Tornando in topic, in effetti mi scuso per la troppo grossolana lettura dell’articolo, in effetti lì il problema è che tramite social engineering ti fai SPID e conto in banca a “te” intestato e amen. Bello VoP ma non risolve il problema più grave.
Ora, con l’arrivo dei rimborsi 730 si è tornato a parlare di questa truffa sui media. Ebbene da professionista ritengo che almeno per la parte di 730, gestita da AdE/Sogei, esisterebbe una mitigazione tecnica (non valida per INPS e altri, mi spiace).
Schema della frode: il truffatore ottiene una identità SPID a nome della vittima, con cui apre conto corrente intestato alla vittima stessa presso un istituto di credito, quindi usa lo stesso SPID per dirottare i rimborsi su altro C/C
Mitigazione: AdE ha gli strumenti per confrontare le dichiarazioni con l’Archivio Rapporti Finanziari e mettere sotto audit quantomeno quei rapporti, intestati o meno al soggetto, aperti da relativamente poco o sospetti o parcheggiati.
L’Archivio Rapporti Finanziari è una comunicazione obbligatoria di tutti gli Istituti di Credito riguardo tutti i rapporti instaurati da parte di cittadini. La data di apertura del rapporto può aiutare a identificare potenziali casi di attenzione, il saldo annuale (obbligatorio) il fatto che i movimenti sul conto siano realistici.
Ovviamente, come tutte le tecniche approssimative, non garantisce nulla al 100%
- In generale un cittadino ha il sacrosanto diritto di cambiare c/c quindi il rischio falsi positivi è concreto
- Non esiste solo il rimborso 730
- Sarebbe meglio che sia il cittadino a verificare, a posteriori, l’eventuale cambio IBAN
Ma la tecnica sarebbe efficacissima a rendere meno appetibile lo schema alle organizzazioni criminali, dovendo aprire e mantenere attivi conti prima di conoscere quanto potranno intascare sferrando l’attacco 
Però penso che qualcosa sia meglio di niente. Il vantaggio è che l’eventuale audit può essere svolto immediatamente dopo la scadenza del cut-off per la presentazione del 730, in modo da permettere ad un controllo di secondo livello di decidere se contattare (come? magari ha già una SIM falsa) il cittadino per approfondimenti, sospendere l’erogazione ecc. E gestire ovviamente i falsi positivi e le inca**ature dei cittadini.
Ho seri dubbi sulla base giuridica di un simile incrocio di dati anche se svolto in forma anonima. Meglio che niente…