Negli ultimi tempi si parla molto di SPID, il Sistema Pubblico di Identità Digitale. Dopo che Poste Italiane ha reso il suo SPID a pagamento dal secondo anno, molti utenti si stanno informando su alternative gratuite o sugli altri identity provider che rilasciano SPID senza costi.

Questo aumento di interesse non è passato inosservato ai cybercriminali, che lo stanno sfruttando per lanciare una nuova campagna di phishing via email.

Come funziona la truffa SPID via email

La truffa inizia con una finta email dell’Agenzia per l’Italia Digitale (AgID). Il messaggio avvisa l’utente che, per non perdere l’accesso allo SPID, è necessario aggiornare i propri dati accedendo a un portale tramite un link interno alla mail.

Ovviamente il link porta a un sito fake, creato per sottrarre dati personali e sensibili. Il rischio è concreto: si tratta di una tentata truffa ben congegnata, che sfrutta loghi, grafiche e layout simili a quelli ufficiali.

L’allarme del CERT-AgID: attenzione alle email sospette

A segnalare la truffa è stato il CERT-AgID, ovvero il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, responsabile della cybersecurity nella Pubblica Amministrazione.

In un comunicato ufficiale, il team ha confermato che il portale fraudolento replica in modo fedele l’aspetto del sito SPID, rendendo difficile distinguere tra vero e falso.

Esempi di oggetto delle email truffa

Le email truffaldine vengono presentate come urgenti, con oggetti che spingono l’utente all’azione immediata. Alcuni esempi segnalati:

“Importante: Conferma i tuoi dati SPID”

“Verifica richiesta per la tua identità digitale”

All’interno del messaggio si invita a verificare regolarmente i propri dati per “garantire la continuità dei servizi” e mantenere “alti livelli di sicurezza”. Frasi costruite ad hoc per trasmettere affidabilità e spingere all’interazione.

Quali dati vengono richiesti e perché

Il portale fake chiede all’utente di inserire:

• nome e cognome
• data di nascita
• indirizzo email
• numero di telefono
• IBAN
• nome della banca

Anche se non viene richiesto l’accesso al conto corrente, l’obiettivo è probabilmente quello di rubare dati personali da usare in future truffe, furti di identità o per vendere le informazioni a reti criminali online.

Come riconoscere la truffa SPID: consigli utili

Il CERT-AgID ha già richiesto la disattivazione del sito truffaldino, ma il rischio resta. Ecco come proteggersi:

Controlla sempre l’URL del sito prima di inserire dati. Anche se la pagina sembra reale, l’indirizzo web può svelare l’inganno.

Non cliccare link sospetti ricevuti via email, soprattutto se arrivano da mittenti non verificati.

Diffida da messaggi che chiedono dati sensibili, come IBAN o numero di telefono, in modo diretto.

In caso di dubbio, accedi sempre manualmente al sito ufficiale SPID (https://www.spid.gov.it) digitandolo nel browser.

Non fornire mai informazioni personali via email o tramite portali non ufficiali.

La nuova truffa via email sullo SPID è un esempio di come i cybercriminali siano sempre più abili nel sfruttare notizie attuali e strumenti digitali diffusi. In un periodo in cui molti cercano alternative gratuite allo SPID a pagamento, è fondamentale mantenere alta l’attenzione e non cadere nelle trappole del phishing.