L’identità digitale è uno strumento comodo e ormai indispensabile, ma proprio per la sua importanza è diventata un bersaglio per i criminali informatici.
Negli ultimi anni si è diffuso un nuovo tipo di frode digitale noto come “truffa del doppio SPID”, che sfrutta in modo illecito il sistema pubblico di identità digitale. Le autorità, tra cui Polizia Postale, AGID e INPS, hanno segnalato il fenomeno invitando i cittadini a prestare particolare attenzione.
Cos’è e come funziona la truffa?
Ogni cittadino può avere più identità SPID rilasciate da diversi gestori, ma tutte devono essere associate alla stessa persona e rispettare rigorosi processi di identificazione. Questo significa che non può esistere un “doppio SPID” legittimo intestato a soggetti diversi con gli stessi dati: quando accade, si tratta di un uso fraudolento dell’identità.
Ecco come si verifica la frode:
-
i truffatori ottengono i dati anagrafici e documenti della vittima (tramite phishing, data breach o social engineering);
-
utilizzano queste informazioni per attivare una nuova identità SPID, presso un gestore diverso, a nome della persona truffata, ma vi associano un numero di telefono e un indirizzo email sotto il loro esclusivo controllo;
-
con lo SPID fraudolento accedono ai servizi online della Pubblica Amministrazione e possono compiere operazioni a nome della vittima, come:
-
richiesta di bonus o prestazioni;
-
modifica dell’IBAN per ricevere pagamenti;
-
consultazione e uso di dati sensibili.
-
Questo tipo di frode è molto dannosa per le vittime: avendo le chiavi d’accesso “ufficiali”, i criminali potranno entrare liberamente in portali fondamentali come quello dell’INPS o dell’Agenzia delle Entrate e potranno così, ad esempio, modificare le coordinate bancarie (IBAN) della vittima per dirottare su conti fraudolenti stipendi, rimborsi fiscali o pensioni. Inoltre, un doppio SPID può essere usato per aprire illecitamente nuovi conti correnti o richiedere prestiti non autorizzati a nome della vittima.
Come difendersi. Le autorità raccomandano alcune misure fondamentali:
-
proteggere i propri dati personali, evitando di condividere documenti e credenziali via email o messaggi;
-
diffidare da comunicazioni sospette (email, SMS, telefonate) che richiedono dati sensibili;
-
verificare periodicamente gli accessi ai propri servizi online (INPS, Agenzia delle Entrate, ecc.);
-
attivare sistemi di sicurezza aggiuntivi (es. autenticazione a due fattori dove disponibile);
-
in caso di sospetto:
-
contattare subito il proprio gestore SPID;
-
segnalare l’accaduto alla Polizia Postale.
-
La cosiddetta “truffa del doppio SPID” è il risultato di furti di identità e uso improprio dei dati personali. Per questo motivo, la difesa più efficace resta la consapevolezza degli utenti e l’adozione di comportamenti prudenti online, in linea con le indicazioni delle istituzioni.
Le minacce informatiche più diffuse in Italia nel 2025.
Sulla base del report CERT-AGID 2025, il panorama delle minacce informatiche in Italia ha visto un’attività intensa con un totale di 3.620 campagne malevole censite. I criminali informatici hanno evoluto le loro tattiche, sfruttando brand istituzionali e nuove tecnologie per ingannare i cittadini.
Ecco le truffe e le tecniche più frequenti emerse nel corso dell’anno:
1. Il boom del phishing a tema PagoPA e “Multe”
Una delle novità più significative del 2025 è stata la comparsa massiva di campagne di phishing che sfruttano in maniera fraudolenta il nome di PagoPA: le vittime ricevono false e-mail di sollecito per presunte sanzioni stradali (multe) non pagate e vengono reindirizzate su pagine contraffatte per rubare dati personali e i dettagli delle carte di pagamento. Sono state censite ben 328 campagne di questo tipo.
2. L’abuso della PEC e dello Smishing
Nel 2025 si segnala inoltre lo sfruttamento delle caselle PEC, utilizzate principalmente per il phishing bancario e per diffondere malware (virus informatici), quasi raddoppiato rispetto al 2024, e lo smishing (SMS fraudolenti). In quest’ultimo caso, sebbene il volume totale degli SMS malevoli sia calato del 23%, è aumentata l’incidenza di quelli finalizzati alla distribuzione di malware. Il tema più sfruttato in questo ambito è l’INPS (59 campagne), seguito da Autostrade per l’Italia e INAIL.
3. Nuove tecniche: ClickFix e Intelligenza Artificiale
Come si legge nel rapporto, il 2025 ha segnato l’adozione di metodi più sofisticati per eludere i controlli di sicurezza come il ClickFix, che induce l’utente a eseguire manualmente comandi sul proprio PC (spesso tramite finti CAPTCHA), avviando così il download di malware e l’uso dell’ Intelligenza Artificiale, impiegata ormai abitualmente per creare messaggi di phishing e smishing linguisticamente perfetti e contestualizzati, rendendo molto più difficile per l’utente riconoscere la truffa attraverso i classici errori formali.
Hai bisogno di informazioni o tutela su questo tema? Visita il nostro portale dedicato alla tutela
