Strettamente connessa al furto d’identità digitale è quella che viene denominata truffa del doppio SPID, un tipo di frode di cui ultimamente sono stati segnalati diversi casi. Si tratta di una nuova strategia utilizzata dai criminali informatici per rubare le identità digitali e dirottare su conti bancari creati appositamente somme e accrediti automatici, quali pensioni e bonus fiscali.
Lo SPID, acronimo di Sistema Pubblico di Identità Digitale, è la chiave di accesso ai servizi digitali della pubblica amministrazione e di numerosi enti privati, come INPS, Agenzia delle Entrate, il portale del bonus edilizio e il Fascicolo sanitario elettronico. Si stima che in Italia 36 milioni di cittadini possiedano uno Spid, generando un volume di traffico e accessi ogni anno che chiaramente attira l’attenzione degli hacker. La truffa del doppio SPID sfrutta in particolare la possibilità di creare un secondo Spid collegato alla stessa persona, semplicemente facendone richiesta da un diverso provider e utilizzando dati personali rubati.
Diverse sono le metodologie con cui gli attaccanti possono venire in possesso dei dati personali degli utenti, che includono documenti di identità, foto, informazioni private e sensibili. Questi possono essere sottratti in modo fraudolento mediante tecniche di phishing, per mezzo di e-mail che sembrano giungere da fonti attendibili, smishing, ovvero messaggi SMS fraudolenti che contengono link a siti fasulli che prelevano i dati personali della vittima, o ancora mediante vishing, finte telefonate da sedicenti operatori e funzionari che chiedono dati sensibili dell’utente o addirittura accesso allo SPID con qualche pretesto che metta in allarme la persona.
I dati possono essere ottenuti anche tramite leak, ovvero violazioni di sicurezza informatica di enti quali banche e fornitori di servizi in cui quantità enormi di informazioni personali – nomi utente, password, codici fiscali e quant’altro – vengono sottratte da banche dati online, messe poi in vendita sul dark web o apposite piattaforme di marketing. Restando in tema di Spid, lo scorso 27 dicembre InfoCert, uno dei principali fornitori di identità digitale Spid, ha reso nota la violazione subita da un suo fornitore terzo, deputato alla gestione dei ticket di assistenza clienti. Nella fattispecie sono stati messi in vendita nel deep web 5,5 milioni di dati, inclusi 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi email.
Altro metodo in crescita è quello dei siti clonati, sempre più diffuso tra i cyber criminali grazie all’uso dell’intelligenza artificiale per creare copie quasi identiche di portali noti (ad esempio Spid provider, banche e Inps) per indurre gli utenti a compilare dei form e fornire i propri dati e informazioni personali.
Una volta che l’attaccante dispone dei dati necessari, procede quindi a fare richiesta di un nuovo Spid da un provider differente, associandovi credenziali diverse, usando un numero di telefono e una email alternativi. Viene quindi aperto un conto corrente su cui vengono trasferiti gli accrediti automatici della vittima, come stipendio, pensione o bonus fiscali, che in automatico passano sul nuovo Iban.
Diverse sono quindi le raccomandazioni per proteggersi dalla truffa del doppio SPID: controllare in modo regolare il proprio conto bancario e attivare le notifiche sui movimenti, per conoscere sempre in tempo reale cosa succede sul conto corrente. Abilitare l’autenticazione a due fattori, per aggiungere un livello di sicurezza ulteriore ai propri accessi ai servizi online. Verificare periodicamente sul sito dell’AgID, Agenzia per l’Italia Digitale, gli SPID attivi a proprio nome. Evitare di condividere dati sensibili online, soprattutto su piattaforme come social network, chat, email e altri canali non sicuri. Usare password complesse e cambiarle spesso, oltre a non usare la stessa password abbinandola a più servizi. Infine, diffidare di link sospetti che si ricevono via SMS o email, anche se sembrano provenire da fonti attendibili come banche, forze dell’ordine, Inps e SPID provider, né credere a finte telefonate che a scopo intimidatorio prospettano ad esempio multe o scadenze di pagamenti.
Infine, denunciare immediatamente il furto o la perdita di documenti, onde prevenire truffe e illeciti, e nel caso venga scoperta la truffa legata al doppio SPID, farne pronta denuncia alla Polizia Postale e bloccare tutte le credenziali di accesso che possono essere state compromesse.