Attenzione. Questa è la parola più equa. L’11 aprile l’Istituto di previdenza ha diffuso un messaggio per mettere in guardia cittadini e cittadine sulle frodi informatiche. Sempre più spesso ultimamente infatti i truffatori inviano un SMS agli utenti facendo apparire come mittente l’Inps stesso. La comunicazione invita a cliccare su un link per aggiornare i propri dati: il sito su cui si viene reindirizzati è una copia di quello ufficiale, ma non è autentico. È la cosiddetta truffa del secondo Spid, popolare soprattutto in questi giorni perché si avvicina il periodo in cui si presenta il 730.
Come funziona? Lo spiega bene Simone D’Agostino, formatore di cybersecurity per la Polizia di Stato: “prima di tutto i criminali rubano o acquistano i tuoi documenti d’identità e la tessera sanitaria”. Documenti agevolmente in vendita su Telegram.
Con questi dati attivano uno Spid al nome della vittima, usando una mail e un numero sotto il loro controllo. Poi posso fare tutto senza che l’interessato sappia nulla: “accedono con quello Spid ai portali della PA a nome della vittima: Inps, Agenzia Entrate, NoiPA”, aggiunge. Cambiano l’Iban – mettendo il proprio al posto di quello che c’era, della vittima – e si fanno accreditare pensioni, stipendi, rimborsi Irpef.
Ma secondo alcuni esperti il problema è come è stato congegnato Spid: “il sistema Spid è costruito male: è legato al codice fiscale, ma permette la creazione di più Spid attivi per la stessa persona. Con i tuoi documenti trafugati basta una nuova email e un numero diverso”, spiega D’Agostino. “Nessun blocco. Nessun avviso. Nessun controllo incrociato” ci dice.
