Phishing SPID: La Nuova Minaccia Digitale che Svuota Conti Bancari

Phishing SPID: La Nuova Minaccia Digitale che Svuota Conti Bancari

La minaccia crescente del phishing SPID

Nell’era della digitalizzazione, dove l’accesso ai servizi pubblici passa sempre più attraverso strumenti tecnologici, il rischio di cadere vittima di truffe informatiche è in costante aumento. Tra i nuovi obiettivi dei cybercriminali c’è lo SPID – il Sistema Pubblico di Identità Digitale – ormai indispensabile per accedere ai portali della pubblica amministrazione, bonus, certificati e pratiche online.

Negli ultimi mesi del 2025, si è registrato un preoccupante incremento delle campagne di phishing mirate a rubare le credenziali SPID degli utenti italiani. Queste truffe non solo compromettono l’accesso ai servizi pubblici, ma espongono le vittime a rischi ben più gravi come il furto di identità e il prosciugamento dei conti bancari.

Le nuove tecniche di phishing SPID: SMS e false comunicazioni

La truffa via SMS

L’INPS ha lanciato un allarme l’11 aprile 2025 per segnalare una nuova ondata di truffe digitali. I malintenzionati inviano messaggi SMS che si camuffano da comunicazioni ufficiali, invitando gli utenti a cliccare su link fraudolenti per aggiornare i propri dati. I siti imitano perfettamente quello dell’INPS, ma servono solamente a raccogliere informazioni sensibili: dati personali, codice fiscale, IBAN, documenti e persino selfie o video.

È importante sottolineare che l’INPS, in una nota ufficiale, ha chiarito che “le notifiche ufficiali dell’Istituto inviate via SMS, relative ai risultati di elaborazione delle pratiche o ai pagamenti, non contengono mai link cliccabili”.

La falsa email di AgID

Il CERT-AgID (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) ha individuato una nuova campagna di phishing che utilizza in modo fraudolento il nome e il logo di AgID per sottrarre agli utenti username e password di SPID e altri documenti di identità.

Le comunicazioni hanno solitamente come oggetto “Sospensione imminente SPID: azione obbligatoria” e invitano l’utente a cliccare su un link per “aggiornare la propria documentazione”. Una volta fatto click sul pulsante, viene aperto un sito malevolo che richiede il caricamento delle credenziali SPID delle vittime, insieme a copie di documenti di identità e video registrati, fornendo istruzioni molto specifiche per la procedura di riconoscimento, come “Guarda verso la telecamera. Rimani serio, poi sorridi”.

La pericolosa truffa del “Doppio SPID”

Una delle frodi più sofisticate e pericolose è la cosiddetta truffa del Doppio SPID. Questa tecnica sfrutta l’ingegneria sociale e la possibilità di attivare più account SPID utilizzando gli stessi dati personali ma con diversi indirizzi email e numeri di telefono.

Come funziona la truffa del Doppio SPID

I truffatori utilizzano dati personali rubati o forniti inconsapevolmente per creare un secondo accesso al sistema SPID. Con questa nuova identità digitale, possono:

  • Aprire conti bancari a nome della vittima
  • Accedere ai dati fiscali della vittima sul sito dell’Agenzia delle Entrate
  • Modificare i dettagli bancari su piattaforme come l’INPS
  • Visualizzare e trasferire eventuali crediti d’imposta
  • Eseguire transazioni finanziarie non autorizzate

Casi di frode significativi

Molte vittime hanno segnalato furti d’identità dovuti a questa truffa. Tra i casi più significativi:

  • Un pensionato lombardo ha scoperto che qualcuno aveva aperto un conto bancario a suo nome dopo aver caricato i suoi documenti online per un procedimento legale. Poco dopo, si è reso conto che il suo IBAN per la pensione era stato modificato e i pagamenti venivano inviati a un conto bancario sconosciuto.
  • Una donna di 40 anni ha notato a dicembre che la sua tredicesima non le era stata accreditata. Dopo aver contattato l’ufficio paghe, ha scoperto che il suo stipendio era stato trasferito a un conto bancario di Milano, aperto fraudolentemente con i suoi dati.

I numeri allarmanti del phishing SPID

Il CERT-AgID, l’ente che monitora la sicurezza digitale nella PA, ha segnalato un forte aumento degli attacchi via SMS: nei primi tre mesi del 2025, sono stati scoperti 33 domini falsi collegati all’INPS. I dati rubati finiscono spesso nel dark web, dove vengono venduti insieme a selfie e copie di documenti.

Questi numeri evidenziano la crescente sofisticazione delle tecniche di phishing e l’urgente necessità di aumentare la consapevolezza tra gli utenti.

Come proteggersi dalle truffe SPID

Riconoscere i segnali di allarme

  1. Diffidare dei messaggi urgenti: Le comunicazioni ufficiali degli enti pubblici non contengono mai toni allarmistici o minacce di sospensione immediata dei servizi.
  2. Verificare i link: Prima di cliccare, controlla l’URL completo. Spesso i siti di phishing utilizzano domini simili ma non identici a quelli ufficiali (es. “agidgov.com” invece di “agid.gov.it”).
  3. Attenzione agli errori grammaticali: Le comunicazioni ufficiali sono sempre scritte in italiano corretto, senza errori ortografici o grammaticali.
  4. Controllare l’indirizzo del mittente: Gli enti pubblici utilizzano sempre domini ufficiali (es. @inps.it, @agid.gov.it).

Misure preventive

  1. Utilizzare autenticazione a due fattori: Attiva sempre l’autenticazione a due fattori per il tuo SPID, aggiungendo un ulteriore livello di sicurezza.
  2. Aggiornare regolarmente le password: Cambia periodicamente le tue credenziali SPID e utilizza password complesse e uniche.
  3. Controllare regolarmente gli accessi: Verifica periodicamente gli accessi al tuo account SPID per individuare eventuali attività sospette.
  4. Utilizzare app di sicurezza: Considera l’uso di app di sicurezza per la generazione di codici temporanei invece degli SMS, che possono essere intercettati.
  5. Mantenere aggiornati i dispositivi: Assicurati che il sistema operativo e i browser che utilizzi siano sempre aggiornati all’ultima versione.

Cosa fare se si è caduti vittima di phishing

  1. Cambiare immediatamente le credenziali: Se sospetti di essere caduto in una truffa, cambia immediatamente username e password del tuo SPID.
  2. Contattare il gestore SPID: Informa il tuo gestore di identità SPID dell’accaduto per bloccare eventuali accessi non autorizzati.
  3. Denunciare l’accaduto: Presenta una denuncia alla Polizia Postale e contatta il call center INPS al numero 803.164.
  4. Segnalare il phishing: Inoltra i messaggi sospetti all’indirizzo malware@cert-agid.gov.it.
  5. Monitorare i conti bancari: Controlla frequentemente i tuoi conti bancari per individuare eventuali transazioni sospette e, in caso positivo, contatta immediatamente la tua banca.
  6. Verificare l’IBAN registrato presso l’INPS: Se sei un pensionato o ricevi pagamenti dall’INPS, verifica che l’IBAN registrato sia corretto.

Le iniziative istituzionali contro il phishing SPID

L’AgID ha intensificato le proprie attività volte al rafforzamento della sicurezza del sistema SPID. Tra le iniziative adottate:

  • Richiesta di disattivazione dei domini malevoli: L’AgID richiede prontamente la disattivazione dei domini fraudolenti identificati.
  • Diffusione di dati di contrasto: L’Agenzia diffonde i dati di contrasto alle campagne di phishing attraverso il suo Feed IoC a tutte le strutture accreditate.
  • Campagne di sensibilizzazione: Vengono regolarmente promosse iniziative per aumentare la consapevolezza degli utenti sui rischi del phishing.
  • Collaborazione con le forze dell’ordine: L’AgID collabora attivamente con la Polizia Postale per contrastare le frodi informatiche.

Il futuro della sicurezza SPID

Con l’aumento degli attacchi di phishing, è probabile che nei prossimi mesi assisteremo a un rafforzamento delle misure di sicurezza per il sistema SPID. Tra le possibili evoluzioni:

  • Implementazione di sistemi di riconoscimento biometrico: L’utilizzo di impronte digitali o riconoscimento facciale potrebbe diventare standard per l’accesso a servizi sensibili.
  • Abbandono degli SMS come metodo di autenticazione: Data la vulnerabilità degli SMS, si prevede una transizione verso metodi più sicuri come le app dedicate.
  • Monitoraggio avanzato degli accessi: Implementazione di sistemi di intelligenza artificiale per rilevare pattern di accesso anomali e bloccare automaticamente tentativi sospetti.
  • Educazione digitale obbligatoria: Potrebbero essere introdotti brevi corsi di formazione obbligatori prima dell’attivazione di un nuovo SPID.

Il phishing SPID rappresenta una minaccia crescente per la sicurezza digitale degli italiani. La sofisticazione delle tecniche utilizzate dai cybercriminali richiede una maggiore consapevolezza e attenzione da parte degli utenti.

Ricorda sempre che gli enti come INPS e AgID non chiedono mai di fornire credenziali o dati sensibili tramite email o SMS, né inviano link su cui cliccare per aggiornare dati o evitare la sospensione dei servizi.

La protezione della propria identità digitale è una responsabilità personale che richiede vigilanza costante e adozione di pratiche sicure. Seguendo le precauzioni indicate in questo articolo, potrai ridurre significativamente il rischio di cadere vittima di queste pericolose truffe che minacciano non solo il tuo SPID, ma anche i tuoi risparmi e la tua identità digitale.

Mantieniti informato sulle ultime tecniche di phishing e non esitare a segnalare qualsiasi attività sospetta alle autorità competenti. Solo attraverso una collaborazione attiva tra utenti, istituzioni e forze dell’ordine sarà possibile contrastare efficacemente questa crescente minaccia.

Fonte: https://www.cybersecurity360.it/news/phishing-a-tema-spid-attenti-alla-falsa-e-mail-agid-cosi-rubano-le-identita-digitali

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto