Truffa SPID: i cybercriminali possono clonare identità (e fare altri danni)

Negli ultimi anni, lo SPID (Sistema Pubblico di Identità Digitale) è diventato il metodo principale per accedere online a gran parte dei servizi della Pubblica Amministrazione italiana, nonché a numerosi servizi privati. Grazie all’autenticazione forte a due fattori e ai vari livelli di sicurezza previsti, SPID ha aumentato notevolmente la protezione dei dati personali degli utenti. Tuttavia, l’inasprimento delle normative di digitalizzazione e la diffusione di servizi remoti hanno spinto i malintenzionati a elaborare tattiche sempre più sofisticate per “bucare” le difese e appropriarsi di più identità digitali legate allo stesso codice fiscale.

In questo articolo analizzeremo come funzionano le truffe basate su SPID, quali tecniche utilizzano i criminali informatici (dalle frodi in fase di riconoscimento remoto ai deepfake biometrici), quali sono le conseguenze per le vittime e, soprattutto, come tutelarsi per ridurre al minimo i rischi.

1. SPID in breve: cos’è e come funziona

Prima di addentrarci nelle tecniche di attacco, è fondamentale comprendere come SPID è strutturato, quali meccanismi di sicurezza prevede e dove possono insorgere eventuali criticità.

  1. Cosa è SPID

    SPID è il sistema di autenticazione digitale che permette a cittadini e imprese di utilizzare, con un’unica identità digitale, tutti i servizi online offerti dalla Pubblica Amministrazione e da privati aderenti. In pratica, anziché creare credenziali diverse per ogni portale, l’utente si autentica tramite un Identity Provider (IdP) affidabile e riconosciuto da AgID (Agenzia per l’Italia Digitale), che verifica la reale identità del richiedente e rilascia le credenziali SPID.
  2. Livelli di sicurezza e autenticazione forte

    Ogni SPID associato a un cittadino è caratterizzato da:

    • Livello di garanzia 1 (basso): consente solo l’uso di username e password (autenticazione a singolo fattore).

    • Livello di garanzia 2 (medio): obbliga l’uso di password + secondo fattore (es. OTP tramite app, SMS OTP, token fisico, certificato di firma digitale, CIE, CNS, etc.).

    • Livello di garanzia 3 (alto): richiede un autenticatore qualificato (es. smart card, token hardware) e il riconoscimento biometrico, quindi è difficile da compromettere.


    In pratica, per accedere a servizi sensibili (come: consultazione del Cassetto Fiscale, accesso a INPS, Home Banking collegati, etc.) è quasi sempre necessario utilizzare almeno il livello di garanzia 2, il quale include l’invio di un codice monouso sul cellulare o di un token generato da app. Questo ostacola attacchi “a distanza” basati unicamente su password rubate, ma non elimina del tutto la possibilità di frodi in fase di registrazione o di agenti malevoli che intercettano l’OTP.

  3. Modalità di registrazione

    Per ottenere lo SPID, un utente deve rivolgersi a uno dei tanti IdP accreditati (es.: Aruba, Poste, Intesa, Infocert, etc.) e seguire una delle seguenti procedure di identificazione:

    • Identificazione di persona: recandosi presso un punto fisico (sportello, filiale, ufficio postale) e mostrando un documento di riconoscimento valido.

    • Identificazione remota tramite webcam o videochiamata: un operatore in tempo reale verifica documento, faccia e firma digitale.

    • Identificazione con CIE (Carta d’Identità Elettronica) o CNS (Carta Nazionale dei Servizi): lettura via NFC e riconoscimento del certificato dei documenti.

    • Identificazione tramite firma digitale: se l’utente possiede già una firma digitale valida.


    Per ogni procedura, il provider deve rispettare le “Regole tecniche SPID” emanate da AgID. Tali regole prevedono controlli biometrici, verifica di autenticità del documento, raccolta di metadati (fotografie, timestamp, indirizzo IP, etc.) e l’adozione di misure anti-manomissione.

2. Come i cybercriminali clonano l’identità SPID

Nonostante le robuste misure di protezione, i cybercriminali hanno messo a punto diverse strategie per sfruttare i punti deboli dei processi di registrazione SPID e di passaggio delle credenziali. Vediamone le principali.

2.1 Iscrizione multipla: più SPID per lo stesso codice fiscale

  • Possibilità di avere SPID multipli:

    I cittadini possono possedere più di una identità SPID, ognuna erogata da un IdP diverso. Ciò può essere utile ad esempio per separare l’uso personale da quello lavorativo o per passare a un provider che offre funzionalità aggiuntive.
  • Vantaggio per i criminali:

    Nel momento in cui un attaccante riesce a ingannare un IdP diverso da quello “ufficiale” della vittima (es. utilizzando dati rubati o documenti falsificati), potrà attivare un secondo SPID su nome e codice fiscale della vittima, pur non avendo accesso all’account SPID “originale”. Questo SPID fraudolento diventa autonomo: viene creato un nuovo set di credenziali, un nuovo indirizzo e-mail e un nuovo numero di telefono (poi in logica malevola possono reindirizzare OTP, etc.), ed è indistinguibile dalla prospettiva dei portali pubblici fino a quando non emergono incongruenze.

2.2 Frodi in fase di riconoscimento remoto

  • Riconoscimento via webcam/videochiamata

    Molti IdP offrono la possibilità di identificare la persona dall’esterno, tramite una webcam o una videochiamata seguita da un operatore. Questo è diventato molto popolare durante la pandemia, per ridurre gli spostamenti e velocizzare l’attivazione.
  • Rischio deepfake e manipolazione

    Gli attaccanti possono registrare in anticipo un video deepfake creato con strumenti d’intelligenza artificiale, dove il volto della vittima è riprodotto in modo sufficientemente realistico da superare i controlli biometrici basici (ad esempio riconoscimento 2D senza misurazione 3D).
    • Se l’IdP non implementa adeguati controlli anti-spoofing (es. richiesta di movimenti specifici, analisi delle proprietà 3D del volto, verifica dell’illuminazione), il deepfake può passare come “vera” interazione del richiedente.
    • Anche l’uso di un documento di identità contraffatto, magari generato con stampante ad alta definizione o modificato digitalmente, può ingannare l’operatore umano se non vengono fatti controlli incrociati approfonditi (es.: verifica dei microtesti di sicurezza, ologrammi, filigrana UV, ecc.).

2.3 Phishing e ingegneria sociale

  • Finta email di rinnovo o verifica SPID

    Il criminale invia alla vittima un’email dall’aspetto apparentemente ufficiale (logo AgID, link camuffati con domini simili), chiedendo di reinserire credenziali SPID, confermare dati personali o aggiornare documenti. Se la vittima cade nella trappola, fornirà utente, password e OTP, permettendo al truffatore di accedere all’account.
  • Reclutamento di “operatori” compiacenti

    Esistono casi in cui gruppi criminali offrono – tramite canali Telegram o forum sul dark web – il servizio di attivare SPID falsi a pagamento. Questi “operatori” lavorano come IdP non autorizzati o entrano in contatto con dipendenti infedeli di IdP legittimi per velocizzare l’attivazione senza controlli stringenti. Il risultato è un SPID rilasciato senza che la vittima ne del codice fiscale ne sia consapevole.

3. Conseguenze per la vittima

Una volta che i cybercriminali sono in possesso di un secondo SPID fraudolento con il codice fiscale della vittima, entrano in possesso di credenziali perfettamente valide per i portali pubblici e privati. Vediamo gli scenari più frequenti.

  1. Accesso ai dati fiscali e riscossione indebita
    • Tramite portali come l’Agenzia delle Entrate, i truffatori possono visualizzare il Cassetto Fiscale della vittima, controllare posizioni Irpef, Irap, detrazioni e verificare eventuali rimborsi in arrivo.
    • In alcuni casi, sfruttando il servizio di domiciliazione bancaria, potrebbero modificare l’IBAN per la ricezione dei rimborsi, incassandoli direttamente.
  2. Accesso ai servizi INPS e indebite richieste di prestazioni
    • Con un SPID validato al livello di garanzia 2, è possibile accedere ai propri dati INPS: buste paga, versamenti contributivi, periodicità di NASpI, RD, etc.
    • L’attaccante potrebbe richiedere indennità o sussidi sociali a nome della vittima, deviando i pagamenti su un conto controllato.
  3. Furto di identità in ambito sanitario
    • Con accesso alla tessera sanitaria e al Fascicolo Sanitario Elettronico, possono ottenere ricette elettroniche a nome della vittima o accedere a dati sanitari (anamnesi, malattie cromosomiche, etc.) che possono essere usati per estorsioni, ad esempio.
  4. Accesso a servizi privati collegati a SPID
    • Molte piattaforme private (banche, assicurazioni, e-commerce, utilities) permettono l’autenticazione tramite SPID. Un SPID fraudolento permette di entrare in conti bancari, polizze, fatture, contratti e potenzialmente svuotare conti o trasferire fondi.
  5. Danni reputazionali e procedurali
    • La vittima rischia di vedersi imputare attività illecite spese con un suo SPID: ad esempio, ordinazioni di beni costosi, agende di appuntamenti falsificate, false dichiarazioni.
    • Spesso la scoperta del misfatto avviene con ritardo: l’utente si accorge della truffa solo quando è già stornato denaro o il rimborso è incassato dal truffatore.

4. Come difendersi: misure preventive e strumenti di controllo

4.1 Verifica periodica degli SPID attivi

  • Controllo diretto con ciascun provider

    Se sospetti che qualcuno stia attivando SPID a tuo nome, contatta tutti gli Identity Provider presso cui potresti aver richiesto SPID in passato (anche se non li ricordi tutti).
    • Cerca su ciascun portale SPID: tenta di registrarti nuovamente con il tuo codice fiscale. Se risulta che esiste già un’identità attiva, il sistema ti bloccherà la procedura.
    • Invia una richiesta formale (anche via PEC) di conferma: chiedi ai provider “Avete attivato un SPID sul mio codice fiscale e nome? Se sì, fornite data, modalità di riconoscimento e livello di garanzia”.

4.2 Monitoraggio degli accessi ai portali pubblici

  • Registro accessi dei principali portali (Agenzia Entrate, INPS, ANPR)

    Molti di questi portali forniscono un registro di log con:
    • Data e ora dell’accesso
    • Provider SPID utilizzato
    • Tipo di servizio acceduto

      Controlla regolarmente il tuo Cassetto Fiscale e le “ultime sessioni” su INPS. Se vedi un accesso con provider a te sconosciuto, scatta subito l’allarme.

4.3 Richiedere lo storico degli accessi ai singoli provider

  • Richiesta dati ex art. 15 GDPR

    Ogni provider SPID, in qualità di titolare del trattamento, è obbligato a fornire, su richiesta dell’interessato, i dati di accesso e le modalità di identificazione che hanno portato al rilascio del tuo SPID. Nel dettaglio, puoi chiedere:
    • Data e ora di ogni accesso SPID
    • Indirizzo IP da cui è avvenuto l’accesso
    • Tipo di livello di garanzia utilizzato
    • Modalità di registrazione (fisica, videochiamata, firma digitale, etc.)
    • Indirizzo e-mail e numero di telefono associati all’account SPID
  • Come procedere:
    1. Prepara un modulo ufficiale di richiesta (meglio se in forma di PEC indirizzata al DPO del provider).
    2. Indica chiaramente che con “dati di accesso” intendi tutte le sessioni SPID, comprese quelle in fase di attivazione/registrazione.
    3. Conserva copia della PEC e attendi la risposta entro 30 giorni (termine massimo GDPR).

4.4 Attivare notifiche istantanee di accesso

  • Alcuni provider SPID inviano alert via e-mail o push quando si effettua un accesso. Spesso l’avviso include:
    • Provider SPID utilizzato
    • Data/ora
    • Tipo di servizio
  • Suggerimento:
    • Verifica le impostazioni di sicurezza del tuo SPID e attiva tutte le notifiche disponibili.
    • In assenza di una funzione nativa, valuta l’iscrizione a un servizio di monitoraggio via SMS o e-mail esterno, in modo da “tracciare” eventuali accessi sospetti ai tuoi documenti fiscali (ad esempio un alert quando viene scaricato il modello 730 precompilato).

4.5 Rafforzare l’autenticazione e le credenziali

  • Utilizzare sempre il livello di garanzia 2 o 3

    Quando ti registri con un nuovo provider, opta per:
    • OTP via app (invece dell’SMS, meno sicuro)
    • Firma digitale o CIE/CNS (autenticazione a livello 2/3)
  • Non utilizzare mai password ovvie o riutilizzate

    Evita di riutilizzare credenziali impiegate su altre piattaforme. Usa sempre password lunghe (almeno 12 caratteri), generate in modo casuale, e memorizzate in un password manager affidabile.
  • Mai condividere OTP o credenziali

    Se ricevi un OTP via SMS o app mobile, non comunicarlo mai a terzi. Le PA e i provider SPID non ti chiederanno mai di inviarlo a un “operatore”: se ciò accade, è quasi certamente un tentativo di phishing.

4.6 Verifica dell’effettivo provider SPID utilizzato

  • In fase di autenticazione, controlla sempre che:
    1. L’URL del provider SPID nella barra del browser sia esattamente quello ufficiale (es. https://www.spid.aruba.it, https://identity.infocert.it/spid).
    2. Sia presente il lucchetto di sicurezza (HTTPS) e che il certificato sia valido.
    3. Non ci siano pop‐up o reindirizzamenti improvvisi su domini strani, anche per una sola schermata.

4.7 Sensibilizzazione e formazione

  • Diffondere la conoscenza dei rischi:
    • Spiega a familiari, colleghi e conoscenti che è possibile avere più SPID per lo stesso codice fiscale e che i criminali cercano di sfruttare questa “opportunità”.
    • Mostra esempi concreti di e-mail di phishing: segnala i domini ingannevoli (come sp1d.gov.it in luogo di spid.gov.it) o le richieste di OTP fuori contesto.
  • Simulazioni aziendali:
    • Nelle realtà aziendali o negli enti pubblici, organizza giornate di phishing test e corsi di formazione per “insegnare” ai dipendenti come riconoscere un sito SPID falso o una videochiamata deepfake.

5. Cosa fare se sospetti un abuso o un secondo SPID fraudolento

5.1 Segnalazione e revoca

  1. Contatta immediatamente il provider SPID sospetto:
    • Chiedi conferma dell’esistenza di un tuo SPID a quel provider.
    • Se ti viene confermato che c’è un account a tuo nome, richiedi di revocarlo per “identità rubata o falsificata”.
    • Invia una PEC formale, specificando:
      • Nome, cognome e codice fiscale
      • Motivazione: “Revoca SPID per attivazione non autorizzata”
      • Prova di identità (copia carta d’identità, firma, ecc.)
  2. Denuncia alla Polizia Postale
    • Raccogli tutte le prove:
      • Email di phishing ricevute
      • Log di accesso da portali PA (screenshot o PDF)
      • Comunicazioni con l’IdP
    • Recati presso la Polizia Postale più vicina o invia una segnalazione online su https://www.commissariatodips.it/.
    • Specifica che hai subito un furto di identità digitale, fornisci l’eventuale IP con cui l’attaccante ha effettuato l’accesso.
  3. Segnalazione ad AgID e Garante Privacy
    • AgID (Autorità per l’Italia Digitale) è responsabile della governance di SPID. Puoi inviare una segnalazione a protocollo@pec.agid.gov.it, indicando:
      • Identità del provider sospetto
      • Modalità e data di rilevazione dell’abuso
      • Richiesta di verifica dei processi di riconoscimento remoto
    • Garante Privacy (https://www.garanteprivacy.it/) per violazione dei dati personali:
      • Invia istanza di intervento, specificando che i tuoi dati (codice fiscale, documenti, dati biometrici) sono stati usati per creare un’identità falsa.

5.2 Richiesta di accesso ai dati (art. 15 GDPR)

  • In parallelo alla revoca, richiedi ai provider interessati lo storico di tutte le sessioni SPID associate al tuo codice fiscale (sia quella ufficiale sia eventuali altre).
  • Chiedi di avere:
    • Data e ora di ogni accesso SPID
    • Provider SPID usato
    • Metadati (IP, User‐Agent, servizio utilizzato)
  • Così potrai ricostruire eventuali anomalie (es. accesso da provider mai richiesto, in zone geografiche sospette).

5.3 Ripristino della situazione e tutela dei danni

  1. Aggiorna tutte le credenziali:
    • Cambia password SPID ufficiale (livello 2) e verifica che il tuo dispositivo autenticatore (app mobile o token) non sia compromesso. Questa è una buona pratica in generale, in quanto le password vanno cambiate periodicamente ed è sempre importante farlo. Non risolve, tuttavia, il problema in questione, che riguarda la possibilità che si possano creare due SPID per la stessa persona su due provider differenti, almeno in teoria.
    • Se l’abuso ha comportato l’accesso a conti correnti o a servizi bancari, avvisa immediatamente la tua banca e blocca l’IBAN.
  2. Controlla le transazioni:
    • Se sospetti riscossioni indebite (rimborsi fiscali, sussidi INPS), contatta direttamente l’Agenzia delle Entrate o l’INPS per bloccare la pratica o predisporre reclami.
  3. Valuta l’azione legale civile:
    • Potresti voler rivalerti sul provider SPID che ha rilasciato l’identità falsa per negligenza o violazione delle regole tecniche AgID.
    • Consulta un avvocato esperto in diritto dell’ICT e tutela della privacy.

6. Raccomandazioni operative e buone pratiche

  1. Mantieni sempre aggiornati telefoni e dispositivi
    • Assicurati che il sistema operativo e l’app SPID (o l’app di autenticazione OTP) siano all’ultima versione per beneficiare delle patch di sicurezza.
    • Disabilita il “jailbreak” o “root” sui dispositivi mobili: rende più semplice installare malware che intercettano OTP.
  2. Usa un password manager
    • Non memorizzare la password SPID nel browser. Adotta un password manager affidabile (con crittografia AES-256) in modo da generare e archiviare credenziali forti in modo sicuro.
  3. Verifica sempre l’URL del provider SPID
    • Nei processi di login, controlla che il dominio inizi per https:// e che il certificato SSL/TLS sia valido.
    • Diffida di domini simili o di pop‐up che ti chiedano OTP senza passare per l’interfaccia ufficiale del tuo provider.
  4. Non scaricare app SPID da store non ufficiali
    • Se usi l’applicazione mobile del provider, scaricala esclusivamente dagli store ufficiali (Google Play, App Store).
    • Diffida delle versioni “moddate” su siti terzi, possono contenere trojan che intercettano l’OTP.
  5. Attiva l’autenticazione con CIE/CNS (se possibile)
    • L’autenticazione tramite Carta d’Identità Elettronica (CIE) o Carta Nazionale dei Servizi (CNS) riduce notevolmente il rischio di deepfake, perché l’identificazione avviene tramite NFC e certificati digitali.
    • Verifica con il tuo IdP se offrono questa modalità e, se la tua carta è compatibile, attivala.
  6. Disabilita sempre SPID che non usi più
    • Se hai un vecchio SPID con un provider che non usi da anni, valuta di chiedere la revoca volontaria. Meno identità esistono, maggiori sono le tue possibilità di monitorarle e proteggerle.

7. Conclusioni

Le truffe SPID basate sulla clonazione dell’identità digitale rappresentano uno dei rischi più insidiosi per i cittadini nel panorama della digitalizzazione dei servizi pubblici. Ciò che rende queste frodi particolarmente pericolose è la possibilità di ottenere un secondo SPID, perfettamente valido, senza dover compromettere l’account SPID originale. Con un’attivazione fraudolenta, il truffatore può accedere a tutti i servizi connessi a SPID – dal cassetto fiscale al portale INPS – sottraendo denaro, raccogliendo dati sensibili e provocando danni economici e reputazionali rilevanti.

Tuttavia, non si tratta di una falla strutturale irrisolvibile:

  1. Gli Identity Provider, in accordo con AgID, possono e devono rafforzare i controlli biometrici anti‐spoofing (es. verifica in 3D, challenge vocali o movimenti oculari random).
  2. I cittadini dovrebbero (a nostro avviso) adottare un approccio proattivo: controllare periodicamente gli SPID attivi, attivare notifiche di accesso, usare livelli di garanzia elevati e segnalare tempestivamente ogni anomalia.
  3. Le autorità competenti (Polizia Postale, AgID, Garante Privacy) devono continuare a monitorare e a sanzionare chi rilassa i controlli o attiva procedure di identificazione remota deboli.

In definitiva, per difendersi efficacemente da queste truffe è essenziale combinare tecnologie avanzate, buone pratiche individuali e un monitoraggio costante. Solo così sarà possibile impedire ai criminali informatici di sfruttare a danno delle vittime la possibilità di avere più SPID per lo stesso codice fiscale.

Seguendo queste linee guida, potrai ridurre almeno un po’ il rischio di vedere un tuo SPID “clonato” o attivato abusivamente, proteggendo i tuoi dati personali e i tuoi risparmi.

Riepilogo delle azioni consigliate

  1. Verifica regolare degli SPID attivi con ogni Identity Provider.
  2. Monitoraggio dei log di accesso ai portali pubblici (Agenzia Entrate, INPS, ANPR).
  3. Richiesta dello storico accessi ai singoli provider ai sensi del GDPR.
  4. Attivazione di notifiche istantanee ogni volta che viene effettuato un login SPID.
  5. Rafforzamento delle credenziali: password uniche, autenticazione a due fattori a livello 2/3, autenticazione con CIE/CNS.
  6. Sensibilizzazione di familiari, colleghi e amici sulle tecniche di phishing e deepfake.
  7. Segnalazione tempestiva a provider SPID, Polizia Postale, AgID e Garante Privacy in caso di sospetto abuso.
Tag: