Passa ai contenuti principali

Una legge per sapere quanti SPID esistono sul tuo nome. Come fermare la truffa del “doppio SPID” ?

Negli ultimi mesi è emerso con forza un nuovo raggiro legato allo SPID: la truffa del doppio SPID, in cui malintenzionati, usando dati personali rubati, riescono a creare un secondo SPID intestato alla stessa persona. Una volta che questo SPID “clonato” viene usato per accedere a servizi online, trasferire fondi, percepire pagamenti automatici o bonus, il danno può essere molto grave.

Il problema nasce da alcune lacune che oggi rendono possibile questa frode:
- non c’è uno strumento centralizzato visibile al cittadino che permetta di verificare tutte le identità digitali SPID collegate al proprio nome o codice fiscale;
- alcuni requisiti come l’uso del numero di cellulare o dell’email non sono sufficientemente controllati o univoci;
- le procedure di identificazione o riconoscimento del richiedente SPID possono essere aggirate se si possiedono dati rubati (documenti, email, numero di telefono etc.).

Per evitare o quantomeno rendere molto più difficili questi scenari, si potrebbe proporre che venga introdotta una legge o regolamento che stabilisca quanto segue:
- Registro unico delle identità SPID per individuo
Ogni cittadino potrà accedere (via portale sicuro dell’AgID) a un registro che mostra tutte le identità SPID attive collegate al suo nome / codice fiscale, con data di rilascio, provider (gestore), livello SPID (1, 2 o 3), email e numero telefonico associato.
- Obbligo di notifica al cittadino in caso di nuova identità SPID su suo nome
Se una nuova SPID viene abilitata con il suo codice fiscale, inviare una notifica automatica al suo indirizzo email / numero telefono già certificato, con possibilità di contestare immediatamente.
- Ulteriori vincoli all’associazione di numero di telefono / email
Ad oggi la Direttiva AgID n. 31 già stabilisce che non è più ammesso utilizzare lo stesso numero di cellulare su più di un’identità SPID associata a titolari diversi.
Ma occorre rafforzare questo: per esempio, se il numero di telefono è stato riassegnato, deve essere sempre verificato in che data è stato assegnato al nuovo titolare, per evitare che un numero “ereditato” permetta furti di SPID.
- Identificazione più robusta alla creazione dello SPID
Verifica biometrica e contestuale (ad esempio con videochiamata o riconoscimento facciale) se ci sono segnali di rischio (es: dati duplicati, email simili, richieste da IP sospetti)
- Standard minimi obbligatori per tutti i gestori SPID su come raccogliere le prove dell’identità: documenti, foto, video, elementi verificabili da fonti terze
- Audit e log accessibili
Il cittadino dovrebbe poter scaricare o vedere parti dei log relativi alle sue identità digitali SPID: login recenti, tentativi di accesso, provider che hanno emesso SPID a suo nome, date. Questo aiuterebbe a rilevare attività sospette.
- Responsabilità e sanzioni
Se un provider emette SPID senza verifiche adeguate, o permette che uno stesso soggetto abbia SPID multipli senza che ne sia informato, deve essere sanzionato secondo regole chiare.

Fino a che queste riforme non diventano legge, ecco alcune misure concrete che gli utenti e i provider possono adottare:
- gli utenti dovrebbero controllare regolarmente con il loro provider SPID se esistono più identità intestate a loro; chiedere una “dichiarazione” ufficiale del provider sull’unicità o meno del SPID per il proprio codice fiscale.
- conservare con cura documento d’identità, non condividere foto, evitare phishing / smishing; usare autenticazione a due fattori ogni volta che è possibile.
- i provider devono implementare controlli di rischio (risk based authentication), monitorare pattern sospetti di richieste SPID duplicati, condividere segnalazioni con AgID o con un organismo certificato.

La truffa del doppio SPID è un chiaro campanello d’allarme: mostra che anche un sistema pensato per aumentare la sicurezza digitale può diventare vulnerabile se le regole non tengono il passo con le frodi. Una legge che garantisca trasparenza, notifica, controllo da parte dei cittadini, e responsabilità dei provider può essere la chiave per evitare altri danni. Perché l’identità digitale non sia un rischio, ma davvero una protezione.
Tag:

Commenti

Posta un commento

Popolari

CTF, talento e gioco di squadra. Il Team Italy pronto alla sfida europea

A Torino è stata presentata la squadra nazionale italiana di cybersicurezza, il Team Italy 2025-2026, composta da dieci studenti selezionati tra licei, istituti tecnici e università chiamati a rappresentare l’Italia nelle prossime competizioni nazionali e internazionali. La squadra parteciperà, a ottobre, allo European Cybersecurity Challenge che si terrà a Varsavia: una vetrina importante dove i giovani talenti mettono alla prova tecniche di difesa e attacco in scenari simulati e controllati. Alla base della preparazione c’è un approccio pratico e collettivo: training e addestramento gratuiti organizzati dal Cybersecurity National Lab del CINI, che trasformano il gioco in formazione concreta per professionisti di domani. Questo percorso mostra come il mondo delle CTF (capture the flag) non sia solo svago ma una palestra fondamentale per allenare competenze applicabili alla protezione di infrastrutture strategiche come ospedali, scuole e aeroporti. Le CTF vanno celebrate: offrono scena...
Posta un commento
Continua a leggere »

Il fantasma di Stuxnet. Quanto siamo pronti a fermare un attacco simile nel 2025

Quindici anni dopo la scoperta di Stuxnet, il malware che nel 2010 dimostrò la possibilità concreta di sabotare un impianto industriale attraverso il codice, la domanda sul ripetersi di un’operazione simile è più attuale che mai. All’epoca, la combinazione di zero-day Windows, driver firmati con certificati contraffatti e la manipolazione dei PLC Siemens che controllavano le centrifughe iraniane segnarono una svolta epocale: per la prima volta un’arma informatica aveva prodotto un effetto fisico su larga scala, nascosta dietro feedback falsificati che trassero in inganno gli operatori. Non era un malware generico, né un ransomware, ma una vera e propria operazione militare digitale disegnata per un obiettivo specifico. Dal 2010 al 2025 lo scenario è cambiato radicalmente. Le infrastrutture industriali sono sempre più connesse con reti IT e servizi cloud, ampliando una superficie d’attacco che un tempo era confinata in ambienti isolati. Le tecniche offensive si sono evolute: non solo ma...
Posta un commento
Continua a leggere »

iPhone 17 Pro, la nuova frontiera della sicurezza Apple

Apple ha presentato con la serie iPhone 17 (incluse le versioni Pro) una delle sue evoluzioni più importanti in ambito sicurezza, puntando esplicitamente a contrastare spyware sofisticati e vulnerabilità di memoria – tipico punto di ingresso per attacchi mirati. Ecco cosa cambia davvero, cosa resta da fare e perché queste novità sono rilevanti per chi si occupa di sicurezza informatica. Quando si parla di sicurezza sui nuovi iPhone 17 Pro, le innovazioni più significative sono: - Memory Integrity Enforcement (MIE): nuova protezione hardware/software “always-on” che combina vari meccanismi per impedire exploit basati su bug di memoria. - Enhanced Memory Tagging Extension (EMTE): è il “cuore” della protezione, su cui si basa la gestione più sicura della memoria, con tagging, confidenzialità dei tag, e allocatori di memoria più robusti. - Applicazione difensiva su aree sensibili del sistema, incluso il kernel e più di settanta processi “userland” considerati ad alto rischio. - MIE avrà ef...
Posta un commento
Continua a leggere »