Dopo la dipendente romana, cui è stata sottratta la tredicesima, ora è toccato a un pensionato lombardo. Ecco come difendersi.
Roma – Tra le frodi online e i furti di informazioni sensibili su internet più diffusi e pericolosi, la truffa del falso Spid è una di quelle che destano maggiore preoccupazione tra gli utenti. Una dipendente pubblica romana, qualche mese fa, insospettita dal mancato accredito della tredicesima ha fatto le opportune verifiche. Ebbene, ha scoperto che le sue coordinate bancarie erano state modificate sul portale NoiPa: i soldi erano stati trasferiti su un conto aperto presso un istituto Bbva a Milano, frutto di una falsa identità digitale. Come raccontato da diverse testate, l’hacker, usando documenti di identità sottratti, era riuscito a creare due Spid e una Carta nazionale dei servizi, ottenendo l’accesso ai dati sensibili della donna, come buste paga e Cud. Poi ha alterato i suoi dati bancari, aprendo un conto corrente a suo nome dove far convogliare i soldi. Ora è toccato a un pensionato lombardo cadere nella truffa del falso Spid.
L’uomo si è “salvato” solo grazie allo zelo di un funzionario di una banca di Roma, che ha fatto scattare l’allarme e ha convinto la vittima a sporgere denuncia per furto di identità. Il falso Spid è un raggiro in ascesa, oggetto di crescenti segnalazioni. Come afferma Massimiliano Dona, presidente dell’Unione nazionale dei consumatori, si tratta di una “frode in forte crescita. Agli sportelli di Consumatori.it arrivano infatti quotidianamente segnalazioni di questo tipo“. Per questo, l’Unc ha stilato un vademecum con diversi consigli per proteggersi dalla truffa: anzitutto, è bene attivare gli alert bancari per ricevere notifiche immediate di ogni movimento sul conto e controllare regolarmente sul sito dell’Agenzia per l’Italia digitale quanti e quali Spid siano attivi a proprio nome. In caso di anomalie, bisogna contattare immediatamente l’Agid, ossia l’Agenzia del governo per l’Italia digitale.
Il presidente dell’Unc esclude che il sistema NoiPa presenti delle falle di sicurezza, ma che i difetti siano in tutto il sistema di identificazione digitale. “La legge prevede diverse tutele”, ha aggiunto Massimiliano Dona ricordando che, se riesce a dimostrare di non avere agito con negligenza, la vittima ha diritto prima di tutto al rimborso delle somme sottratte. In ogni caso, le banche dovrebbero approntare sistemi antifrode efficaci, secondo quanto stabilito dal Codice del Consumo e dalle normative di categoria, senza i quali sono ritenute responsabili e obbligate dall’Arbitro bancario finanziario a restituire i soldi.
Ma in cosa consiste la truffa? I malviventi prendono di mira una vittima e poi procedono con la creazione di una nuova identità digitale, con numero di telefono e indirizzo email differenti. Ottengono così l’accesso ai dati sensibili delle persone prescelte, e riescono ad avere accesso ai loro dati bancari. Aprendo un nuovo conto corrente sono inoltre in grado di dirottare il denaro. Lo Spid è il sistema unico di accesso con identità digitale ai servizi online della Pubblica amministrazione e dei privati aderenti. Si può accedere con una coppia di credenziali personali (username e password) utilizzabili da qualsiasi dispositivo. Lo Spid viene rilasciato dai gestori di identità digitale (identity provider), aziende private accreditate da AgID (l’Agenzia del governo per l’Italia digitale) che forniscono le identità digitali e gestiscono l’autenticazione degli utenti. Si può richiedere lo Spid al gestore che si preferisce. Fin qui tutto regolare.
La truffa del falso Spid si insinua poi nelle maglie della legge istitutiva dell’identità digitale, e cioè quella di attivare più Spid (teoricamente uno per ogni provider) usando le stesse credenziali anagrafiche ma diverso numero di telefono e diverso indirizzo e-mail. Eventuali malintenzionati potrebbero quindi tentare di clonare l’identità digitale, accedendo a informazioni riservate, sottrarre soldi o chiedere finanziamenti a nome della vittima. Nel caso del pensionato lombardo, l’uomo si è trovato a sbrigare una pratica con il Tribunale per una vicenda familiare. Una procedura che ha comportato l’inserimento online di documenti sensibili come carta d’identità e codice fiscale. Qualche tempo dopo, il pensionato viene contattato dal funzionario di una banca della Capitale, che gli comunica di aver ricevuto una richiesta online per l’apertura di un conto corrente a suo nome.
Una richiesta era accompagnata dalle foto dei documenti personali del pensionato, riconosciuti dallo stesso come autentici. Sollecitato dal funzionario, la vittima ha sporto denuncia ai carabinieri per furto d’identità. Non solo. Controllando sul suo conto corrente online, la vittima si è accorta del mancato accredito della pensione. Come scrive il Sole 24 Ore, l’uomo è quindi entrato nel portale MyInps, cioè l’area privata offerta dall’Istituto di previdenza per accedere ai suoi servizi o per consultare le pratiche in corso. Qui la scoperta: i dati del pensionato erano sì corretti, ma il numero di cellulare di riferimento, l’e-mail e l’Iban per l’accredito della pensione erano stati modificati. L’Iban corrispondeva a quello del conto corrente aperto presso la banca romana. Il pensionato, dunque, ha deciso di sporgere una seconda denuncia ai carabinieri.
Tra le raccomandazioni degli esperti per non cadere nel tranello, non condividere mai i propri documenti di identità via email o Whatsapp, nemmeno con presunti servizi clienti bancari. Meglio utilizzare solo i canali ufficiali dell’istituto. Non solo: bisogna attivare sempre, dove disponibile, l’autenticazione a due fattori, sia per lo Spid sia per tutti i servizi sensibili; le credenziali Spid vanno conservate con cura e cambiate periodicamente con password complesse e diverse per ogni servizio. In caso di furto del documento d’identità o di sospetta compromissione dei propri dati, si raccomanda, bisogna fare immediatamente denuncia e richiedere un nuovo documento. In caso si sospetti di essere vittime di frode, è fondamentale bloccare subito le carte, contattare la banca, fare denuncia alle autorità e rivolgersi alle associazioni per eventuale assistenza.