Identità Digitale Clonata: Il Paradosso dello SPID e la Nuova Frontiera delle Truffe Silenti

(di Claudio Verzola)
30/04/25

Ricordate la pecora Dolly? Era il 1996 quando in Scozia per la prima volta al mondo si riuscì a clonare un mammifero, quanta strada da quell'esperimento che destò stupore e meraviglia oltre che comprensibili sentimenti di spavento nell'opinione pubblica, quell'esperimento infatti dimostrò che la clonazione era possibile.

Immaginate un'altro voi che vi sostituisce in banca e nei rapporti con la PA, penserete impossibile nell'era della digitalizzazione , esiste il Sistema Pubblico di Identità Digitale (SPID), concepito come strumento di semplificazione e democratizzazione dell'accesso ai servizi della Pubblica Amministrazione, ebbene questo sistema non è in grado di garantire l'unicità dell'identità digitale, perchè è stato concepito male. Chi lo ha concepito infatti, non si è preoccupato di costituire un sistema centralizzato di notifica e controllo, ma ha pensato ad altro, consentendo a soggetti privati convenzionati di rilasciare le identità digitali, mi sembrò all'epoca l'ennesima "furbata" per indebolire l'amministrazione dello Stato , un'occasione che poteva essere colta dalla PA per irrobustire le proprie competenze informatiche, per interconnettere e gestire finalmente la digitalizzazione del paese, un'occasione persa , che ora si ripercuote nei suoi effetti nefasti direttamente sui cittadini.

Ma cosa è lo SPID , lo scrivo per chi (spero pochissimi) non dovessero saperlo.

Lo SPID rappresenta l'implementazione italiana di un sistema di autenticazione digitale che consente l'accesso ai servizi erogati dalla Pubblica Amministrazione e da soggetti privati convenzionati. La sua architettura prevede il rilascio dell'identità digitale da parte di provider accreditati (tra cui Poste Italiane, Aruba, InfoCert), strutturandosi attraverso credenziali composte da nome utente, password e, nei livelli di sicurezza superiori, meccanismi di verifica a due fattori.

Il processo di attivazione richiede elementi identificativi fondamentali:

  1. Un documento d'identità con validità legale
  2. Il codice fiscale dell'interessato
  3. Un indirizzo di posta elettronica e un recapito telefonico mobile

È significativo rilevare come questi ultimi due elementi non debbano necessariamente essere intestati formalmente al richiedente, ma semplicemente risultare nella sua disponibilità.

Questa flessibilità procedurale, unitamente all'assenza di un sistema di verifica incrociata tra i diversi gestori d'identità, costituisce uno dei punti di fragilità maggiormente sfruttati nelle dinamiche fraudolente.

La vulnerabilità del sistema si articola attorno a un'anomalia normativa di particolare rilevanza: la possibilità per ciascun cittadino di attivare molteplici identità SPID, una per ciascun gestore accreditato, utilizzando il medesimo codice fiscale ma diversificando i recapiti elettronici e telefonici associati.

Tale configurazione consente a soggetti che entrano in possesso della documentazione identificativa di un cittadino (anche attraverso riproduzioni fotografiche o scansioni digitali) di attivare un'identità digitale parallela presso un gestore diverso da quello originariamente scelto dalla vittima. L'elemento particolarmente critico risiede nell'assenza di un sistema di notifica al titolare dell'identità preesistente, creando così una coesistenza di identità digitali formalmente legittime ma con una significativa asimmetria di controllo.

Attraverso questa seconda identità, il soggetto fraudolento può:

  • Accedere ai portali istituzionali della Pubblica Amministrazione
  • Modificare le coordinate bancarie per la ricezione di emolumenti pensionistici, stipendiali o rimborsi fiscali
  • Procedere all'apertura di rapporti bancari o attività economiche intestate alla vittima
  • Utilizzare il profilo per ulteriori attività illecite, in un contesto di sostanziale invisibilità per il legittimo titolare

Una criticità ulteriore è rappresentata dall'assenza di un database centralizzato che consenta la verifica del numero di identità SPID attive per un determinato codice fiscale, lacuna che interessa persino le autorità pubbliche preposte al controllo.

Poteva una "svista" così macroscopica sfuggire ai signori della truffa? Certo che no, infatti non è sfuggita, e grazie alla digitalizzazione a tappe forzate avvenuta post Covid, in un paese con percentuali bulgare di analfabeti informatici e funzionali, sono iniziate le truffe ai danni dei cittadini per ora completamente indifesi difronte a questa problematica.

Ed è così che criminali, o meglio cybercriminali si sono tuffati nel paradiso delle truffe che il nostro paese rappresenta.

L'analisi delle strategie adottate dai cybercriminali rivela un articolato repertorio di tecniche per l'acquisizione della documentazione necessaria alla truffa:

  • Ingegneria sociale attraverso phishing e smishing: elaborazione di comunicazioni fraudolente che simulano l'ufficialità istituzionale, inducendo il destinatario all'interazione con collegamenti informatici compromessi e alla conseguente divulgazione di dati personali.
  • Acquisizione documentale attraverso canali clandestini: emerge l'esistenza di un mercato parallelo, particolarmente nel dark web, dove sono disponibili pacchetti documentali completi comprensivi di documento d'identità, codice fiscale e materiale identificativo supplementare.
  • Intercettazione di comunicazioni non protette: documenti trasmessi attraverso canali di comunicazione privi di adeguati protocolli di cifratura risultano vulnerabili all'intercettazione o alla rivendita illegale.
  • Compromissione dei dispositivi attraverso software malevolo: implementazione di codice informatico nocivo finalizzato alla registrazione di codici di autenticazione temporanei o all'estrazione di dati memorizzati nei browser.
  • Elusione dei sistemi di identificazione: alcune metodologie di identificazione digitale presentano vulnerabilità intrinseche, particolarmente evidenti nei casi in cui i provider non implementino protocolli di verifica in presenza o certificazioni digitali qualificate.

La peculiarità di questa tipologia di truffa risiede nella sua natura silente: te ne accorgi quando oramai è tardi, la scoperta infatti dell'avvenuta compromissione coincide con la manifestazione del danno economico già concretizzato, evidenziandosi attraverso:

  • Mancata ricezione di accrediti pensionistici
  • Scomparsa di rimborsi fiscali
  • Alterazione non autorizzata delle coordinate bancarie registrate presso i sistemi pubblici
  • Scoperta di rapporti finanziari attivati abusivamente

In casi di particolare sofisticazione, i soggetti fraudolenti giungono persino all'ottenimento di certificazioni di servizio falsificate o alla modifica di parametri essenziali su piattaforme istituzionali.

La problematica del recupero delle somme indebitamente sottratte presenta complessità significative: frequentemente le risorse risultano già oggetto di trasferimenti multipli o prelevamenti fisici. In assenza di evidenze di responsabilità diretta del provider d'identità, l'onere economico tende a gravare sulla vittima, configurando un paradigma di vulnerabilità sistemica, che come al solito si scarica sui cittadini.

Le attività di mitigazione del rischio, per ora totalmente a carico del cittadino esistono, ma non sono alla portata di tutti, gli anziani ad esempio che a malapena sanno usare un telefonino avranno sicuramente problemi ad attivarle.

Accedere periodicamente alle piattaforme istituzionali (INPS, Agenzia delle Entrate, NoiPA) per la verifica dell'integrità dei dati registrati, prestando particolare attenzione alle coordinate bancarie è un'attività di mitigazione che se svolta potrebbe limitare ma non escludere il danno, così come sentire con regolarità TUTTI i provider SPID (attualmente dodici operatori accreditati) per la verifica di eventuali identità attivate.

Altre pratiche utili ma non risolutive sono rappresentate da:

  • Adozione sistematica dell'autenticazione multifattoriale: privilegiare sistemi di generazione di codici temporanei basati su algoritmi crittografici (Authy, Google Authenticator) rispetto a metodologie di trasmissione via SMS.
  • Rafforzamento della sicurezza dei dispositivi: mantenimento dell'attualità dei sistemi operativi, implementazione di politiche restrittive nell'installazione di applicazioni e adozione di soluzioni antivirus con capacità euristiche avanzate.
  • Attivazione di sistemi di notifica per le transazioni finanziarie: configurazione di alert in tempo reale per ogni movimento economico, facilitando l'identificazione tempestiva di operazioni non autorizzate.
  • Rotazione periodica delle credenziali: implementazione di credenziali ad elevata entropia, diversificazione tra diverse piattaforme e adozione di metodologie sicure per la conservazione dei dati di accesso.

Cosa evitare

  • Trasmissione di documentazione personale attraverso canali di comunicazione non protetti, anche a fronte di apparenti richieste istituzionali
  • Interazione con collegamenti ipertestuali contenuti in comunicazioni di dubbia provenienza
  • Riutilizzo delle medesime credenziali su piattaforme diverse
  • Memorizzazione di dati sensibili in sistemi non adeguatamente protetti
  • Sottovalutazione di comunicazioni che evocano urgenza verificativa, frequentemente indicative di tentativi di manipolazione psicologica

Nel contesto europeo è in fase di sviluppo l'implementazione del Digital Identity Wallet (EUDI Wallet), un sistema di identità digitale concepito con parametri di sicurezza potenzialmente superiori, fondato sul regolamento eIDAS 2. Tale modello innovativo si propone di superare le limitazioni strutturali dell'attuale architettura SPID attraverso l'adozione di un sistema unificato e centralizzato.

Tuttavia, nelle more dell'implementazione di soluzioni con maggiore robustezza architettonica, la gestione del rischio permane principalmente a carico del cittadino: l'attuale configurazione sistemica non prevede strumenti pubblici che consentano la verifica centralizzata delle identità SPID attivate con il medesimo codice fiscale.

La digitalizzazione dei servizi della Pubblica Amministrazione, pur rappresentando un'evoluzione significativa nel rapporto tra cittadino e istituzioni, evidenzia come, in assenza di adeguate misure di sicurezza sistemiche, il paradigma dell'innovazione possa tradursi in vulnerabilità concrete. In questo contesto, la consapevolezza critica, la vigilanza continuativa e un atteggiamento di costruttivo scetticismo verso richieste anomale costituiscono gli strumenti più efficaci a disposizione della cittadinanza.

LEONARDO
AVIO AERO

Eventi

Clicca sui giorni evidenziati in rosso e scopri cosa c'è in evidenza.
Racconti di vita militare
Inviaci il tuo racconto
Omaggio (dovuto) all’80° fanteria “Roma” che si congeda con Onore

Ebbene si, ormai siamo abituati ad assistere alla chiusura delle caserme e forse anche un po' a seppellire la lunga storia dei reparti, un fenomeno che però non cancella i ricordi. È toccato anche...

Leggi il racconto
"Il Signor Parolini" (nona parte)

Il pollo al forno, come previsto, si era dimostrato all’altezza della sua reputazione, consolidando, ove ce ne fosse stato bisogno, l’indiscussa maestria culinaria di Gastone, capo...

Leggi il racconto