Negli ultimi mesi si è spesso parlato di una nuova frode digitale nota come truffa del doppio SPID, che sfrutta l’identità digitale per compiere operazioni illecite a nome della vittima. Una truffa subdola, in grado di colpire chiunque, causando gravi danni. Vediamo insieme di cosa si tratta e come è possibile difendersi.
Cos’è la truffa del doppio SPID
Si tratta di una frode basata sull’attivazione illecita di una seconda identità SPID a nome di un soggetto ignaro. I truffatori, tramite phishing, social engineering o data breach, riescono a raccogliere dati personali sufficienti per attivare un secondo SPID presso un identity provider diverso da quello utilizzato dalla vittima.
Una volta attivato, il falso SPID può essere usato per:
- accedere a servizi online della Pubblica Amministrazione;
- firmare contratti digitali;
- richiedere finanziamenti;
- compiere operazioni bancarie o immobiliari fraudolente.
Il tutto a nome della vittima, che spesso scopre tutto troppo tardi.
Come avviene la truffa
I passaggi sono generalmente questi:
- Raccolta dei dati personali tramite email truffaldine, SMS, finti portali o social media (phishing).
- Richiesta e attivazione dello SPID, con documenti rubati o falsificati.
- Utilizzo dello SPID per accedere a servizi pubblici o finanziari, compresa la firma digitale.
Il problema di sicurezza dietro la truffa del doppio SPID
È importante sottolineare che il sistema SPID in sé non presenta falle tecniche: l’identità digitale è uno strumento sicuro, se utilizzato correttamente. Tuttavia, il fatto che a fornire questo servizio siano diversi provider privati introduce un punto critico che non dipende da un bug informatico, ma dalla mancanza di comunicazione tra i gestori.
Ogni gestore dell’identità digitale, infatti, opera in autonomia e non esiste un database centralizzato che consenta di verificare se una persona abbia già attivato uno SPID presso un altro provider. Questo significa che, chiunque sia in possesso di tutti i dati anagrafici e dei documenti di un ignaro cittadino, può attivare un altro SPID a suo nome, senza che scatti alcun allarme automatico.
Come difendersi: consigli pratici
Ecco alcune azioni concrete per prevenire o limitare i danni:
- Non fornire mai i propri dati sensibili tramite email, SMS o telefonate non verificate.
- Segnalare immediatamente attività sospette al proprio identity provider e alla Polizia Postale.
Oltre a queste buone pratiche esiste anche uno strumento formale e particolarmente efficace messo a disposizione dal Regolamento generale per la protezione dei dati (GDPR): si tratta del diritto di accesso ai dati.
Questo strumento consente a qualsiasi cittadino europeo di monitorare eventuali attivazioni di SPID presso fornitori diversi dal propio. La richiesta ha valore legale, segue un formato standard valido per tutti i gestori e, soprattutto, impone una risposta entro 30 giorni.
Ovviamente si tratta di un metodo oneroso in termini di tempo perché comporta l’invio di una richiesta a ciascun operatore, inoltre se lo si fa per prevenzione andrebbe ripetuto a cadenza regolare.
.png&w=1920&q=75)
Commenti
Nessun commento
Sii il primo a scriverne uno!
Articoli correlati
WhatsApp non è un canale ufficiale per le multe: se ricevi messaggi con link sospetti, potresti essere vittima di una truffa. Ecco come difenderti
Negli ultimi giorni, la Polizia Postale ha rilevato una nuova campagna di phishing attraverso SMS e e-mail. Come funziona e come difendersi
Attenzione ai falsi SMS ed email che sembrano inviati dall’INPS: ecco come riconoscere le truffe online e proteggere i tuoi dati personali e bancari.
Like, recensioni, piccoli compiti: quando il guadagno facile nasconde una truffa organizzata. Scopri cos'è e come difenderti.