Una nuova truffa informatica sfrutta la possibilità di creare un secondo Spid a nome della vittima. Ecco come funziona, i rischi reali e le misure per difendersi

Attenzione alla truffa del “Doppio Spid”. Con un semplice SMS si corre il rischio di aprire le porte di pensioni e rimborsi fiscali ai cybercriminali. Il sistema ideato dai truffatori è semplice e, con le dichiarazioni dei redditi alle porte, il rischio di furto d’identità digitale sta crescendo. I malintenzionati spingono le vittime a fornire tutti i dati necessari per creare un secondo Spid, che diventa la chiave per accedere, a nome della vittima, a tutti i servizi online della pubblica amministrazione, con il fine di sottrarre denaro.

La truffa si sviluppa nel seguente modo. Arriva un SMS o un’e-mail che sembrano provenire dall’Inps. I truffatori utilizzano tecniche di spoofing per ingannare e reindirizzare le persone su falsi siti web identici agli ufficiali, dove vengono richiesti dati personali, copie di documenti e persino selfie, necessari per la creazione di un secondo Spid. Una volta creato, il nuovo Spid consente di accedere ai portali Inps e Agenzia delle Entrate, modificare l’Iban per incassare rimborsi e contributi, firmare digitalmente documenti, aprire conti correnti e attivare servizi.

La vulnerabilità sfruttata è la possibilità di creare più Spid legati alla stessa persona fisica, una prassi consentita dalla normativa vigente. Nei primi tre mesi del 2025, l’Agenzia per l’Italia Digitale ha individuato 33 falsi domini Inps creati per sottrarre documenti personali. Il fenomeno si è intensificato, tanto che dati e selfie di utenti italiani risultano ora in vendita su forum del dark web, un’attività ormai industrializzata.

Esistono segnali chiari per riconoscere e prevenire la truffa. I messaggi arrivano spesso minacciando sanzioni o chiedendo aggiornamenti urgenti del profilo, e contengono link a siti trappola dove si chiedono dati sensibili.

Per proteggersi è fondamentale non cliccare mai su link sospetti ricevuti via SMS o e-mail; accedere solo digitando manualmente gli indirizzi ufficiali (ad esempio, quelli dell’Inps); attivare l’autenticazione a due fattori dove possibile; controllare periodicamente l’Iban registrato nei portali della pubblica amministrazione e attivare notifiche per ogni operazione bancaria.

Nel caso in cui si fosse già vittima della truffa del “Doppio Spid”, la prima azione da compiere è sporgere denuncia alla Polizia Postale. È importante anche controllare il proprio conto corrente e i portali PA per verificare eventuali modifiche sospette e contattare la propria banca per eventuali rimborsi.