Nel cuore della trasformazione digitale della pubblica amministrazione italiana, SPID è diventato molto più di un sistema di autenticazione. È un sigillo identitario, una chiave d’accesso a diritti fondamentali, un lasciapassare per welfare, previdenza, fisco, sanità. E proprio per questo, oggi è anche uno degli obiettivi privilegiati della criminalità informatica, che ha imparato a colpire non tanto le infrastrutture, ma gli esseri umani: vulnerabili, disattenti, fiduciosi. Negli ultimi mesi, si moltiplicano i casi di frodi ai danni degli utenti SPID: cittadini che scoprono, troppo tardi, che qualcun altro ha fatto richiesta di un secondo SPID a loro nome, ha cambiato l’IBAN per ricevere un rimborso IRPEF, ha presentato una domanda all’INPS, ha consultato il loro fascicolo sanitario. Nessuna password violata, nessun attacco ai sistemi centrali: solo l’illusione, ben orchestrata, che quel messaggio ricevuto sullo smartphone fosse autentico. Il resto lo fa l’ingegneria sociale. Per approfondire il tema, abbiamo pubblicato il volume Investigazioni e prove digitali – Blockchain e Crypto Asset, disponibile su Shop Maggioli e su Amazon
Indice
1. Il lato oscuro della semplificazione
Non c’è ironia, ma una crudele coerenza, nel fatto che uno strumento pensato per rendere più sicuro l’accesso ai servizi digitali si sia trasformato, in certi casi, nella porta d’ingresso per un’identità rubata. SPID è sicuro per design, ma il problema non è (solo) nella tecnologia: è nell’ecosistema. I truffatori non bucano i sistemi: bucano le persone. E lo fanno sfruttando due elementi che la digitalizzazione ha esasperato: la fretta e l’ignoranza funzionale.Chi riceve un SMS da un numero che “sembra” quello dell’Agenzia delle Entrate – con tanto di firma digitale contraffatta, logo istituzionale copiato, link abbreviato che rimanda a un dominio farlocco – raramente si ferma a controllare l’URL, a verificare il certificato del sito, a chiedersi se quell’informazione non potesse arrivare via PEC. Perché siamo stati educati all’immediatezza, all’accesso con un click, alla fiducia cieca nella macchina. E i criminali digitali, che sono tutto fuorché sprovveduti, sanno benissimo come costruire la trappola perfetta: rapida, credibile, automatizzata.
Investigazioni e prove digitali
Il volume si propone come una guida chiara e aggiornata per professionisti del diritto, consulenti forensi, tecnici informatici e forze dell’ordine che devono orientarsi nel complesso panorama dell’investigazione e della prova digitale. Le tecnologie emergenti stanno radicalmente trasformando il contesto giuridico: blockchain, crypto asset, NFT e smart contract, un tempo considerati di nicchia, sono oggi elementi centrali nelle indagini di polizia giudiziaria, nelle controversie civili e nelle consulenze tecniche forensi.Il testo affronta, con taglio pratico, questioni complesse come la tracciabilità delle transazioni su registri distribuiti, l’attribuzione e il sequestro di wallet digitali e la gestione di flussi finanziari illeciti, e i relativi risvolti giuridici: la trasferibilità mortis causa dei crypto asset, i problemi di proprietà e autenticità legati agli NFT, e l’applicazione concreta degli smart contract in ambito patrimoniale e contrattuale.Gli autori, con un solido background pratico, dedicano ampio spazio alle attività investigative in ambienti cifrati, con un focus specifico sulla raccolta, conservazione e analisi della prova digitale, rispondendo alle crescenti esigenze di validità e affidabilità richieste dai contesti giudiziari. MARCO STELLADocente presso l’Accademia e la Scuola di Polizia Economico-Finanziaria della Guardia di Finanza nelle materie di Informatica, Open Source intelligence e investigazioni online. Autore di numerose pubblicazioni e relatore in convegni sui temi della Social Network Analysis, della Blockchain Intelligence e delle applicazioni di Intelligenza Artificiale.
Marco Stella | Maggioli Editore
32.30 €
2. Doppio SPID: la truffa del secondo profilo
Una delle tecniche oggi più insidiose – e più difficili da intercettare – è quella del cosiddetto doppio SPID: la creazione di una seconda identità digitale a nome della vittima, attivata presso un diverso Identity Provider, sfruttando dati anagrafici precedentemente trafugati. In molti casi, il truffatore riesce a farsi rilasciare lo SPID alternativo persino con un selfie contraffatto e documenti digitali manipolati, approfittando delle debolezze nei processi di identificazione remota.Il risultato può essere dirompente: un soggetto terzo può agire come se fosse la vittima, entrare in sistemi pubblici e privati, cambiare informazioni sensibili, avviare pratiche amministrative. E poiché non c’è, ad oggi, un meccanismo di notifica tra gli Identity Provider o una black list centralizzata, la vittima spesso non viene avvisata. Si accorge della frode solo quando è troppo tardi – ad esempio, quando arriva un rimborso IRPEF mai richiesto, o quando scopre un accesso sospetto nel fascicolo sanitario elettronico.
Potrebbero interessarti anche:
3. Colpa di chi?
È troppo semplice, e francamente pigro, scaricare tutta la responsabilità sull’utente poco attento. L’ecosistema digitale pubblico italiano continua a basarsi su una fiducia implicita nel comportamento diligente del cittadino, ma lo fa senza fornirgli strumenti reali di controllo e autodifesa. E nel frattempo, le piattaforme degli Identity Provider – da PosteID a Lepida, da Aruba a TIM, ma sono solo esempi– non sempre adottano misure robuste di verifica dei duplicati, né procedure di audit trasparente.Il Garante per la protezione dei dati personali, da parte sua, ha più volte richiamato l’attenzione sulla necessità di accountability nella gestione delle identità digitali. Il GDPR impone a tutti i titolari e responsabili del trattamento di garantire non solo la sicurezza dei dati, ma anche l’integrità dei processi. E se una procedura di riconoscimento remoto si presta a essere manipolata con strumenti di deepfake, c’è un evidente deficit di accountability.
4. Prevenzione: tra diritto e tecnica
Come sempre, la risposta efficace è ibrida: tecnica, giuridica, culturale. Serve una riforma dell’architettura SPID che introduca tracciabilità centralizzata degli accessi, sistemi di alert cross-provider, riconoscimento forte obbligatorio per operazioni critiche. Ma serve anche un’educazione civica digitale: corsi reali per i cittadini, campagne di sensibilizzazione serie (non i volantini da sportello), integrazione della cultura della sicurezza nei programmi scolastici.Dal punto di vista giuridico, occorre chiarire la responsabilità solidale tra Identity Provider e utenti, anche alla luce degli artt. 5, 24 e 32 del GDPR, che impongono misure tecniche e organizzative adeguate al rischio. È inaccettabile che, in caso di frode, la vittima si ritrovi in un limbo: abbandonata dalla PA, ignorata dagli operatori, in balia di un labirinto procedurale per “dimostrare” di non aver mai fatto certe operazioni.
5. Prevenzione pratica: strumenti e consapevolezza
Parlare di prevenzione, quando si tratta di identità digitale, non significa stilare l’ennesimo elenco sterile di “buone pratiche” da manuale. Significa comprendere, con lucidità, che la protezione passa per un cambio di postura: dalla fiducia cieca alla vigilanza informata.
Primo: mai cliccare su link contenuti in SMS o e-mail, soprattutto se richiedono accessi urgenti o offrono rimborsi miracolosi. I truffatori contano proprio su questo: sull’impulso, sulla distrazione, sulla familiarità apparente di una comunicazione che sembra istituzionale. E invece, no. In caso di dubbio, accedere sempre manualmente ai portali ufficiali, digitando l’indirizzo nel browser.
Secondo: verificare regolarmente lo stato della propria identità digitale, accedendo ai portali degli Identity Provider e controllando le operazioni effettuate, i dispositivi autorizzati, le modifiche ai dati. Non tutti i provider offrono strumenti avanzati di controllo, ma laddove disponibili vanno usati con sistematicità.
Terzo: attivare l’autenticazione a due fattori ovunque sia possibile. Non tutti i servizi SPID lo prevedono di default, ma laddove previsto – ad esempio per operazioni INPS o Agenzia delle Entrate – è sempre preferibile l’accesso tramite app mobile con conferma biometrica, rispetto alla sola password.
Quarto: verificare i propri dati nei principali portali pubblici (INPS, Agenzia delle Entrate, fascicolo sanitario elettronico, ecc.) e segnalare immediatamente anomalie, modifiche non autorizzate o richieste anomale. Molti attacchi restano invisibili proprio perché non viene effettuato alcun controllo successivo all’accesso.
Scrivi un commento
Accedi per poter inserire un commento