Spid rubato e rimborsi 730 a rischio: attenzione alla truffa del “doppio Spid”
Spid rubato e rimborsi 730 a rischio: attenzione alla truffa del “doppio Spid”
In caso di smarrimento o furto della carta d’identità, la procedura per averne un’altra prevede una denuncia alle forze dell’ordine e una richiesta all’ufficio anagrafe del comune di residenza (o domicilio) che fa partire un preciso iter burocratico che, in poco tempo, ci consente di avere una seconda carta. Non ci sono altre strade. Con l’identità digitale, purtroppo, non è previsto questo livello di sicurezza e questo consente a gruppi di criminali informatici di rubare le identità delle persone per poi mettere in piedi vere e proprie truffe.
Con l’avvicinarsi della stagione del 730 e dei rimborsi fiscali (a proposito, qui ti aiutiamo a compilare il 730) milioni di italiani stanno accedendo ai portali online della pubblica amministrazione tramite Spid. Ma proprio in questo momento cresce il rischio di essere colpiti da una truffa tanto subdola quanto silenziosa: il furto di identità digitale con la creazione di un secondo Spid a nostro nome.
L’allarme è stato rilanciato dal Cert-AgID, la struttura dell’Agenzia per l’Italia digitale che si occupa di sicurezza informatica nella pubblica amministrazione. Secondo quanto riportato in una recente nota, le campagne di smishing (cioè truffe via sms) a tema Inps stanno continuando a colpire in modo capillare, con un solo obiettivo: sottrarre documenti d’identità e selfie delle vittime per attivare identità digitali fasulle (qui ti aiutiamo a difenderti dalle principali truffe online).
Nei primi tre mesi del 2025 sono stati individuati ben 33 falsi domini Inps, creati appositamente per rubare dati personali. E, cosa ancora più preoccupante, il Cert ha rilevato la vendita di documenti italiani completi di selfie su forum del deep web, segno che si tratta di una vera e propria attività industrializzata.
Come funziona la truffa del “secondo Spid”
Questa truffa sfrutta una falla strutturale del sistema Spid: oggi è infatti possibile attivare più Spid validi per lo stesso codice fiscale, semplicemente utilizzando una mail e un numero di telefono diversi. Un meccanismo che, in caso di furto d’identità, consente ai truffatori di registrare un secondo Spid a nostro nome senza che il primo venga disattivato o che ci venga notificato qualcosa.
E, mentre noi continuiamo a usare il nostro Spid in totale buona fede, il secondo – quello attivato fraudolentemente – viene impiegato per accedere ai portali ufficiali come Inps, Agenzia delle Entrate, modificare l’Iban associato ai nostri pagamenti e incassare somme di denaro che ci spettano. Ma non è tutto: quell’identità digitale può essere usata anche per firmare digitalmente documenti, attivare abbonamenti o aprire conti correnti a nostra insaputa.
Perché il rischio è concreto (e attuale)
Non si tratta di scenari ipotetici. A dicembre 2024, un attacco informatico ha colpito un fornitore terzo di InfoCert, uno dei principali gestori Spid in Italia. Il furto ha riguardato oltre 5 milioni di dati personali, inclusi indirizzi email e numeri di telefono, poi messi in vendita sul dark web. Anche se InfoCert ha dichiarato che i propri sistemi non sono stati direttamente violati, la vicenda ha sollevato forti preoccupazioni sulla sicurezza del sistema e sulle falle che lo rendono vulnerabile a operazioni fraudolente.
L’intervento del Garante per la protezione dei dati personali è stato immediato: ha chiesto chiarimenti ufficiali all’azienda e avviato accertamenti per verificare la portata e le responsabilità dell’incidente. Intanto Altroconsumo ha avviato un’azione collettiva chiedendo un risarcimento di almeno 400 euro per ogni utente coinvolto.
Come riconoscere un tentativo di smishing
I truffatori agiscono spesso con messaggi che sembrano provenire dall’Inps, in cui si minacciano sanzioni o si richiede di aggiornare urgentemente il profilo. All’interno del messaggio è presente un link che porta a un sito che imita fedelmente quello dell’Istituto. Una volta atterrati sul sito falso, viene chiesto di inserire dati personali, inclusi documenti d’identità e perfino video di riconoscimento. Tutto ciò serve ai criminali per costruire un’identità digitale parallela con cui accedere a servizi pubblici e compiere frodi.
Come proteggersi dalle truffe Spid
La prima cosa da fare è verificare che l’Iban presente nei portali pubblici sia quello corretto. Basta accedere con Spid su Inps, Agenzia delle Entrate o NoiPA e controllare i dati di pagamento. Se qualcosa non torna, bisogna denunciare immediatamente l’accaduto alla polizia postale.
È importante anche evitare di inviare documenti tramite email o sms non verificati, non cliccare su link sospetti e accedere sempre ai siti ufficiali digitando l’indirizzo nel browser. L’autenticazione a due fattori è uno strumento utile per aggiungere un ulteriore livello di sicurezza. E se si ricevono comunicazioni dubbie, si può segnalarle direttamente al Cert-AgID.
Cosa fare se si è già caduti nella trappola
Se hai già inviato documenti o cliccato su link sospetti, è fondamentale sporgere denuncia alla polizia postale e inviare una segnalazione tramite il sito del commissariato di PS online. Nei mesi successivi, è consigliabile monitorare attentamente i movimenti del proprio conto corrente, specie se si ricevono emolumenti statali. In caso di addebiti non autorizzati, la direttiva Psd2 prevede che l’utente possa chiedere il rimborso alla banca, che dovrà dimostrare l’eventuale negligenza da parte del cliente.
Per aiutare coloro che si siano trovati in questa situazione spiacevole, Altroconsumo mette a disposizione una lettera di reclamo già pronta, utile per richiedere il rimborso: è sufficiente compilarla e inviarla alla banca o all’emittente del proprio metodo di pagamento.
La consapevolezza è la prima difesa
Il furto d’identità digitale è un fenomeno in forte espansione, alimentato dalla diffusione dei servizi online e dalla facilità con cui i dati possono essere sottratti e riutilizzati. La truffa del secondo Spid è pericolosa proprio perché non fa rumore: il cittadino continua a usare il proprio Spid ignaro che, nel frattempo, qualcun altro lo sta sfruttando per incassare rimborsi e pensioni a suo nome.
A maggior ragione, in questo periodo di dichiarazione dei redditi, è fondamentale prestare attenzione a ogni comunicazione che si riceve, verificare la correttezza dei propri dati nei portali pubblici e segnalare subito qualsiasi anomalia.
I legali di Altroconsumo al tuo fianco
Se hai comunque bisogno di assistenza, i consulenti di Altroconsumo sono a tua disposizione. Puoi richiedere una consulenza giuridica compilando il form che troverai premendo il bottone qui sotto: un consulente legale di Altroconsumo ti ricontatterà per fornirti tutta l’assistenza di cui hai bisogno.
articolo di
Pierfrancesco Catucci
per Altro Consumo