni.

In altri casi, le informazioni possono essere usate per intestare SIM o linee telefoniche, poi utilizzate per ulteriori attività fraudolente.

Il CERT-AgID ha provveduto a richiedere la disattivazione immediata del dominio malevolo e ha condiviso con le strutture accreditate gli Indicatori di Compromissione (IoC) per facilitare il rilevamento della campagna. Gli utenti sono invitati a prestare la massima attenzione a eventuali e-mail sospette e, in caso di dubbi, inoltrarle all'indirizzo malware@cert-agid.gov.it.

Il Governo non eroga i fondi e lo SPID diventa a pagamento per InfoCert e Aruba: cosa succede da luglio

AgID ricorda che non richiede mai l'invio di documenti o credenziali via e-mail. Per eventuali aggiornamenti dell'identità digitale è sempre consigliabile accedere direttamente all'area personale del proprio provider SPID.

Nel frattempo, il dibattito sull'evoluzione del sistema d'identità digitale prosegue: secondo il sottosegretario Alessio Butti, lo SPID - nonostante la sua diffusione - è destinato nel tempo a lasciare il passo alla carta d'identità elettronica.