Ed ora tocca allo Spid. Dopo una lunga serie di truffe digitali che hanno colpito rimborsi fiscali, tessera sanitaria, CUP e improbabili “Truman show” e “ballerine”, circola ora una nuova campagna di phishing che prende di mira il Sistema Pubblico di Identità Digitale. Una minaccia che colpisce la chiave di accesso ai servizi online della pubblica amministrazione e, di fatto, all’identità digitale dei cittadini.
Truffa dello Spid: la nuova ondata di phishing
L’allarme è stato lanciato dal Cert-AgID, che ha individuato una campagna di phishing particolarmente sofisticata. I criminali informatici sfruttano Google Sites per ospitare le pagine fraudolente. Un dettaglio da non sottovalutare, perché la presenza del dominio google.com abbassa le difese di molti utenti. Arriva una mail che chiede di verificare o confermare i dati Spid, oppure invita ad accedere con urgenza all’area riservata dell’Agenzia delle Entrate per evitare blocchi o irregolarità. Il meccanismo è conosciuto: creare fretta, confusione e paura di perdere l’accesso ai servizi. Il messaggio contiene un link che rimanda a una pagina web costruita ad arte. L’aspetto è praticamente identico a quello dei portali istituzionali: loghi di AgID, riferimenti al Dipartimento per la Trasformazione Digitale, colori e layout familiari. In alcuni casi la pagina imita direttamente il login Spid dell’Agenzia delle Entrate. E l’inganno è ancora più efficace perché il modulo di accesso può presentare l’indirizzo email dell’utente già precompilato. Alla vittima viene chiesto solo di inserire la password Spid o di compilare un form con i propri dati. Un gesto che sembra banale, ma che equivale a consegnare le chiavi di casa ai truffatori.
Quali dati vengono rubati e perché è così pericolosa la truffa dello Spid
Una volta entrati nelle pagine false vengono chieste generalità complete, indirizzo di residenza, email, numero di telefono, dati bancari come Iban e istituto di riferimento. In altri casi l’obiettivo è direttamente la password Spid. E con in mano tutte queste informazioni i criminali riescono ad accedere a servizi fondamentali come Agenzia delle Entrate, INPS, Fascicolo Sanitario Elettronico e molte piattaforme locali. Il rischio non è solo la violazione della privacy, ma il vero e proprio furto di identità digitale: creazione di un secondo Spid a nome della vittima, dirottamento di rimborsi e stipendi, sottoscrizione di contratti, richieste di finanziamenti o acquisti fraudolenti.
Come riconoscere la truffa dello Spid e difendersi
Ci sono alcuni segnali ricorrenti che aiutano a non cadere nella trappola. L’indirizzo del mittente non appartiene ai domini ufficiali, anche se il nome visualizzato sembra credibile. Il testo punta sull’urgenza: accessi sospetti, account in scadenza, verifiche da completare entro poche ore. C’è poi la richiesta esplicita di cliccare su un link e inserire credenziali o dati personali, una pratica che le istituzioni non adottano mai. Anche il tono generico, con formule come “Gentile utente” o “Caro contribuente”, e piccole incongruenze grafiche o linguistiche sono campanelli d’allarme da non sottovalutare. Le regole di difesa sono sempre le stesse: non cliccare sui link contenuti in email che chiedono di verificare credenziali o dati personali e l’accesso ai servizi va fatto digitando manualmente l’indirizzo del sito ufficiale nella barra del browser. È poi fondamentale controllare con attenzione l’URL della pagina: anche se compare “google.com”, non significa che il contenuto ospitato sia sicuro o legittimo. E soprattutto va ricordato che nessun gestore Spid, nessuna amministrazione pubblica e nessuna agenzia invia email con link diretti per inserire password o confermare dati sensibili. Infine, i messaggi sospetti vanno eliminati immediatamente, senza rispondere né inoltrarli.
Cosa fare se le credenziali Spid sono compromesse
Se si sospetta di aver inserito i propri dati su una pagina fraudolenta, occorre agire subito. È necessario cambiare immediatamente la password Spid, se possibile, tramite il proprio identity provider. L’accaduto va segnalato sia al gestore dell’identità digitale sia alle autorità competenti, come la Polizia Postale o le strutture di sicurezza informatica della pubblica amministrazione. E nei giorni a seguire è importante monitorare eventuali accessi anomali ai servizi online e verificare che non siano state effettuate operazioni non autorizzate.