Dal 2006 il tuo sito imparziale su Lavoro, Fisco, Investimenti, Pensioni, Aziende ed Auto

Spid clonati per rubare stipendi agli statali, come avviene la truffa e come difendersi.

di Marianna Quatraro pubblicato il
spid, truffa, statali

Come funziona la truffa degli Spid per rubare gli stipendi degli statali e come sono stati rafforzati i sistemi di accesso a NoiPa per evitarla

L’aumento delle truffe che sfruttano identità digitali clonate attraverso il Sistema Pubblico di Identità Digitale (SPID) ha evidenziato una criticità significativa per numerosi dipendenti pubblici. Questo problema, sempre più diffuso negli ultimi mesi, ha causato considerevoli danni economici e personali, portando a casi concreti di sottrazione di stipendi e rimborsi fiscali. Il fenomeno, noto popolarmente come clonazione dello SPID, mostra come i cybercriminali riescano a sfruttare le falle nel sistema per accedere alle aree personali dei portali pubblici e modificare informazioni bancarie. La questione interessa particolarmente i dipendenti statali: con milioni di italiani che affidano ogni mese le proprie credenziali digitali a SPID per le procedure amministrative, la vulnerabilità dello strumento mette a rischio dati sensibili e fonti di reddito, generando allarme tra addetti ai lavori e utenti. In sintesi, la tecnica della duplicazione dell’identità digitale statale si è trasformata in una minaccia concreta per la sicurezza economica degli operatori pubblici.

Cosè lo SPID e perché rappresenta un obiettivo per i cybercriminali

SPID, acronimo di Sistema Pubblico di Identità Digitale, è lo strumento ufficiale per accedere in modo sicuro ai servizi online della Pubblica Amministrazione e di enti privati convenzionati (es. INPS, Agenzia delle Entrate, NoiPA). Grazie all’identità SPID, ogni cittadino può autenticarsi digitalmente mediante credenziali rilasciate da uno dei provider autorizzati, in modalità che prevedono vari livelli di sicurezza, incluso l’uso della verifica a due fattori. Tuttavia, alcuni elementi strutturali lo rendono un bersaglio appetibile per i cybercriminali.

Tra questi, l’assenza di un database centralizzato per il monitoraggio delle identità digitali collegate allo stesso codice fiscale, la possibilità di attivare più SPID per una stessa persona usando email e numeri diversi e la mancata notifica automatica al titolare originale in caso di nuove attivazioni. Queste criticità consentono a malintenzionati di creare SPID cloni senza che il vero utente ne sia consapevole. Una volta ottenuto l’accesso ai portali pubblici, i truffatori possono intervenire direttamente su dati delicati come l’IBAN, permettendo il furto dei compensi statali e la sottrazione di informazioni personali. 

Precisiamo che il rischio di furto degli stipendi c'è per gli statali ma, come dimostra la truffa già raccontata, c'è in generale per tutti i dipendenti

Come funziona la truffa del doppio SPID: tutte le fasi del raggiro

La cosiddetta truffa degli Spid segue uno schema che si sviluppa in tre step:

  • Acquisizione dei dati: I malintenzionati raccolgono informazioni sensibili come documenti d’identità, tessere sanitarie e codici fiscali, spesso acquistandoli sui marketplace del dark web o tramite tecniche di phishing e smishing. In alcuni casi ricorrono a malware per intercettare dati personali salvati nei dispositivi delle vittime.
  • Clonazione digitale: Una volta in possesso dei dati necessari, il truffatore registra un secondo SPID a nome della vittima, utilizzando provider diversi, e-mail e numeri di telefono differenti. L’assenza di controlli incrociati tra provider e la possibilità di superare i sistemi di verifica con l’ausilio di tecniche ulteriori (come deepfake) facilitano questa operazione.
  • Dirottamento finanziario: Attraverso il clone SPID, viene modificato l’IBAN sui portali pubblici (INPS, NoiPA, Agenzia delle Entrate), indirizzando stipendi, pensioni e rimborsi direttamente ai conti controllati dai truffatori. La vittima si accorge del raggiro, di norma, solo dopo il mancato accredito o la ricezione di comunicazioni sospette.
Fase Tecnica Utilizzata Obiettivo
Acquisizione Phishing, smishing, dark web, malware Ottenere dati personali e documenti
Clonazione Attivazione nuovo SPID, AI/deepfake Creare identità digitale parallela
Dirottamento Accesso piattaforme PA, modifica IBAN Sottrarre stipendi e altri accrediti

Tecniche di furto dei dati: phishing, smishing, dark web e malware

I furti di identità digitale tramite SPID clonati avvengono con metodi diversi, caratterizzati da un’evoluzione costante delle tattiche di attacco:
  • Phishing: Email che imitano comunicazioni ufficiali, con link a siti clonati, inducono l’utente a inserire credenziali SPID, codici OTP e dati bancari.
  • Smishing: Varianti via SMS, spesso camuffate con l’urgenza di blocchi account o premi fiscali imminenti, persuadono a cliccare su link pericolosi.
  • Raccolta dati nel dark web: Pacchetti di documenti reali, acquistabili a basso costo, sono la base per nuove attivazioni SPID fraudolente.
  • Malware: Virus e software che raccolgono informazioni digitali dai dispositivi, quali foto di documenti o codici OTP.
Da segnalare anche la crescente sofisticazione nel vishing, con telefonate di finti operatori pubblici e la creazione di interfacce digitali clonate che rendono il raggiro più complesso da individuare all’utente medio. Tutte queste tecniche si pongono come rischio costante per chi utilizza SPID, in particolare in periodi sensibili come la stagione fiscale, quando aumentano le campagne fraudolente.

I rischi specifici per dipendenti pubblici e statali: casi reali e dinamiche della truffa

Dipendenti pubblici e statali rappresentano bersagli privilegiati per questo schema fraudolento, data la frequenza con cui utilizzano SPID per accedere a portali come NoiPA, INPS e Agenzia delle Entrate. Sono ormai documentati diversi casi di sottrazione di tredicesima o stipendi, come confermato da fonti di settore e dalla stampa specializzata. La mancanza di un alert sugli accessi o sulle nuove attivazioni complica ulteriormente la situazione: spesso la vittima si accorge della sottrazione solo al momento dell’accredito mancante. La complessità della truffa si manifesta anche nell’impossibilità di verificare, in tempo reale, la presenza di più identità SPID attive a proprio nome: per accertarlo, occorre rivolgersi a ogni provider individualmente. Un caso tipico è quello della dipendente sanitaria la cui tredicesima è stata indirizzata su un conto controllato dai truffatori in seguito a phishing mirato. Situazioni simili hanno colpito anche docenti, con danni che possono coinvolgere rimborsi fiscali e contributi sociali.

L’architettura dello SPID, basata su una logica federata tra più gestori, permette la coesistenza di diverse identità digitali legate allo stesso codice fiscale pur utilizzando email e numeri distinti. L’assenza di verifiche incrociate immediate tra provider e la mancata implementazione di alert per nuove attivazioni favoriscono il fenomeno della duplicazione. Inoltre, la normativa attuale non impone procedure centralizzate per il controllo o la notifica automatica, rendendo difficile tenere traccia delle identità digitali associate a uno stesso cittadino. Ne consegue che il sistema privilegia la semplicità d’uso, a scapito di una sicurezza più rigorosa, e non fornisce strumenti agevoli agli utenti per monitorare potenziali SPID fraudolenti. Ciò determina una maggiore esposizione agli attacchi, specie in presenza di massive violazioni di dati, debolezze nei protocolli di attivazione o nelle procedure di riconoscimento.

Come è stata rafforzata la sicurezza di accesso a NoiPa

Proprio per evitare di incorrere nella truffa degli Spid, è stato rafforzato il sistema di autenticazione alla piattaforma dedicata al personale della pubblica amministrazione.

Ora, infatti, se un utente accede a NoiPA tramite le proprie credenziali Spid, Cie o Cns diverse da quelle abituali (cioè non registrate nel sistema), riceverà un codice OTP via e-mail all’indirizzo associato al proprio profilo NoiPA. 

Questo codice servirà come verifica aggiuntiva per confermare l’identità del dipendente. 

Come difendersi dal furto di identità digitale tramite SPID: strategie pratiche e raccomandazioni

  • Abilitare l’autenticazione a due fattori (2FA) nei servizi online critici, prediligendo app dedicate invece dei codici SMS che possono essere intercettati.
  • Monitorare con frequenza gli accessi e le modifiche sugli account dei portali pubblici, come INPS, NoiPA e Agenzia delle Entrate, includendo la verifica degli IBAN registrati.
  • Verificare la presenza di più SPID attivi scrivendo ai singoli provider e chiedendo controllo approfondito sulle identità digitali associate al proprio codice fiscale.
  • Non inviare mai documenti personali tramite sistemi di messaggistica non sicuri, quali email o WhatsApp non protetti.
  • Gestire le password usando combinazioni complesse e distinte per ciascun account, aggiornandole regolarmente e conservandole solo in strumenti sicuri.
  • Evitare il salvataggio indiscriminato di dati sensibili nei browser o nei cloud se non adeguatamente protetti.
  • Mantenere aggiornato il sistema operativo delle proprie apparecchiature digitali ed evitare l’installazione di app sconosciute, affidandosi a software antivirus aggiornati.
  • Attivare notifiche dalla banca per ricevere alert in tempo reale su ogni movimento sospetto del conto corrente.
  • Diffondere consapevolezza all’interno della propria cerchia familiare e lavorativa, dato che molte vittime sono ignare dell’esistenza di SPID a loro nome.
Seguendo questi accorgimenti, si riduce in maniera significativa il rischio di compromissione e si adottano comportamenti proattivi conformi alle raccomandazioni emanate dalla Polizia Postale e dall’AgID.

Cosa fare in caso di truffa: segnalazioni, denunce e supporto alle vittime

Nel caso in cui ci si renda conto di essere vittime della truffa degli Spid è bene:

  • Contattare quanto prima il proprio identity provider e richiedere il blocco del profilo fraudolento.
  • Presentare denuncia presso la Polizia Postale o ai Carabinieri, specificando dettagliatamente il furto d’identità digitale.
  • Avvisare tempestivamente la banca e richiedere l’immediato blocco di conti o carte compromesse.
  • Richiedere assistenza ad associazioni di tutela consumatori, come Unione Nazionale Consumatori o Codici, per supporto legale e amministrativo.
  • Contattare l’AgID tramite i suoi canali ufficiali, per segnalare l’attivazione sospetta di SPID a proprio nome e ricevere informazioni aggiornate su come tutelarsi.
In questo contesto, l’Unione Europea ha anche avviato l’introduzione del European Digital Identity Wallet (EUDI Wallet) per rispondere alle criticità strutturali dei sistemi di identità digitale come lo SPID. Grazie all’applicazione di regolamenti come eIDAS 2, sarà istituito un sistema centralizzato e più sicuro, con maggiori controlli sulle attivazioni, audit continui e integrità dei dati. L’iniziativa mira a garantire tracciabilità e protezione rafforzata contro i furti d’identità, anche attraverso la verifica biometrica e la gestione unificata delle credenziali, su modello interoperabile europeo. Questo scenario promette nuove tutele per cittadini e amministrazioni pubbliche, ma richiederà ancora tempo prima di una piena implementazione.

 

Leggi anche
StipendiSpid
© 2005-2025 BusinessOnline.it - B76361401 - Calle Muelle Las Palmas 2A Local 1, Las Palmas, Spain 35003
Chi Siamo - Redazione - Contatti - Policy Editoriale - Disclaimer - Note Legali - Privacy - Pubblicità - Cookies - Privacy & Cookies Settings