SPID "clonato": cosa ci insegna la privacy
Si parla almeno da aprile della truffa dello SPID: è una truffa con la quale dei criminali riescono a registrarsi a vostro nome, o meglio, con il vostro codice fiscale, presso altri fornitori di SPID, potendo così operare a nome vostro.
Che cosa può fare una persona malintenzionata con il tuo SPID? Può entrare nel portale dell'Agenzia Entrate o dell'INPS per cambiare i dati bancari su cui ricevere rimborsi, stipendi o pensioni, aprire conti correnti o per attività illegali, il tutto a tuo nome. Per alcune pratiche legate a cause legali, viene richiesta l'autenticazione tramite SPID, ed è come se qualcuno a vostro nome entrasse in un tribunale a consultare o depositare documenti di una vostra causa in corso, cosa mai potrebbe fare se non ha buone intenzioni?
Che cos'è SPID?
SPID è un sistema per l'identità digitale, e serve per farsi riconoscere con valore legale da un servizio online della Pubblica Amministrazione e/o di privati e ad accedere ai servizi pubblici online degli altri Stati UE. Non è un documento d’identità, ma quando la legge impone alla Pubblica Amministrazione di controllare il documento d’identità di chi accede a un servizio, identificarsi con SPID equivale anche a esibirlo.
Al contrario della CIE (Carta di Identità Elettronica), la quale è emessa dal Ministero dell'Interno e utilizza un sistema centralizzato, SPID è invece un sistema decentralizzato ed è uno dei punti cardine per il quale è stato creato, proprio per evitare che chi gestisce le identità digitali sia un unico ente con un potere immenso che può esercitarlo in modo piuttosto rapido data la natura digitale con cui è stato realizzato.
Un approfondimento molto completo lo potete trovare sul blog dell'allora ministro Stefano Quintarelli, appassionato di open source: https://blog.quintarelli.it/spid/
Qual è il problema?
La decentralizzazione ha un valore importante, proprio per evitare di concentrare il potere in un'unica entità, sia essa un'azienda o uno Stato. In controtendenza ai social network e alle "big tech", cioè i grossi colossi tecnologici (Google, Microsoft, Meta, Amazon, Apple, ecc), invece di centralizzare dati e potere si è scelto di decentralizzare i dati e il servizio. I fornitori di SPID, come Poste Italiane, Aruba, InfoCert e molti altri (ad oggi sono 12), hanno seguito un percorso per diventare fornitori autorizzati di identità digitali. Se avete anche voi lo SPID, sapete benissimo che per poterlo ottenere dovete identificarvi in modo che il fornitore di identità digitale possa stabilire con certezza chi siete, sia in presenza che con alcune procedure telematiche, come l'invio di un video mentre tenete il vostro documento di identità sulla mano destra e a fianco del volto.
Il problema è che la decentralizzazione funziona talmente bene che... possono esistere più SPID su più fornitori, poiché non c'è un'entità centrale che verifica se avete già uno SPID. Per fare un esempio, se ottenete lo SPID su Poste Italiane, potete entrare nel portale dell'INPS per fare operazioni a vostro nome. Se domani una persona malintenzionata va su Poste Italiane per registrare uno SPID sempre a vostro nome, Poste Italiane vi risponderà che quel codice fiscale ha già uno SPID, ma se andate su InfoCert o su Aruba per crearvi uno SPID con lo stesso codice fiscale, a loro non risulterà che quel codice fiscale abbia uno SPID da loro, per cui la procedura inizierà normalmente.
E' veramente così facile?
Ovviamente, per ottenere uno SPID a nome di un'altra persona, occorre creare documenti falsi se operate in presenza, ma se lo fate da remoto quindi con riconoscimento di un video, qui può entrare in gioco la cosiddetta Intelligenza Artificiale (IA), con i famosi "deepfake", ossia video generati da IA, a partire da alcune vostre foto, che possono simulare voi che state pronunciando delle frasi o state facendo determinati gesti, come la conferma che siete Mario Rossi, per arrivare infine a ottenere un secondo SPID per Mario Rossi, ma su un altro fornitore.
Come risolvere?
Al momento il problema non ha una soluzione a livello generale, questo perché il problema è legato in parte alla decentralizzazione. Noi appassionati di Software Libero e alternative ai servizi digitali commerciali amiamo la decentralizzazione, che consiste in creare servizi, chat, archivi di documenti personali, cloud personali e molto altro sui nostri pc o comunque non centralizzati nell'oligopolio dei colossi tecnologici più conosciuti. Alcuni esperti suggeriscono che basterebbe creare almeno un archivio centralizzato che ogni fornitore di SPID dovrà consultare prima di dare l'identità digitale ad un cittadino, così da verificare che tutti e 12 (per ora) fornitori di SPID non l'abbiano già registrato.
Cosa ci insegna questa storia
Da tutto questo possiamo imparare tante lezioni. Innanzitutto, il furto di identità è un reato, ma se lo si scopre troppo tardi si rischiano di perdere soldi veri. Spesso i profili falsi sono frutto del furto di nostri dati che sono nel web, come foto pubbliche sui social che servono a creare i video di "deepfake", oltre che indirizzo di casa, codice fiscale e molto altro.
Esistono dei siti web "nascosti" ("dark web") dove si trovano dati rubati e messi in vendita, utilizzabili anche per questi scopi. Questi dati possono provenire anche da furti di normali siti di e-commerce dove avete magari acquistato una volta un regalo per la vostra dolce metà, una persona amica o i genitori, e poi vi trovate con lo SPID clonato e la pensione dirottata su un IBAN chissà dove (per chi in pensione ci è già, complimenti!).
Proteggere la propria privacy non è una questione di "non ho niente da nascondere", ma piuttosto "ho molto da proteggere".
Con il Software Libero e un po' di conoscenze approfondite su come funziona la tecnologia e internet, possiamo arrivare a un buon livello di sicurezza personale, per cui continuate a seguirci per ulteriori approfondimenti e per i prossimi eventi.
Fonte originale: https://www.geopop.it/truffa-spid-attenzione-ai-cybercriminali-che-clonano-identita-e-rubano-soldi-cose-e-come-difendersi/