Lo SPID non è sicuro come può sembrare e, a quanto riporta Il Sole 24 Ore, i criminali hanno scoperto come aggirare il sistema per effettuare truffe ai danni dei cittadini. Il problema non è tecnico: i malintenzionati non hanno violato alcun protocollo o sistema. Si sono limitati a sfruttare dei limiti intrinseci del sistema.
SPID: sapevate che è possibile avere più identità digitali?
Come reagireste scoprendo che degli ignoti hanno aperto un’attività con relativa Partita IVA, un conto corrente e addirittura acquistato prodotti a vostro nome? Sicuramente non bene.
Purtroppo è quello che è accaduto a un lettore de Il Sole 24 Ore, firmato come P.D.R, che ha scoperto la truffa solo quando è stato contattato dall’INPS che gli chiedeva conto dei contributi, ovviamente non versati.
Come è stato possibile? In realtà, è stato tutto molto semplice, ed è proprio questo quello che spaventa. Semplicemente utilizzando dei documenti d’identità trovati online, i criminali sono riusciti ad aprire uno SPID a nome di un’altra persone, per poi usare questa identità digitale per svolgere attività truffaldine.
Attenzione: non è stato creato uno SPID per conto di una persona priva di identità digitale. Al contrario, è stata creata una nuova identità SPID, parallela a quella già esistente e correttamente associata al legittimo proprietario. Come è stato possibile? Semplice: si può fare. E se si può fare, i delinquenti “lo fanno, lo fanno“, per citare un famoso film di Carlo Verdone.
Come specificato nelle FAQ del sito ufficiale dello SPID, infatti, “la tua identità digitale può essere certificata da più di un gestore. Puoi richiedere più di una identità digitale – anche con diversi livelli di sicurezza – con l’opportunità di rivolgerti a differenti gestori di identità digitale“.
In pratica, se un utente possiede uno SPID registrato tramite, per esempio, Poste Italiane, può ottenere una seconda identità digitale, con gli stessi livelli di accesso, anche scegliendo un secondo provider. Volendo, anche un terzo. E questo apre la strada a numerose truffe da parte di malintenzionati, che possono aprire conti e attività sotto falso nome. E non solo: lo SPID permette anche di accedere al Cassetto Fiscale dell’Agenzia delle Entrate, e per un criminale potrebbe essere semplice accedere a questa sezione del sito dell’AdE e, banalmente, cambiare l’IBAN sul quale effettuare eventuali rimborsi delle tasse. O, peggio, cambiare l’IBAN del conto sul quale viene versata la pensione.
Questo ci porta a una considerazione: così come è implementato, lo SPID non è efficace né può esserlo. Ma va anche detta un’altra cosa: probabilmente non è così semplice riuscire a forzare il sistema senza destare sospetti, perché in tal caso sarebbe da aspettarsi un numero elevatissimo di campagne criminali che prendono di mira lo SPID. Sicuramente le segnalazioni relative a questo tipo di truffa sono cresciute nelle ultime settimane, ma non in maniera così significativa.
Truffe con lo SPID: come difendersi?
La sicurezza dello SPID si basa su due fattori: prima di tutto, servono documenti legittimi per creare un’identità digitale. Secondariamente, è necessario autenticarsi di persona o tramite webcam, così da dimostrare di corrispondere veramente alla persona cui fanno riferimento i documenti.
Il fatto è che oggi trovare copie di documenti reali, anche a pochi spiccioli, è molto facile: negli anni ci sono stati numerosi data breach, e questi dati sono oggi disponibili sul dark web. Per l’autenticazione, poterla fare via webcam semplifica notevolmente la vita ai cittadini così come ai criminali: tramite l’IA oggi è facile creare immagini, video e anche voci perfettamente credibili, in grado di ingannare facilmente una persona. Figuriamoci una macchina.
La soluzione è potenziare queste difese. Introducendo algoritmi più efficaci, in grado di riconoscere le immagini generate dall’intelligenza artificiale. Più facile a dirsi che a farsi, oggettivamente.
Fortunatamente, lo SPID ha i giorni contati ed entro la fine del 2025 verrà definitivamente sostituito dalla CIE, la Carta di Identità Elettronica. Che, sotto questo profilo, è molto più sicura: non è possibile avere due identità digitali CiE, esattamente come non è possibile avere due carte di identità valide (o due patenti, o due passaporti emessi dallo stesso Paese) contemporaneamente.
Certo, sino a che rimarranno validi i profili SPID (a fine 2024 erano 39 milioni) il problema rimarrà.