La clonazione dello Spid è un rischio enorme che riguarda tutti coloro che possiedono un’identità digitale: grazie al secondo profilo, i malintenzionati possono letteralmente sostituirsi alla vittima e prendere possesso dei suoi averi.
Lo Spid è attualmente il sistema di identificazione digitale più utilizzato per accedere ai servizi pubblici online. Questo strumento di identificazione è stato pensato per evitare che le credenziali d’accesso possano essere rubate e dunque per rendere più sicure le informazioni contenute nei siti della pubblica amministrazione.
Il governo già lo scorso anno ha avviato un progetto di ampliamento della Carta d’Identità Digitale che permetterà ai cittadini che la possiedono di poterla utilizzare per sostituire lo Spid nell’accesso alle funzionalità online della Pubblica Amministrazione, ma finché non l’avranno tutti quest’ultimo sarà necessario.
Per attivare lo Spid è necessario fornire un documento di riconoscimento ed il codice fiscale, quindi fornire un numero di telefono e un indirizzo mail che servono come strumenti di sicurezza per confermare l’identità durante ogni accesso. In teoria dunque è difficile aggirare il sistema di sicurezza creato, tuttavia i truffatori sono riusciti a sfruttare un “bug” della legislazione.
Le Faq dello Spid indicano con chiarezza che ciascuna persona può richiedere più identità digitali, sia con lo stesso provider che con provider differenti, questa possibilità ha dato margine di manovra ai truffatori che una volta entrati in possesso dei documenti d’identità della persona o utilizzando l’AI per generarne di falsi, creano un secondo Spid attraverso il quale si sostituiscono alle vittime.
L’allarme è stato lanciato dal Sole 24 Ore attraverso la testimonianza diretta di un lettore che ha scoperto il raggiro. I truffatori, tramite un secondo Spid a suo nome, avevano aperto un’azienda di Superalcolici, creato un conto corrente e una Partita Iva. In passato alcuni dipendenti della PA hanno denunciato altri tipi di truffa Spid, in quei casi i malintenzionati avevano cambiato le coordinate bancarie sui loro profili e fatto accreditare gli stipendi su un loro conto.
Il problema di questo genere di truffa è che gli istituti bancari ed in generale i sistemi informatici non possono scoprire il furto d’identità poiché questa è certificata dallo Spid, inoltre le vittime si rendono conto di essere cadute nella trappola solo dopo aver subito danni consistenti.
Come fare ad ovviare a questo pericolo? Una soluzione potrebbe essere quella di limitare il numero di Spid ad uno solo, così da evitare l’apertura di un secondo attraverso il quale i malintenzionati operano in tutta tranquillità.
Un’altra soluzione potrebbe essere aumentare le procedure di sicurezza per l’apertura di una seconda identità online, magari mandando avvisi e richieste di conferma ai contatti che l’utente ha fornito per l’apertura del primo Spid, dunque permettendo a questo di sapere subito se qualcuno sta cercando di operare alle sue spalle.