Nell’ultimo periodo sul Web sono tornate a rimbalzare le segnalazioni (basta provare a googlare “falso Spid” per rendersi conto della portata del fenomeno) di coloro che si sono visti aprire un profilo nel Sistema Pubblico di Identità Digitale a proprio nome e a propria insaputa, facendo così venire alla luce un difetto congenito mai sanato e che forse neppure c’è interesse a sanare, dato che dovrebbe essere presto o tardi soppiantato dalla Cie, ovvero dalla Carta d’identità digitale.
LA MOLTIPLICAZIONE DEGLI SPID
Di fatto il Sistema Pubblico di Identità Digitale, probabilmente a causa della moltitudine di banche dati dovute al fatto che il sistema è stato creato in partnership con una pluralità di fornitori privati, consente la creazione di più Spid collegati alla medesima persona. Che è un controsenso in termini, visto che l’identità è una e l’identità digitale dovrebbe seguire la medesima logica.
Se a questo si aggiunge che la sola autenticazione credibile e attendibile per un documento tanto importante è quella effettuata dalle autorità preposte, si comprendono i rischi ammessi finora. Si obietterà che per aprire uno Spid servano un numero di cellulare, un indirizzo e-mail e un documento di riconoscimento in corso di validità. I primi, nemmeno a dirlo, possono essere creati e ricreati facilmente.
LA SOTTRAZIONE DI DATI PUÒ ESSERE MOLTO PERICOLOSA
I documenti potrebbero essere falsificati ma soprattutto rinvenuti nel Deep Web, magari pescando da quei bottini trafugati da questo o da quel gestore che aveva visto i propri sistemi violati. Per gli hacker non è impossibile ricreare una identità fasulla in tutto e per tutto simile a quella reale, soprattutto se dispongono di dati incrociabili tra loro (lavoro che oggi può essere svolto da algoritmi in grado di filtrare e lavorare immani quantità di informazioni). A volte basta un’unica registrazione a un sito per effettuare un solo acquisto a esporci alla condivisione dei nostri dati, se l’e-commerce in questione dovesse poi subire una violazione ai propri server.
Una volta ottenuto l’indirizzo mail di un utente o il suo cellulare e la consapevolezza che è iscritto al gestore di servizi X è per esempio sufficiente inviare una mail truffaldina spacciandosi proprio per quel fornitore (la famosa mail di un finto corriere che ci avvisa che un pacco in consegna rischia di tornare indietro se non sarà sbloccato con altri dati della vittima del raggiro, o della banca fasulla che ci avvisa di un tentativo di accesso al conto) per riuscire, se si ha fortuna, a impadronirsi della mail stessa tramite l’inoculazione di malware, o delle credenziali dell’account e avere accesso ad altri dati.
COSTRUIRE UNA FINTA IDENTITÀ DIGITALE
La verità è che anche senza cadere vittime del phishing le tessere che seminiamo qua e là sono moltissime e ricomporre il mosaico non è impossibile, specie se aiutiamo i malintenzionati nella loro opera quotidiana di cyber crimine con password molto facili, magari uguali per tutti i siti nei quali ci logghiamo. Lavoro tutto in discesa se non abbiamo previsto ovunque l’autenticazione a due fattori.
Ritrovarsi estromessi da questo o quel servizio, magari persino dalla propria mail, è una disavventura assai comune. Sorprende invece che proprio Spid mostri il fianco agli hacker con una vulnerabilità tollerata dalla normativa vigente che rende anche più difficile per ciascuno di noi sapere se esistono altre Spid a nostro nome.
LA PREOCCUPAZIONE DEGLI ESPERTI
“La possibilità di aprirne più di uno per ogni intestatario apre indubbiamente una breccia a numerose truffe informatiche che puntano sulla falsificazione degli indirizzi mail associati all’utente ed eventualmente anche delle relative Sim”, l’avvertimento lanciato qualche settimana fa dall’avvocato esperto in materia, Marisa Marraffino, dalle colonne del Sole24Ore.
“Lo schema delle principali truffe basate sullo Spid punta proprio a creare identità digitali per accedere a molti servizi, dall’Agenzia delle Entrate fino all’Inps, dirottando spesso accrediti e pensioni su conti correnti anch’essi falsificati. […] Pensioni e indennizzi rischiano così di essere spostati agevolmente su conti correnti aperti ad hoc, falsificando anche in questo caso l’identità dell’ignaro utente. Un domino di falsificazioni che può essere disinnescato soltanto dalle misure di sicurezza dei provider e dalla pronta segnalazione degli utenti”.
BASTA TRASLOCARE DA SPID A CIE?
In Rete c’è chi suggerisce di traslocare da Spid a Cie, ma questo comunque non impedisce a eventuali truffatori di aprire un profilo Spid a nostro nome. Il tema, con le sue diverse declinazioni, sul Web è noto da tempo: cercando su Google si inciampa anche in articoli del 2017. E ancora solo poche settimane fa l’Inps avvertiva i propri iscritti di prestare attenzione perché i malintenzionati sfrutterebbero la disattenzione e la poca dimestichezza dei pensionati per generare coi dati non custoditi con la dovuta cura un profluvio di Spid.
Sorprende che non sia stato fatto nulla per sanare il vulnus, anche solo rendendo possibile aprire uno Spid per persona fisica, nemmeno dopo tutti i soldi spesi con la transizione digitale imposta dal Pnrr. Il sospetto è che non ci sia stato alcun interesse a intervenire sia perché Spid pare arrivato al capolinea, soppiantato dalla Cie, sia perché, lato privati coinvolti nel progetto, c’è già parecchio malumore per le spese sostenute a fronte di guadagni irrisori, che pure erano stati promessi di ben altra portata dal governo italiano.
