Nei mesi scorsi si sono moltiplicati i casi di truffe digitali legate allo Spid con gravi ripercussioni per molti dipendenti pubblici. In particolare, alcuni lavoratori si sono visti sottrarre interamente lo stipendio, che è stato dirottato su conti correnti riconducibili a truffatori.
Il meccanismo è semplice quanto subdolo: attraverso un’identità digitale “clonata”, creata a insaputa della vittima, i malintenzionati riescono ad accedere all’area personale del portale NoiPA, modificando l’Iban su cui viene accreditato lo stipendio mensile.
Per questo motivo ASPMI, sempre attenta alla tutela dei propri iscritti, invita tutti i tesserati alla massima prudenza. A tal proposito, ecco le informazioni utili per riconoscere i rischi, prevenire il furto dell’identità digitale e difendere il proprio stipendio dai malintenzionati.
Come funziona la truffa del doppio Spid
Alla base del raggiro c’è una grave vulnerabilità del Sistema pubblico di identità digitale: oggi, infatti, è possibile attivare più Spid intestati alla stessa persona, anche all’insaputa dell’interessato. Una possibilità che i truffatori sfruttano con grande facilità.
Tutto parte dal furto di identità. I cybercriminali entrano in possesso dei dati anagrafici e di una copia del documento d’identità della vittima. A volte li ottengono con tecniche di phishing o smishing, cioè messaggi ingannevoli che spingono l’utente a fornire informazioni personali. Altre volte si affidano ad app malevoli oppure acquistano direttamente documenti rubati sul dark web.
Con queste informazioni, riescono ad attivare uno Spid “clonato”, formalmente valido, usando dati autentici ma associati a un numero di telefono e a un indirizzo e-mail non riconducibili alla vittima. A quel punto, il falso profilo può accedere indisturbato ai portali della pubblica amministrazione, NoiPA compreso.
È facile immaginare cosa può succedere poi. Una volta entrati nell’area riservata del dipendente, i truffatori modificano l’Iban registrato per l’accredito dello stipendio. La retribuzione finisce così su un conto corrente truffaldino, e spesso i dipendenti si accorgono del furto solo al momento del mancato versamento mensile.
Danni per i dipendenti pubblici
Le conseguenze di questa truffa sono gravissime, soprattutto per chi lavora nel pubblico impiego.
Come riporta Il Messaggero, ci sono testimonianze di dipendenti che si sono ritrovati senza stipendio in un momento in cui il costo della vita rende ogni entrata mensile indispensabile. Tra le vittime ci sono lavoratori della scuola, della sanità e dell’amministrazione centrale: tutti accomunati dall’utilizzo quotidiano di NoiPA, il portale che gestisce la loro retribuzione.
E recuperare le somme sottratte è spesso un percorso lungo e incerto, che richiede segnalazioni formali, denunce alla polizia postale, comunicazioni con la propria amministrazione e attese per eventuali rimborsi. A complicare tutto c’è il fatto che, tecnicamente, l’accesso è avvenuto tramite credenziali valide: il sistema riconosce lo Spid falso come “regolare”, rendendo difficile contestare immediatamente l’anomalia.
Per questo motivo come ASPMI riteniamo fondamentale che i tesserati siano informati, così da essere messi nelle condizioni di agire per tempo, prima che il danno si verifichi.
Come proteggersi, i consigli di ASPMI
Difendersi da questo tipo di truffa non è semplice, ma è possibile adottare alcune precauzioni fondamentali per ridurre il rischio. La prima e più importante è controllare regolarmente la propria area personale sul portale NoiPA, verificando che l’Iban inserito per l’accredito dello stipendio sia corretto e non sia stato modificato.
È altrettanto essenziale prestare massima attenzione alle comunicazioni sospette via e-mail, Sms o social network. Mai fornire documenti, dati personali o codici di accesso tramite link ricevuti in modo non richiesto. I truffatori si presentano spesso con messaggi che imitano lo stile e il logo di enti pubblici, ma è bene ricordare che le amministrazioni non chiedono mai dati sensibili via e-mail o messaggi.
Per maggiore sicurezza, si può chiedere ai dodici gestori Spid attivi in Italia di verificare se ci siano identità digitali aperte a proprio nome, scrivendo direttamente ai singoli provider. È un’operazione lunga, ma è l’unico modo oggi disponibile per accertarsi che non esistano Spid “doppi” attivati senza consenso.
Infine, si raccomanda di non conservare foto dei propri documenti su dispositivi non protetti e di evitare di caricarli su piattaforme poco sicure. I cybercriminali sono sempre alla ricerca di immagini digitali di carte d’identità e passaporti da usare per frodi, ed è fondamentale limitare al massimo la circolazione di questi materiali.
ASPMI invita tutti i tesserati a condividere queste informazioni con colleghi e familiari, per rafforzare la consapevolezza e la prevenzione di una truffa che sta colpendo in modo sempre più mirato il personale dello Stato.