SPID e la truffa del doppio account: come funziona e come proteggersi

Negli ultimi tempi si è diffusa una nuova truffa informatica che sfrutta la possibilità di attivare un doppio SPID a nome della stessa persona.

Questo schema fraudolento permette ai truffatori di creare un secondo account SPID utilizzando dati personali veri, ma associandoli a un numero di telefono e un’email differenti. Il rischio principale è che, una volta ottenuto questo accesso parallelo, i criminali informatici possano modificare credenziali bancarie e dati di accredito su portali come INPS, NoiPA e Agenzia delle Entrate, dirottando stipendi, pensioni e benefici economici su conti correnti controllati da loro.

Il Sistema Pubblico di Identità Digitale (SPID), si sa, è oggi il principale strumento per accedere ai servizi della Pubblica Amministrazione, ai portali bancari e a numerosi altri servizi online. Proprio questa ampia diffusione lo rende un obiettivo primario per i truffatori, che sfruttano la poca consapevolezza degli utenti per rubare dati e compiere frodi finanziarie. 

Scopriamo come funziona questa truffa, quali sono i rischi e come proteggersi per evitare di diventare vittime di questo raggiro.

Prima però vi lasciamo al video YouTube di Il Solotto di Mimar  che ci spiega nel dettaglio la nuova truffa. 

Come funziona la truffa del doppio SPID e quali sono i rischi

La truffa del doppio SPID sfrutta una falla nel sistema di gestione dell’identità digitale, che consente di attivare più credenziali SPID con gli stessi dati anagrafici, ma utilizzando indirizzi email e numeri di telefono diversi.

Questo meccanismo, seppur legale, viene manipolato dai criminali informatici, che riescono ad attivare un secondo SPID a nome della vittima e ad utilizzarlo per accedere ai suoi conti e servizi online.

Una volta ottenuto l’accesso, i truffatori possono entrare in portali come INPS, NoiPA, Agenzia delle Entrate, servizi bancari e sanitari regionali, dove hanno la possibilità di modificare l’IBAN associato ai pagamenti, intercettando stipendi, pensioni e rimborsi fiscali. Oltre al danno economico immediato, il rischio principale è che possano anche richiedere prestiti o finanziamenti a nome della vittima, causando problemi legali e burocratici difficili da risolvere.

Questa truffa è particolarmente insidiosa perché spesso la vittima si accorge del furto solo dopo aver ricevuto notifiche sospette o aver constatato che il proprio accredito mensile non è mai arrivato. Anche il cassetto fiscale dell’Agenzia delle Entrate diventa vulnerabile, esponendo dati sensibili relativi a redditi, detrazioni fiscali e movimenti finanziari.

Come è stato possibile attivare un doppio SPID?

Il sistema SPID permette, per normativa, di attivare più credenziali con lo stesso codice fiscale, ma con diversi identity provider e differenti recapiti di contatto. Questa possibilità, pensata per garantire maggiore flessibilità agli utenti, è diventata un punto debole sfruttato dai truffatori.

Per creare un falso SPID, i criminali informatici devono ottenere in modo fraudolento documenti di identità e codice fiscale della vittima. Questo può avvenire attraverso email di phishing, finte chiamate da enti pubblici, messaggi fraudolenti o clonazione di dati personali.

Una volta ottenute queste informazioni, registrano un secondo SPID con un numero di telefono e un’email diversa, prendendo il controllo dei servizi digitali della vittima.

Come proteggersi dalla truffa e cosa fare in caso di furto di identità

Per difendersi dalla truffa del doppio SPID, è fondamentale adottare buone pratiche di sicurezza digitale ed essere sempre vigili di fronte a richieste sospette. La prima regola è non condividere mai dati personali o documenti via email, SMS o telefono, soprattutto se il mittente si presenta come un presunto operatore bancario o un ente pubblico.

Un metodo efficace per prevenire la truffa è controllare periodicamente quanti e quali SPID siano attivi a proprio nome. Questo può essere fatto accedendo al sito ufficiale dell’Agenzia per l’Italia Digitale (AgID) e verificando se risultano attivate credenziali SPID sospette. Se si notano anomalie, è necessario contattare immediatamente l’Identity Provider di riferimento e segnalare il problema alle autorità competenti.

Nel caso in cui si sospetti di essere stati vittima della truffa, è importante revocare immediatamente l’accesso al proprio SPID, accedendo al portale del provider e modificando tutte le credenziali di sicurezza. Inoltre, bisogna bloccare eventuali movimenti bancari sospetti, avvisando l’istituto di credito per impedire prelievi o bonifici illeciti.

Un ulteriore livello di protezione può essere ottenuto attivando l’autenticazione a due fattori su tutti i servizi digitali.