Lo Spid, il Sistema Pubblico di Identità Digitale, è ormai la chiave d’accesso universale per i servizi online della Pubblica Amministrazione e di numerosi enti privati. Dall’Inps all’Agenzia delle Entrate, dal Fascicolo Sanitario Elettronico fino ai portali per accedere ai bonus edilizi, rappresenta il nostro biglietto digitale d’identità. Con 36 milioni di italiani che lo utilizzano e oltre un miliardo e mezzo di accessi all’anno, è diventato uno strumento essenziale quanto vulnerabile.
Un volume così alto di traffico e dati attira inevitabilmente l’interesse dei cybercriminali, che stanno affinando tecniche sempre più ingegnose per violare gli account e sottrarre denaro o informazioni personali. Furti di credenziali, Spid duplicati, phishing, smishing e siti clonati sono solo alcune delle modalità più comuni con cui gli utenti possono cadere in trappola. E le vittime non sono solo i meno esperti: anche utenti abituati al digitale possono finire nella rete.
Tra le truffe più subdole c’è quella del cosiddetto “secondo Spid”. I criminali riescono a ottenere documenti d’identità (tramite leak o phishing) e, usando un provider diverso, attivano un nuovo Spid a nome della vittima. La videochiamata di riconoscimento, spesso raggirata con documenti veri ma rubati, consente loro di accedere ai portali pubblici e cambiare dati sensibili come l’Iban: così riescono a dirottare pensioni, rimborsi fiscali o stipendi.
Non mancano i tentativi di phishing classico, con email apparentemente provenienti da fonti affidabili, che invitano a cliccare su link falsi. Lì, chi inserisce dati personali e credenziali apre la porta ai truffatori. Stesso meccanismo per lo smishing, dove il tranello arriva via sms: un finto blocco del conto o un rimborso urgente convince le vittime a cliccare e a farsi derubare.
Ancora più subdolo il vishing, la truffa via telefono: finti operatori che si presentano come funzionari di istituti pubblici o bancari spaventano l’utente parlando di multe o scadenze. Una volta destabilizzato, l’utente abbassa le difese e rivela dati personali o addirittura le credenziali Spid.
Sempre più diffusa è la tecnica dei siti clonati, creati con l’aiuto dell’intelligenza artificiale. Sono copie quasi perfette dei portali reali (Inps, provider Spid, banche), in cui l’utente si imbatte attraverso link ingannevoli. Una volta compilato il form, il danno è fatto: il truffatore ha tutte le informazioni necessarie per rubare identità e denaro.
Le categorie più colpite sono anziani, pensionati, dipendenti pubblici e persone che ricevono pagamenti automatici. Sono bersagli ideali perché spesso monitorano meno frequentemente i movimenti bancari e usano NoiPA o altri sistemi centralizzati, il che rende ancora più dannosa la modifica di dati come l’Iban.
Difendersi è possibile, a partire da alcune buone pratiche: attivare la doppia autenticazione gratuita, controllare periodicamente gli Spid attivi sul sito AgID, attivare gli alert bancari e soprattutto evitare di inviare documenti via email o social. Password complesse, cambiate spesso, e attenzione ai link sospetti sono elementi fondamentali per la sicurezza.
Infine, se si scopre di essere stati truffati, bisogna agire con rapidità: denunciare subito la perdita o il furto del documento d’identità, richiedere uno nuovo, bloccare l’accesso a Spid e agli strumenti finanziari compromessi. E, soprattutto, fare denuncia alla Polizia Postale, perché ogni truffa segnalata può aiutare a bloccare una rete criminale. La sicurezza digitale, oggi, è una questione di consapevolezza e attenzione quotidiana.