Truffe legate allo Spid: ecco come difendersi
Sono ben 36 milioni ormai le utenze italiane dello Spid, acronimo di Sistema Pubblico di Identità Digitale, in sostanza la nostra identità digitale. Numeri imponenti che attirano anche l’attenzione dei truffatori digitali. Attraverso tecniche sempre più sofisticate.
La chiave d’accesso ai servizi online della pubblica amministrazione e di molti enti privati: dall’Inps all’Agenzia delle Entrate, dal Fascicolo sanitario elettronico al portale del bonus edilizio. Questo è lo Spid, acronimo di Sistema Pubblico di Identità Digitale, in sostanza la nostra identità digitale.
Sono ben 36 milioni di cittadini italiani possiedono uno Spid, con più di un miliardo e mezzo di accessi annuali. Numeri imponenti che attirano anche l’attenzione dei truffatori digitali.
Attraverso tecniche sempre più sofisticate – come la creazione di Spid duplicati o il furto delle credenziali via Sms, email o finti portali – i cybercriminali riescono a dirottare rimborsi fiscali, stipendi, pensioni e bonus. In questo scenario, conoscere le principali truffe legate allo SPID e sapere come difendersi è diventato fondamentale per proteggere la propria identità e il proprio patrimonio.
Come funziona la truffa del secondo Spid
I criminali ottengono i dati (documenti o foto) dell’utente, spesso tramite leak (una violazione di sicurezza in cui enormi quantità di informazioni personali vengono sottratte da banche dati online, come quelle di aziende, enti pubblici, fornitori di servizi) o phishing (e-mail che sembrano arrivare da fonti affidabili, ma che in realtà invitano a cliccare su link che poi “prelevano” i dati personali).
A questo punto richiedono un nuovo Spid utilizzando un provider diverso, mostrando i documenti del malcapitato in una videochiamata.
Una volta ottenuto lo Spid duplicato, accedono a portali come Inps, Agenzia delle Entrate o NoiPA e cambiano l’Iban, in modo da incassare loro (i truffatori) pensioni, indennità o rimborsi.
Altre truffe collegate: phishing e smishing
Il phishing può essere perpetuato anche come truffa autonoma. L’utente riceve un’e-mail che sembra provenire dall’Inps o dalla propria banca, con link a un sito falsificato. Una volta inseriti dati, Spid e credenziali, scatta la truffa.
Un’altra variante è lo smishing, cioè il phishing via sms. Un messaggio avvisa l’utente di un blocco del conto o di un rimborso urgente: il malcapitato clicca e inserisce dati su un sito fasullo che preleva i dati personali.
Il vishign
Un’altra variante è il vishing, telefonate da sedicenti funzionari che puntano a spaventare l’utente indicando scadenze legali o multe: una volta che lo vedono in tilt, e quindi con le difese abbassate, gli chiedono accesso allo Spid o ai dati sensibili.
L’inganno dei siti clonati
In forte crescita è anche la truffa dei siti clonati. I truffatori usano l’intelligenza artificiale per creare copie quasi perfette dei portali (Inps, Spid provider, banche), così che risulti tutto autentico. A questo punto attirano gli utenti, chiedendo loro di compilare un form con le informazioni personali e i dati sensibili.
In tutte queste truffe a essere maggiormente a rischio sono gli anziani e chi riceve rimborsi o stipendi automatici: vittime ideali, perché monitorano meno i flussi bancari. Oltre ai dipendenti pubblici che usano NoiPA: potrebbero perdere lo stipendio, che passa automaticamente sul nuovo Iban.
Come difendersi dai truffatori dell’identità digitale
La prima raccomandazione è di attivare la doppia autenticazione (la procedura è gratuita) su Spid e servizi associati, per aggiungere un livello extra di sicurezza. Inoltre è opportuno controllare regolarmente gli Spid attivi sul sito AgID: se vi è uno sconosciuto, è bene segnalare immediatamente il provider.
È sempre bene attivare le notifiche bancarie (alert) su ogni movimento: immediatamente l’istituto segnalerà i movimenti, per cui si conoscerà in tempo reale cosa sta succedendo ai propri soldi.
Resta, poi, la raccomandazione di non condividere documenti in canali non sicuri, evitando e-mail, chat o social per inviare fronte/retro di carta d’identità. Sembra scontato, ma a volte la pigrizia ha la meglio: meglio usare password complesse e cambiarle spesso e non usare la stessa su più servizi.
In linea è meglio diffidare di link sospetti in Sms o email, anche se sembrano provenire da Inps, Spid, banche o forze dell’ordine. Né credere a telefonate pressanti che ti spaventano o ti impongono scadenze o multe. Le finte istituzioni non operano così.
Cosa fare se si scopre di essere rimasti vittime di truffa
Una volta scoperta la truffa, occorre denunciare prontamente se il documento è perso o rubato e farsi rilasciare uno nuovo. Quindi blocca tutte le credenziali: accesso Spid, conto bancario, carte e ogni modalità compromessa. Infine denunciare tempestivamente alla Polizia Postale.
