leggo di un cittadino frodato per mezzo di una seconda identità spid creata a sua insaputa:
Mi sfugge come sia possibile, i fornitori spid sono tenuti ad accertare l’identità al momento del rilascio. L’articolo non è chiaro su come abbiano fatto, dice solo che è stato un furto di dati, ma non mi pare sia sufficiente per riuscire a ottenere uno spid. Che ne dite?
L’articolo e’ dietro un paywall, non accessibile.
Una delle debolezze di SPID e’ che non sono previsti riconoscimenti di persona sulla base di documenti validi, ma il riconoscimento e’ a distanza e giocoforza indiretto con metodi che variano dal numero di cellulare al colloquio video all’invio di scan di documenti. Non ci vogliono competenze speciali in informatica per produrre un passaporto falso ma che venga riconosciuto per vero via video, e a maggior ragione il suo scan.
Non a caso la nuova legge sui B&B prevede che il gestore dell’appartamento controlli i documenti di persona e non si accontenti dello scan del passaporto. Anzi, il principio di questa legge rende automaticamente invalidi gli SPID rilasciati sulla base di copie di documenti, cioe’, quasi tutti?
Senza potere accedere all’articolo si tratta pero’ solo di congetture. Forse e’ ben documentato, forse e’ una storia che non sta in piedi.
quali sono i fornitori che si basano su copie di documenti o numeri di cellulari?
Nessuno, TIM usa il numero di cellulare, ma perche’ quando hai fatto il contratto hai gia’ dato il documento, cosi’ come Fineco che da’ lo spid di Namirial identificandosi con le credenziali dispositive della banca.
Pero’ il riconoscimento via video con copie dei documenti inviati via web si puo’ prestare a qualche truffa se ben organizzato. Per questo molti provider non permettono l’upload di scansioni, ma solo la foto in tempo reale avendo il documento disponibile con se.
Comunque INPS, quando si accede con uno spid diverso da quello utilizzato di solito richiede una seconda autenticazione via email registrata, quindi l’articolo non sta tanto in piedi.
Qui l’articolo che non dice nulla su come sia potuto succedere. Secondo me e’ piu’ ingegneria sociale che hacking.
"Impadronirsi dei documenti personali di un cittadino, aprire un conto corrente bancario a sua insaputa, creare addirittura uno Spid a suo nome, con un’identità digitale fasulla e introdursi nel suo cassetto fiscale per intercettare eventuali crediti d’imposta e dirottarli nel conto corrente fantasma. È stato soltanto grazie alla vigilanza do un funzionario bancario diligente a impedire che una situazione potenzialmente esplosiva potesse avere conseguenze peggiori.
La vicenda ha avuto come protagonista un pensionato residente in Lombardia che ha scritto alla redazione di Plus24 pregandoci di proteggere il suo anonimato. Tutto ha avuto inizio da una situazione di difficoltà familiari che hanno costretto il pensionato (che chiameremo A.G.) a dover interloquire con il Tribunale per una pratica di amministratore di sostegno per la quale immettere in rete documenti personali sensibili come carta d’identità, codice fiscale e quant’altro è indispensabile.
Qualche tempo dopo A.G. viene contattato al telefono di casa dal funzionario di una banca della Capitale che, presentandosi per nome e cognome gli fa presente di avere ricevuto da lui una richiesta on line per l’apertura di un conto corrente. «Qualcuno - spiega A.G. - aveva inviato foto di carta di credito e codice fiscale con le mie generalità e quindi a mio nome. Davanti alla mia perplessità il signore mi ha chiesto di controllare la documentazione fotografica ricevuta dalla sua banca per dichiarare se la riconoscevo come autentica. Mi ha chiesto la mail per inviarmi un messaggio con allegate le foto in questione e, nello stesso tempo, se non ero stato io a richiedere l’apertura di quel conto corrente, mi invitata a sporgere denuncia presso i Carabinieri per furto d’identità. Ricevute le immagini le ho riconosciute come me e ho denunciato l’accaduto».
Successivamente controllando sul suo conto online il pensionato scopre il mancato accredito della pensione. Con le credenziali Spid decide allora di entrare nel portale MyInps e qui scopre che i suoi dati erano corretti ma erano cambiati il numero di cellulare di riferimento l’email e l’Iban per l’accredito della pensione. Guarda caso l’Iban corrispondeva a quello del conto corrente aperto presso la banca romana. A questo punto parte la seconda denuncia ai Carabinieri. «Comunicare con L’Inps direttamente non è semplice - spiega A.G. - c’è solo il numero verde il cui operatore mi ha consigliato di inviare una mail con il resoconto dell’accaduto corredato delle copie delle denunce ai Carabinieri.
Tutto questo è potuto accadere perché la legge istitutiva dell’identità digitale consente l’attivazione di più Spid (in teoria uno per ogni provider) usando le stesse credenziali anagrafiche ma diverso numero di telefono personale e diverso indirizzo email. Evidentemente il truffato ha usato questa possibilità. Ciliegina sulla torta: in giugno quando è stato possibile controllare il 730 precompilato sono entrato nel mio sito personale dell’Agenzia delle Entrate con il mio Spid e anche lì ho trovato accanto ai miei dati personali un numero di cellulare e una mail che erano gli stessi che avevo trovato in MyInps: il truffatore era entrato anche nel mio sito delle Entrate, presumo, per spiare il mio 730 e appropriarsi di eventuali rimborsi di eccedenze Irpef cambiando anche lì l’Iban di accredito»."
Se l’IBAN sul sito dell’Agenzia delle Entrate funzionasse in entrambi i sensi, con addebiti automatici e non via F24, i truffatori ci andrebbero molto piu’ cauti 
Ancora un po’ e ciò sarà impossibile senza un prestanome omonimo. L’EPC (ente che gestisce la regolamentazione SEPA per i pagamenti in Eurozona) ha emanato la direttiva VOP (Verification Of Payee), che stabilisce l’obbligo, a partire da ottobre 2025, per tutte le banche di verificare la corretta rispondenza tra il beneficiario dichiarato del pagamento e gli effettivi titolari del rapporto su cui accreditare le somme.
Tale schema mira a eliminare le frodi basate su “scambio IBAN” in cui le organizzazioni criminali solitamente si sostituiscono a ditte fornitrici legittime inviando ai clienti false fatture in cui è indicato un IBAN diverso.
innovazione benvenuta, ma non credo si applicherebbe al caso in questione. Dal quel che capisco alla lettura dell’articolo, il nuovo Iban era intestato al truffato, ma a sua insaputa. Parrebbe, come detto da Ettore Mazza, un caso di ingegneria sociale.
E vogliamo continuare a condividere info personali via web con altri fornitori PSP ad esempio? La vulnerabilità del digitale è preoccupante
Confermo che si tratta di truffe tramite ingegneria sociale, tutte le cautele tecnologiche esistono già per prevenire questi casi.
Si. In questo caso si tratta di ingegneria sociale. Ma non è vero che tutte le cautele tecnologiche esistono già per prevenire questi casi. Quello che ha scritto Gianguido all’inizio del thread, che una persona si presenti con un documento falso al riconoscimento video è possibile.
Man mano che l’amministrazione digitale si consolida, servizi pubblici e privati passano online anche la criminalità si accoda. Di casi del genere se ne sentiranno sempre di più.
In questo caso specifico e in quello del professore universitario segnalato da pier_x mi chiedo se l’INPS dopo la modifica del conto corrente abbia inviato una notifica.
Vista la delicatezza dei dati del sistema se un utente cambia numero di telefono o email l’INPS dovrebbe mandare una notifica sia al vecchio che al nuovo numero. Nel caso del cambio del conto corrente immagino che abbia mandato una notifica alla nuova email. Ma anche qui il meccanismo per scegliere come e su quale canale mandare la notifica dovrebbe essere pensato per garantire la massima sicurezza.
INPS invia una notifica ed un otp, anche nel caso che si usi, per l’accesso, uno spid diverso da quello solito.
“Di questo tema se ne parlerà con gli avvocati Marisa Marraffino e Roberto De Vita nel corso della diretta web che andrà in onda lunedì 31 marzo alle ore 12.30 sul sito e sugli account social Linkedin. Youtube, Facebook e X/Twitter) del Sole 24 Ore. Conducono in studio i giornalisti Vitaliano D’Angerio e Stefano Elli.”
Si, vabbè. Ma con i documenti falsi non c’è bisogno di identità digitali. Le truffe con i documenti falsi sono sempre esistite.
Ed inoltre se un cittadino ha già SPID ed usa un servizio si accorge che qualcun altro vi ha accesso.
IO, ad es, consente un unico device registrato.
vero, ma un’analisi dei punti deboli è sempre opportuna per rimuoverli. Forse il riconoscimento video offre un ventre molle, per quanto sia comodo.
A volte alcune possibilità offerte agli utenti si ritorcono contro di essi. Per esempio, rimuoverei per legge anche la possibilità di stipulare contratti via telefono, consentono troppe truffe (non relativo allo spid questo).
altro articolo:
finalmente con alcune informazioni in mezzo a troppe parole:
“in alcuni casi, è stata riscontrata la necessaria compiacenza di alcuni RAO che, contravvenendo alle regole imposte dall’Identity Provider o dalla Local Registration Authority, hanno proceduto alla creazione di SPID utilizzando dati diversi da quelli reali o forzando alcuni passaggi della catena di controllo in sede di identificazione (sulla base di moduli di richiesta con firme autografe apocrife oppure sulla base di documenti di identità falsi ovvero rubati).”