Arriva la truffa del doppio Spid

La stagione della dichiarazione dei redditi è arrivata e, con essa, anche un nuovo allarme per la sicurezza digitale. Mentre milioni di italiani si preparano a presentare il modello 730, i criminali informatici intensificano i loro sforzi per sfruttare il sistema pubblico di identità digitale, lo Spid, mettendo a rischio rimborsi fiscali e pensioni. La truffa del "doppio Spid" rappresenta una minaccia invisibile ma devastante, che può colpire chiunque senza lasciare tracce evidenti.

Dietro messaggi apparentemente innocui si nasconde una truffa sofisticata: il "doppio Spid". Questo sistema consente ai truffatori di rubare l'identità digitale delle vittime, registrando un secondo Spid a loro nome. Il Cert-AgID, l'agenzia nazionale per la sicurezza informatica nella Pubblica Amministrazione, ha lanciato l'allarme: nei primi tre mesi del 2025, sono stati creati 33 falsi domini Inps per ingannare gli utenti e rubare documenti e selfie necessari per attivare identità digitali false.

Il meccanismo sfrutta un difetto del sistema Spid, che permette di avere più identità attive per lo stesso codice fiscale. I truffatori registrano un secondo profilo, accedendo ai portali dell'Inps o dell'Agenzia delle Entrate per modificare l'Iban e ricevere rimborsi e pensioni. Inoltre, possono firmare digitalmente documenti, attivare abbonamenti o aprire conti correnti, causando danni finanziari enormi alle vittime.

Un esempio concreto della vulnerabilità dei dati digitali è l'attacco subito da InfoCert a dicembre 2024, che ha portato alla sottrazione di oltre 5 milioni di dati personali, successivamente venduti sul dark web. Sebbene InfoCert abbia dichiarato che i propri sistemi non siano stati violati, il Garante della privacy ha avviato accertamenti, mentre Altroconsumo ha richiesto un risarcimento di almeno 400 euro per ogni utente coinvolto.

Per proteggersi da queste minacce, è fondamentale adottare alcune precauzioni. Controllare regolarmente l'Iban salvato sui portali Inps, Agenzia delle Entrate e NoiPA è essenziale. Evitare di cliccare su link sospetti ricevuti via SMS o email e utilizzare solo i siti ufficiali, digitandoli direttamente nel browser. Attivare l'autenticazione a due fattori può fornire un ulteriore livello di sicurezza. In caso di dubbi, segnalare i messaggi sospetti al Cert-AgID.

Se si sospetta di essere stati truffati, è importante agire rapidamente. Sporgere denuncia alla polizia postale, monitorare i movimenti del conto corrente e controllare eventuali modifiche nei portali PA sono passi cruciali. In caso di addebiti non autorizzati, la direttiva Psd2 tutela il consumatore, obbligando la banca a rimborsare, a meno che non dimostri una negligenza da parte dell'utente. Altroconsumo offre una lettera di reclamo precompilata da inviare alla banca o al fornitore del metodo di pagamento. La truffa del "doppio Spid" è un pericolo reale e insidioso, che richiede massima attenzione e consapevolezza da parte di tutti. Proteggere la propria identità digitale è fondamentale per evitare danni finanziari e garantire la sicurezza dei propri dati personali.