Negli ultimi tempi si sta diffondendo una nuova frode informatica che sfrutta la fiducia riposta nello Spid, il Sistema Pubblico di Identità Digitale - ormai essenziale per accedere a molti servizi online della Pubblica Amministrazione - per colpire (soprattutto) tutti quei dipendenti pubblici e i pensionati che hanno meno familiarità con le procedure digitali.

La cosiddetta truffa del doppio Spid si fonda su una precisa falla tecnica e strutturale: in Italia ci sono ben 12 identity provider autorizzati a rilasciare credenziali Spid, ma non esiste un sistema centralizzato che metta in comunicazione i vari gestori. In pratica, nulla vieta a un truffatore di creare un secondo Spid a nome di un ignaro cittadino, usando dati rubati o ottenuti con raggiri.

Cosa fanno i cybercriminali

I truffatori spesso contattano le vittime fingendosi operatori di enti pubblici o di istituti bancari, mettendo in atto una vera e propria strategia di phishing. Sotto la falsa motivazione di “aggiornare le credenziali” o “evitare blocchi di sicurezza”, convincono la persona a condividere dati sensibili. A volte inviano link ingannevoli che imitano alla perfezione le pagine ufficiali di Poste Italiane, Inps o di altri provider Spid, rendendo difficile accorgersi dell’inganno.

Alle pratiche criminose perpetrate dai cybercriminali si affianca la negligenza umana, in particolar modo la cattiva abitudine di fotografare o scansionare la carta d’identità e di inviarla tramite app di messaggistica, rendendo più facile il furto di informazioni personali.

Con i dati anagrafici completi, numero del documento, data di rilascio e di scadenza, i truffatori possono facilmente creare un duplicato dell’identità. Tale identità digitale duplicata permette ai criminali di accedere ai relativi servizi pubblici e modificare le coordinate bancarie, prosciugando stipendi o pensioni.  

Come difendersi

Per proteggersi dalla truffa del doppio Spid è fondamentale seguire alcune regole semplici ma preziose.

Prima di tutto, non bisogna mai condividere credenziali o dati personali tramite telefono, email o chat: nessun ente legittimo lo richiederà mai.
È bene poi diffidare da email, SMS o link sospetti che invitano ad aggiornare o confermare le proprie credenziali, anche se sembrano provenire da siti ufficiali.
Un’altra buona abitudine è controllare regolarmente i propri accessi Spid, così da intercettare subito eventuali anomalie e, in caso di dubbi, segnalarle tempestivamente al provider e alla Polizia Postale.

Certo, a volte la burocrazia (soprattutto nell’ultimo caso) e i tempi di risposta lunghi possono complicare le cose, ma una verità rimane: la protezione dell’identità digitale comincia da noi stessi.
Se custodiamo con cura documenti, password e dati sensibili, nessuno potrà attivare un secondo Spid a nostra insaputa. Serve consapevolezza e un po’ di sana cautela: migliorare e\o rivedere le proprie abitudini online è il primo passo per difendersi da chi vuole approfittarsene.