I cybercriminali tornano a colpire prendendo di mira lo Spid: è stata segnalata una nuova campagna di phishing particolarmente insidiosa, progettata per sottrarre dati personali e bancari agli utenti.
L’inganno si presenta sotto forma di una richiesta di aggiornamento o verifica dello Spid, facendo leva su messaggi che simulano comunicazioni ufficiali.
Come funziona l’attacco
La truffa prende avvio con un’email fraudolenta, studiata per apparire come una comunicazione ufficiale, che invita l’utente a confermare o aggiornare la propria identità digitale. All’interno del messaggio è presente un link malevolo che rimanda a una pagina web.
Cliccando sul collegamento, l’ignaro destinatario viene indirizzato verso una pagina web falsificata, che replica in modo fedele l’aspetto di un portale Spid ufficiale. Qui, la vittima viene sollecitata a compilare un modulo online per “completare la verifica” dell’identità, finendo per inserire volontariamente dati personali e credenziali che finiscono nelle mani dei truffatori.
Quali dati vengono sottratti
Il modulo fraudolento richiede informazioni estremamente sensibili, tra cui:
- nome e cognome
- indirizzo di residenza
- email e numero di telefono
- Iban e istituto bancario
Con questi dati, i criminali possono creare un secondo Spid a nome della vittima, accedere ai servizi della Pubblica Amministrazione, dirottare stipendi o rimborsi, oppure sottoscrivere contratti e richiedere finanziamenti. Il furto di identità digitale apre scenari di grave rischio economico e legale.
Come difendersi dalla truffa
Le regole di sicurezza restano fondamentali:
- non cliccare mai sui link contenuti in email che chiedono la verifica delle credenziali
- digitare manualmente l’indirizzo del provider Spid nel browser
- controllare con attenzione l’URL, perché anche un dominio affidabile può ospitare contenuti malevoli
- ricordare che nessun gestore Spid chiede mai dati personali o bancari via email
È stata attivata la procedura di rimozione del sito fraudolento, ma le autorità avvertono che campagne di phishing simili potrebbero ripresentarsi in qualunque momento, spesso con tecniche sempre più evolute e difficili da riconoscere.
