Identità Spid abusiva

leggo di un cittadino frodato per mezzo di una seconda identità spid creata a sua insaputa:

Mi sfugge come sia possibile, i fornitori spid sono tenuti ad accertare l’identità al momento del rilascio. L’articolo non è chiaro su come abbiano fatto, dice solo che è stato un furto di dati, ma non mi pare sia sufficiente per riuscire a ottenere uno spid. Che ne dite?

L’articolo e’ dietro un paywall, non accessibile.
Una delle debolezze di SPID e’ che non sono previsti riconoscimenti di persona sulla base di documenti validi, ma il riconoscimento e’ a distanza e giocoforza indiretto con metodi che variano dal numero di cellulare al colloquio video all’invio di scan di documenti. Non ci vogliono competenze speciali in informatica per produrre un passaporto falso ma che venga riconosciuto per vero via video, e a maggior ragione il suo scan.
Non a caso la nuova legge sui B&B prevede che il gestore dell’appartamento controlli i documenti di persona e non si accontenti dello scan del passaporto. Anzi, il principio di questa legge rende automaticamente invalidi gli SPID rilasciati sulla base di copie di documenti, cioe’, quasi tutti?
Senza potere accedere all’articolo si tratta pero’ solo di congetture. Forse e’ ben documentato, forse e’ una storia che non sta in piedi.

quali sono i fornitori che si basano su copie di documenti o numeri di cellulari?

Nessuno, TIM usa il numero di cellulare, ma perche’ quando hai fatto il contratto hai gia’ dato il documento, cosi’ come Fineco che da’ lo spid di Namirial identificandosi con le credenziali dispositive della banca.
Pero’ il riconoscimento via video con copie dei documenti inviati via web si puo’ prestare a qualche truffa se ben organizzato. Per questo molti provider non permettono l’upload di scansioni, ma solo la foto in tempo reale avendo il documento disponibile con se.
Comunque INPS, quando si accede con uno spid diverso da quello utilizzato di solito richiede una seconda autenticazione via email registrata, quindi l’articolo non sta tanto in piedi.

Qui l’articolo che non dice nulla su come sia potuto succedere. Secondo me e’ piu’ ingegneria sociale che hacking.

"Impadronirsi dei documenti personali di un cittadino, aprire un conto corrente bancario a sua insaputa, creare addirittura uno Spid a suo nome, con un’identità digitale fasulla e introdursi nel suo cassetto fiscale per intercettare eventuali crediti d’imposta e dirottarli nel conto corrente fantasma. È stato soltanto grazie alla vigilanza do un funzionario bancario diligente a impedire che una situazione potenzialmente esplosiva potesse avere conseguenze peggiori.

La vicenda ha avuto come protagonista un pensionato residente in Lombardia che ha scritto alla redazione di Plus24 pregandoci di proteggere il suo anonimato. Tutto ha avuto inizio da una situazione di difficoltà familiari che hanno costretto il pensionato (che chiameremo A.G.) a dover interloquire con il Tribunale per una pratica di amministratore di sostegno per la quale immettere in rete documenti personali sensibili come carta d’identità, codice fiscale e quant’altro è indispensabile.

La telefonata

Qualche tempo dopo A.G. viene contattato al telefono di casa dal funzionario di una banca della Capitale che, presentandosi per nome e cognome gli fa presente di avere ricevuto da lui una richiesta on line per l’apertura di un conto corrente. «Qualcuno - spiega A.G. - aveva inviato foto di carta di credito e codice fiscale con le mie generalità e quindi a mio nome. Davanti alla mia perplessità il signore mi ha chiesto di controllare la documentazione fotografica ricevuta dalla sua banca per dichiarare se la riconoscevo come autentica. Mi ha chiesto la mail per inviarmi un messaggio con allegate le foto in questione e, nello stesso tempo, se non ero stato io a richiedere l’apertura di quel conto corrente, mi invitata a sporgere denuncia presso i Carabinieri per furto d’identità. Ricevute le immagini le ho riconosciute come me e ho denunciato l’accaduto».

La pensione non accreditata

Successivamente controllando sul suo conto online il pensionato scopre il mancato accredito della pensione. Con le credenziali Spid decide allora di entrare nel portale MyInps e qui scopre che i suoi dati erano corretti ma erano cambiati il numero di cellulare di riferimento l’email e l’Iban per l’accredito della pensione. Guarda caso l’Iban corrispondeva a quello del conto corrente aperto presso la banca romana. A questo punto parte la seconda denuncia ai Carabinieri. «Comunicare con L’Inps direttamente non è semplice - spiega A.G. - c’è solo il numero verde il cui operatore mi ha consigliato di inviare una mail con il resoconto dell’accaduto corredato delle copie delle denunce ai Carabinieri.

Spid multipli

Tutto questo è potuto accadere perché la legge istitutiva dell’identità digitale consente l’attivazione di più Spid (in teoria uno per ogni provider) usando le stesse credenziali anagrafiche ma diverso numero di telefono personale e diverso indirizzo email. Evidentemente il truffato ha usato questa possibilità. Ciliegina sulla torta: in giugno quando è stato possibile controllare il 730 precompilato sono entrato nel mio sito personale dell’Agenzia delle Entrate con il mio Spid e anche lì ho trovato accanto ai miei dati personali un numero di cellulare e una mail che erano gli stessi che avevo trovato in MyInps: il truffatore era entrato anche nel mio sito delle Entrate, presumo, per spiare il mio 730 e appropriarsi di eventuali rimborsi di eccedenze Irpef cambiando anche lì l’Iban di accredito»."

Se l’IBAN sul sito dell’Agenzia delle Entrate funzionasse in entrambi i sensi, con addebiti automatici e non via F24, i truffatori ci andrebbero molto piu’ cauti :wink:

Ancora un po’ e ciò sarà impossibile senza un prestanome omonimo. L’EPC (ente che gestisce la regolamentazione SEPA per i pagamenti in Eurozona) ha emanato la direttiva VOP (Verification Of Payee), che stabilisce l’obbligo, a partire da ottobre 2025, per tutte le banche di verificare la corretta rispondenza tra il beneficiario dichiarato del pagamento e gli effettivi titolari del rapporto su cui accreditare le somme.

Tale schema mira a eliminare le frodi basate su “scambio IBAN” in cui le organizzazioni criminali solitamente si sostituiscono a ditte fornitrici legittime inviando ai clienti false fatture in cui è indicato un IBAN diverso.

innovazione benvenuta, ma non credo si applicherebbe al caso in questione. Dal quel che capisco alla lettura dell’articolo, il nuovo Iban era intestato al truffato, ma a sua insaputa. Parrebbe, come detto da Ettore Mazza, un caso di ingegneria sociale.

1 Mi Piace

https://www.orizzontescuola.it/pensioni-a-rischio-il-furto-digitale-che-svuota-i-conti-degli-anziani-il-caso-di-un-professore-universitario-che-ha-perso-oltre-40mila-euro-dopo-il-furto-dello-spid/

E vogliamo continuare a condividere info personali via web con altri fornitori PSP ad esempio? La vulnerabilità del digitale è preoccupante

Confermo che si tratta di truffe tramite ingegneria sociale, tutte le cautele tecnologiche esistono già per prevenire questi casi.

Si. In questo caso si tratta di ingegneria sociale. Ma non è vero che tutte le cautele tecnologiche esistono già per prevenire questi casi. Quello che ha scritto Gianguido all’inizio del thread, che una persona si presenti con un documento falso al riconoscimento video è possibile.

Man mano che l’amministrazione digitale si consolida, servizi pubblici e privati passano online anche la criminalità si accoda. Di casi del genere se ne sentiranno sempre di più.

In questo caso specifico e in quello del professore universitario segnalato da pier_x mi chiedo se l’INPS dopo la modifica del conto corrente abbia inviato una notifica.

Vista la delicatezza dei dati del sistema se un utente cambia numero di telefono o email l’INPS dovrebbe mandare una notifica sia al vecchio che al nuovo numero. Nel caso del cambio del conto corrente immagino che abbia mandato una notifica alla nuova email. Ma anche qui il meccanismo per scegliere come e su quale canale mandare la notifica dovrebbe essere pensato per garantire la massima sicurezza.

INPS invia una notifica ed un otp, anche nel caso che si usi, per l’accesso, uno spid diverso da quello solito.

“Di questo tema se ne parlerà con gli avvocati Marisa Marraffino e Roberto De Vita nel corso della diretta web che andrà in onda lunedì 31 marzo alle ore 12.30 sul sito e sugli account social Linkedin. Youtube, Facebook e X/Twitter) del Sole 24 Ore. Conducono in studio i giornalisti Vitaliano D’Angerio e Stefano Elli.”

Si, vabbè. Ma con i documenti falsi non c’è bisogno di identità digitali. Le truffe con i documenti falsi sono sempre esistite.
Ed inoltre se un cittadino ha già SPID ed usa un servizio si accorge che qualcun altro vi ha accesso.
IO, ad es, consente un unico device registrato.

vero, ma un’analisi dei punti deboli è sempre opportuna per rimuoverli. Forse il riconoscimento video offre un ventre molle, per quanto sia comodo.
A volte alcune possibilità offerte agli utenti si ritorcono contro di essi. Per esempio, rimuoverei per legge anche la possibilità di stipulare contratti via telefono, consentono troppe truffe (non relativo allo spid questo).

1 Mi Piace

altro articolo:

finalmente con alcune informazioni in mezzo a troppe parole:

“in alcuni casi, è stata riscontrata la necessaria compiacenza di alcuni RAO che, contravvenendo alle regole imposte dall’Identity Provider o dalla Local Registration Authority, hanno proceduto alla creazione di SPID utilizzando dati diversi da quelli reali o forzando alcuni passaggi della catena di controllo in sede di identificazione (sulla base di moduli di richiesta con firme autografe apocrife oppure sulla base di documenti di identità falsi ovvero rubati).”

Ammetto di aver letto velocemente i vari commenti sopra, ma leggendo questo articolo ( Truffa SPID, i cybercriminali possono clonare identità e rubare soldi: come funziona e come difendersi ) mi viene da fare un commento.

Sono a conoscenza (per lavoro) di persone (di tutte le età e classi sociali) che “affidano” i loro dati ULTRA-sensibili ad uno sconosciuto li chiama al telefono, e addirittura mandano copie dei loro doc via chat. Questo la dice lunga sul quanto valgono certi “avvisi” senza una corretta “educazione informatica” improntata alla sicurezza.
E l’informatica che viene insegnata nelle scuole è a livello “casalingo” (escludendo ovviamente scuole specifiche).

Ma il doppio account SPID è proprio necessario? Mi sfugge la sua utilità.
In ogni caso cosa comporterebbe bloccare la possibilità del doppio SPID?

Grazie.

Abbiamo diversi articoli sull’argomento. Questo e’ fresco dal Corriere

Certo che rispondere a un SMS e fornire tutto, proprio tutto, video compreso…

Forse dovrei provare anch’io. Sto aspettando da anni un rimborso, chissa’ cosa fanno i cybercriminali invece per riceverli senza problemi, e soprattutto senza ritardi :slight_smile:

Tornando in topic, in effetti mi scuso per la troppo grossolana lettura dell’articolo, in effetti lì il problema è che tramite social engineering ti fai SPID e conto in banca a “te” intestato e amen. Bello VoP ma non risolve il problema più grave.

Ora, con l’arrivo dei rimborsi 730 si è tornato a parlare di questa truffa sui media. Ebbene da professionista ritengo che almeno per la parte di 730, gestita da AdE/Sogei, esisterebbe una mitigazione tecnica (non valida per INPS e altri, mi spiace).

Schema della frode: il truffatore ottiene una identità SPID a nome della vittima, con cui apre conto corrente intestato alla vittima stessa presso un istituto di credito, quindi usa lo stesso SPID per dirottare i rimborsi su altro C/C

Mitigazione: AdE ha gli strumenti per confrontare le dichiarazioni con l’Archivio Rapporti Finanziari e mettere sotto audit quantomeno quei rapporti, intestati o meno al soggetto, aperti da relativamente poco o sospetti o parcheggiati.

L’Archivio Rapporti Finanziari è una comunicazione obbligatoria di tutti gli Istituti di Credito riguardo tutti i rapporti instaurati da parte di cittadini. La data di apertura del rapporto può aiutare a identificare potenziali casi di attenzione, il saldo annuale (obbligatorio) il fatto che i movimenti sul conto siano realistici.

Ovviamente, come tutte le tecniche approssimative, non garantisce nulla al 100%

  • In generale un cittadino ha il sacrosanto diritto di cambiare c/c quindi il rischio falsi positivi è concreto
  • Non esiste solo il rimborso 730
  • Sarebbe meglio che sia il cittadino a verificare, a posteriori, l’eventuale cambio IBAN

Ma la tecnica sarebbe efficacissima a rendere meno appetibile lo schema alle organizzazioni criminali, dovendo aprire e mantenere attivi conti prima di conoscere quanto potranno intascare sferrando l’attacco :slight_smile:

Però penso che qualcosa sia meglio di niente. Il vantaggio è che l’eventuale audit può essere svolto immediatamente dopo la scadenza del cut-off per la presentazione del 730, in modo da permettere ad un controllo di secondo livello di decidere se contattare (come? magari ha già una SIM falsa) il cittadino per approfondimenti, sospendere l’erogazione ecc. E gestire ovviamente i falsi positivi e le inca**ature dei cittadini.

Ho seri dubbi sulla base giuridica di un simile incrocio di dati anche se svolto in forma anonima. Meglio che niente…

Per curiosita’, quali banche permettono di aprire un conto solo sulla base di SPID? Ci sono i regolamenti europei KYC (“know your customer”), occorre lasciare la firma, fornire tutte le informazioni sul livello di rischio, residenza, lavoro, reddito ecc. In piu’ ci sono le regole FATCA, che occorre firmare piu’ moduli americani che italiani. Esistono banche allegre, o irresponsabili, cui va bene SPID e basta?
Inoltre SPID e’ un’identificazione “avanzata” (2. livello di sicurezza) ma non “qualificata” (3. livello). Di gran lunga SPID non equivale a una carta d’identita’ o a un passaporto.
La truffa piuttosto puo’ avere luogo entrando nello sportello fiscale online, per quello si’ basta SPID, e cambiare l’IBAN nel profilo. Se, diciamo, riesco a ottenere SPID a nome di Paperon de’ Paperoni posso verificare se ha diritto a un buon rimborso, e solo a quel punto li’ cambiargli IBAN mettendone uno che piace a me. Ma questo IBAN resta registrato, e quasi certamente puo’ essere solo in area SEPA, quindi facilmente verificabile.
Una soluzione, probabilmente parziale ma molto semplice, sarebbe legare il cambio di IBAN (e anche di altre informazioni) a una approvazione via link email o per SMS, come avviene oggi per moltissime altre verifiche. Ai criminali oltre che SPID occorre allora catturare SIM e indirizzo di posta. Non impossibile, ma molto piu’ difficile.