Aprire più di uno Spid? Perché mai uno dovrebbe farlo? Per esempio può capitare, come ci ha scritto un lettore, che in fasce orarie particolarmente affollate non si riesca ad accedere a un servizio con un determinato Spid e si riesca invece a farlo con un secondo. Vero. Ma a giudicare dai casi sempre più numerosi di furti di identità che ci vengono segnalati sembra che, in caso di intenso traffico online, la cosa più saggia da fare sia attendere pazientemente che questo cali. In un’altra lettera giunta a Plus 24 il lettore P.D.R segnala che ignoti «hanno aperto, a mio nome, una società di vendita di superalcolici, un conto corrente impresa, un conto con un operatore telefonico con due telefoni acquistati, a rate, di fascia alta naturalmente. Non contenti hanno pure aperto una partita Iva. Ovviamente, e per fortuna, l’Inps mi ha contattato richiedendomi i contributi. Questo episodio ha fatto si che scoprissi il tutto e agissi in giudizio, per la verità con scarsi risultati».
Il doppio Spid
Marisa Marraffino, tra i primi avvocati italiani ad avere intuito le conseguenze potenzialmente deflagranti dell’uso distorto della rete e dei social network, moltiplicati oggi dall’Intelligenza artificiale e del deep fake, non ha molti dubbi sulla possibilità lasciata aperta dalla normativa di potere utilizzare più Spid: «La possibilità di aprirne più di uno per ogni intestatario apre indubbiamente una breccia a numerose truffe informatiche che puntano sulla falsificazione degli indirizzi mail associati all’utente ed eventualmente anche delle relative Sim». In realtà l’identità digitale è ormai un dato acquisito tramite il Sistema pubblico di identità digitale, Spid o Cie (carta d’identità elettronica), e dovrebbe garantire un accesso unico, sicuro e protetto ai servizi digitali della Pubblica Amministrazione e, dal 2019, ai servizi in rete di tutte le Pubbliche Amministrazioni dell’Unione Europea.
Il rischio inceppamento
«Lo Spid – prosegue Marraffino – è rilasciato da gestori autorizzati (Identity provider) che forniscono le credenziali per poi gestire l’autenticazione degli utenti. Ed è proprio in quest’ultimo passaggio che il meccanismo rischia di incepparsi senza l’adozione di misure di sicurezza rafforzate». E quali possono essere queste misure rafforzate?
«Per ottenere lo Spid serve un documento di riconoscimento, carta di identità, passaporto, patente, tessera sanitaria o tesserino del codice fiscale, un indirizzo e-mail e un numero di cellulare». Però falsificare documenti o acquistarne di veri sul dark web non è così difficile, specialmente se si è professionisti della truffa: come più volte documentato su questo giornale esistono veri e propri supermarket di documenti intercettati sul web e messi in vendita con relativi tariffari (vedere scheda a fianco). Aprire account mail a nome di un ignaro utente così come creare Sim con false intestazioni non è dunque così difficile. E Marraffino prosegue: «Lo schema delle principali truffe basate sullo Spid punta proprio a creare identità digitali per accedere a molti servizi, dall’Agenzia delle Entrate fino all’Inps, dirottando spesso accrediti e pensioni su conti correnti anch’essi falsificati. È possibile in questo modo accedere agli account personali, cambiando l’Iban della banca di accredito, l’indirizzo di posta elettronica e il numero di telefono personali utili per dialogare con l’ente pubblico di riferimento. Pensioni e indennizzi rischiano così di essere spostati agevolmente su conti correnti aperti ad hoc, falsificando anche in questo caso l’identità dell’ignaro utente. Un domino di falsificazioni che può essere disinnescato soltanto dalle misure di sicurezza dei provider e dalla pronta segnalazione degli utenti».
Il Digital Services Act
Sia il Digital Services Act che il nuovo Regolamento Ue sul wallet digitale dovrebbero assicurare blindatissime misure in grado di scongiurare le più comuni frodi informatiche, eppure diversi provider consentirebbero ancora di creare un’identità digitale tramite l’autenticazione a mezzo mail o sms, entrambe procedure facilmente aggirabili dai truffatori, abili nel creare nuovi account e acquistare Sim con false intestazioni. Dopodiché aprire conti correnti con falsi documenti e identità perfeziona la truffa. «L’intelligenza artificiale ha, poi, agevolato non poco la creazione di falsi documenti – spiega ancora Marraffino – e potrebbe ingannare anche il classico anello debole delle frodi informatiche, ovvero l’umano. È possibile infatti anche falsificare la voce o il video dell’intestatario dell’utenza per aggirare eventuali controlli successivi da parte degli operatori». La soluzione? «L’implementazione delle misure di sicurezza dei provider – conclude Marraffino – che dovrebbero garantire sistemi di protezione in grado di riconoscere, anche tramite software ad hoc, i contenuti creati con l’Ia. Si tratta infatti ormai di misure minime di sicurezza nei servizi a più alto rischio, come quelli bancari o della pubblica amministrazione. Poter creare più Spid a nome della stessa persona rende però di fatto più difficile al provider identificare le truffe e più difficile al cliente accorgersi di esserne vittima, visto che la frode non sempre si concretizza tramite il cosiddetto phishing. È invece il sistema di identificazione che deve essere rafforzato per evitare gli artifizi più comuni».
