Truffa SPID: i cybercriminali possono clonare identità e rubare soldi

Redazione

1 Foto

Truffa SPID: i cybercriminali possono clonare identità e rubare soldi

Una truffa legata allo SPID (Sistema Pubblico di Identità Digitale) sta suscitando non poca preoccupazione tra esperti di cybersecurity e cittadini italiani. La frode in questione, ribattezzata dai media “truffa del doppio SPID” perché i cybercriminali sfruttano la possibilità di creare più identità SPID per avere un secondo “profilo” da usare per questa truffa, non è un fenomeno nuovo ma la sua recrudescenza negli ultimi tempi ha attirato l'attenzione su di essa, soprattutto con l'avvicinarsi della stagione fiscale e della dichiarazione dei redditi, un periodo in cui milioni di italiani utilizzano SPID per accedere ai servizi online delle Pubbliche Amministrazioni. La vulnerabilità del sistema può essere sfruttata dai criminali per clonare l'identità digitale di un utente con email e numeri di telefono differenti per compiere furti di denaro, modificando dati sensibili come IBAN e informazioni finanziarie varie o dati personali sui portali della PA.
Acquisizione: i criminali acquistano online (ad esempio in appositi marketplace su Telegram o nel Dark Web), pacchetti di documenti che includono informazioni sensibili come la carta d'identità, la tessera sanitaria e altre informazioni identificative. Questi dati vengono venduti a poche decine di euro e poi utilizzati per compiere le successive fasi della truffa.
Fase 2 – Clonazione: l'identità digitale, quindi l'attivazione di un secondo SPID legato allo stesso codice fiscale della vittima, viene effettuata dai truffatori. I criminali informatici, infatti, sfruttano la possibilità che il sistema SPID offre nel creare più identità digitali valide per lo stesso codice fiscale, differenziate solo da un altro indirizzo e-mail e numero di telefono. E per bypassare i controlli vari di sicurezza richiesti dai vari enti certificatori, oggi come oggi possono sfruttare l'AI (ad esempio per clonare il volto delle vittime con la tecnica del deepfake). Questa gigantesca falla di sicurezza presente nel Sistema Pubblico di Identità Digitale consente ai malintenzionati di registrare un secondo SPID utilizzando un provider diverso da quello originale. Una volta attivato il nuovo SPID, i truffatori sono in grado di accedere ai dati fiscali e finanziari della vittima, come i rimborsi fiscali o le comunicazioni INPS.
Fase 3 – Dirottamento: grazie all'accesso al sistema SPID i truffatori modificano gli IBAN registrati sui portali pubblici, come quelli di INPS, Agenzia delle Entrate o NoiPA, e questo consente loro di dirottare rimborsi fiscali, stipendi e pensioni sulla nuova utenza creata fraudolentemente. La vittima, quindi, non solo perde il controllo del proprio SPID, ma si ritrova anche con i conti bancari compromessi e i fondi sottratti.
La prima e fondamentale misura preventiva consiste nell'attivare l'autenticazione a due fattori o 2FA (Two-Factor Authentication) per ogni servizio online che richieda un accesso sensibile, SPID incluso naturalmente. Questo strumento aggiunge un ulteriore livello di sicurezza, impedendo l'accesso non autorizzato anche in caso di furto delle credenziali.
È importante anche controllare periodicamente gli IBAN registrati sui portali pubblici, come INPS, Agenzia delle Entrate e NoiPA, così da verificare che non siano state fatte modifiche non autorizzate. Anche monitorare frequentemente l'accesso ai propri account e utilizzare password complesse e uniche per ogni servizio può contribuire a ridurre il rischio di compromissione dei propri account e dei servizi online della Pubblica Amministrazione utilizzati.
Se doveste sospettare di essere vittime di un furto di identità o di una clonazione dello SPID, vi suggeriamo di denunciare l'accaduto alla Polizia Postale e all'AgID (Agenzia per l'Italia Digitale), così che il secondo SPID fraudolento venga bloccato il prima possibile.

#39 ◀#40▶ #41 Aprile (185)