Ecco la nuova truffa che prende di mira lo SPID col fine di rubare accrediti e svuotare conti correnti. Come bisogna difendersi.
SPID è un acronimo che sta per sistema pubblico di identità digitale. Lo strumento, ormai familiare alla maggioranza degli italiani, è sostanzialmente una chiave univoca, che garantisce l’accesso a vari servizi online della pubblica amministrazione e alle aree personali di altri enti privati aderenti. Tutto ciò attraverso un’unica identità digitale.
Tale identità è fondamentalmente composta da un nome utente e una password, e si presenta come un processo di autenticazione per un accesso garantito, semplice e sicuro in siti sensibili relativi a servizi fiscali e sanitari, aree personali di istituti di credito, dell’INPS o di altre istituzioni.
Pare che oltre il 60% della popolazione adulta lo abbia già attivato. E in tanti oramai considerano lo SPID come uno strumento abbastanza funzionale per l’accesso ai servizi digitali. C’è però da dire che, per quanto concerne le truffe online, lo SPID non è uno strumento al 100% sicuro.
I malintenzionati hanno da tempo capito di poter sfruttare il phishing e il vishing per rubare le credenziali degli utenti, avere conferme di accesso e OTP (le one time password che servono per autenticarsi) e accedere così a dati personali e a conti. L’autenticazione a due fattori appare come un utile deterrente. Ma non è una soluzione definitiva.
La truffa dello SPID: attenzione al vishing
Il vishing, neologismo che sta per voice phishing, è una tecnica sempre più diffusa di truffa che si muove attraverso chiamate strutturate per ingannare le vittime e ottenere così informazioni sensibili. Il truffatore si finge un operatore di un’istituzione nota, come l’INPS, l’Agenzia delle Entrate, una banca o il sistema sanitario, oppure come un provider dell’identità digitare. Introducendo un falso problema, il truffatore chiede all’utente dei dati relativi allo SPID. Come per esempio le credenziali di accesso e i codici OTP.
Dopo aver convinto le vittime a fornire le loro credenziali o i loro codici di verifica, il malintenzionato può usare i dati a sua disposizione per accedere ai servizi sensibili dell’utente. Come per esempio i conti bancari, i portali fiscali o amministrativi. La nuova truffa utilizza lo SPID per modificare dati personali e le coordinate bancarie.
Ciò serve a dirottare pagamenti o stipendi su conti intestati a terzi. Per difendersi da questi pericoli bisogna ricordarsi tre cose. La prima: mai condividere le proprie credenziali e i codici OTP con nessuno, specie per telefono o mail. Ovviamente, nemmeno con chi si presenta come un operatore di un determinato servizio.
Seconda mossa: in caso di dubbio rispetto a una comunicazione che chiede la condivisione di dati, meglio interrompere lo scambio e contattare direttamente l’ente o l’istituzione tramite i suoi canali ufficiali. Tre: ricordarsi di attivare l’autenticazione a due fattori, in modo da aggiungere un ulteriore livello di sicurezza.
