Dal 2016, quando è entrato ufficialmente in funzione, lo SPID (il Sistema Pubblico di Identità Digitale) ha decisamente cambiato il rapporto tra i cittadini e la pubblica amministrazione (e i privati che aderiscono al sistema). Questo strumento, infatti, consente di semplificare l’accesso ai servizi online mediante un’identità digitale univoca. L’identità digitale dello SPID è infatti composta da una coppia di credenziali strettamente personali e per attivare il servizio è necessario disporre di un documento di riconoscimento (carta di identità, passaporto, patente), tessera sanitaria (o codice fiscale), indirizzo e-mail e uno smartphone. Eppure è stato scoperto un meccanismo piuttosto banale per violare il sistema senza infrangere alcuna regola tecnica. E alcuni utenti stanno iniziando a riferire delle truffe in cui, ignari, sono incappati.
È possibile creare “legalmente” più di un’identità digitale
Su Il Sole 24 Ore un lettore ha raccontato di aver ricevuto dall’INPS una richiesta di contributi non versati per un’attività a lui intestata. Peccato che quell’attività non l’avesse mai aperta. Cosa era successo? L’attività risultava avviata “regolarmente” tramite SPID, ma non da lui: qualcun altro, utilizzando i suoi dati personali, l’aveva registrata a suo nome. Com’è stato possibile? Questo è il vero nodo della vicenda.
A oggi esistono 12 gestori d’identità con i quali attivare lo SPID: Aruba PEC SpA, Etna Hitech SCpA, InfoCamere SCpA, InfoCert SpA, Intesi Group SpA, Lepida ScpA, Namirial SpA, Poste Italiane SpA, Register SpA, Sielte SpA, TeamSystem SpA e TI Trust Technologies Srl. Ebbene, è possibile creare più di un’utenza personale semplicemente cambiando provider.
Per cui Mario Rossi può avere lo SPID con Aruba, con InfoCert e con Poste, senza che questo costituisca per il sistema un problema. Infatti c’è chi l’ha fatto, sia per velocizzare l’accesso ai sistemi (quando in alcune fasce orarie non si riesce ad accedere con un provider, è possibile accedere a quel servizio tramite un altro provider), sia per mettere in atto frodi ai danni di ignari cittadini.
Le ripercussioni della vicenda sono particolarmente gravi. Da una parte c’è l’assurda contraddizione per cui non è possibile creare lo SPID per un parente, ma si possono ottenere più identità digitali intestate allo stesso nome. Sono le stesse FAQ del Sistema Pubblico di Identità Digitale a contemplare la possibilità:
Sì, la tua identità digitale può essere certificata da più di un gestore. Puoi richiedere più di una identità digitale – anche con diversi livelli di sicurezza – con l’opportunità di rivolgerti a differenti gestori di identità digitale.
Che cosa significa tutto questo? Che un malintenzionato (anche non necessariamente troppo esperto di tecnologia) può creare lo SPID a nome Mario Rossi, aprire una partita IVA, consultare il suo fascicolo sanitario, accedere al Cassetto Fiscale dell’Agenzia delle Entrate o, ancora, al portale dell’INPS e modificare l’IBAN sul quale accreditare la pensione.
In realtà, per quanto potenzialmente molto grave, il fenomeno non è così diffuso. È importante ricordare che per creare lo SPID è necessaria un’autenticazione, effettuabile di persona o da remoto tramite webcam. Gli hacker possono facilmente reperire copie dei documenti di una persona o usare l’intelligenza artificiale per autenticarsi tramite webcam.
La soluzione più ovvia – prima ancora che introdurre sistemi in grado di riconoscere le immagini generate dall’AI – sarebbe quella di impedire la creazione di più di un’identità digitale ricorrendo a diversi provider. Una soluzione potrebbe essere quella di considerare nuovamente l’ipotesi di sostituire lo SPID con la Carta d’Identità Elettronica (CIE), ipotesi già discussa negli ultimi anni. Non è infatti tecnicamente possibile avere due carte d’identità valide nello stesso Paese.
Il problema è che i cittadini utilizzano lo SPID più frequentemente. Il numero di Carte d’Identità Elettroniche emesse è ancora troppo basso e il loro uso richiede uno smartphone con lettore NFC o un lettore di smartcard, risultando meno intuitivo rispetto allo SPID.
Forse la soluzione “definitiva” arriverà con la diffusione dell’E-Wallet europeo (anticipato da IT Wallet disponibile nell’App IO). Ma la possibilità di creare più identità digitali con lo SPID va limitata prima che le truffe aumentino esponenzialmente.
Amazon Music Unlimited GRATIS
3 mesi di Amazon Music Unlimited gratis, senza obbligo di rinnovo
Come tutelarsi
In attesa di interventi strutturali è importante capire come prevenire le possibili truffe. Ecco alcune indicazioni:
- verificare i gestori attivi e i relativi livelli di sicurezza
- richiedere assistenza tramite l’Help Desk dedicato
- richiedere assistenza al proprio provider – qui l’elenco con tutti i contatti
In caso di problemi e dubbi è utile fare riferimento all’Agenzia per l’Italia Digitale (AGID) ed, eventualmente, segnalare attività sospette o denunciare il fatto di aver subito truffe.
I nostri contenuti da non perdere:
- 🔝 Importante: Notebook nuovo? Samsung Galaxy Book4 Pro è scontato di ben 900 euro su Amazon
- 💰 Risparmia sulla tecnologia: segui Prezzi.Tech su Telegram, il miglior canale di offerte
- 🏡 Seguici anche sul canale Telegram Offerte.Casa per sconti su prodotti di largo consumo