Ricevi una email per l’aggiornamento di SPID, ma rischi di perdere tutti i dati e l’identità con un click. Ecco come riconoscere la truffa e come difendersi.
Da alcune settimane stanno circolando delle finte email che invitano gli utenti ad aggiornare SPID inserendo i propri dati personali e bancari su un form online del tutto simile alla pagine ufficiale dell’Agenzia per l’Italia Digitale. In realtà si tratta dell’ennesimo tentativo di phishing con cui i malviventi tentano di rubare dati personali, bancari e identità digitale dei cittadini.
Da quando Poste Italiane ha annunciato che SPID diventerà a pagamento, gli utenti hanno iniziato ad informarsi sulle alternative per non pagare e sui provider che offrono SPID gratis.
Il crescente interesse sull’argomento ha spinto i malviventi a tentare l’ennesima truffa su SPID che però è facilmente riconoscibile. Ecco come difendersi.
Truffa SPID: finte email che invitano ad aggiornare l’identità digitale
Il tentativo di phising parte dalla ricezione di una email potenzialmente non sospetta: il titolo può essere simile a “Importante: Conferma i tuoi dati SPID” oppure “Verifica richiesta per la tua identità digitale”. L’invito della polizia postale è di segnalare queste email e cestinarle immediatamente.
All’interno della mail il messaggio è chiaro: l’utente è chiamato ad aggiornare la propria identità digitale per non perdere i dati e l’account. Viene quindi indirizzato su un link che porta a un falso portale istituzionale graficamente simile al sito dell’Agenzia per l’Italia Digitale.
Su questa pagina sono elencati una serie di campi che riguardano dati personali (nome, cognome, indirizzo, ecc), bancari (IBAN, nome della banca, ecc) e persino informazioni di contatto (email, numero di telefono, ecc) che potrebbero finire nelle mani dei cybercriminali.
Gli utenti però non devono farsi ingannare da loghi, colori o parole che potrebbero sembrare reali. Nel testo del messaggio si ricorda di verificare con cadenza regolare i propri dati «per garantire la continuità dei servizi», oltre a garantire «elevati livelli di sicurezza e affidabilità del sistema».
Come riconoscere la truffa SPID
Fortunatamente esistono dei segnali che dovrebbero far scattare l’allarme truffa: i criminali solitamente utilizzano portali falsi identificabili dall’indirizzo URL: potrebbero essere inseriti errori grammaticali o di battitura, che spesso il nostro cervello non identifica nell’immediato. Bisogna ricordare comunque che l’unico portale ufficiale e istituzionale di SPID è spid.gov.it: ciò significa che qualsiasi altro indirizzo è da considerarsi falso.
C’è poi un ulteriore campanello d’allarme che dovrebbe metterci in guardia: nessun provider di SPID chiederà mai dati bancari, nemmeno se il servizio è a pagamento. Quindi non dovremmo mai indicare il nostro IBAN o la banca d’appoggio in quanto non è un’informazione necessaria per l’aggiornamento dell’identità digitale.
Interessante notare anche che il falso portale non richiede le credenziali bancarie vere e proprie, come password o OTP: la finalità della truffa, probabilmente, è legata alla raccolta di identità digitali da sfruttare successivamente o da rivendere nel mercato nero dei dati.
Attualmente Cert-AgID ha chiesto la disattivazione della pagina, ma potrebbero passare diversi giorni prima dell’effettiva cancellazione: si invitano quindi gli utenti alla massima prudenza.
Truffe SPID ai danni dei dipendenti pubblici
Non molto tempo fa si era diffusa un’altra tipologia di truffa sempre con SPID che aveva colpito in particolare i dipendenti pubblici. In quell’occaisone, a una lavoratrice romana è stato cambiato IBAN nell’area privata di NoiPA e la 13esima è stata accreditata sul conto dei cyber criminali. La signora è stata vittima di un furto di identità.
I malviventi hanno tentato di contattare i lavoratori pubblici telefonicamente fingendosi assistenti della piattaforma e chiedendo agli sfortunati utenti i codici associati a SPID o CNS, ed eventuali codici OTP generato da NoiPA per poter accedere al portale e risolvere una problematica inesistente. Una volta entrati sul profilo del lavoratore avrebbero modificato l’IBAN per accreditarsi lo stipendio.
La piattaforma NOiPA ha quindi invitato tutti gli utenti a diffidare da queste chiamate e a non fornire nessun dati personale a terzi.
© RIPRODUZIONE RISERVATA
