La truffa del doppio Spid mette a rischio anche gli stipendi degli statali. Con un’identità digitale clonata intestata a nome di un dipendente pubblico è possibile infatti entrare nella sua area personale sul portale NoiPa, responsabile dei pagamenti agli statali, e modificare l’Iban del conto corrente sul quale avviene l’accredito dello stipendio, così da dirottare il versamento.
Insomma, è allarme tra i lavoratori dello Stato. Ad alcuni lo stipendio è già stato sottratto. Il sistema NoiPA, secondo l’Unione nazionale dei consumatori, dispone di buoni standard di sicurezza. I rischi, spiega l’Unc, derivano dal Sistema pubblico di identità digitale: un cittadino può avere più Spid attivi senza esserne a conoscenza. Difendersi da questo tipo di truffa non è semplice. La prima cosa da fare è collegarsi periodicamente al portale NoiPa per verificare che i dati inseriti nell’area personale, a iniziare dall’Iban, siano corretti.
Contratto sanità, ora la firma è possibile: ecco gli aumenti in busta paga. Ma stop ai turni notturni per gli infermieri over 60
La truffa del doppio spid, tutti i rischi
L’assenza di un database unico tramite cui verificare il numero di Spid attivi a proprio nome facilita il compito ai truffatori. Come detto, ci sono già state le prime vittime. Alcuni siti di informazione hanno riportato il caso di una dipendente del comparto Sanità a cui è stata sottratta la tredicesima attraverso un falso profilo Spid. Lo Spid fittizio è stato creato con i dati del suo documento d’identità, del quale i cybercriminali erano entrati in possesso con la tecnica del phishing, che induce le vittime a condividere informazioni personali tramite e-mail.
Nella trappola è finito recentemente anche un docente di scuola superiore, secondo quanto riportato da Orizzontescuola.it. Per sapere se ci sono più identità digitali attive a proprio nome bisogna inviare una richiesta scritta ai singoli provider, sono dodici in tutto, affinché eseguano un controllo mirato. Ma per neutralizzare alla fonte il processo di clonazione del Sistema pubblico di identità digitale occorre innanzitutto evitare di fornire i propri dati personali quando si ricevono e-mail o sms sospetti.
Come difendersi
Per attivare uno Spid a nome di qualcuno è necessario ottenere una foto del suo documento d’identità e il codice fiscale. Durante la procedura di attivazione viene richiesto anche un indirizzo e-mail e un numero di cellulare, ma questi ultimi non devono necessariamente essere intestati all’utente a cui si riferisce il nuovo Spid. Questo, unito all’assenza di una verifica incrociata tra provider, è uno dei punti deboli maggiormente sfruttati dai truffatori. I cybercriminali utilizzano diverse tecniche per entrare in possesso del documento di identità delle persone, dal phishing allo smishing. Oppure si affidano ad app e software dannosi per rubare i dati sensibili degli utenti. Ma carte di identità e passaporti possono essere acquistati anche sul dark web. Con uno Spid clonato si può entrare nelle aree personali di tutti i portali pubblici, compreso il sito dell’Inps e dell’Agenzia delle Entrate. I malintenzionati possono quindi intercettare, modificando gli Iban inseriti sui siti dello Stato, anche pensioni, rimborsi Irpef e assegni per prestazioni sociali, come per esempio l’assegno unico per i figli.
© RIPRODUZIONE RISERVATA
Leave feedback about this