Èallarme per la cosiddetta truffa del doppio SPID, una frode ben nota e non nuova che in questo periodo sembra tornata in auge, anche se le modalità sono le medesime già sfruttate in passato.
In particolare, con l’apertura della stagione del 730, milioni di italiani si affidano allo SPID per accedere a servizi fiscali e richiedere rimborsi IRPEF.
Un meccanismo che, nella sua apparente semplicità, nasconde una vulnerabilità strutturale sfruttata da criminali organizzati.
Indice degli argomenti
Truffa del doppio SPID: il modus operandi
Ciò che preoccupa è che seppur nota la truffa, non si sia ancora pensato a un cambio di paradigma per il funzionamento di SPID.
I truffatori operano in tre fasi:
- Acquisizione documentale: sfruttano marketplace su Telegram dove pacchetti di documenti italiani (carta d’identità, tessera sanitaria) vengono venduti a poche decine di euro.
- Clonazione SPID: attivano un secondo SPID legato allo stesso codice fiscale della vittima, utilizzando un provider diverso, email e numero di telefono sotto il loro controllo.
- Dirottamento finanziario: modificano gli IBAN registrati su INPS, NoiPA e Agenzia delle Entrate, deviando stipendi, pensioni e rimborsi.
Questa catena organizzativa pone l’accento anche sull’importanza mai da sottovalutare dei documenti che vengono quotidianamente rubati e collezionati da criminali, anche con l’utilizzo del ransomware.
È un tema molto importante e i dati che vengono sottratti non accennano a diminuire nonostante siano modus operandi ben noti da anni ormai anche questi.
Il tallone d’Achille: architettura federata senza controlli incrociati
Il sistema SPID permette la coesistenza di più identità digitali valide per lo stesso codice fiscale, differenziate solo da email e numero di telefono.
Questo design, però, non implementa verifiche proattive sull’esistenza di SPID attivi per lo stesso soggetto, manca di meccanismi di alert per nuove attivazioni sospette e si elimina la tracciabilità grazie alla natura federata dei provider.
Il contesto perfetto: stagione fiscale e documentazione in vendita
Con l’avvio del 730, i criminali possono sfruttare data breach pregressi per ottenere dati biografici, tecniche OSINT per identificare potenziali vittime in attesa di rimborsi e phishing mirato che sfrutta ansia da scadenze fiscali e urgenza nell’agire.
Con uno scenario di questo tipo, le soluzioni per arginare il rischio sarebbero semplici come per esempio binding obbligatorio all’email certificata (PEC), sincronizzazione in real-time tra provider sugli SPID attivi e verifica biometrica aggiuntiva per nuove attivazioni. Il problema è decidere a livello normativo di cambiare l’infrastruttura di SPID e la sua natura.
Al momento, non essendoci soluzioni tecniche che possano mitigare il rischio seppur ben noto ed attenzionato, gli utenti possono solo attuare misure preventive per cercare di rilevare movimenti sospetti.
Controlli settimanali o comunque frequenti degli IBAN registrati nei portali PA, monitoraggio accessi tramite log degli Identity Provider e autenticazione a due fattori con app dedicate (non SMS).
Truffa del doppio SPID: quale riflessione
Questa truffa dimostra come l’implementazione dello SPID privilegi la user experience a scapito della sicurezza sostanziale.
Finché non verrà introdotto un meccanismo di verifica centralizzato delle identità parallele, il sistema resterà esposto a clonazioni su scala industriale.
La posta in gioco supera i singoli rimborsi: è in discussione la fiducia nell’intero ecosistema digitale della PA.
