NEWS

La truffa del bonus cultura evidenzia una falla enorme nel sistema delle identità digitali

La truffa del bonus cultura portata alla luce dai pm di Trieste evidenzia un problema ben più grave che sembra esserci alla base, quello delle identità digitali “duplicate”. È proprio questo l’aspetto più inquietante che risulta dalle indagini avviate dai pm di Trieste a seguito di diverse segnalazioni (sono già 600 ma se ne ipotizzano almeno il triplo) in tutta Italia da parte di giovani che hanno visto prosciugarsi il loro bonus cultura pari a 500 euro ciascuno, per un totale accertato già di 300mila euro, destinato però a quanto pare a crescere.

La truffa del bonus cultura portata alla luce dai pm di Trieste evidenzia un problema ben più grave che sembra esserci alla base, quello delle identità digitali “duplicate”.

Ad un primo esame sembrerebbe trattarsi di “semplici” furti di identità digitale. In realtà il caso è molto più inquietante.

Sembra infatti che i giovani segnalanti non abbiano riscontrato alcun problema con il loro id digitale riuscendo ad effettuare ogni operazione sia sulla stessa app del bonus cultura sia su ogni altro portale della PA.

La truffa ha evidenziato una falla enorme nel relativo sistema delle identità digitali.

A seguito anche di quanto dimostrato e riportato dalla giornalista Lucina Paternesi nel corso di un servizio del programma Report, sembra che tramite degli “avatar” si possa creare un nuovo Spid per qualsiasi persona, semplicemente scegliendo un provider differente da quello utilizzato originariamente (e pensate che in Italia i provider abilitati al rilascio di nuovi spid sono ben 12!).

Il suddetto avatar si può ottenere semplicemente in una cartoleria, dove si accettano anche le deleghe per il rilascio della firma digitale a nome di altri. Con quella firma, poi, basta collegarsi ad uno dei 12 provider che consentono di creare lo Spid, scegliendo il riconoscimento digitale tramite la firma appena creata (grazie al quale si evita l’identificazione). Basterà poi inserire la corretta residenza della persona in questione, e il codice identificativo del tesserino sanitario, ottenendo in pochi minuti una seconda identità digitale senza neppure la necessità del reale numero della carta d’identità.

Ed è proprio questa la cosiddetta “falla” scoperta. Non vi è alcuna verifica da parte dei vari provider di una eventuale corrispondenza di spid attivati. La conseguenza è che ogni cittadino italiano potrebbe avere attive 12 identità digitali diverse, anche a sua insaputa.

Oltre a richiedere bonus al posto del soggetto, però, questo avatar può avere accesso anche a tutte le informazioni delicate della persona e potenzialmente aprire conti correnti a suo nome, oppure stipulare e disdire contratti di qualsiasi tipo.

Quindi, è possibile che in Italia ci sia qualcuno che si spacci, digitalmente parlando, per voi. Fortunatamente l’inchiesta di Report ha fatto scattare gli allarmi presso l’Agid (Agenzia per l’Italia digitale) che si è immediatamente attivata e la speranza è che questo possa portare a dei controlli maggiori dei vari provider al momento di attivazione di uno spid.

Insomma, ogni giorno spendiamo il nostro tempo cercando di tenere riservati i nostri dati, cercando di stare attenti a quali cookies stiamo accettando sui vari siti che visitiamo, evitando ogni tipo di phishing possibile ma a quanto pare basta presentarsi in una cartoleria con una delega falsa e come per magia qualche sconosciuto potrà agire digitalmente a nome nostro.

Note Autore

Angelo Andreozzi Angelo Andreozzi

Giurista in materia di protezione dei dati, addetto alle relazioni con il pubblico presso Federprivacy.

Prev Ammonito l’avvocato che dà riscontro in ritardo all’esercizio dei diritti sulla privacy
Next La pubblica amministrazione italiana messa ko dai cyber criminali

Privacy Day Forum 2023: i momenti salienti

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy