VIDEO SUGGERITO
Nastro di Mobius
3 Aprile 2025
16:14
Truffa SPID, i cybercriminali possono clonare identità e rubare soldi: come funziona e come difendersi
La "truffa del doppio SPID" sfrutta una vulnerabilità del sistema per clonare l'identità digitale e rubare soldi o pensioni alle vittime, modificando dati fiscali e bancari sui siti della PA. Ecco cos’è, come funziona e come difendersi.
Supporta la Missione Cultura di Geopop
A cura di
Giuseppe Servidio
578
CONDIVISIONI
COMMENTA
CONDIVIDI
Una truffa legata allo SPID (Sistema Pubblico di Identità Digitale) sta suscitando non poca preoccupazione tra esperti di cybersecurity e cittadini italiani. La frode in questione, ribattezzata dai media “truffa del doppio SPID” perché i cybercriminali sfruttano la possibilità di creare più identità SPID per avere un secondo “profilo” da usare per questa truffa, non è un fenomeno nuovo ma la sua recrudescenza negli ultimi tempi ha attirato l'attenzione su di essa, soprattutto con l'avvicinarsi della stagione fiscale e della dichiarazione dei redditi, un periodo in cui milioni di italiani utilizzano SPID per accedere ai servizi online delle Pubbliche Amministrazioni. La vulnerabilità del sistema può essere sfruttata dai criminali per clonare l'identità digitale di un utente con email e numeri di telefono differenti per compiere furti di denaro, modificando dati sensibili come IBAN e informazioni finanziarie varie o dati personali sui portali della PA.
Come funziona la “truffa del doppio SPID” e perché è pericolosa
La truffa si sviluppa in tre fasi principali, ognuna delle quali sfrutta una specifica vulnerabilità del sistema SPID.
Fase 1 – Acquisizione: i criminali acquistano online (ad esempio in appositi marketplace su Telegram o nel Dark Web), pacchetti di documenti che includono informazioni sensibili come la carta d'identità, la tessera sanitaria e altre informazioni identificative. Questi dati vengono venduti a poche decine di euro e poi utilizzati per compiere le successive fasi della truffa.
Fase 2 – Clonazione: l'identità digitale, quindi l'attivazione di un secondo SPID legato allo stesso codice fiscale della vittima, viene effettuata dai truffatori. I criminali informatici, infatti, sfruttano la possibilità che il sistema SPID offre nel creare più identità digitali valide per lo stesso codice fiscale, differenziate solo da un altro indirizzo e-mail e numero di telefono. E per bypassare i controlli vari di sicurezza richiesti dai vari enti certificatori, oggi come oggi possono sfruttare l'AI (ad esempio per clonare il volto delle vittime con la tecnica del deepfake). Questa gigantesca falla di sicurezza presente nel Sistema Pubblico di Identità Digitale consente ai malintenzionati di registrare un secondo SPID utilizzando un provider diverso da quello originale. Una volta attivato il nuovo SPID, i truffatori sono in grado di accedere ai dati fiscali e finanziari della vittima, come i rimborsi fiscali o le comunicazioni INPS.
Fase 3 – Dirottamento: grazie all'accesso al sistema SPID i truffatori modificano gli IBAN registrati sui portali pubblici, come quelli di INPS, Agenzia delle Entrate o NoiPA, e questo consente loro di dirottare rimborsi fiscali, stipendi e pensioni sulla nuova utenza creata fraudolentemente. La vittima, quindi, non solo perde il controllo del proprio SPID, ma si ritrova anche con i conti bancari compromessi e i fondi sottratti.
Nel descrivere questo pericoloso fenomeno Ivano Giacomelli, Segretario Nazionale del Centro per i Diritti del Cittadino, nel descrivere la pericolosità di questa truffa, ha riferito:
I cybercriminali rubano online documenti e dati personali della vittima con cui registrano uno SPID per le loro operazioni criminali. Attenzione, parliamo di azioni molto pericolose. Con lo SPID, ad esempio, si può accedere al Cassetto Fiscale dell’Agenzia delle Entrate e cambiare l'IBAN, dirottando così eventuali rimborsi per le tasse, si possono aprire conti o attività. È chiaro che il primo passo spetta ai gestori di questi servizi, che devono rafforzare le misure di sicurezza.
Come difendersi dalla truffa dello SPID clonato
Se, da un lato, il sistema SPID presenta vulnerabilità che sono difficili da risolvere a livello tecnico, dall'altro lato esistono diverse precauzioni da adottare per difendersi dalla “truffa del doppio SPID” e da altre frodi legate all'identità digitale.
La prima e fondamentale misura preventiva consiste nell'attivare l'autenticazione a due fattori o 2FA (Two-Factor Authentication) per ogni servizio online che richieda un accesso sensibile, SPID incluso naturalmente. Questo strumento aggiunge un ulteriore livello di sicurezza, impedendo l'accesso non autorizzato anche in caso di furto delle credenziali.
È importante anche controllare periodicamente gli IBAN registrati sui portali pubblici, come INPS, Agenzia delle Entrate e NoiPA, così da verificare che non siano state fatte modifiche non autorizzate. Anche monitorare frequentemente l'accesso ai propri account e utilizzare password complesse e uniche per ogni servizio può contribuire a ridurre il rischio di compromissione dei propri account e dei servizi online della Pubblica Amministrazione utilizzati.
Se doveste sospettare di essere vittime di un furto di identità o di una clonazione dello SPID, vi suggeriamo di denunciare l'accaduto alla Polizia Postale e all'AgID (Agenzia per l'Italia Digitale), così che il secondo SPID fraudolento venga bloccato il prima possibile.
continua su: https://www.geopop.it/truffa-spid-attenzione-ai-cybercriminali-che-clonano-identita-e-rubano-soldi-cose-e-come-difendersi/
https://www.geopop.it/
Post
Nessun commento:
Posta un commento