Spid, il sistema pubblico di identità digitale italiano, ha semplificato l’accesso ai servizi online della Pubblica Amministrazione per milioni di cittadini. Ma proprio questo strumento cardine della digitalizzazione nasconde una vulnerabilità strutturale, nota come “truffa del doppio Spid”. Un attacco silenzioso, che consente ai criminali informatici di creare un’identità digitale parallela a quella reale, utilizzata per dirottarvi rimborsi, stipendi e pensioni.
Il trucco non passa da sofisticati attacchi informatici. Basta recuperare online una copia del documento di identità della vittima, facilmente reperibile nei data leak e nei forum del dark web, per attivare un nuovo Spid attraverso le modalità di identificazione remota, tipicamente una videochiamata con un operatore. A quel punto, la macchina amministrativa non distingue tra un’identità originale e una duplicata: entrambe risultano formalmente valide.
Il problema è sistemico. La gestione di Spid è affidata a dodici operatori privati, ciascuno autonomo. Nessun database centralizzato impedisce che uno stesso codice fiscale possa essere associato a più Spid. Anzi, al momento della registrazione non esiste alcun controllo incrociato. Né è prevista una notifica all’utente originario, che potrebbe rimanere all’oscuro del furto finché non subisce un danno diretto.
La prospettiva di un superamento di Spid a favore della Carta d’Identità Elettronica (CIE), spinta dal governo, blocca di fatto qualsiasi piano di investimento per migliorare il sistema. Eppure, oggi Spid conta oltre 40 milioni di identità attive, contro appena 7 milioni di CIE utilizzabili online: dati che rendono impensabile un disimpegno immediato.
Cosa può fare un cittadino per proteggersi? L’unica vera arma, al momento, è l’accesso ai dati garantito dall’art. 15 del GDPR. È possibile inviare una richiesta formale a tutti i gestori Spid, chiedendo conferma della presenza di identità attive a proprio nome, obbligando i provider a rispondere entro 30 giorni. Ma il monitoraggio va ripetuto, periodicamente, per restare efficace.
Una strategia definitiva? Registrarsi presso tutti gli operatori, così da chiudere la porta in faccia ai truffatori. Ma tra costi e complessità operative, anche questa soluzione sembra oggi più teorica che praticabile.
La truffa del doppio Spid non è un’anomalia tecnica, ma un effetto collaterale di scelte sistemiche e ritardi normativi. In un’epoca in cui l’identità digitale vale quanto un conto in banca, difenderla è una responsabilità che non possiamo più delegare.
A.C.
