La truffa del “doppio SPID” rappresenta una minaccia sempre più concreta e sofisticata per i cittadini italiani che utilizzano il Sistema Pubblico di Identità Digitale (SPID) per accedere ai servizi online della Pubblica Amministrazione. Questo strumento, ormai fondamentale per milioni di persone, è diventato un obiettivo primario per i cybercriminali, che sfruttano la sua centralità e la quantità di dati sensibili ad esso collegati per perpetrare frodi con gravi conseguenze economiche e personali.

La tecnica del “doppio SPID” si basa sull’acquisizione fraudolenta dei documenti personali della vittima, come carta d’identità, tessera sanitaria o patente di guida. Questi dati possono essere ottenuti attraverso diverse modalità, tra cui:

• Phishing: Email, SMS o messaggi sui social media che imitano comunicazioni ufficiali di enti pubblici o fornitori di servizi SPID, inducendo la vittima a rivelare i propri dati o a cliccare su link malevoli.
• Furto di dati (Data Breach): Violazioni di database di aziende o enti che contengono informazioni personali degli utenti.
• Malware: Software dannoso installato sui dispositivi della vittima che può intercettare dati sensibili.
• Social Engineering: Tecniche di manipolazione psicologica per convincere la vittima a fornire volontariamente i propri dati.

Una volta in possesso dei documenti, i truffatori procedono alla creazione di un secondo SPID a nome della vittima, utilizzando un indirizzo email e un numero di telefono diversi da quelli associati all’identità digitale legittima. La normativa italiana consente la creazione di più identità digitali per lo stesso soggetto fiscale, e i criminali sfruttano questa possibilità, spesso utilizzando numeri di telefono temporanei o indirizzi email fittizi.

Con il “doppio SPID”, i truffatori possono accedere a numerosi servizi online della Pubblica Amministrazione, tra cui:

• INPS: Consultazione di cedolini pensione, verifica di pagamenti, presentazione di domande (pensione, NASpI), ottenimento dell’ISEE.
• Agenzia delle Entrate: Accesso al cassetto fiscale, download di certificazioni, presentazione della dichiarazione dei redditi, richiesta di rimborsi, visure catastali.
• Agenzia delle Entrate-Riscossione: Verifica della situazione debitoria, accesso a procedure di rottamazione.
• Altri servizi: Accesso al servizio civile universale, verifica del saldo punti patente, stato pagamenti bollo auto e revisione.

L’obiettivo principale della truffa è la deviazione di pagamenti. I criminali, una volta entrati nell’area riservata della vittima, possono modificare l’IBAN associato ai pagamenti (come pensione, stipendio o rimborsi fiscali), dirottando le somme su conti correnti da loro controllati.

Le segnalazioni di questa tipologia di frode sono in aumento nel corso del 2025, come evidenziato da recenti allarmi lanciati da associazioni di consumatori e siti specializzati. Le autorità, tra cui l’AGID (Agenzia per l’Italia Digitale) e la Polizia Postale, raccomandano la massima attenzione e l’adozione di misure di sicurezza rigorose. Si parla anche di clonazione di identità digitali SPID, con account legittimi compromessi e utilizzati per scopi fraudolenti.

È fondamentale che i cittadini siano consapevoli di questa minaccia e adottino comportamenti prudenti per proteggere la propria identità digitale e i propri dati finanziari. In caso di sospetta attività fraudolenta, è cruciale agire tempestivamente per limitare i danni.

Decalogo per Evitare e Risolvere Problemi con la Truffa dello SPID:

1. Massima Protezione dei Documenti Personali: Non condividere mai copie di carta d’identità, tessera sanitaria, patente o altri documenti sensibili tramite canali non sicuri come email, messaggi istantanei o social media. Conservali in luoghi sicuri, sia fisici che digitali.
2. Attivare Sempre la Verifica a Due Fattori: Abilita l’autenticazione a due fattori (OTP) per l’accesso al tuo SPID e a tutti i servizi online che lo supportano (email, home banking, ecc.). Questo aggiunge un ulteriore livello di sicurezza in caso di furto della password.
3. Non Cliccare su Link Sospetti: Evita di cliccare su link contenuti in email, SMS o messaggi sospetti che richiedono l’inserimento delle tue credenziali SPID o di fornire informazioni personali. Verifica sempre l’indirizzo del sito web prima di inserire dati sensibili. In caso di dubbi, contatta direttamente l’ente o il fornitore del servizio tramite i canali ufficiali.
4. Verificare l’Autenticità delle Comunicazioni: Diffida da email, SMS o telefonate inattese che ti richiedono urgentemente di fornire i tuoi dati SPID o di effettuare operazioni. Le comunicazioni ufficiali raramente richiedono l’inserimento di credenziali in questo modo. Contatta sempre il fornitore del servizio tramite i canali ufficiali per verificare la legittimità della richiesta.
5. Monitorare Regolarmente gli Accessi al Proprio SPID: Se il tuo provider SPID offre questa funzionalità, controlla periodicamente la cronologia degli accessi per verificare che non ci siano attività sospette o accessi non autorizzati.
6. Utilizzare Password Forti e Cambiarle Regolarmente: Scegli password complesse e uniche per l’account associato al tuo SPID e per gli altri servizi online. Cambiale periodicamente e non riutilizzare la stessa password per più account.
7. Evitare Reti Wi-Fi Pubbliche Non Sicure: Non accedere al tuo SPID o a servizi sensibili (come l’home banking) tramite reti Wi-Fi pubbliche non protette. Se necessario, utilizza una connessione VPN (Virtual Private Network) per crittografare il tuo traffico internet.
8. Installare e Mantenere Aggiornato un Software Antivirus: Proteggi i tuoi dispositivi (computer, smartphone, tablet) con un software antivirus e antimalware affidabile e mantienilo sempre aggiornato per rilevare e bloccare eventuali minacce.
9. Segnalare Immediatamente Attività Sospette: Se noti qualsiasi attività sospetta legata al tuo SPID (accessi non autorizzati, email strane, tentativi di phishing), segnalalo immediatamente al tuo provider SPID e alla Polizia Postale (tramite il sito web ufficiale o recandoti presso un commissariato).
10. In Caso di Furto o Smarrimento di Documenti o Credenziali SPID: Se perdi o ti vengono rubati i documenti personali o sospetti che le tue credenziali SPID siano state compromesse, contatta immediatamente il tuo provider SPID per bloccare o revocare l’identità digitale e sporgi denuncia alle autorità competenti. Richiedi anche il blocco e la sostituzione dei documenti smarriti o rubati.

Adottando queste precauzioni e rimanendo vigili, è possibile ridurre significativamente il rischio di cadere vittima della truffa del “doppio SPID” e proteggere la propria identità digitale e i propri dati finanziari.