Lucrezia Ciotti Nell’era della digitalizzazione, dove l’accesso ai servizi pubblici passa sempre più attraverso strumenti tecnologici, cresce anche il rischio di cadere vittima di truffe sempre più sofisticate. Tra i nuovi obiettivi dei cybercriminali c’è lo Spid – il Sistema Pubblico di Identità Digitale – ormai indispensabile per accedere a portali della pubblica amministrazione, bonus, certificati e pratiche online. Attraverso SMS ingannevoli, i truffatori cercano di sottrarre credenziali e dati personali, mettendo a rischio la sicurezza digitale dei cittadini. Conoscere le modalità d’attacco e sapere come difendersi è oggi più che mai fondamentale.
Truffa dello Spid, il nuovo inganno corre via SMS
L’INPS ha lanciato un’allerta l’11 aprile per segnalare una nuova ondata di truffe digitali. I malintenzionati inviano SMS camuffati da comunicazioni ufficiali, invitando gli utenti a cliccare su link fasulli per aggiornare i propri dati. I siti imitano perfettamente quello dell’INPS, ma servono solo a raccogliere informazioni sensibili: dati anagrafici, codice fiscale, Iban, documenti e persino selfie o video. Con questo materiale viene creato uno SPID falso, usato per frodi online, soprattutto in vista della stagione del 730.
Il CERT-AgID, organismo che monitora la sicurezza digitale nella PA, ha segnalato un forte aumento di questi attacchi via SMS: nei primi tre mesi del 2025 sono stati scoperti 33 domini falsi legati all’INPS. I dati sottratti finiscono spesso nel dark web, dove vengono venduti insieme a selfie e copie dei documenti.
“L’Inps, al fine di garantire la sicurezza dei dati personali dei cittadini e la prevenzione di tentativi di phishing e frodi informatiche, informa che le notifiche ufficiali dell’Istituto inviate tramite SMS, relative agli esiti di lavorazione delle pratiche o ai pagamenti, non contengono mai link cliccabili”, ha messo in guardia l’INPS in una nota ufficiale.
Truffa dello Spid, il nuovo inganno corre via SMS: come difendersi
Per aiutare gli utenti a riconoscere e gestire queste frodi, il CERT-AGID ha pubblicato una guida pratica con indicazioni utili. Le truffe iniziano spesso con un SMS o un’email che sembra arrivare dall’INPS, grazie a tecniche di spoofing che falsificano il mittente. Il messaggio invita a cliccare su un link per aggiornare i dati personali, reindirizzando a un sito che imita quello ufficiale, ma che è in realtà fraudolento.
Una volta sul portale, viene richiesto l’invio di informazioni sensibili: dati personali, IBAN, documenti, buste paga, selfie e video. Dopo aver premuto “Conferma” o “Avanti”, i truffatori ottengono pieno accesso ai dati. In alcuni casi, viene simulato un errore per richiedere più volte l’upload, aumentando la qualità e quantità del materiale raccolto.
Chi sospetta di essere vittima della truffa può seguire alcuni passaggi consigliati dal Cert-AgID. Prima di tutto, è fondamentale sporgere denuncia presso la Polizia Postale, portando con sé tutta la documentazione utile, come SMS sospetti e copie dei documenti inviati. In aggiunta, è possibile fare una segnalazione online tramite il portale della Polizia di Stato. Infine, è importante monitorare con attenzione i conti bancari, soprattutto quelli su cui si ricevono pagamenti statali, per verificare che non ci siano modifiche non autorizzate all’IBAN o anomalie nei versamenti.