Lo SPID: quel miracoloso lasciapassare digitale che ci hanno spacciato per “sicuro”, “personale”, “invulnerabile”. Lo strumento che doveva spalancarci le porte della burocrazia italiana in modo comodo, veloce, protetto. Un click ed eri dentro il tuo fascicolo sanitario, dentro la tua dichiarazione dei redditi, dentro l’INPS.

Come se la pubblica amministrazione si fosse improvvisamente digitalizzata con un tocco di bacchetta magica.

E invece? E invece adesso… è panico.

Perché quel sistema lì, che ci hanno venduto come il Fort Knox delle identità digitali, è finito nel mirino dei peggiori personaggi del web. Hacker, truffatori, smanettoni con troppa fantasia e nessun senso civico. Gente che ormai lo SPID non lo teme, lo usa. Ma non con i propri dati: con i tuoi.

Negli ultimi mesi abbiamo assistito a qualcosa che nessuno ha il coraggio di raccontare per bene: una vera e propria escalation di attacchi informatici mirati, intelligenti, camuffati.

Il loro obiettivo? Semplice: creare SPID falsi, duplicare quelli veri, sottrarre i tuoi dati personali e magari accedere anche al tuo cassetto fiscale. Così, giusto per sport. Il risultato? Migliaia – e ripeto: migliaia – di identità digitali rubate. Dati sensibili sfilati come portafogli nella metro.

Gente che scopre mesi dopo che qualcuno ha fatto domanda per il bonus psicologo col suo nome. O peggio, per la pensione anticipata. Ma tranquillo, eh. Ci dicono che il sistema è sicuro. Che “è tutto sotto controllo”. E come sempre tu ti fidi, fino a quando non succede a te.

Perché nel frattempo la realtà è un’altra: la nostra identità digitale, quella che usiamo per accedere alla sanità online, per parlare con l’Agenzia delle Entrate, per comunicare con l’INPS, è seriamente a rischio.

E no, non sto esagerando per fare clickbait e comprarmi la posche grazie alle milioni di visualizzazioni dei miei video (come molti pensano)…

Sono i dati ufficiali a dirlo.

I cybercriminali sono diventati maestri della truffa digitale: sanno come replicare i siti ufficiali, imitano i loghi, ti mandano SMS finti ma perfetti. E tu clicchi, magari anche solo per sbaglio, ed è fatta. Hai appena consegnato lo SPID a qualcuno su un piatto d’argento.

Persino l’INPS – che non è esattamente noto per l’agilità tecnologica – ha iniziato a mandare messaggi disperati, tipo:
“NON cliccate su link negli SMS, noi NON li mandiamo!”
…che suona un po’ come: “Attenti al lupo, ma intanto lasciamo la porta aperta”.

E la situazione è talmente grave che anche l’Autorità per la Sicurezza Informatica della Pubblica Amministrazione (sì, esiste davvero) ha confermato: c’è stato un forte aumento dei casi di furto d’identità digitale, spesso sfruttando proprio il nome dell’INPS per fregarci.

Cioè, ci hanno fatto credere che lo SPID fosse una barriera, ma oggi sembra più una porta girevole.

E la parte più assurda?

Molti utenti non si sono nemmeno resi conto che la loro identità è già stata compromessa. Stanno lì a usare lo SPID tutti contenti, mentre dietro le quinte qualcun altro lo usa per scopi ben poco nobili. Quindi se hai uno SPID – e oggi praticamente lo hanno tutti – questo articolo ti riguarda da vicino.

Perché ti spiegherò:

– come i truffatori ti clonano lo spid senza che tu possa accorgertene
✅ Come capire se sei già stato vittima di furto d’identità.
✅ Cosa puoi fare per difenderti.
✅ E soprattutto, perché nessuno te lo sta dicendo chiaramente.

 

La trappola del phishing: così i criminali rubano i tuoi dati SPID

Iniziamo dal classico dei classici, il phishing. Quello che fino a qualche anno fa si limitava a mail mal scritte, con errori ortografici da prima elementare e link sospetti con domini tipo “inps.servizifidelitá-rimborsiamo.eu”, oggi ha fatto un bel salto di qualità.

O meglio: di pericolosità. Oggi il truffatore ti scrive un SMS, ti chiama per nome, ti saluta educatamente, ti manda un link che sembra proprio dell’INPS e ti avverte, con tono allarmato, che stanno per sospenderti lo SPID. Si proprio il tuo carissimo SPID ottenuto dopo ore di coda in Posta oppure pagandolo a caro prezzo da Buffetti o via internet! L’unica chiave che ti permette di prenotare una visita, scaricare il CUD o ottenere quel rimborso che aspetti da sei mesi.

E allora clicchi. Perché sei stanco, sei distratto, magari sei anche un po’ incavolato col sistema. Ma quel link non porta al sito dell’INPS. Porta a un clone perfetto. Una fotocopia digitale del portale ufficiale, gestita dai truffatori che ti chiedono, gentilmente, di aggiornare i tuoi dati. Tu glieli dai. E loro ringraziano. In silenzio. Dal Dark Web.

Ma questa, purtroppo, è solo la punta dell’iceberg. C’è una truffa molto più sofisticata che sta facendo strage di identità digitali. Si chiama “la truffa del doppio SPID”. E qui si comincia davvero a ballare.

 

La truffa del doppio SPID: il colpo grosso dell’identità digitale

Questa truffa è un capolavoro di ingegneria criminale. Un perfetto esempio di come il sistema SPID, che dovrebbe proteggerci, possa diventare l’arma con cui ci colpiscono. Il piano si sviluppa in tre atti, come una tragedia greca.

Atto primo: l’acquisizione. I truffatori si procurano i tuoi dati personali. Ma non rubandoti il portafogli. No, troppo complicato. Basta navigare su Telegram, o sul Dark Web, dove con pochi euro puoi comprare pacchetti completi di documenti: carta d’identità, tessera sanitaria, codice fiscale e pure una foto magari presa dai social. È tutto lì. Pronto per l’uso.

Atto secondo: la clonazione. Ed è qui che arriva il colpo di genio. Lo SPID, infatti, permette – udite udite – di avere più identità digitali per lo stesso codice fiscale, basta cambiare email e numero di telefono. Un dettaglio apparentemente innocente, ma che apre un’autostrada ai truffatori. Loro cosa fanno? Usano i tuoi dati, clonano il tuo volto con un deepfake (sì, usano l’AI per creare un video in cui sembri proprio tu), e si registrano su un altro gestore SPID. Tu hai quello con PosteID? Loro lo creano con Aruba o Namirial. Voilà. Due SPID per lo stesso soggetto. Uno lo usi tu, l’altro lo usano loro. E neanche lo sai.

Atto terzo: il dirottamento. Una volta ottenuto l’accesso, vanno sui portali INPS, Agenzia delle Entrate, NoiPA… e cambiano l’IBAN. Sì, esatto. Mettono il loro. Quindi se aspettavi un rimborso di 400 euro? Addio. Se stavi per ricevere la pensione? Sparita. Se lavori nel pubblico e aspetti lo stipendio? Finito su un conto aperto a tuo nome ma controllato da altri. E tu nemmeno te ne accorgi. Fino a quando è troppo tardi.

 

Migliaia di identità a rischio: cosa possono fare con i tuoi dati SPID

E non pensate che i criminali si accontentino. Una volta ottenuti i dati SPID, iniziano a fare shopping. Letteralmente. Con il furto d’identità si può:

• accedere a servizi online,
• richiedere prestazioni sociali a tuo nome,
• modificare i tuoi dati bancari,
• fare acquisti,
• chiedere prestiti,
• aprire conti correnti.

Ma soprattutto usano le tue info per truffare anche gli altri. Con le informazioni rubate lanciano attacchi di phishing ancora più precisi, credibili, personali. E se poi decidono di non usarli, li vendono nel dark web al miglior offerente. Un bel pacchetto “identità completa – pronta all’uso”, perfetta per frodi bancarie, riciclaggio e chissà cos’altro.

 

I casi reali: quando lo SPID diventa un’arma contro di te

Non sono scenari ipotetici. È già successo. Più volte.

La dipendente pubblica di Roma, per esempio, si è accorta che la tredicesima non le era arrivata. Vai a capire. Controlla, e scopre che qualcuno ha cambiato l’IBAN su NoiPA. I soldi? Finiscono su un conto aperto a suo nome presso una banca a Milano. Ma lei non ne sa nulla. L’hacker, con documenti rubati, ha creato due SPID, una Carta Nazionale dei Servizi e ha preso tutto. Un furto d’identità perfetto.

Il pensionato lombardo invece, pover’uomo, già alle prese con questioni familiari delicate, inserisce i suoi documenti su una piattaforma online per la nomina di un amministratore di sostegno. Qualche giorno dopo, una banca romana lo chiama: “Ha richiesto lei l’apertura di un conto?”. Lui, ovviamente, no. Ma i documenti erano i suoi. Rubati e riutilizzati. E come se non bastasse, qualche settimana dopo scopre che non gli hanno accreditato la pensione. Va sul sito dell’INPS: dati corretti, ma email, numero di telefono e IBAN cambiati. E quell’IBAN portava dritto dritto al conto truffaldino. Risultato? Due denunce ai Carabinieri e un’identità digitale completamente compromessa.

 

Come difendersi dalla truffa dello SPID clonato

Ora, non è che dobbiamo tutti tornare a fare la fila allo sportello con il bigliettino del 2003. Ma un po’ di sana paranoia digitale non guasta. Prima regola: autenticazione a due fattori sempre attiva. Dove si può, attivatela. Anche sullo SPID. È una barriera in più, e a volte basta a bloccare un accesso sospetto.

Poi, controllate regolarmente l’IBAN sui portali pubblici. Non aspettate che i soldi spariscano per accorgervene. Stesso discorso per email e numero di telefono associati: se cambiano senza che ve ne siate accorti, allarme rosso.

E poi? Password complesse, diverse per ogni servizio, e cambiatele ogni tanto. Sì, è una scocciatura. Ma lo è anche restare senza pensione a dicembre, fidatevi.

 

Cosa fare in caso di frode

Se, nonostante tutto, vi fregano… sangue freddo e agite subito.

1. Non inviate mai i vostri documenti via email o WhatsApp. Mai. Anche se dall’altra parte c’è “il supporto clienti della banca”. Non siete all’help desk, siete nel mirino.
2. Bloccate subito carte e conti sospetti, contattate la banca e fate denuncia alle forze dell’ordine. Non perdete tempo.
3. Chiedete il rinnovo del documento d’identità rubato. Anche se lo avete ancora nel portafoglio. Se i dati sono finiti online, è compromesso.
4. E soprattutto: rivolgetevi a un’associazione consumatori o a un legale se la truffa ha avuto conseguenze economiche gravi.

 

Che fare con lo SPID?

Lo SPID doveva essere la nostra cassaforte digitale. Ma oggi, tra spoofing, phishing, deepfake e truffe legalmente autorizzate dalla disattenzione generale, sembra più una porta girevole che si apre per noi… e per i criminali.

È giusto continuare a usare strumenti digitali, certo. Ma dobbiamo farlo con consapevolezza, con occhi aperti e con l’idea chiara che il rischio è concreto. Non possiamo più permetterci di trattare la nostra identità digitale come un pin della carta fedeltà del supermercato. È tempo di prendere sul serio lo SPID. Prima che lo facciano altri, a nostre spese.