Truffa SPID: come rubano la tua identità digitale e cosa rischi davvero

Il Sistema Pubblico di Identità Digitale (SPID) è nato con l’intento di centralizzare il processo di autenticazione degli utenti che intendono accedere ai servizi della Pubblica Amministrazione (PA) e dei soggetti privati che scelgono di abilitare il meccanismo. Sebbene oggi SPID sia implementato lato server solo ed esclusivamente da parte della PA, è un successo nazionale: sono oltre 40 milioni le identità digitali SPID attivate e utilizzate in Italia (fonte AgID, aprile 2025). La struttura distribuita di SPID, articolata oggi su 12 Identity Provider autorizzati (tra cui Poste Italiane, TIM, Aruba, InfoCert, Namirial, Lepida), consente a ogni cittadino italiano di ottenere una o più identità digitali SPID, ciascuna associata al proprio codice fiscale.

Nell’articolo su come funziona SPID abbiamo visto che il meccanismo si fonda su credenziali costituite da un nome utente, una password e – per i livelli 2 e 3 – sistemi di autenticazione a più fattori (MFA), compresi OTP, app dedicate, firme digitali e smart card. Tuttavia, come abbiamo spiegato nell’articolo sulla possibilità di avere due SPID o più, la normativa vigente e le specifiche tecniche di SPID attualmente non prevedono un vincolo di unicità tra codice fiscale e identità digitale. In altre parole, uno stesso individuo può legalmente possedere fino a 12 identità SPID,  tante quante sono i gestori, senza che tra questi vi sia una rete di comunicazione che consenta di verificare l’eventuale esistenza di “duplicati”.

Che in realtà “duplicati” non sono perché, nello schema federato su cui poggia SPID, ogni Identity Provider agisce in maniera completamente autonoma e indipendente da tutti gli altri.

La possibilità di creare più identità SPID per uno stesso codice fiscale

Siamo stati tra i primi, in passato, a evidenziare come fosse possibile – per il cittadino – creare più identità digitali SPID a suo nome, legate al suo personale codice fiscale. E in realtà, l’attivazione di più identità SPID a proprio nome può avere senso.

Ad esempio, si potrebbero voler attivare più SPID, sempre presso Identity Provider diversi, per praticità. Perché la procedura di autenticazione fornita da un gestore è ritenuta più immediata rispetto a un’altra; per avere pronta un'”àncora di salvezza” nel caso in cui l’autenticazione con SPID non funzionasse usando la procedura di un provider (ad esempio per problemi tecnici, succede abbastanza spesso…). Ancora, in caso di smarrimento delle credenziali o difficoltà di recupero, si può temporaneamente utilizzare un secondo SPID, anche se in questi casi è generalmente consigliato tentare il recupero delle credenziali piuttosto che creare un nuovo SPID.

SPID è a nostro avviso una delle migliori innovazioni mai introdotte in Italia nei rapporti con la PA, e ciò indipendentemente dal fatto che il Governo sembri voler investire in maniera convinta sulla CIE (la cui autenticazione è sempre di livello 3 richiedendo un lettore di smart card o chip NFC lato smartphone). In un altro articolo abbiamo parlato delle differenze tra SPID e CIE.

Vale la pena ricordare, comunque, che l’identità SPID è strettamente personale e che non può essere gestita da terzi, neppure da familiari. In alcuni casi la PA consente a una persona (delegato) di operare per conto dell’interessato, ma con SPID proprio, non utilizzando quello altrui.

Come nasce la truffa SPID di cui tanto si parla

Purtroppo, però, i truffatori hanno immediatamente intuito le opportunità derivanti dalla registrazione di un’identità SPID a nome di un cittadino terzo (inconsapevole).

Diversi Identity Provider offrono procedure di riconoscimento online basate su immagini statiche, video, selfie o firma elettronica semplice. Tali modalità, senza un controllo biometrico certificato o l’obbligo di verifica fisica, risultano aggirabili.

Fantascienza? Tutt’altro. Sono tanti i cittadini che lamentano di aver subìto danni economici a valle dell’attivazione, da parte di terzi, di identità SPID a loro nome. Anche perché in molti casi non serve neppure un video: bastano una foto del volto e la copia di un documento d’identità in corso di validità.

Dati raccolti dai criminali informatici con attività phishing e infostealer

Le identità SPID fraudolente sono attivate a partire da documenti rubati o clonati tramite:

• Phishing e Smishing mirati, in cui email o SMS convincono l’utente a caricare carta d’identità, codice fiscale e selfie/video di verifica.
• Data breach a danno di terze parti (provider telefonici, e-commerce, agenzie interinali).
• Truffe legate a offerte di lavoro fittizie (esortazioni ricevute per telefono o mediante altri canali per l’invio di CV con documenti allegati).
• Malware infostealer, in grado di sottrarre documenti sensibili da dispositivi compromessi.

Il fatto che 16 miliardi di credenziali trafugate dai dispositivi degli utenti siano finite online (e non si tratterebbe di informazioni provenienti da precedenti violazioni) dà il senso del problema.

Impatti reali: dalla sottrazione dei fondi alla responsabilità legale

La truffa SPID, con l’attivazione di identità digitali all’insaputa del cittadino, può avere implicazioni devastanti:

• Cambio IBAN per ricezione pensioni, stipendi PA, bonus INPS, rimborsi fiscali.
• Accesso illecito ai portali INPS, Agenzia Entrate, NoiPA, PagoPA e così via.
• Modifica o cancellazione di dati anagrafici o patrimoniali.
• Attivazione di pratiche edilizie, legali o fiscali a nome della vittima.
• Apertura di conti o effettuazione di operazioni KYC per finalità criminali.

In molti casi, il danno economico non è rimborsabile o lo è seguendo un percorso ad ostacoli, a meno che non si provi un evidente comportamento negligente da parte del provider. La prova della frode ricade sulla vittima, che si trova a dover dimostrare la mancata titolarità di un’identità digitale a suo nome.

Come difendersi dalla truffa SPID

La responsabilità della truffa SPID è ovviamente in capo ai truffatori ma ottenere giustizia e recuperare il proprio denaro potrebbe essere davvero molto complesso.

E allora, è importante agire con la massima cautela, evitando di cadere nelle maglie del phishing, di fornire documenti e altri dati personali a sconosciuti, di trasferire dati personali e identificativi a terzi attraverso canali intrinsecamente insicuri. Qualche consiglio pratico:

Proteggi i tuoi dati personali

• Non inviare mai foto di documenti via email, WhatsApp o siti non certificati.
• Diffida di chi chiede i tuoi documenti per attivare SPID per conto tuo, anche se sembra un professionista o un “servizio di assistenza”.
• Controlla che i siti dei provider SPID abbiano HTTPS, siano ufficiali e non siano cloni.

Attiva SPID solo tramite canali ufficiali

• Se devi attivare SPID, fallo di persona o con video riconoscimento su portali ufficiali.
• Se usi un operatore (CAF, patronato, ecc.), firma sempre una liberatoria e assicurati che l’identità venga creata solo con le tue credenziali private, che riceverai direttamente.

Monitora gli accessi ai servizi SPID

Alcuni servizi pubblici (es. INPS, Agenzia delle Entrate,…) mostrano l’elenco degli ultimi accessi effettuato oppure inviano notifiche tramite email:

• Se trovi accessi sospetti, potrebbero indicare l’uso fraudolento di uno SPID a tuo nome.
• Attiva 2FA (autenticazione a due fattori) ovunque sia possibile.

Consapevolezza digitale: educazione personale

• Impara a riconoscere phishing e siti falsi.
• Diffida di link ricevuti via SMS o email che richiedono SPID o credenziali.
• Controlla sempre che i provider SPID siano certificati da AgID.

Verifica se esistono SPID a tuo nome

Ai sensi del Regolamento generale sulla protezione dei dati (GDPR, articolo 15), il cittadino ha sempre la facoltà di richiedere l’accesso ai dati personali. Accedendo all’elenco degli Identity Provider accreditati da AgID, si possono trovare gli indirizzi email dei gestori da contattare nel caso in cui si avessero dubbi circa l’attivazione di identità SPID a proprio nome.

Il tassello mancante: l’assenza di un sistema centralizzato per la gestione delle identità SPID

Il concetto di federazione, peraltro validissimo, è la ragione principale per cui non esiste un portale centralizzato per SPID. In questa architettura, ogni Identity Provider gestisce autonomamente il proprio database di identità e non c’è un registro centralizzato a disposizione dell’utente o dell’Amministrazione per vedere tutte le identità SPID associate a un codice fiscale.

I vantaggi tecnici sono evidenti: il modello federato assicura massima concorrenza tra Identity Provider, punta sul concetto di scalabilità (ogni provider gestisce il proprio carico), non esiste un singolo punto di fallimento (resilienza).

Quello che si potrebbe fare, a nostro avviso, senza bisogno di “reinventare la ruota”, è inviare una notifica al cittadino nel momento in cui un Identity Provider procede con la registrazione di un’identità digitale SPID a suo nome (codice fiscale) e ogni volta che si effettua un accesso con SPID su qualunque sito. I contatti del cittadino potrebbero essere facilmente reperibili attraverso servizi come l’Anagrafe Nazionale, nel caso in cui lo stesso soggetto non si servisse ad esempio dell’app IO.