Viviamo in un’epoca in cui la nostra identità digitale è preziosa quanto (se non più) della carta d’identità fisica. In questo contesto, lo SPID – il Sistema Pubblico di Identità Digitale – è diventato lo strumento ufficiale per accedere a servizi pubblici, bonus, fascicoli sanitari, INPS, e altro ancora.
Ma proprio questo successo ha attirato l’attenzione dei cybercriminali. L’ultima truffa che sta circolando si chiama “doppio SPID”: una tecnica subdola che sfrutta non solo la disinformazione, ma una debolezza reale del sistema SPID stesso.
Cos’è uno SPID?
SPID sta per Sistema Pubblico di Identità Digitale ed è un sistema italiano che permette ai cittadini di accedere in modo sicuro e semplice ai servizi online della Pubblica Amministrazione (come il sito dell’Agenzia delle Entrate, INPS, salute.gov.it, ecc.) E a molti servizi privati abilitati, utilizzando un’unica identità digitale.
Cos’è esattamente?
SPID è un insieme di credenziali (username e password) rilasciate da particolari enti chiamati Identity Provider (IdP), che sono soggetti pubblici o privati accreditati. Queste credenziali ti identificano in modo univoco e ti permettono di accedere a tutti i servizi digitali che aderiscono al sistema SPID.
A cosa serve? Accedere ai servizi online della Pubblica Amministrazione
Effettuare pagamenti online verso la PA
- Consultare documenti personali (es. Certificati anagrafici, cartella clinica, stato dei pagamenti)
- Accedere a servizi di banche, utility e altre aziende private che supportano SPID.
Cos’è la Truffa del Doppio SPID:
Questa truffa non sfrutta vulnerabilità tecniche nei sistemi SPID, ma si basa su ingegneria sociale. In pratica, i criminali ti ingannano per convincerti a fornire volontariamente le tue credenziali SPID.
Ecco come funziona, passo dopo passo:
- Contatto iniziale (la trappola)
Ricevi una chiamata, un SMS, un’email o un messaggio WhatsApp da qualcuno che si finge un operatore di banca, di Poste o di un ente pubblico. - Allarme fasullo
Ti viene detto che esiste un secondo SPID attivo a tuo nome, oppure che è in corso un tentativo di accesso fraudolento. - Richiesta d’azione urgente
Ti propongono di bloccare subito questo “SPID duplicato” e ti invitano a collegarti a un sito (fasullo) per confermare la tua identità. - Sito clone perfetto
Il sito è una copia grafica fedele di quello reale (es. Aruba, PosteID, Lepida, ecc.). Tu inserisci credenziali, OTP e PIN, convinto di stare proteggendo il tuo account. - Accesso reale da parte dei truffatori
In tempo reale, usano i tuoi dati per accedere davvero ai servizi SPID a tuo nome, firmare digitalmente documenti, richiedere bonus, accedere a INPS, Agenzia delle Entrate, o perfino aprire conti bancari.
Ma c’è di peggio: anche senza phishing, sei a rischio!
La truffa può funzionare anche senza inganno diretto, perché i tuoi dati personali (nome, codice fiscale, numero di cellulare, email) potrebbero essere già in vendita nel Dark Web, a causa di:
- Violazioni di database online (email, social, ecommerce)
- Furti di credenziali da siti meno sicuri
- Utilizzo di password riutilizzate o troppo deboli.
Vuoi sapere se sei esposto?
Controlla su:
Il paradosso del sistema SPID: Non c’è difesa contro il doppio SPID
Ecco il vero problema di fondo: non esiste alcuna barriera tecnica che impedisca la creazione di più identità SPID per lo stesso codice fiscale.
Cosa significa in concreto?
- Anche se hai già uno SPID attivo con, per esempio, Poste Italiane…
- …un malintenzionato può attivarne un secondo con un altro provider (es. Aruba, InfoCert, Lepida, ecc.) Senza che il primo venga disattivato o avvisato.
- Il sistema SPID non blocca questa situazione, rendendo possibile una truffa tecnicamente “legittima”, ma gravemente pericolosa.
Come difendersi: le regole fondamentali
- Sii consapevole: il “doppio SPID” è una truffa
Non esiste una notifica o un sistema ufficiale che ti segnali un secondo SPID attivo. Se qualcuno ti avvisa, è quasi sempre un inganno. - Non condividere mai le tue credenziali SPID, OTP o PIN
Nessun ente legittimo (nemmeno la tua banca o la Polizia Postale) te le chiederà mai. - Controlla periodicamente la tua identità digitale
Accedi ai tuoi portali (INPS, Agenzia delle Entrate, App IO) e verifica che non ci siano movimenti anomali. - Contatta i provider SPID e chiedi verifica della tua identità
Puoi chiedere a ciascun provider se risulta un SPID attivo a tuo nome. In caso di dubbi, richiedi la revoca immediata.
Contatta il Tuo Provider SPID – Tutti i Riferimenti Utili
| Provider | Sito Web | Contatti Assistenza |
|---|---|---|
| Aruba | aruabid.it | Tel: 0575 0505 – supporto@aruba.it |
| InfoCert | infocert.it | Tel: 06 83545837 – servizioclienti@infocert.it |
| Lepida | id.lepida.it | Tel: 800 445500 – id@lepida.it |
| Namirial | namirial.it | Tel: 071 9207011 – supporto@namirial.com |
| PosteID | posteid.poste.it | Tel: 800 007777 |
| Sielte | sielteid.it | Tel: 800 11 33 77 – helpdesk@sielteid.it |
| TIM (Trust Technologies) | spid.tim.it | Tel: 800 405800 |
| Intesa (Kyndryl) | spid.intesa.it | helpdesk@intesa.it |
Checklist finale per proteggerti subito
🔲 Hai solo uno SPID attivo? Verificalo con i provider.
🔲 Hai riutilizzato le stesse password su più servizi? Cambiale.
🔲 Hai ricevuto chiamate sospette che parlano di SPID? Ignorale.
🔲 Hai salvato le credenziali SPID su dispositivi poco sicuri? Rimuovile.
🔲 Hai notato accessi strani ai tuoi servizi pubblici? Segnala subito alla Polizia Postale.
Ulteriori informazioni nel dettaglio:
Il sistema SPID, pur sicuro a livello tecnico, ha un punto debole sistemico: permette la creazione di più identità digitali per la stessa persona, rendendo possibile la truffa del “doppio SPID”.Finché non verranno introdotti meccanismi centralizzati di unicità dell’identità digitale, l’unica vera barriera sei tu: la tua attenzione, la tua prudenza e la tua prontezza nel reagire.
