Con l’inizio della stagione del 730, torna alla ribalta la truffa del “doppio SPID”, un attacco ormai ben noto che sfrutta una criticità del sistema di identità digitale italiano: la possibilità di creare più SPID validi per lo stesso codice fiscale, usando provider diversi, email e numeri di telefono sotto il controllo dei criminali.

L’obiettivo è intercettare rimborsi fiscali, pensioni o stipendi, dirottando gli IBAN registrati sui portali della PA. Il tutto parte spesso da documenti rubati, reperibili per poche decine di euro nei marketplace del dark web o su Telegram.

Il punto debole sta nell’architettura federata dello SPID, che non prevede controlli incrociati tra provider né sistemi di allerta in caso di attivazioni sospette.

A oggi, le contromisure a disposizione degli utenti sono solo preventive: controllare regolarmente i propri accessi, monitorare gli IBAN registrati e utilizzare app di autenticazione a due fattori.

In un contesto così fragile, il ruolo della cybersecurity è sempre più centrale: rilevare anomalie, monitorare minacce attive e proteggere i dati diventa cruciale per non lasciare i cittadini soli di fronte a un problema sistemico.