Lo SPID ha rivoluzionato il modo in cui i citta?dini italiani interagiscono con la Pubblica Amministrazione e con tantissimi servizi online. È nato con l'intento di semplifica?re l'acce?sso ai portali istituzionali e azien?dali e ha avuto piuttosto successo. Oggi, lo SPID conta più di 39 milioni di account attivi e copre circa il 78% degli adulti in Italia. È un traguardo impres?sionante se consideriamo la digitalizz?azione del Paese come un segno di progresso. Però, il fatto che ci siano così tanti utenti significa anche che ci sono più supe?rfici di attacco e punti deboli.

La truffa del doppio SPID: Un bug sistemico

Il fenomeno della truffa del doppio SPID mette in luce un problema tecnico e organizzativo non da poco. I malint?enzionati riescono ad attivare più credenziali digitali a nome dello stesso contribuente, semplicemente cambiando l'e?mail e il numero di telefono durante la fase di registrazione.

In pratica, il sistema non effettua dei controlli incrociati suff?icientemente rigidi per bloccare la duplicazione dello SPID associato a uno stesso codice fiscale. Fin qui potrebbe sembrare un difetto formale, ma il vero nodo critico è che non vengono inviate delle notifiche al titolare legi?ttimo. Nessun avviso, né via email, né SMS, segnala la creazione di una seconda identità digitale. Quindi, la vittima resta all'oscuro fino al momento del danno!

Una volta ottenuto il doppio SPID, il truffatore può agire senza ostacoli. Di solito, l'obiettivo è entrare nei portali sensibili dell'Agenzia delle Entrate o dell'INPS. Da qui, è un gioco da ragazzi cambiare l'IBAN per i pagamenti degli stipendi, delle pen?sioni, dei bonus o dei rimborsi fiscali. Una volta che il titolare si accorge del mancato accredito o scopre dei mov?imenti sospetti (magari controllando per caso l'home banking), la truffa è ormai scattata da giorni, se non da settimane, e recuperare i fondi diventa un'impresa davvero difficile.

Cosa significa questo per l'identità digitale italiana

Questa falla nel meccanismo SPID non va sottovalutata, non è assolutamente un piccolo inconveniente! Siamo di fronte a un problema strutturale che mina la fiducia nel sistema di identità digitale nazionale. Idealmente, ogni cittadino dovrebbe poter attivare un solo SPID per volta, oppure dovrebbe ricevere una notifica immediata ogni volta che vengono generate delle nuove credenziali a suo nome. Uno scenario di questo tipo alzerebbe tantissimo il livello di sicurezza.

Quali sono le conseguenze di un accesso non autorizzato?

Nei casi più estremi, la vittima potrebbe persino ritrovarsi coinvolta in procedimenti legali o fiscali, se il malfattore sfrutta lo SPID per commettere dei reati.

Un altro nodo da sciogliere è la mancanza di un sistema centralizzato di allerta: senza un meccanismo automatico di notifica, i criminali informatici hanno campo libero per un periodo davvero prolungato. Questo rischia di moltiplicare i danni. Quindi, è chiaro che c'è bisogno di implementare degli ale?rt tempestivi attraverso email, SMS o notifiche push sull'ap?p ufficiale. Ogni volta che viene registrato un nuovo end?point SPID su un codice fiscale già in uso, l'utente dovrebbe ricevere immediatamente una notifica.

La diffusione dello SPID e i vari servizi coinvolti

Il successo dello SPID non si limita agli uffici statali. Negli anni, gli istituti bancari, le assicurazioni, le cliniche e perfino le scuole hanno scelto di usare lo SPID per garantire un'identificazione certa e veloce. Oggi non serve più inviare i documenti cartacei: con un click si accede agli estratti conto, si firmano i contratti digitali, si prenotano le visite mediche o si partecipa ai concorsi pubblici. Lo SPID è diventato, di fatto, la chiave universale per la vita digitale in Italia.

Anche il mercato privato ha scelto di affidarsi allo SPID per velocizzare i tempi di verifica degli utenti. Per esempio, nel settore del gamin?g, lo SPID ha rappresentato un vero e proprio salto di qualità. Fino a pochi anni fa, i giocatori dovevano inviare una copia dei documenti d'identità e dovevano aspettare che venissero fatti dei controlli manuali. Questo processo poteva durare dei giorni o addirittura delle settimane. Nei casino con Spid, invece, la conferma dell'identità è praticamente istantanea ed è anche certificata da un ente accreditato.

Il login attraverso lo SPID permette di completare la registrazione in pochissimi minuti, riduce il margine di errore e il rischio di frodi documentali. Grazie a questo meccanismo, il controllo dell'età è diventato quasi istantaneo, le pratiche antiriciclaggio sono più efficaci e la customer satisfactio?n è in netto aumento.

Detto ciò, proprio nel contesto dei casinò online è chiaro il bisogno di rafforzare sempre di più la cyber security. Se un truffatore riuscisse a clonare o a duplicare uno SPID, potrebbe teoricamente iscriversi alle piattaforme di gioco usando un nome altrui, potrebbe sbloccare dei bonus, potrebbe partecipare a delle promozioni o addirittura effettuare delle giocate con dei depositi indebitamente accreditati. Anche qui, una notifica istantanea al vero titolare dello SPID sarebbe un deterrente efficace e limiterebbe di moltissimo la finestra di azione del malintenzionato.