SPID sotto attacco, la nuova truffa digitale colpisce via SMS: come difendersi

Attenzione alle truffe digitali: ora i criminali puntano allo Spid, la chiave per i servizi pubblici. Ecco come non cadere nel tranello.

Nell’era della digitalizzazione, dove l’accesso ai servizi pubblici passa sempre più attraverso strumenti tecnologici, cresce anche il rischio di cadere vittima di truffe sempre più sofisticate. Tra i nuovi obiettivi dei cybercriminali c’è lo Spid – il Sistema Pubblico di Identità Digitale – ormai indispensabile per accedere a portali della pubblica amministrazione, bonus, certificati e pratiche online. Attraverso SMS ingannevoli, i truffatori cercano di sottrarre credenziali e dati personali, mettendo a rischio la sicurezza digitale dei cittadini. Conoscere le modalità d’attacco e sapere come difendersi è oggi più che mai fondamentale.

Truffa dello Spid, il nuovo inganno corre via SMS

L’INPS ha lanciato un’allerta l’11 aprile per segnalare una nuova ondata di truffe digitali. I malintenzionati inviano SMS camuffati da comunicazioni ufficiali, invitando gli utenti a cliccare su link fasulli per aggiornare i propri dati. I siti imitano perfettamente quello dell’INPS, ma servono solo a raccogliere informazioni sensibili: dati anagrafici, codice fiscale, Iban, documenti e persino selfie o video. Con questo materiale viene creato uno SPID falso, usato per frodi online, soprattutto in vista della stagione del 730.

Il CERT-AgID, organismo che monitora la sicurezza digitale nella PA, ha segnalato un forte aumento di questi attacchi via SMS: nei primi tre mesi del 2025 sono stati scoperti 33 domini falsi legati all’INPS. I dati sottratti finiscono spesso nel dark web, dove vengono venduti insieme a selfie e copie dei documenti.

“L’Inps, al fine di garantire la sicurezza dei dati personali dei cittadini e la prevenzione di tentativi di phishing e frodi informatiche, informa che le notifiche ufficiali dell’Istituto inviate tramite SMS, relative agli esiti di lavorazione delle pratiche o ai pagamenti, non contengono mai link cliccabili”, ha messo in guardia l’INPS in una nota ufficiale.

Per aiutare gli utenti a riconoscere e gestire queste frodi, il CERT-AGID ha pubblicato una guida pratica con indicazioni utili. Le truffe iniziano spesso con un SMS o un’email che sembra arrivare dall’INPS, grazie a tecniche di spoofing che falsificano il mittente. Il messaggio invita a cliccare su un link per aggiornare i dati personali, reindirizzando a un sito che imita quello ufficiale, ma che è in realtà fraudolento.

Una volta sul portale, viene richiesto l’invio di informazioni sensibili: dati personali, IBAN, documenti, buste paga, selfie e video. Dopo aver premuto “Conferma” o “Avanti”, i truffatori ottengono pieno accesso ai dati. In alcuni casi, viene simulato un errore per richiedere più volte l’upload, aumentando la qualità e quantità del materiale raccolto.

Chi sospetta di essere vittima della truffa può seguire alcuni passaggi consigliati dal Cert-AgID. Prima di tutto, è fondamentale sporgere denuncia presso la Polizia Postale, portando con sé tutta la documentazione utile, come SMS sospetti e copie dei documenti inviati. In aggiunta, è possibile fare una segnalazione online tramite il portale della Polizia di Stato. Infine, è importante monitorare con attenzione i conti bancari, soprattutto quelli su cui si ricevono pagamenti statali, per verificare che non ci siano modifiche non autorizzate all’IBAN o anomalie nei versamenti.