La nuova truffa che crea un conto corrente con il tuo nome e ruba bonifici e rimborsi fiscali. Come difendersi

Sempre più truffatori riescono ad aprire conti correnti a nome degli utenti per intercettare bonifici e rimborsi fiscali. Il poroblema è che vittime scoprono il problema solo quando vedono sparire somme di denaro attese, come accrediti dello stipendio o rimborsi dell'Agenzia delle entrate. Il metodo utilizzato dai cybercriminali è la creazione di un secondo Spid associato ai dati reali dell'intestatario, ma con credenziali controllate dai truffatori. Questa tecnica permette di accedere a portali governativi e modificare le coordinate bancarie per dirottare i fondi su conti correnti a loro intestati. Approfondiamo tutto:

• Come funziona la frode e perché lo Spid viene sfruttato dai criminali
• Come difendersi e proteggere i propri dati e i propri fondi

Come funziona la frode e perché lo Spid viene sfruttato dai criminali

Il fulcro della truffa si basa sulla possibilità di avere più Spid attivi per la stessa persona, ma associati a provider diversi. Questo consente ai truffatori di creare un'identità digitale parallela, che diventa uno strumento per prendere il controllo delle operazioni finanziarie della vittima. Il primo passo della frode consiste nel reperire le informazioni personali del bersaglio, come codice fiscale, numero di cellulare e copia del documento d'identità. Questi dati sono ottenuti attraverso attacchi di phishing, fughe di dati da database aziendali o tramite acquisti nel dark web.

Una volta ottenuti questi elementi, i criminali procedono alla registrazione di un nuovo Spid, scegliendo un Identity Provider che non abbia già emesso un'identità digitale per quella persona. Poiché il sistema consente più registrazioni, il nuovo Spid risulta legittimo e può essere usato per accedere a numerosi servizi online. A questo punto, gli hacker modificano le coordinate bancarie collegate agli accrediti ufficiali della vittima, dirottando rimborsi fiscali, stipendi o altre entrate su conti fittizi da loro controllati.

Uno dei bersagli di questa truffa è il portale NoiPA, la piattaforma usata per l'accredito degli stipendi ai dipendenti pubblici. Alcuni lavoratori si sono accorti troppo tardi che i loro stipendi venivano versati su conti bancari sconosciuti. L'allarme è scattato quando diverse segnalazioni hanno evidenziato una sistematica alterazione dei dati bancari inseriti sul portale, senza che gli utenti ne avessero mai fatto richiesta. Situazioni simili sono state registrate anche sul portale dell'Agenzia delle entrate, dove i rimborsi fiscali sono stati incassati da conti non appartenenti ai beneficiari legittimi.

Come difendersi e proteggere i propri dati e i propri fondi

Per evitare di cadere vittima di questa pericolosa truffa occorre adottare una serie di misure preventive per ridurre il rischio di esposizione a questi attacchi. La prima azione da compiere è verificare l'esistenza di più Spid attivi a proprio nome, accedendo ai portali degli Identity Provider e controllando se risultano registrazioni non autorizzate. Se si scopre un Spid sospetto, occorre contattare l'ente emittente per chiederne la revoca e segnalare il caso alle autorità.

Un'altra strategia efficace è attivare le notifiche per ogni movimento bancario, così da ricevere un avviso immediato in caso di modifiche delle coordinate associate ai propri accrediti. Molti istituti di credito e piattaforme governative offrono servizi di alert via sms o email, che possono aiutare a individuare attività sospette. È quindi consigliabile verificare periodicamente il portale NoiPA o l'Agenzia delle entrate per controllare che le proprie coordinate bancarie non siano state modificate senza autorizzazione.

Per proteggere le proprie credenziali, non condividere mai documenti d'identità e dati personali con sconosciuti o attraverso email sospette. Gli hacker utilizzano tecniche di ingegneria sociale per convincere le persone a rivelare informazioni sensibili, fingendosi operatori bancari o funzionari pubblici.

L'uso di autenticazione a due fattori è un ulteriore livello di protezione che può aiutare a prevenire accessi non autorizzati. Molti servizi permettono di attivare la verifica tramite codice Otp (One time password) inviato via sms o generato da app dedicate, aumentando così la sicurezza dell'account.