Negli ultimi mesi lo SPID è tornato al centro dell’attenzione di milioni di cittadini, complice la decisione di Poste Italiane di introdurre un costo a partire dal secondo anno di attivazione del servizio. Questo ha spinto molti utenti a informarsi su provider alternativi o su possibili soluzioni gratuite, creando un clima di incertezza e confusione. Proprio questo contesto è stato sfruttato dai cybercriminali per lanciare una nuova e pericolosa campagna di phishing, pensata per colpire chi teme di perdere l’accesso alla propria identità digitale. Secondo quanto riportato, la truffa inizia con una email che sembra provenire dall’Agenzia per l’Italia Digitale (AgID).
Il messaggio è costruito in modo da apparire credibile: utilizza nomi, loghi e grafiche molto simili a quelle ufficiali e adotta un linguaggio formale e rassicurante. L’oggetto, però, punta tutto sull’urgenza, con frasi come “Importante: Conferma i tuoi dati SPID” o “Verifica richiesta per la tua identità digitale”, spingendo l’utente ad agire in fretta per evitare la sospensione del servizio. Nel testo della mail si invita il destinatario ad aggiornare o verificare periodicamente i propri dati “per garantire la continuità dei servizi” e mantenere “elevati livelli di sicurezza e affidabilità del sistema”. Per farlo, viene indicato un link diretto che rimanda a un presunto portale SPID. È proprio questo il passaggio più pericoloso: cliccando sul collegamento si viene reindirizzati a una pagina fraudolenta, progettata per replicare fedelmente l’aspetto dei siti istituzionali.
Secondo quanto segnalato dal CERT-AgID, il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale che si occupa di cybersicurezza nella Pubblica Amministrazione, il sito falso chiede all’utente di inserire numerosi dati personali. Tra questi compaiono nome e cognome, data di nascita, indirizzo email, numero di telefono e perfino informazioni bancarie come IBAN e istituto di credito. Anche se non vengono richieste direttamente le credenziali del conto corrente, la quantità di informazioni raccolte è sufficiente per avviare furti d’identità, nuovi tentativi di phishing mirati o per alimentare il mercato illegale dei dati personali.
Le autorità hanno già chiesto la disattivazione delle pagine che ospitano questi portali fraudolenti, ma il rischio rimane elevato perché campagne di questo tipo possono riapparire rapidamente sotto nuove forme. Per questo la prudenza è fondamentale. Le email che trasmettono urgenza, invitano a cliccare su link diretti e chiedono l’inserimento di dati sensibili devono sempre far scattare un campanello d’allarme. Un controllo semplice ma efficace consiste nel verificare l’URL del sito su cui si viene reindirizzati. Anche quando la grafica sembra identica a quella ufficiale, l’indirizzo web spesso presenta differenze o incongruenze rispetto al portale autentico. È importante ricordare che nessun ente istituzionale richiede via email dati bancari o informazioni personali complete.
