Per chi ha fretta: È in corso una sofisticata campagna di phishing che prende di mira gli utenti SPID. I truffatori utilizzano email fraudolente, spesso con loghi e nomi di enti ufficiali come AgID o INPS, che avvisano di imminenti sospensioni dello SPID o richiedono aggiornamenti documentali. Cliccando su link malevoli, si viene indirizzati a siti clone, quasi indistinguibili dagli originali, dove viene richiesto l’inserimento delle credenziali SPID, copie di documenti e persino video per il riconoscimento. L’obiettivo è rubare l’identità digitale per compiere frodi. Per difendersi: non cliccare mai su link sospetti in email o SMS, non inserire credenziali SPID al di fuori dei portali ufficiali, verificare sempre l’URL del sito e, in caso di dubbio, contattare direttamente l’ente. Se si è vittima, denunciare subito alla Polizia Postale, avvisare il proprio Identity Provider SPID e monitorare i propri conti.

L’Agenzia per l’Italia Digitale (AgID), attraverso il suo Computer Emergency Response Team (CERT-AgID), ha lanciato un allarme riguardo a una campagna di phishing particolarmente insidiosa volta a colpire i possessori di SPID (Sistema Pubblico di Identità Digitale). Questa truffa sfrutta siti web falsi, ma estremamente curati e difficilmente distinguibili dagli originali, mettendo a serio rischio i dati e l’identità digitale dei cittadini.

La Meccanica della Truffa: Come i Criminali Ingannano gli Utenti SPID

La campagna fraudolenta individuata, come riportato da CERT-AgID e altre fonti di informazione sulla sicurezza informatica, si articola attraverso diverse fasi:

1. L’Esca via Email o SMS: La vittima riceve un’email (o talvolta un SMS – in tal caso si parla di “smishing”) che sembra provenire da un ente ufficiale. In un caso specifico segnalato, i truffatori hanno abusato del nome e del logo della stessa AgID, utilizzando un dominio ingannevole come agidgov[.]com (non riconducibile all’Agenzia). L’oggetto del messaggio è spesso allarmistico, come ad esempio “Sospensione imminente SPID: azione obbligatoria” o avvisi simili relativi a presunte scadenze o necessità di aggiornamento documentale. In altre varianti, i messaggi possono sembrare inviati dall’INPS o da altri provider di identità digitale.
2. Il Reindirizzamento al Sito Clone: Il messaggio fraudolento invita l’utente a cliccare su un link o un pulsante (ad esempio, “Aggiorna la Documentazione”) per risolvere il presunto problema. Questo link, però, non conduce al sito ufficiale dell’ente, bensì a un portale clone, creato ad arte dai criminali. Grazie all’impiego, in alcuni casi, di tecniche di intelligenza artificiale, questi siti falsi possono replicare in modo sorprendentemente accurato la grafica, il linguaggio e l’interfaccia utente dei siti legittimi, rendendo difficile per l’utente medio riconoscere l’inganno.
3. Il Furto delle Credenziali e dei Dati: Una volta sul sito malevolo, all’utente viene richiesto di inserire le proprie credenziali SPID (username e password). Ma il furto non si ferma qui: la campagna mira anche a sottrarre copie di documenti di identità (carta d’identità, patente, tessera sanitaria) e persino video registrati dalla vittima stessa, seguendo istruzioni specifiche fornite dai truffatori per una finta procedura di riconoscimento (ad esempio, “Guarda verso la telecamera. Rimani serio, poi sorridi”).
4. Le Conseguenze: Con queste informazioni, i cybercriminali possono accedere a tutti i servizi online che richiedono SPID a nome della vittima, come quelli dell’Agenzia delle Entrate, dell’INPS, o servizi sanitari. Possono modificare dati personali, richiedere bonus o finanziamenti, effettuare pagamenti, cambiare l’IBAN per l’accredito di rimborsi o stipendi, e nel peggiore dei casi, attivare prestiti fraudolenti, con danni economici e personali significativi.

Il CERT-AgID, una volta individuate queste campagne, si adopera per richiedere la disattivazione dei domini malevoli e diffonde gli Indicatori di Compromissione (IoC) per allertare le strutture accreditate e contrastare la diffusione dell’attacco. Tuttavia, la vigilanza degli utenti rimane cruciale.

Phishing Sempre Più Sofisticato: L’Intelligenza Artificiale al Servizio della Truffa

Il fenomeno del phishing si è evoluto drasticamente. Non ci si trova più di fronte a email sgrammaticate o siti palesemente falsi. L’utilizzo dell’intelligenza artificiale da parte dei criminali informatici permette di generare contenuti e siti web contraffatti quasi indistinguibili dagli originali. Questo rende la difesa ancora più complessa, poiché la tradizionale attenzione a errori grossolani potrebbe non essere più sufficiente.

Consigli per Evitare le Truffe SPID e Proteggere la Propria Identità Digitale

La consapevolezza e l’adozione di buone pratiche sono fondamentali per difendersi dal phishing SPID:

• Massima Attenzione a Email e SMS Sospetti: Diffidare sempre di comunicazioni inattese che richiedono azioni urgenti relative al proprio SPID, specialmente se contengono link o allegati. Le istituzioni pubbliche e gli Identity Provider SPID solitamente non richiedono l’inserimento diretto delle credenziali SPID tramite email o SMS, né inviano link cliccabili per l’aggiornamento dei dati in questo modo.
• Verificare Sempre l’Indirizzo del Mittente e l’URL: Prima di cliccare su qualsiasi link, controllare attentamente l’indirizzo email del mittente (spesso simile ma non identico a quello ufficiale) e l’URL (indirizzo web) a cui punta il collegamento. Passare il mouse sopra il link senza cliccare può rivelare l’indirizzo reale. In caso di domini ingannevoli (es. agidgov[.]com invece del corretto agid.gov.it), la differenza, seppur minima, è un campanello d’allarme.
• Non Inserire Mai Credenziali su Siti Raggiunti da Link Sospetti: Accedere ai servizi che richiedono SPID digitando manualmente l’indirizzo del sito ufficiale nella barra del browser o utilizzando i preferiti precedentemente salvati.
• Controllare la Sicurezza del Sito: Verificare sempre che la connessione sia sicura (presenza del lucchetto chiuso e “https” nell’indirizzo web) prima di inserire qualsiasi dato personale, sebbene anche i siti di phishing più sofisticati possano oggi presentare un certificato SSL.
• Nessuna Urgenza: Diffidare da messaggi che creano un senso di panico o urgenza, spingendo ad agire impulsivamente. I truffatori sfruttano queste leve psicologiche.
• Attivare l’Autenticazione a Due Fattori (2FA): Laddove il proprio Identity Provider SPID lo consenta e per tutti gli account online sensibili, abilitare l’autenticazione a due fattori aggiunge un importante livello di sicurezza.
• Monitorare gli Accessi al Proprio SPID: Alcuni Identity Provider offrono la possibilità di visualizzare gli accessi effettuati con la propria identità digitale. Controllare periodicamente questa cronologia può aiutare a individuare accessi non autorizzati.
• Non Condividere Documenti Tramite Canali Non Sicuri: Evitare di inviare copie di documenti personali via email o app di messaggistica non protette se non assolutamente necessario e solo a destinatari verificati.
• In Caso di Dubbio, Contattare Direttamente l’Ente: Se si riceve una comunicazione sospetta, non rispondere e non cliccare su nulla. Contattare direttamente l’ente (AgID, INPS, il proprio Identity Provider SPID, ecc.) utilizzando i canali di comunicazione ufficiali (numeri di telefono o indirizzi email presenti sui loro siti web) per chiedere conferma. È possibile inoltrare le email sospette a malware@cert-agid.gov.it per una verifica.

Cosa Fare se si Sospetta di Essere Vittima di Phishing SPID

Se si teme di essere caduti nella trappola e di aver fornito le proprie credenziali SPID o altri dati personali:

1. Sporgere Immediatamente Denuncia: Recarsi al più presto presso un ufficio della Polizia Postale e delle Comunicazioni per denunciare l’accaduto. Portare con sé tutta la documentazione utile (email o SMS ricevuti, screenshot del sito falso, copie dei documenti eventualmente inviati). È possibile anche effettuare una segnalazione online tramite il portale della Polizia di Stato.
2. Avvisare il Proprio Identity Provider SPID: Contattare immediatamente il fornitore della propria identità SPID per segnalare la possibile compromissione delle credenziali e seguire le loro istruzioni per la messa in sicurezza dell’account (es. cambio password, sospensione temporanea).
3. Cambiare le Password: Modificare immediatamente la password del proprio SPID e di tutti gli altri account online per cui si utilizzavano credenziali simili.
4. Monitorare Conti Bancari e Carte di Credito: Controllare attentamente i movimenti sui propri conti correnti e carte di credito per individuare eventuali transazioni sospette o modifiche non autorizzate (come la variazione dell’IBAN per l’accredito di somme). In caso di anomalie, contattare subito la propria banca.
5. Verificare l’Eventuale Attivazione di SPID Non Autorizzati: Se si sospetta che qualcuno possa aver attivato un’identità SPID a proprio nome senza autorizzazione, è possibile rivolgersi ai singoli Identity Provider per chiedere informazioni. AgID sta lavorando a soluzioni per una verifica centralizzata.

La protezione della propria identità digitale SPID richiede attenzione costante e un approccio critico verso le comunicazioni ricevute. Informarsi e adottare comportamenti prudenti è la prima linea di difesa contro queste minacce sempre più evolute.