“AgID ha aperto un tavolo per risolvere il problema”, perché il rischio truffe tramite SPID è sempre più concreto. Il furto d’identità è un problema concreto e in crescita. Basta un codice fiscale rubato per attivare 12 diversi codici SPID, questo il numero degli Identity Provider accreditati, alcuni dei quali hanno introdotto il pagamento del servizio che finora era stato gratuito. Basta un codice fiscael e un numero di telefono diverso per ciascuno di essi per attivare 12 SPID falsi a nome di un ignaro cittadino, vittima del semplice furto del suo codice fiscale.
Che il tema sia caldo e di stretta attualità lo evidenzia il fatto che il numero di accessi irregolari al sito dell’INPS e dell’Agenzia delle Entrate sia in crescita costante e che in questi giorni, con la compilazione del 730, abbia subito un vero e proprio picco.
Si ricorda che ad oggi sono oltre 40 milioni i profili Spid attivi e la stragrande maggioranza degli accessi ai servizi online erogati dalla Pubblica Amministrazione e da realtà private, avviene ancora con le credenziali del Sistema pubblico di identità digitale.
Il motivo è presto detto
Mentre milioni di italiani si preparano ad accedere al 730 tramite SPID, una nuova minaccia informatica potrebbe colpire all’improvviso.
Una falla procedurale sul sistema SPID, peraltro nota dal lontano 2018 ma mai risolta, permette di attivare in parallelo diverse identità digitali che non sono affatto autorizzate dal vero titolare dei dati.
Basta un semplice codice fiscale, per quanto ottenuto senza il consenso del titolare, per attivare diversi codici SPID usando lo stesso nominativo.
La vulnerabilità del sistema può essere sfruttata dai criminali per clonare l’identità digitale di un utente con email e numeri di telefono differenti per compiere furti di denaro, modificando dati sensibili come IBAN e informazioni finanziarie varie o dati personali sui portali della PA.
Come funziona?
Attualmente esistono 12 Identity Provider accreditati per il rilascio e la gestione dello SPID, ma d’altro canto non esiste invece un database centralizzato che raccolga e controlli la veridicità di tutti gli SPID accreditati e operativi.
Questo permette quindi ai malintenzionati che si sono impossessati di un codice fiscale qualsiasi di attivare fino a 12 diversi SPID tramite il medesimo codice fiscale. Basta associare un diverso numero di cellulare allo stesso codice fiscale a seconda dell’Identity provider di turno.
Nessun meccanismo di allarme avvisa il titolare della duplicazione e, come detto, non esiste un sistema automatico di allerta e controllo incrociato fra diversi gestori.
La cosa più grave è che la vulnerabilità è nota dal 2018.
Ma quali sono i rischi del furto di SPID?
Si va dall’accesso illecito ai portali dell’INPS e dell’Agenzia delle Entrate, dell’ANPR e del Fascicolo sanitario elettronico alla possibilità di dirottare pensioni, bonus e rimborsi fiscali. Si passa poi all’attivazione di conti correnti e carte di credito fraudolente alla possibilità di chiedere cambi di residenza, permessi edilizi, richieste di contributi. Per finire, non manca certo il rischio di frodi bancarie e assicurative.
