Cos’è la truffa del doppio SPID? E come difendersi?

Avrete sentito in questi giorni della c.d. “truffa del doppio SPID”. A essere sinceri è semplicemente una vecchia modalità di truffa portata nel mondo digitale: è inutile prendersela con lo SPID in quanto tale.

Ricorderete gli inviti vintage a non essere troppo “leggeri” coi documenti personali, evitando che un individuo scorretto ad esempio vi chiedesse “di fotocopiare la carta di identità” ad esempio per attivare una scheda telefonica o una carta sconto per poi scoprire che quella fotocopia maledetta ha fatto il giro del mondo consentendo a truffatori di carpire la vostra identità.

Il Doppio SPID funziona così.

Cos’è la truffa del doppio SPID? E come difendersi?

Premessa: ci sono in Italia diversi gestori in grado di rilasciare SPID, e non esiste una “piattaforma centralizzata” che consente di averne uno e basta.

Il motivo a pensarci è anche logico: l’utente può attivare più SPID con più gestori, io stesso l’ho fatto ed al mondo è bene avere scorte.

Il fatto che un utente possa voler attivare più SPID con più gestori e diversi livelli di sicurezza, dedicando per esempio uno SPID ad una cosa ed un diverso SPID ad altre vicende, ha come riflesso negativo la possibilità di truffa.

Torniamo a documenti e dati personali diffusi liberamente: nel mondo “1.0” semplicemente ad impossessarsi dei documenti era “l’amico” che ti aveva chiesto un favore e poi aveva deciso di prendersi qualche favore in più, o l’esercente scorretto che usava documenti forniti per attivare una SIM per attivarne altre “con prestanome” da distribuire in giro.

Adesso i documenti carpiti finiscono in vendita su Deep e Dark Web, complici anche operazioni massicce di phishing, come quelle dei canali Telegram e Whatsapp che, in Pandemia, offrivano Green Pass falsi a chiunque fosse disposto a inviare copie in corso di validità dei suoi documenti e una somma di danaro salvo poi ricattare gli incauti acquirenti minacciando la vendita e l’uso abusivo dei documenti ottenuti.

Con dei documenti falsi ed un po’ di astuzia è possibile quindi ottenere uno SPID, ottenuto quello SPID è possibile usarlo, ad esempio, per modificare  dati di rimborso di INPS e Agenzia Entrate per carpire quei rimborsi o ottenere qualsiasi altro vantaggio.

AGID è già al lavoro per il superamento di SPID, che passerà dall’identità digitale europea (EUDI Wallet), prevista dal regolamento eIDAS 2, che potrebbe sostituire l’attuale sistema SPID nel medio periodo, di cui abbiamo già parlato e che renderà al truffatore la vita più difficile.

Nell’attesa, si chiede uno sforzo di responsabilità e controllo sia ai gestori che agli utenti: i primi per vigilare su accessi scorretti, i secondi per le verifiche di rito.

Alcuni suggerimenti

Attivare l’autenticazione a doppio fattore ogni volta che è possibile aiuta: se con la 2FA venite informati di accessi “strani” ai vostri servizi di home banking o ai servizi fiscali, potete intervenire.

Controllare la correttezza dei dati sugli stessi, ad esempio eventuali IBAN per rimborsi fiscali periodicamente è anche buona prassi.

Ovviamente vi ricordiamo di non essere troppo lesti nel fornire documenti a terzi, e vi ricordiamo di evitare i casi di phishing: se vi arriva un messaggio Whatsapp o una telefonata dalla vostra banca che chiede con urgente insolenza di inviare immediatamente documenti di identità e password sotto pena di blocchi del conto, chiudete il telefono e informate la vostra banca e  le autorità perché si tratta sicuramente di un tentativo di truffa.

Ciò posto, anche nel mondo virtuale bisogna avere le avvertenze del mondo fisico.